今 年 6 月 ， 4,000 萬 名 信 用 卡 持 有 人 — 當 中 大 部 分 身 處 美 國 — 被 一 宗 消 息 所 震 驚 ， 同 時 令 環 球 電 子 商 貿 響 起 警 號 。 這 是 前 所 未 有 的 黑 客 入 侵 事 件 ， 該 4,000 萬 人 的 信 用 卡 資 料 被 盜 去 ， 而 且 更 牽 涉 一 向 被 譽 為 安 全 的 金 融 機 構 。

事 實 上 ， 本 港 甚 至 全 球 的 信 用 卡 持 有 人 對 消 息 都 感 到 震 驚 。 這 場 惡 夢 亦 令 公 眾 對 網 上 的 財 務 保 安 失 去 信 心 。 自 今 年 初 起 ， 一 連 串 的 信 用 卡 事 件 突 顯 了 個 人 資 料 保 安 的 脆 弱 ， 顧 客 亦 漸 漸 關 注 到 ， 究 道 這 些 資 料 有 沒 有 被 狡 猾 的 犯 罪 者 所 盜 用 ， 但 問 題 是 ， 這 些 交 易 往 往 很 難 追 查 。

此 外 ， 與 自 動 櫃 員 機 有 關 的 罪 案 亦 令 人 更 關 注 金 融 欺 詐 事 件 。 至 於 「 虛 假 網 站 」 、 「 套 取 鍵 盤 輸 入 」 、 「 偷 看 密 碼 」 等 ， 已 成 為 近 年 常 見 的 問 題 ， 對 網 上 銀 行 及 購 物 業 務 帶 來 影 響 。 一 般 人 對 網 上 交 易 的 信 心 如 何 ？ 電 子 交 易 系 統 是 否 不 值 得 信 賴 ？

仔 細 分 析 這 些 事 件 ， 可 發 現 網 上 保 安 系 統 是 可 堪 信 賴 的 ， 但 使 用 者 需 要 一 點 警 覺 性 及 知 識 ， 確 保 網 上 交 易 能 在 安 全 的 情 況 下 進 行 。

人為因素

以 今 次 的 事 件 為 例 ， 人 們 第 一 時 間 的 反 應 是 將 矛 頭 指 向 發 卡 公 司 ， 但 真 正 元 兇 其 實 是 保 安 程 序 上 的 違 規 ， 而 非 保 安 系 統 本 身 的 問 題 ， 簡 而 言 之 ， 是 出 於 人 為 錯 誤 。

保 安 服 務 公 司 Handshake Networking 的 Richard Stagg 強 調 ， 事 件 的 發 生 是 由 不 當 的 保 安 措 施 引 致 ： 「 這 是 一 個 有 力 的 例 子 ， 指 出 保 安 措 施 的 重 要 性 ， 以 及 忽 視 它 的 後 果 。 」

保 安 措 施 是 一 些 指 引 ， 確 保 所 有 重 要 資 料 以 「 虛 擬 鎖 匙 」 方 法 安 全 地 得 到 保 護 。 不 過 ， 只 有 人 們 確 切 遵 行 這 些 指 引 ， 措 施 才 可 有 效 地 運 作 。 若 在 實 行 這 些 措 施 時 有 任 何 鬆 懈 的 地 方 ， 危 機 隨 時 有 機 可 乘 。

這 正 是 「 4,000 萬 張 信 用 卡 」 事 件 的 情 況 — 鬆 懈 的 態 度 引 致 資 料 外 竊 。 Stagg 說 ： 「 明 顯 地 ， 資 料 外 竊 是 一 項 災 難 ， 而 公 司 須 為 錯 誤 負 責 任 。 」

牽 涉 其 中 的 是 CardSystems Solution ， 它 是 為 信 用 卡 公 司 處 理 交 易 過 程 的 第 三 者 公 司 。 Stagg 說 ： 「 這 不 是 ﹙ 信 用 卡 公 司 的 ﹚ 信 用 卡 儲 存 系 統 被 入 侵 ， 他 們 在 資 料 儲 存 方 面 做 了 正 確 的 技 術 程 序 。 」 他 甚 至 指 出 ， 他 們 的 保 安 系 統 是 完 善 的 ， 但 問 題 是 其 中 一 些 資 料 被 複 製 。

Stagg 說 ： 「 一 連 串 的 『 現 場 』 資 料 被 複 製 至 開 發 系 統 以 作 測 試 之 用 ， 而 這 個 脆 弱 的 開 發 系 統 卻 被 入 侵 。 這 是 資 料 被 盜 的 原 因 。 」 他 認 為 ， 真 正 的 保 安 問 題 是 這 些 「 現 場 」 資 料 在 開 發 環 境 中 如 何 被 使 用 。

「 你 不 會 於 開 發 環 境 中 使 用 『 現 場 』 資 料 ， 你 可 採 用 數 千 個 的 隨 機 數 據 ， 這 樣 會 較 易 處 理 。 」 若 一 間 公 司 必 須 使 用 「 現 場 」 資 料 ， 他 提 議 必 須 確 保 開 發 環 境 與 「 現 場 」 環 境 一 樣 擁 有 相 同 的 標 準 。

根 據 牽 涉 於 事 件 當 中 的 主 要 發 卡 公 司 MasterCard 表 示 ， CardSystems 沒 有 將 資 料 以 「 現 場 資 料 處 理 」 形 式 儲 存 。

網 絡 保 安 公 司 Websense 的 William Tan 說 ： 「 這 事 件 反 映 了 一 點 ， 就 算 保 安 系 統 如 何 穩 妥 ， 只 要 有 一 件 事 故 發 生 ， 便 足 以 破 壞 整 個 系 統 。 儘 管 已 花 費 了 數 以 百 萬 的 金 錢 去 改 善 網 上 電 子 商 貿 服 務 的 保 安 ， 但 簡 單 的 保 安 違 規 已 足 夠 摧 毀 整 個 系 統 、 動 搖 客 戶 網 上 交 易 的 信 心 ， 甚 至 破 壞 他 們 對 資 訊 科 技 的 信 任 。 」

國際問題

雖 然 大 部 分 事 件 發 生 於 美 國 ， 但 卻 與 香 港 消 費 者 息 息 相 關 。 Stagg 說 ： 「 關 連 性 在 於 ， 這 些 事 很 有 機 會 再 發 生 。 」 透 過 互 聯 網 交 易 涉 及 國 際 層 面 ， 紐 西 蘭 一 位 網 上 消 費 者 可 能 是 赫 爾 辛 基 黑 客 的 攻 擊 目 標 。

這 是 否 代 表 電 子 商 貿 非 常 危 險 ？ 當 然 不 是 。 首 先 ， 在 平 常 的 交 易 中 ， 信 用 卡 資 料 被 盜 的 機 會 有 過 之 而 無 不 及 ， 例 如 在 商 店 的 收 銀 處 。 事 實 上 ， 網 上 資 料 雖 有 機 會 被 盜 ， 但 黑 客 必 須 先 破 解 資 料 的 電 子 語 言 ， 這 往 往 需 要 一 定 時 間 。

負 責 系 統 綜 合 的 公 司 Datacraft 的 Krei Lewis 表 示 ： 「 對 香 港 一 般 消 費 者 而 言 ， 最 佳 的 防 衛 辦 法 就 是 對 細 節 時 刻 警 剔 。 信 用 卡 詐 騙 及 資 料 外 竊 常 發 生 在 餐 廳 、 商 店 及 其 他 零 售 地 點 ， 信 用 卡 資 料 很 容 易 被 複 製 ， 這 些 地 方 比 大 型 機 構 高 危 。 」

本 港 的 保 安 方 案 提 供 者 Network Appliance 的 Simon Green 再 建 議 ： 「 最 好 不 要 透 過 咖 啡 吧 及 其 他 公 眾 地 方 的 互 聯 網 設 施 傳 送 保 密 資 料 ， 如 密 碼 及 信 用 卡 資 料 。 」 他 補 充 ， 現 時 大 眾 當 處 理 與 身 分 有 關 的 資 料 時 ， 已 提 高 了 警 覺 ， 這 是 一 個 樂 觀 的 訊 號 。

不 過 ， William Tam 覺 得 仍 有 很 多 工 作 要 做 ， 而 顧 客 更 要 時 刻 提 高 警 剔 ： 「 無 論 你 是 周 遊 列 國 的 人 ， 還 是 間 中 會 去 旅 行 ， 甚 至 足 不 出 戶 ， 只 要 透 過 互 聯 網 交 易 ， 便 會 面 對 一 定 風 險 。 事 實 上 ， 保 安 上 的 違 規 會 令 你 遇 到 交 易 上 的 危 機 。

「 就 如 任 何 負 責 任 的 信 用 卡 使 用 者 一 樣 ， 要 保 留 每 次 交 易 的 收 據 、 小 心 檢 視 每 月 的 賬 單 ， 以 及 即 時 報 告 存 疑 的 交 易 。 此 外 ， 只 在 可 靠 的 商 戶 使 用 信 用 卡 。 當 在 互 聯 網 或 與 不 熟 悉 的 海 外 商 戶 交 易 時 ， 最 好 能 調 低 信 用 額 。 這 些 都 可 減 低 風 險 。 」

不 過 ， Krei Lewis 指 出 ， 這 不 只 是 顧 客 的 責 任 ， 負 責 保 管 資 料 的 人 或 機 構 同 樣 要 為 保 安 負 責 。 他 說 ： 「 現 時 有 不 少 軟 件 可 改 善 個 人 資 料 的 管 理 ， 附 加 的 措 施 亦 已 在 全 球 推 行 。 晶 片 信 用 卡 、 驗 證 及 檢 查 程 序 都 是 一 些 加 強 保 安 的 方 法 。 」

加強保安

「4,000 萬 信 用 卡 」 事 件 顯 示 ， 無 論 你 網 上 購 物 時 如 何 小 心 ， 信 用 卡 資 料 也 有 機 會 被 盜 取 。 Stagg 說 ： 「 坦 白 說 ， 面 對 大 型 的 信 用 卡 欺 詐 事 件 ， 個 人 可 以 做 來 保 護 自 己 的 事 其 實 很 有 限 。 」 但 不 要 忘 記 的 是 ， 主 要 發 卡 機 構 已 承 諾 ， 若 信 用 卡 持 有 人 因 信 用 卡 被 複 製 或 資 料 被 盜 而 簽 下 一 些 不 知 名 的 賬 項 ， 信 用 卡 持 有 人 可 毋 須 負 責 付 款 。

究 竟 危 險 有 多 大 ？ 根 據 Simon Green 的 看 法 — 不 太 大 。 他 相 信 信 用 卡 資 料 被 盜 的 新 聞 令 公 眾 產 生 恐 懼 ， 但 此 事 卻 隱 藏 了 一 個 事 實 。

他 說 ： 「 這 些 事 確 實 會 出 現 ， 但 與 電 子 交 易 宗 數 及 資 料 在 全 球 網 絡 傳 送 的 情 況 比 較 ， 事 件 發 生 的 數 字 其 實 非 常 之 少 。 現 時 業 界 發 展 了 一 套 精 密 的 監 察 系 統 ， 當 有 懷 疑 時 ， 能 即 時 中 斷 信 用 卡 的 使 用 ， 這 樣 可 有 效 減 低 損 失 。 」

他 補 充 說 ： 「 一 些 銀 行 已 實 施 雙 重 保 安 措 施 ， 你 不 但 需 要 具 備 信 用 卡 號 碼 及 密 碼 ， 還 會 將 信 息 傳 送 至 閣 下 手 機 ， 以 確 保 交 易 的 存 在 。 」

借方卡更危險

此 外 ， 一 個 有 趣 的 比 較 可 強 調 一 點 — 與 借 方 卡 ﹙ debit card ﹚ 比 較 ， 網 上 信 用 卡 交 易 已 經 較 為 安 全 。 根 據 Stagg 的 意 見 ， 借 方 卡 交 易 是 危 機 四 伏 的 。 他 說 ： 「 這 裡 的 問 題 不 大 ， 因 為 銀 行 不 會 發 行 借 方 卡 ， 雖 然 其 特 性 有 點 像 EPS 。 直 接 的 借 方 卡 在 歐 洲 及 美 國 相 當 普 遍 。 與 信 用 卡 不 同 ， 因 信 用 卡 是 交 易 後 才 付 款 ， 但 借 方 卡 會 直 接 由 你 的 銀 行 戶 口 扣 取 金 錢 。 若 然 你 不 幸 成 為 信 用 卡 案 件 的 受 害 者 ， 信 用 卡 公 司 只 會 要 求 你 付 賬 ， 而 大 部 分 情 況 下 ， 顧 客 都 獲 得 保 障 。 不 過 ， 若 牽 涉 入 借 方 卡 的 騙 案 ， 你 便 須 要 求 銀 行 將 受 騙 金 額 存 回 你 的 戶 口 ， 但 這 是 幾 乎 不 可 能 的 。 」