今年4月，日本某家公司的伺服器遭到攻擊，超過10萬名客戶的信用卡資料因此外流。業者表示自己也是被害者，也強調後續有十分妥當地處理。但不少日本消費者依然在網路上表示抗議與憤怒。該業者的問題在哪裡？讓我們一起了解一下此事件的嚴重性。

疑將網站架設與維護費用壓得太低？

該業者請藝人代言積極進行廣告宣傳等，在行銷上面花了不少費用，與同業比起來知名度高很多。但若起初能挪此費用的一部分來請資訊安全專家協助的話，便不會發生此次的事件，就算事件發生，也能將被害程度降至最低。

事件之後據日本專家了解，該業者在網站的資訊安全對策上原本就設定不全，因此推測該業者為了降低成本，可能沒有請專業的資訊人員來架設與維護網站。例如一般在幫顧客保管東西時，若保管區域的保安不妥當，連門鎖也沒有的話，一但遭竊，除了竊賊之外管理人也有應負的責任。

個人資料儘量不要放在網站上

網站本來就具有對外公開的性質，就像是面對很多人往來的街頭店面一樣，即便很用心管理風險還是不低。因此不管對資訊安全的技術有沒有信心，個人資料還是儘量不要放在網站上。例如很多網路商店會把線上刷卡的部分外包給所謂專業的網路金流公司，並不會自己管理信用卡的相關資訊及資料。

為什麼留信用卡的「安全碼」？

這次外洩的資料除了信用卡持有人姓名、卡號、卡片有效期限、申辦者住址等之外，還有信用卡的「安全碼」。 若是Visa或Mastercard，安全碼通常是印刷在信用卡背面簽名欄上的3位數字，在網路或電話交易時輸入或告知業者時使用，以避免信用卡欺詐。

為避免信用卡欺詐而存在的安全碼，本來被很嚴格地管理，且安全碼並未記錄在信用卡的磁條或晶片上面，因此理論上只有信用卡發行銀行與持有者才知道整組安全碼。刷卡的商店當然也有機會看到安全碼，但商店有義務廢棄安全碼，不得以任何方式記錄。

若該業者遵守上述義務，至少「安全碼」不會外流。反言之，外流「安全碼」代表其業者有絕對的責任問題。除了個人資料是否該放在網站上之外，其業者違反義務，長期保留不該留有的安全碼，並且還放在網站資料庫內。

疑因生意旺季而故意延期公開事件

4月23日網路金流公司與該業者聯絡，表示該業者當時已經知道資料有外流之嫌，但是卻沒有在第一時間對外告知，拖延到5月27日才公開。截至4月底已經確認有172卡次的信用卡被盜用，有可能到現在已累積更多的的被害者。不少消費者推測，業者是因業績的考量，故意將公布日期延至日本出國旅客較多的4月底到5月初的日本黃金週之後。

送折價券到底是表達歉意？還是藉此行銷？

該業者表示，為表達歉意，將每人發3000日圓的折價券，但折價券只能用在其業者的服務。於是不少消費者便質疑，被害者哪有心情續用管理不周的業者的服務？難道業者還想藉此機會行銷自己家的服務嗎？

資訊安全的重要性不能小看，想做多一些事情，還是需要一定的費用

其實網站架設技術早比以前簡單了許多，只要懂一些基礎技術並利用自由或開放式軟體，設設的網站便可以增加網路交易，甚至會員管理等各種功能，還不需付費購買軟體。但是架設網站與資訊安全對策是否到達一定的水準就是兩回事。

因此架設網站─尤其是需要網路交易或會員管理功能的網站，不能只看價錢來衡量。若因資訊安全對策不足，而造成資料外流等事件，失去的信用將更難挽回！