寫這篇文，主要是工作上常有碰到資料外洩的電商來尋求解決方案，處理過幾個案例之後，歸納出一些經驗重點做分享，事先防範、事後處理、尋找資料外漏補強的方式，希望不論是經營電商的小店主或消費者，都能減少這類麻煩。

基礎的大觀念 : 只要是連網路的，都不安全

一、基礎架構

這是最基本的，但在所有處理的案件中也最常見犯錯的地方，在台灣，一般網站開發都比較偏向功能上的使用發展，較缺乏架構跟資安觀的意識，過往處理的案件，10件中大約有6件犯了基礎架構上的錯誤，就是

“程式、資料沒分開”

大部分出這種錯誤的小店家，是跟主機代管商租一台”虛擬主機”或”VPS雲端主機”放網站，通常都會經歷幾個階段

Phase1. 一開始租用虛擬主機經營購物網站。(原因 : 費用便宜)

Phase2. 用了段時間 Phase1 出了狀況，電商的客戶收到詐騙電話，小店主對技術不懂，就會跟代管商詢問，通常代管商會這樣跟客戶這樣說。

因為虛擬主機是跟其他客戶一起共用，比較不安全，所以建議升級到VPS雲端主機，有獨立的空間比較安全，效能也比較好。

以上的說法，只能說對一半，虛擬主機的確是跟其他客戶共用，但升級到VPS雲端主機，並沒有辦法解決安全上的問題，因為你連資料怎麼外洩都還沒查出來，要對症下藥阿!! (後面在跟大家分享，外洩管道的基本判斷方式)

Phase3. 升級了VPS雲端主機後，又出現個資外洩的毛病，這時這個電商的客戶大多都跑光了…，小店主可能被客戶告，搞得警察局跟法院跑不完…

以上的情節，是很常見的案例，而小店主在Phase2 的處理方式就錯了，電商系統最基本的要做到 “連網程式”與”資料庫” 分離這個動作。

錯誤的架構 :

網站程式(Web Server)跟資料庫(database)綁在同一台主機上，直接曝露在不安全的網際網路環境中。

正確的架構 :

資料庫藏身在網際網路連不到的私有網路中。

不知道各位是否有看出來，兩個架構對於網站程式是否是用虛擬主機或雲端主機，一點關係都沒有。這也是上面舉例的案例中，Phase2 處理的謬誤，搞錯重點了。

良好的架構是電商系統最基本的起手勢，但也是最常遇到沒做好的地方。

這部分就需要小店主花點時間盤點一下自己系統上的資料，例如

客戶資料 : 姓名、住址、連絡電話、Email、消費紀錄、行銷紀錄、再行銷紀錄、客單貢獻度…。

商品資料 : 商品名稱、商品成本、商品售價、商品均毛利、商品SKU、供應商、庫存、商品上架排程、商品細節備註…。

供應商資料 : 供應商名稱、地址、聯絡方式…。

訂單資料 : 訂單編號、訂單狀態、流水號…。

物流、金流、對帳…等等，一個電商的數據含量很高，小店主一定要時時盤點，識別風險因子，再規劃事先防範的方式。

建議把資料做敏感屬性的分配，我一般會用 0–10 來做區分，0最低10最高，並訂6 為分水嶺，6以上表示外洩時會有被詐騙利用的疑慮。

對於高風險的資料，建議作法就是 “加密後離線儲放” + “前後台系統分離”。

2.1 這邊先說資料加密 : 加密是屬於程式上的做法，一種難以回朔出原資料的方式，比較常見的有公私鑰加密法。

資料 公私有金鑰加密法

這邊要註明一件事，有不少人覺得網站買個SSL就可以做到資料加密，這是錯的，網站SSL 只負責 “資料傳輸管道”的加密，並沒有把資料本身作加密。

舉例來說 : A 要送一件貨物給B，透過物流運輸，SSL 加密之後可以減低物流這段貨被搶的機率，但貨被搶走的時候，貨還是可以被打開來看。

很多開發coder都會搞錯加密這回事，如果資料加密這麼簡單，哪還有這麼多個資外洩的毛病。

網站SSL加密是加密傳輸管道，不是加密資料本身

2.2 前後台分離 : 一般電商後台，會接觸到的敏感資料比較多，所以一個健全的架構，需要做到前後台資料分離，才能防堵後台受到入侵竊取資料的管道。

前後台分離網站架構

2.2 敏感資訊離線存放 : 詐騙之所以會影響到電商，不外乎是因為可以取得敏感的資訊，來取信客戶並進行詐騙，這也就是前頭說的，要把電商內的資料作敏感分配，

敏感資料完全離線架構，有些電商的出貨單都是離線列印

2.3 案例分析 :

案例一、

詐騙 : xxx 您好，您xxx年xx月xx日，在AAA網站購買的BBB商品，卡號末四碼xxxx因為刷卡失敗，需要請您透過轉帳付款，轉帳帳號CCCC…

案例分析 : 由案例一可以看的出來，詐騙方幾乎已經取得客戶完整的消費資料，甚至連信用卡卡號末四碼都知道，這時候就可以判斷出包的地方可能是在 “程式、資料庫、主機”，與外部其他系統無關，一個網站會串接外部系統，不外乎三種，”金流、物流、行銷”，金流API本身不會有這麼完整的內容，而物流也不會收到信用卡卡號的資訊，所以從案例一來看，外部金物流外洩管道是可以被削去。

這時大多可以從 “程式bug、資料庫bug、系統架構錯誤”著手，通常我第一個會先看的就是 “資料庫有沒有分離” 、”敏感資料有沒有離線”，越是基礎的問題，越容易被忽略。

三、發生後該怎麼處理

報警、備案、找律師、發公告、通知客戶…之外，還可以做些什麼?

3.1、通知客戶之餘，向客戶詢問細節，確認詐騙方能夠掌握到的資訊範圍，來推測出資料外洩的可能管道。

3.2、創建新的客戶帳號，透過假下單的方式，確認資料外洩是否還”正在發生”，也能讓小店家有機會直接跟詐騙方對話到。

這招蠻有用的，不少店家自建帳號再下單後，沒多久就收到詐騙電話，這表示事件是”正在進行中”，小店家也有機會跟詐騙對話，能夠套出更多訊息。

3.3、 冷靜、冷靜再冷靜~ 在網路的世界中，這種事無所不在，冷靜面對處理，收集資訊、研判方針、補強弱點…

最後一點…………..

找專業的來幫忙，切勿急病亂投醫!!

FBI：去年美國企業因網路犯罪損失10億美元

---

※本文由 Ruei-Chi Huang 授權轉載, 原文:《[資安漫談] 從系統架構與後台制度，降低個資外洩風險 — 幼幼篇》