全推「詐團釣魚網站」搞鬼 「蝦皮」不認個資外泄?數發部嗆開罰

被點名爲高風險賣場,蝦皮3個月連續發生400多件相關詐騙案,數發部不排除未來以違反《個資法》開罰。(示意圖/本刊繪圖組)

刑事局日前公佈今年1月到3月高風險賣場排行,「蝦皮」明知道詐騙案量暴增、個資外泄卻未主動報警,以詐騙案400多件排名第一,但卻擺出受害者姿態。面對這個政府機關難以控管,總公司、網站都在境外,全臺最大且單日營業額逼近20億元的「超皮」大咖業者,數位發展部打算硬起來,依《個資法》開罰,這也可能成爲境外網購平臺開罰首例。

全臺最大網拍購物平臺蝦皮詐騙案不斷,主管機關數發部本月15日召開行政檢查會議,找「蝦皮」瞭解狀況,蝦皮直接撇清「不是我們的問題,我們是受害者,會全力配合警方辦案」,針對警方點名該公司未設資安部門一事,表示「臺灣就能處理」,但當被要求調閱相關資料時,蝦皮就推說「要向加坡總公司申請」,相當不配合辦案。

整場會議氣氛緊繃,蝦皮從頭到尾力陳沒有個資外泄或資安相關問題,把責任全部推給詐騙集團,宣稱他們公司有阻斷QR code詐騙網址,全是詐團自制假網站,聽到這兒,數發部官員氣炸拍桌,認爲蝦皮是知名企業,面對個資外泄卻態度擺爛「不報警、不提醒消費者」,因此未來將朝《個資法》第12條開罰。

蝦皮發現狀況不對,更憂心政府機關開罰會動搖會員信心,傷害商譽,外傳一度找民代協調,希望不要開罰。17日蝦皮還在官網發出3點聲明,澄清詐騙集團製造假蝦皮行騙,與公司資安無關,文末更呼籲「不應意圖裁罰被害人,希望司法單位儘速破案」。

蝦皮總公司在新加坡、網站架在國外,日前行政院指定數發部爲主管單位。(圖/方萬民攝)

不過警方分析蝦皮相關400多件詐欺案,發現「賣場內釣魚網站外泄個資」佔8成,「賣場外(包括FB)等外泄個資」佔1成,最值得注意的是佔8﹪的「傳統個資外泄」,意即最老套的「解除分期付款詐術」,必須由詐團竊取賣家資料,掌握買家名單之後才能隨機打電話詐騙。

「傳統個資外泄」被害人包括蝦皮買家和賣家「無差別遭詐」。其中一位賣家小馬(化名)收到買家訊息,告知無法下單購物,小馬趕緊掃描QR Code,詢問蝦皮官網客服關於無法下單問題,客服要求他簽下申請金流條款,當天稍晚小馬就接獲自稱蝦皮客服電話,表示他「未簽署金流服務協議,該筆訂單凍結」,要求小馬再前往ATM、網路匯款輸入密碼,他認爲當天才聯繫過客服,遂依詐團指示操作,結果被騙走69000多元。

買家中A先生指出接到平常往來銀行電話,對方表示他日前在蝦皮購物遭重複扣款,A先生依照指示進行網路操作解除分期,更轉了39000多元到指定帳戶,直到對方要求他寄出金融卡,A先生才驚覺遇上詐騙集團;B小姐在蝦皮購買牙膏,就怕詐騙猖獗特地選擇「貨到付款」,卻接到假客服電話,以「訂單錯誤」爲由,要求依指示於網路銀行操作來解除付款,未料慘被騙9萬元,B小姐氣的搥胸頓足哀嘆「這牙膏好貴!」還有一位C先生上蝦皮花了1500元買滑鼠,後續接到假蝦皮客服致電,表示該筆交易無法結帳云云,C先生誤中圈套,損失5萬6千多元。

警方表示,蝦皮對外指稱公司有完善資安防護、主動阻斷QR code詐騙網址系統等,但經查,有會員進入賣場後,跟賣家「聊聊」卻因此點進詐騙網站,疑似該公司並未做好阻斷工作,所謂的高強度資安讓人質疑。

與數發部開會後,3月17日蝦皮官網公佈3點聲明,強調資安沒問題,呼籲「不應意圖裁罰被害人」。(圖/翻攝蝦皮官網)

另外,蝦皮APP今年2月6日中午發生大量用戶因系統異常遭登出,本月7日網友)又發現蝦皮購物網站當機無法交易,後來蝦皮公司表示「國際海纜出問題無法連線」,警方則點出系統架在境外才會有此問題,如蝦皮將交易個資存在國外,也因此提高了遭竊取的隱憂。

針對是否有客戶個資遭竊一事,記者多次致電給蝦皮臺灣區經理且留言,但至截稿前仍未取得迴應。至於在數發部的行政檢查會議上,是否曾因爲蝦皮公司的消極態度而鬧得不愉快,數發部相關人員低調錶示,該會議是例行會議,未來是否會依《個資法》對蝦皮開罰等事宜,一切都還在調查中,目前無法透露。

更多 CTWANT 報導