YouTuber迪恩(Simon Dean)今個星期較早時,在社交媒體發布影片,表示他發現禮品卡存在安全漏洞。
他早前買了兩張各值 500 元的禮品卡,想藉此在 Woolworths 獎勵計劃中獲取額外積分。
但他僅能在網站兌換其中一張卡,而在禮品卡網站「The Card Network」上兌換另一張時,卻出現錯誤訊息,於是他致電客戶服務。
他說「第二張卡在我購買後,一、兩個小時內被兌換了。客服告訴我,是一名女子兌換」,「登記的手機號碼也不是我。」
他指「我真的很困惑,因為卡背面的識別碼(Pin)依然完好無損,還被刮銀覆蓋。」
根據格價網站 Finder 在 2024 年 1 月一項消費者調查估算,澳洲人錢包或收件匣裡,未用禮品卡總值達 14 億元。
破解識別碼
迪恩因此損失 500 元,他向 The Card Network 要求退款,但也好奇自己是否能查出原因。
上網搜尋後,他聲稱發現一個可能被利用的漏洞。為驗證他找到的方法,他又買了一張價值 20 元的「TEEN」禮品卡,嘗試透過卡面可見的資訊,找出隱藏的識別碼。
他說整個過程不到 15 分鐘,就得出正確的識別碼。
他說「這過程太簡單了,真的讓人震驚。我並不是甚麼高明的駭客」。
基於安全原因,SBS 新聞選擇不透露迪恩是如何成功破解。
公司The Card Network 表示,不會對個別案例發表評論。公司向SBS 新聞提供的聲明中指
「我們採用多種安全工具和技術來監控可疑活動。」
「我們不會公開如何部署安全措施,以防止罪犯了解並濫用這些保護手段,因為那樣會給客戶和合作夥伴帶來額外風險。」
The Card Network 證實已經與迪恩取得聯繫,並在「全面調查問題後,處理了他的案例及他提出的相關疑慮」。
迪恩表示,他於約六星期才收到退款,並要求完成法定聲明及提交警方報告。
最終他獲全額退還那張無法使用的 500 元禮品卡。
他說「希望他們能修復系統,也希望其他人不用像我一樣,經歷這些麻煩才能拿回自己的錢。」
The Card Network 表示,要證明購買禮品卡的驗證過程「複雜」,因為「禮品卡並沒有註冊用戶,我們無法立即核實身份」。
專家:禮品卡公司應「抱最壞打算」
根據格價網站 Finder 在 2024 年 1 月一項消費者調查估算,澳洲人錢包或收件匣裡,未用禮品卡總值達 14 億元。
Finder 國際資深編輯基德曼( Angus Kidman )向 SBS 新聞表示,公司應該摒棄「過於簡單」的四位數安全 PIN。
他說「四位數的 PIN 並不安全,還有更好方式。」
「對大多數企業來說,採用更複雜的方法才合理。雖然投資新技術可能更昂貴,但如果發生安全漏洞,損失會更大。」
他指,Finder 研究顯示,每年澳洲人花費數億元購買禮品卡,因此相關公司有責任保護顧客免受詐騙。
「一旦有證據顯示系統遭入侵,企業必須迅速回應,因為這不僅關乎客戶服務,也會嚴重影響企業聲譽」,「企業必須抱最壞的打算,假設總有人試圖入侵這些系統,因此要確保這並非易事。」
SBS 中文堅守《SBS 行為守則》等政策,以繁體中文及簡體中文提供公平、公正、準確的新聞報道及時事資訊。SBS 廣東話及 SBS 普通話均已為大眾服務超過 40 年。歡迎在每天早上 9 至 11 時透過 SBS Radio 1 收聽廣東話節目及在每天早上 7 至 9 時收聽普通話節目,或透過 SBS Audio App 手機應用程式收聽直播、節目重溫及其他語音內容。按此進一步了解 SBS 中文。
