胡须张上个月遭受勒索软件攻击，系统与资料均已复原，并通知会员资料外泄状况

勒索软件的危害，不论企业规模大小都受其冲击，尽管许多曝光于新闻的事件，受害者都是大型企业，有的勒索软件组织更是只针对有能力付赎金的企业，但还有许多勒索软件组织，不会因为中小企业的资源缺乏而放过，因此只有资安防护越周全、备份愈妥善，以及应变越弹性的企业，才能让遭受的损害降低。今年以来，国内已有宏碁、广达、威刚与技嘉等大型企业，遭勒索软件攻击、资料被窃取的事件，值得关注的是，一个月前国内知名连锁餐饮业者──胡须张，也成为骇客的目标，当时该公司发布资安事件公告，说明遭骇与资料外泄情形，并陆续通知消费者。

虽然发生资安事故有损商誉，但这家公司愿意主动对外揭露资安事故的资讯，仍值得肯定。因为，顾客个资外泄事件的消息持续备受多方关注，日前国内才有企业再度因此而登上众多新闻版面，但相关平台业者却迟迟没有对外说明或坦承。

胡须张会员陆续收到会员权益通知，当中揭露遭骇被勒索及顾客资料外泄情形

关于胡须张遭骇一事，该公司在7月下旬到8月中旬，除了发布资安事件公告于官方网站，并陆续以电子邮件与简讯方式，在这段期间通知受影响会员。

在8月中旬，我们看到有胡须张会员在资安社群分享相关资讯，也发现在7月24日，有人在PTT上分享收到此一通知，根据该会员通知的公告内容，胡须张指出，日前发现公司遭骇客入侵，窃取了系统资料并进行勒索，因此他们在7月19日于官方网站上发布公告。而我们在洽询胡须张后，也确认他们是遭到勒索软件攻击。

除了揭露这次资安事件的发生，胡须张也公布事件的影响，说明公司会员资料外泄风险。关于资料外泄的内容，胡须张表示，他们的会员资料主要包含：姓名、电子邮件信箱、电话号码与地址等，以及少部分具有身份证字号，而在遭窃取的纪录中，可能有全部或部分的资料。另外，他们并未搜集顾客的财务资料（包括银行账号、信用卡号），因此没有客户付款资料外泄的状况。不过，对于那些系统或服务器遇害与入侵管道等细节，该公司并没有明确接露这方面的资讯。

而为了维护会员权益，胡须张也提供会员该如何因应的做法，包括尽速更改会员密码，以及其他网站密码（如果用户设定了相同的密码），同时，他们先行提醒，若接获自称胡须张客服人员等不明人士来电，应提高警觉，小心对方要求提供财务资料或诈骗等行为，建议打165防诈骗专线求证。

另外在因应上，他们表示，已经向法务部调查局报案，并立即加强终端的防御与资安的监控。

该公司遭遇两次勒索软件攻击，攻击者并以窃取资料方式要胁

对于这次事件，我们进一步了解详细概况。胡须张公关部经理林振益表示，他们遭遇到勒索软件攻击，导致资料被加密锁定，由于第一时间就有系统无法使用的状况，因而发现。

胡须张共遭遇了两波攻击，首次发生在6月21日，第二次是在7月2日。林振益表示，由于首波攻击后，他们拒绝对方勒索，因此第二次攻击后，对方利用公司电子邮件账号寄送勒索信，而信中指出已窃取该公司部分资料，如不付赎金，将公开他们手上的资料。

胡须张是如何应变？该公司有具体的说明，由于各项系统及资料均有备份管理，因此他们皆能够完成复原工作，但他们也调整了备份机制的频率，以利于后续可能事件的反应。同时，他们采取了多项行动，包括进行密码变更，以及调整防火墙政策，同时寻求系统商协助，增加端点防护软件进行分析与防护，在其他资安政策的调整中，他们表示已限缩开放的服务，并加强网络行为分析，再辅以投入备份设备，强化资安防护以持续降低事件冲击。

对于被窃取的资料，胡须张指出是公司数据库备份档，虽然当中的个资档案不见得会被窃取者破解并使用，但他们已盘点相关影响及个资权益，并陆续通知员工与会员。

关于资料外泄的通知情形，胡须张表示，他们先在7月19日于官方网站发布讯息，接着针对具备电子邮件联络资讯的受影响会员，进行通知，但在他们盘点过后，发现多数会员资料仅留有移动电话，因此又于8月12日修改网站公告，并进行简讯通知，因此会有不同的通知发布日期。

 

胡须张在遭遇勒索软件攻击后，在7月19日于官方网站发布这次资安事件的公告，并说明资料外泄情形，通知民众个资外泄可能风险，并说明已经向法务部调查局报案与强化资安。由于许多会员仅有移动电话联系方式，因此他们在8月12日再以简讯方式通知会员，告知此次资安事件的调查与因应措施，提醒民众变更密码与小心假冒胡须张客服人员的诈骗。

勒索软件事件与资料外泄事件频传，企业该积极因应还是消极面对？

除了业者要持续强化资安，在资安事件应变的议题上，我们从近年许多资安事件消息来看到台湾企业对于资安事件处理与因应的态度。

以胡须张这次事件为例，他们主动发布资安公告，说明事件发生、影响与因应，并通知消费者个资外泄状况，尽管事件调查与说明还不够详细。当然，这还是显现了该公司对于资安的重视，以及面对危机采取积极因应的态度，而过去也有一些台湾企业已经懂得这么做。

但更多常见的状况，一些企业管理高层可能还是消极因应，等到被媒体报导曝光后，企业才坦承有相关事件，相对而言，这样的应变能力似乎落入了下乘。近期国内其他企业发生勒索软件事件所展现的态度，就是很典型的例子。

而就国外企业遭遇资安事件来看，除了公司本身主动公布初步的调查结果，有些还会充分揭露可公开的资讯，包括入侵手法与相关技术资讯，让不同企业面临网络攻击的态势时，可以有更清楚的了解。

另一方面，若以同样都是消费者资料外泄事件的角度来看，国内今年也有相关事件，例如：台湾角川书局、麦当劳，这些公司都主动揭露遭遇资安事故的消息，有可能是因为遵循外商总公司的政策而公告，相形之下，国内有不少企业却无法坦然面对这类状况。

举例来说，这些年来持续有网购平台，被警方列为疑似个资外泄的高风险卖场名单，以今年上半而言，较严重的平台业者包括：诚品网络书店、金石堂网络书店、Booking.com、HITO本铺、小三每日等，但由于诈骗者不只掌握消费者的个资，还有订单资料，因此，这些业者若仅配合警方发布反诈骗警语与通知，却没有公布遭入侵的调查，或揭露资料外泄事件，是否让消费者轻忽其严重性，毕竟，反诈骗宣导不代表通知消费者发生资安事件，例如，今年过年前夕，许多银行同时配合警方发布防假冒银行钓鱼简讯诈骗的警示，许多银行其实尚未发生被假冒的事件，但是配合警方先行提醒。