Search
公益團體捐款人資料遭盜取,#捐款者慘招詐騙,災難還沒結束!
今天舉辦第三場座談。希望釐清真相,從警方辦案、銀行風險控管、公益組織的永續發展和保護捐款者當中找出可行的危機管理方法,期待各位一定不能對組織失去信心,並持續捐助認真做事的社福組織。
“NGO組織信用卡捐款資訊遭盜後續處理方式系列三”
會議結論:
1.如確已出現盜刷不可歸責於持卡人情形,不會由客戶負擔,基於保護持卡人,發卡銀行會立即進行換卡。
2.請刑事局提供現階段本案查獲之信用卡資料,提供給聯合信用卡處理中心,再歸戶到各銀行,進行風險控管。
3.針對持卡人資料遭盜取,請各發卡銀行進行該信用卡異常刷卡監控,保護持卡人權益。
4.請銀行公會指派銀行代表一位,出席由公益自律聯盟在九月十七日舉辦的社福組織說明會,以利澄清銀行處理本案的原則作法。
❣️ibiyaya公益擺渡人-您發聲我助力❣️
每個月的5號,是主人最開心的日子
領薪水後可以大買特買、利用這天獎賞毛小孩
然而於此同時......
各地卻有許多沒有主人的浪浪等待被幫助😿
長期關注流浪寵物議題的ibiyaya
除了每月定期與愛媽合作協助流浪毛孩
我們更希望能發揮影響力將愛心擴散出去🌱
故將5號訂為品牌公益日,透過每月不同的活動
號召更多人加入改善寵物環境的行列🌼🌼🌼!
-
本月主題為『公益擺渡人』
成為解決浪浪問題的 #擺渡人 是我們最終目標
ibiyaya誠摯地邀請關懷流浪動物的團體及個人
至留言處張貼公益資訊及聯絡方式☎
EX:
公益單位:小松樹流浪貓咪中途之家
聯絡資訊:許小姐 0965-322-800
愛心需求:飼料捐贈及志工投入
(此為愛心媽媽投稿)
-
同時也希望有能力的粉絲們與👇團體聯繫
【每月一點的小心意,為無家浪浪出點力✊】
*可先上網瀏覽該團體透明程度及公益理念,以防詐騙
#ibiyaya #ibiyaya公益日 #公益 #寵物 #毛小孩 #浪浪
#流浪狗 #流浪犬 #流浪貓 #流浪動物 #狗 #狗狗 #狗奴
#狗狗日常 #狗狗日記 #貓 #貓咪 #貓奴 #貓星人 #喵星人
中秋月,齡予想要邀請大家,如果有能力,多給身邊的人多點愛,贈物網定期發起捐贈物資,讓需要的人也可以享受過節氣氛。
愛是給予,我們也可以透過給予、共好,感受到愛的更大次方!
今年贈物網攜手 宏亞食品股份有限公司 七七乳加巧克力 獻愛,打響社福第一炮!一萬顆廣式月餅溫暖一萬個孩童的心!開學首日給弱勢家庭的孩童獻上滿滿祝福!
擁有全台享負盛名禮坊粉絲團「#禮坊」糕點特製一萬個廣式中秋月餅,透過榮獲 #全球永續發展傑出獎 的 #台灣之光-台灣最大的 #免費物資共享社群平台「 #贈物網」,精準媒合最需要的540間社福單位和偏鄉學校兒童,讓他們嘴甜美味暖心過中秋!
第一次看到這麼大量的捐贈,連身經百戰的社工都嚇到了!還好事先準備了推車,想著孩子吃著月餅的幸福表情,再累也甘願!今年碰上 #疫情重創捐款意願, #連帶影響物資募集,許多家庭連吃上一口月餅都成為奢念⋯
宏亞食品用 #七七乳加陪伴台灣人一甲子,過年過節也不能缺席。適時的伸出援手,讓不久前苦於詐騙集團駭入捐款平台竊資盜刷的公益團體更加暖心,#能吃到月餅是讓弱勢家庭感覺自己並不孤單的重要方法,也是讓他們知道有人在乎的重要時刻。
許多社工親自前來領取,上萬顆月餅壯觀場面照片、影片請自取:
月餅領取頁面
https://www.give-circle.com/give/418929
搬運萬顆月餅壯觀影片
https://youtu.be/yhmsXdB4y2A
可以另外約拍攝、捐贈
聯絡人 林慧洵
電話 0927-702966
感慨台灣人很愛捐錢,為什麼?
新住民Lia笑談台灣慈善趣聞
值得關注的是:在亞洲台灣公益環境首屈一指
但台灣近年來公益捐贈總額雖然維持相當水準
捐款戶數卻大幅下滑,這又是為什麼?
數據參考以下:
CAPS亞洲慈善與社會中心
2018報告
https://caps.org/our-research/doing-good-index-2018/
2020報告
https://caps.org/our-research/doing-good-index-2020/
#台灣慈善 #公益 #社會福利 #新住民
財團法人立法目的,在公開透明、避免洗錢!
《財團法人法》修法三讀,讓財團法人的改革向前邁進一大步。第一,原先由政府捐助成立、後卻被轉為民間的財團法人,未來經主管機關審核需要,將可透過政府捐贈補回基金差額的方式由政府買回股份,對人民權益是莫大的保障(不能公有變私有);反改革的政黨不樂見修法,無視於民意與潮流,勢必遭受民眾唾棄。
第二,這次宗教團體是否入法引發社會不同意見,還有許多不實指控,令人遺憾!我要說明:我國目前宗教團體法規規範有四個面向,包括寺廟登記管理條例、社團法人法、民法中財團法人、及完全不受任何規範的宮、壇;因此我主張應整合成為《宗教團體法》,針對其組成、財務、權利義務作完整規範,以便有效監督,這也是推動《宗教團體法》修法的大前提。
而此次《財團法人法》排除宗教團體適用,是期待儘速完成《宗教團體法》之立法,也避免掛一漏萬(社團法人登記之團體即不受財團法人法規範),至於避免宗教團體洗錢,立法前則由民法及其他相關法規規範之。
我要再次強調,針對各類財團法人,執政黨一向希望保障人民基本權益,減少社會亂象,並對公有財團法人有效監督。這次《財團法人法》修法主要解決現行的法規不足;至於部分宗教團體鑽法律漏洞或者蓄意詐騙,假藉公益圖私利的問題,台灣需要一部更完善的宗教法規來處理。
因此《財團法人法》修正通過,讓財團法人更透明,均不應被錯誤解讀成放任或打壓,任何網路謠言、假新聞也無助於解決實際問題,推動《宗教團體法》早日完成立法,才是導正亂象的解方。
我也再次呼籲在野黨理性問政,站在全體人民的利益著想:宗教團體立法納管,絕不是像廟會趕場吹法螺,想到什麼吹什麼!更不需要為了政治目的,混淆不同層次的議題、個案,把宗教自由、言論自由摻在一起,藉機標籤化執政黨,詆譭政府反改革。這樣做只會失去在野黨的專業與格調。
財團法人立法目的,在公開透明、避免洗錢!
《財團法人法》修法三讀,讓財團法人的改革向前邁進一大步。第一,原先由政府捐助成立、後轉為民間的財團法人,未來經主管機關審核需要,將可透過政府捐贈補回基金差額的方式由政府買回股份,對人民權益是莫大的保障;反改革的政黨不樂見修法,無視於民意與潮流,勢必遭受民眾唾棄。
第二,這次宗教團體是否入法引發社會不同意見,還有許多不實指控,令人遺憾!我要說明:我國目前宗教團體法規規範有四個面向,包括寺廟登記管理條例、社團法人法、民法中財團法人、及完全不受任何規範的宮、壇;因此我主張應整合成為《宗教團體法》,針對其組成、財務、權利義務作完整規範,以便有效監督,這也是推動《宗教團體法》修法的大前提。
而此次《財團法人法》排除宗教團體適用,是期待儘速完成《宗教團體法》之立法,也避免掛一漏萬(社團法人登記之團體即不受財團法人法規範),至於避免宗教團體洗錢,立法前則由民法及其他相關法規規範之。
我要再次強調,針對各類財團法人,執政黨一向希望有效管理,以保障人民基本權益,減少社會亂象,這次《財團法人法》修法主要解決現行的法規不足;至於部分宗教團體鑽法律漏洞或者蓄意詐騙,假藉公益圖私利的問題,台灣需要一部更完善的法規來處理。
因此《財團法人法》修正通過,讓財團法人更透明,以及針對宗教團體的特殊性將來訂專法的主張,二者均不應被錯誤解讀成放任或打壓,任何網路謠言、假新聞也無助於解決實際問題,推動《宗教團體法》早日完成立法,才是導正亂象的解方。
我也再次呼籲在野黨理性問政,站在全體人民的利益著想:宗教團體立法納管,絕不是像廟會趕場吹法螺,想到什麼吹什麼!更不需要為了政治目的,混淆不同層次的議題、個案,把宗教自由、言論自由摻在一起,藉機標籤化執政黨,詆譭政府反改革。這樣做只會失去在野黨的專業與格調。
【自律聯盟呼籲】有關近期有詐騙集團假冒公益團體詐騙捐款人事件. 近來傳出有詐騙集團竊取捐款人資料,導致許多捐款人接到詐騙電話,以「工作人員操作錯誤, ... ... <看更多>
每逢年關將近,在Facebook 上常有看到勸募廣告的機會,但也有可能是詐騙集團利用民眾愛心藉機訛騙的手法。想要捐款幫助弱勢家庭與社福團體前,其實 ... ... <看更多>
公益團體詐騙 在 [新聞] 百間公益團體系統為何爆資安風險? - 看板creditcard 的推薦與評價
前情提要: #1XAFrVsq (Bank_Service)
國內爆發愛心協會大規模捐款個資外洩,影響機構恐破200間,
關鍵資訊服務商網軟遭駭仍在調查中
你的愛心捐款被駭客盯上了!百間公益團體系統為何爆資安風險?
https://www.cw.com.tw/article/5119624
年末一向是捐款的旺季,而台灣人究竟有多愛捐款?根據公益團體責信聯盟的調
查指出,2020年台灣人定期定額捐款高達 1062 億,相當於可以捐出一間上市公
司仁寶電腦了。 在數位轉型的浪潮之下,公益團體不僅善用多元募款管道與捐
款人維繫關係,也透過數位化的資料庫系統管理所有捐款人的資料,不過伴隨而
來的資安風險卻始終未被看見。
文 林麗珊 天下Web only 發布時間:2022-01-05
2021年暑假,刑事局每週公布的詐騙高風險賣場中,反常地出現13間公益團體的
名字。
其中,26年歷史的老字號社福團體至善基金會也赫然在列,與蝦皮、PChome等電
商並列。
至善基金會副執行長武庭芳,在8月初才剛聽說使用同資訊系統商的公益團體,
有捐款人遭詐騙,沒想到8月11日那天,至善辦公室裡電話鈴聲大作,全是接到
詐騙電話的捐款人打來確認資訊。
「電話鈴沒停過,電話也全滿線,我們從早接到晚上十點才離開公司,」從事助
人服務工作超過20年的武庭芳,從來沒有遇過這種狀況,她當機立斷,要求系統
商迅速通發簡訊提醒所有至善基金會的捐款人,也在所有社群網站、電話答錄換
上警語,希望捐款人不要再上當受騙。
可是,她不禁感到疑惑,其實至善的刷卡是委託另一家資訊商,為什麼捐款人還
被詐騙?
幾個月後,答案終於水落石出。「這可能是對持卡人信心衝擊最大的一次,」
Visa台灣區風險負責人沈玫芳略帶沈重地說,這起案件的影響性。
沈玫芳分析,之前的盜刷主要都來自交通、零售廠商的卡號洩漏,盜取捐款資料,
即使在亞洲都是少見的新模式。
至善基金會執行長洪智杰(左),萬華分局偵查隊賴重睿巡官(右),至善捐款資料
遭到駭客入侵,積極協助受到影響的捐款人。(圖片來源:至善提供)
含金量高的捐款人個資,竟成駭客新藍海
====================================
這起台灣地區最大規模的公益團體捐款資料被盜案,問題出在資料庫系統。
提供至善與其他200多間NPO系統服務的是一間叫網軟(Intersoft)的資訊公司。
網軟是由公益團體喜馬拉雅研究發展基金會在1990年代所成立的資訊系統公司,
當時台灣公益團體正邁入資訊化的階段,網軟為公益團體提供所有需要的資訊系
統服務,包括捐款管理、志工管理、個案管理、行政管理等系統,也提供線上金
流整合的服務。
網軟的資安檢討報告中指出,此次資料外洩事件的肇因,是捐款管理系統遭
到駭客的暴力攻擊破解。
雖然,網軟聲稱捐款系統資料庫獨立於其他的管理系統,但經天下記者四次詢問,
網軟仍不願意透露受影響的資料庫規模有多大、資料量有多少。
然而,單單是捐款管理系統的資料庫裡的未加密資料欄位之豐富,就讓三名資安
專家為之色變。
協助至善基金會調查資料外洩情事的資安警察賴重睿指出,外洩的資料包括:捐
款人姓名、住址、電子郵件、聯繫電話、捐款方案、財務狀況。「捐款要徵信、
抵稅,所以捐款人的資料都填得正確又詳細。」
換言之,這對駭客來說是非常有經濟價值的資料。
Visa台灣區總經理趙麗芳(左),Visa台灣區風險管理負責人沈玫芳(右)。
(圖片來源:Visa提供)
盜刷引Visa關切,發卡、收單銀行斷金流
====================================
最讓人感到訝異的是,照理說,有儲存信用卡卡號的資料庫,都必須加密。
但正在協助公益團體打官司的尚澄律所主持律師蔡昆洲指出,案發後,公益團體
才發現,資料庫裡大量信用卡卡號沒有加密。
這些卡號來自紙本信用卡扣款授權書,這種紙本授權書常見在旅行社、公益
團體使用,而許多公益團體拿到紙本授權書後,又會登打進捐款資料庫中,是這
次外洩資料的最大災區。網軟曾在刑事局的調查會議中坦言,外洩數量約為六萬
筆。
更諷刺的是,多數人之所以用紙本授權書,是因為認為自己使用紙本授權書比線
上刷卡還安全。
由於資料庫沒有加密,反而在毫無警覺的情況下,卡片持續被盜刷,直到異常的
刷卡行為驚動銀行敏銳的神經,主動幫持卡人停卡、換卡。
公益團體自律聯盟總監沈怡如說,捐款人開始會打來問,自己被換卡跟公益團體
資料外洩有沒有關係,這對整體捐款生態當然傷害很大。
至善基金會原先有三千多筆使用信用卡委託授權的扣款,「從10月開始就有這種
定期定額扣款刷不過,11月單月就有188筆,」武庭芳憂心地說。
至善是案發後,最積極跟捐款人溝通,更換系統,也採取法律系統的公益團體。
天下採訪Visa組織,詢問標準流程。
針對卡號資料安全,國際信用卡組織其實有共通的支付卡產業資料安全標準
(PCI DSS)。
例如,在Visa資安藍圖中,資訊流裡任何儲存、傳輸或處理帳戶的機構都需要遵
守PCI DSS的認證,並針對不同交易量的商戶有不同等級規範。
按規定,公益團體應該要跟銀行登記將系統外包給網軟,銀行替網軟向Visa登記
註冊,納管網軟的資安標準。
準備一次PCI DSS的認證費需約40到60萬,增設設備的一次性支出可能高達上百
萬。
而案發後,公益團體才發現,網軟並沒有PCIDSS認證。
目前,網軟已決定不再儲存卡號,並準備刪除所有資料庫當中的資料,也不再處
理公益團體的紙本刷卡授權書。
薄弱的防護,資安問題需要全身健檢
================================
網軟不碰卡號了,可是仍然還有其他捐款人、志工、義賣等數個系統的資料安全
仍存在風險,也因此目前網軟正在接受顧問輔導申請ISO 27001資安標準認證。
一位資安專家表示,「網軟針對整個程式開發邏輯可能存在的漏洞,還沒有提出
系統性的解決方案,」他打了比方,這種處置像是頭痛醫頭、腳痛醫腳,但網軟
需要的其實是定期的全身性健康檢查,檢查出未知的問題,而不是等真的出事了
才去補漏。
在資安專家的眼中,網軟原先的防護薄如蛋殼,不足以確保系統能抵禦目前主流
的駭客攻擊手法。
不過在公益團體普遍缺乏專職資訊人員、資源不足的情況下,目前仍然有上百家
公益團體持續使用網軟的系統服務。
另外,外洩的個資不會再回頭。
迄今,網軟與公益團體仍不知道被駭的範圍,讓未知的資安漏洞猶如未爆彈,很
難知道駭客把這份名單做了哪些應用、也不知道下一次可能還會使用哪些攻擊手
法,可捐款人的信任禁不起一再消耗。
所以,如果捐款人有使用紙本委託授權公益團體扣款,都應該特別注意,仔
細查看每月對帳單是否有異常小額交易,開啟刷卡交易提醒,或者在不刷卡時關
閉線上交易,也可以主動向銀行要求換卡。
公益團體需要建立資安意識
========================
至善基金會在外洩事件後,在組織內配置了一位專門的資訊系統人員,也將系統
從網軟轉移到微軟 Azure上雲端,雖然系統維護年費價差多了14倍,「對民間團
體來說是辛苦的,但保護好捐款人的資料,我們責無旁貸。」
16間受到損害的公益團體準備對網軟未善盡資料保護責任採取民事訴訟求償,求
償金額從數萬至百萬不等,「每間公益團體的損害不同,有被捐款人停止捐款、
被捐款人求償,也有被長期贊助的企業中止合作。」蔡昆洲說。
對於公益團體來說,信任是最寶貴的資產,在網路時代資安問題就是信任問題,
捐款人的善意讓公益團體能夠為個案在黑暗中點亮一簇火苗,也同樣該在充滿風
險的網路環境中,為捐款人的信任撐一把傘。
-
現在金融業、醫院已需要標配資安長
以後也會是各大型上市公司的標配了。(*1)
對於一般人也不是事不關己,
在擼各支付、商店的優惠之前,先看看業者有沒有PCI-DSS認證,
卡號不要隨便進個不認識的外國網站也亂給。
不然即使銀行會處理盜刷後續,光和銀行在那來來回回就夠你煩的。
如果是自家商店要弄金流,那就更得注意相關認證標準了。
*1:
趕在2021年結束之前,金管會正式要求
臺灣上市櫃大型企業都需設置資安長,讓此要求擴及各類傳產與電子產業
https://www.ithome.com.tw/news/148662
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.110.137 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1641464973.A.ED7.html
... <看更多>