今天又看到一則相關的報導：PayEasy購物網站遭入侵…？

想想，這或許是因為"博客來"大量客戶資料外洩的後遺症。

詐騙集團開始跟網路駭客聯手，進行大量的資料擷取的動作。

我個人的想法是這樣的：

那些詐騙集團，利用買到的大量的會員資料，之前先利用了該公司的名義，進行了大量的電話詐騙，後來發現新聞報導後，變得比較不容易，
所以開始轉向其他網站。

但是他們又沒有黑進其他電子商務網站的話，又該怎麼辦，難道又要找駭客去幫忙，但是又不是別的網站會跟某公司一樣可以整匹資料撈出來。

不過奸詐的詐騙集團想到了其他方法，利用手上的所有會員資料，當中的密碼（這裡我就稍微假設他們有拿到密碼吧），開始去其他網站試試看，因為大部分的網路購物者，各大網站用的帳號都一樣，甚至密碼都一樣，搞不好隨便試試就會試到很多筆，這樣的話乾脆請個小駭客，寫個自動登入程式，去抓抓看有沒有辦法抓到『會員資料』跟『訂單資料』。

一般來說，大部分的購物網站都是相信登入的人就是會員本人，所以都會提供查詢個人過往訂單的功能，甚至會直接秀出近半年，或是三個月內的訂單。若是如此的話，只要詐騙及駭客取得了使用者的帳號跟登入密碼，個人購買資訊等於一覽無遺。

目前看起來若是這樣的話，網站方面似乎還沒有相對應的因應之道，簡單的作法就是發現有異常登入動作，就先關閉帳號。但若對方是已經掌握到帳號＋密碼的情況，卻很難防堵，

再次看看博客來的需要登記的會員資料，除了個人資料，帳號，密碼，email，還有『身份證字號』，而 Payeasy 所用的登入帳號就是『身份證字號』.....所以，要是我也會來踢踢看。

而金石堂，由於跟博客來屬性相同，會員群應該也很類似，所以要是我是詐騙及駭客們，也當然會拿他當目標，來試會員名單資料。

至於大量換帳號密碼，我想這是既麻煩會員又讓網站業者本身麻煩的一件事情吧。

個人覺得目前可能的作法是要限制購買資料的取得，或許不相信登入者就是本人，各次購買紀錄都需要有一個獨立的認證碼，而認證碼的傳送，可以仰賴 Email，或是手機簡訊。當然啦，要是使用者 Email 密碼也被黑了，然後這些有認證碼的信都沒有砍掉，那大概也沒得救了吧～