個資遭駭、點數被盜,酬賓制導入的海量資訊成駭客溫床

用點數兌換吸會員 帳密防衛卻如薄膜

酬賓制提高黏著度 海量資訊竟成駭客溫床


研究指出,濫用個資的相關詐欺案件,去年一年間成長超過一倍,所造成的損失恐高達十億美元。

會員酬賓方案已從紙本和卡片演化到手機軟體和網站,不只記錄付費細節與聯絡資訊,也更重視蒐集個資,知道你最愛吃什麼口味、哪時容易餓、怎麼付費等。

駭客虎視眈眈。美國某個詐欺防制小組預估,酬賓方案相關犯罪所造成的損失每年高達十億美元。美國賈夫林策略研究中心(Javelin Strategy & Research)指出,相關詐騙案二○一七到一八年成長逾一倍。

有些不肖分子駭入帳戶中濫用個資,也有人盜用餘額或把點數再非法兜售。萬豪國際集團(Marriott)旗下的喜達屋連鎖酒店(Starwood)去年遭駭,全球逾三.五億客戶與喜達屋會員的個資被盜,成為史上最大規模的個資外洩事件。

酬賓制度成了駭客溫床,任職於美國資安公司Sift的風險專家凱文李(Kevin Lee)說,因註冊容易、密碼薄弱、常被用戶忽略,「駭客侵入阻力小」。顯示酬賓方案愈來愈多,但資安卻沒有跟上腳步。
個資遭駭、點數被盜
資安保護一戳即破

四月初,住在美國密西根州的奈傑拉(Daniel Najera)收到幾封希爾頓飯店的郵件,不到一小時,他八萬點的希爾頓榮譽客會積分,全被駭客用在亞馬遜網站上購物。對此,希爾頓表示「公司建有適當的資安與防詐騙措施」,也已經恢復客戶奈傑拉的點數。

奈傑拉說,他自己的「水牛城雞翅」(Buffalo Wild Wings)會員帳號,今年初也發生同樣的狀況,九千七百點點數被住在加州的他人全數用光。這家連鎖餐廳的發言人回應,知道「有少數網路機器人企圖破解密碼」,但並未成功,也已恢復奈傑拉的點數。

「讓人想問加入會員值不值得,又安不安全。會員方案要你提供詳盡的資訊,想到就擔心。」奈傑拉說。

根據酬賓方案諮詢業者LoyaltyOne的研究,美國至少有三十八億個酬賓帳號,平均每個消費者就有超過十個。企業藉此提供優惠與服務,而忠誠客戶樂於獻上生日、信用卡卡號、位置數據等資料。資料經過分析,業者可以知道顧客喜好,進而鼓勵更多消費。

過去一年來,美國石油公司埃克森美孚(ExxonMobil)、連鎖寵物店PetSmart、服飾品牌維多利亞的祕密(Victoria’s Secret)與叫車平台優步(Uber)不是推出、就是調整客戶獎勵計畫。醫院、公共事業、酒廠、出版商也紛紛在測試。以捷豹路虎(Jaguar Land Rover)為例,用戶若共享駕駛數據,就能獲得加密貨幣。

因此,酬賓制度成為「制定個人化行銷最好的數據來源」。美國西北大學凱洛格管理學院(Kellogg School of Management)數據分析學程負責人歐圖爾(Thomas O’Toole)說道。

其原因不難理解:酬賓方案是潛在金雞母。美國高檔百貨公司諾德斯特龍(Nordstrom)去年秋季推出新酬賓方案,而舊版方案已有一千萬名會員,消費金額是非會員的四倍。

此外,星巴克推出酬賓方案已有十年,占美國店面業績的四成,會員數過去兩年亦激增逾二五%。星巴克上個月增加獎勵等級,可以更快兌換點數,會員還可以收到個人化點餐建議。

有些品牌與其他公司合作獎勵計畫。美國連鎖藥妝店沃爾格林(Walgreens)的顧客,如果將帳號連到Fitbit運動手環,便可取得點數。

今年三月,知名連鎖速食店Chipotle推出新的酬賓方案,消費者如果使用付費軟體Venmo,就能獲得現金獎勵。
資安專家分析,App便於註冊、密碼安全性低,常處於閒置狀態,這些特點使駭客容易入侵。

雙重驗證、臉部辨識
加強防衛阻絕詐騙

根據佛瑞斯特研究公司(Forrester Research)分析師柯林斯(Emily Collins)說:「企業蒐集海量數據,但實際可用的只有幾筆。」而許多消費者交出個資,也沒有好好管理。美國逾半數酬賓會員帳號處於閒置,每年沒有兌換的酬賓點數總計金額超過一千億美元。

此外,美國酬賓系統設計業者Kobie Marketing總裁貝勒(Marti Beller)說,信用卡公司與銀行業者屢次遭駭之後,已經有萬全準備,個資不易外洩。她建議酬賓方案也應該如此,因為「個資的價值很寶貴」。有些品牌為了防範,加強登入要求,例如雙重驗證與臉部辨識等。

許多企業也與Sift這樣的資安業者合作。Sift的服務遍及約三萬四千個網站與應用程式,它可以取得合作方在酬賓方案蒐集到的海量數據,追蹤顧客在不同帳號的行為模式,分析有無詐騙行為。

也就是說,「用數據保護數據。」如果有人在連鎖咖啡店的軟體點了拿鐵,Sift可以知道這個人現在在紐約,用同樣的iPhone,符合過去的交易模式。但如果兩分鐘後,他的連鎖服飾店帳號,在佛州出現消費,而且用的是安卓系統的手機,Sift會認定這是一筆可疑消費。

Sift這樣無所不知,似乎是要消費者為了對品牌忠誠而犧牲隱私權,但資安專家凱文李指出,不這麼做的下場可能更慘。「不肖分子正在默默合作,研究其他手段以便盜用酬賓方案。」凱文李說:「我們只有這樣做,才可以站在相同的立足點之上。」

資安專家分析,App便於註冊、密碼安全性低,常處於閒置狀態,這些特點使駭客容易入侵。

閱讀完整內容
今周刊第1170期

本文摘錄自‎

酬賓制提高黏著度海量資訊竟成駭客溫床

今周刊

2019/第1170期