用點數兌換吸會員 帳密防衛卻如薄膜

酬賓制提高黏著度 海量資訊竟成駭客溫床

研究指出，濫用個資的相關詐欺案件，去年一年間成長超過一倍，所造成的損失恐高達十億美元。

會員酬賓方案已從紙本和卡片演化到手機軟體和網站，不只記錄付費細節與聯絡資訊，也更重視蒐集個資，知道你最愛吃什麼口味、哪時容易餓、怎麼付費等。

駭客虎視眈眈。美國某個詐欺防制小組預估，酬賓方案相關犯罪所造成的損失每年高達十億美元。美國賈夫林策略研究中心（Javelin Strategy & Research）指出，相關詐騙案二○一七到一八年成長逾一倍。

有些不肖分子駭入帳戶中濫用個資，也有人盜用餘額或把點數再非法兜售。萬豪國際集團（Marriott）旗下的喜達屋連鎖酒店（Starwood）去年遭駭，全球逾三．五億客戶與喜達屋會員的個資被盜，成為史上最大規模的個資外洩事件。

酬賓制度成了駭客溫床，任職於美國資安公司Sift的風險專家凱文李（Kevin Lee）說，因註冊容易、密碼薄弱、常被用戶忽略，「駭客侵入阻力小」。顯示酬賓方案愈來愈多，但資安卻沒有跟上腳步。

個資遭駭、點數被盜
資安保護一戳即破

四月初，住在美國密西根州的奈傑拉（Daniel Najera）收到幾封希爾頓飯店的郵件，不到一小時，他八萬點的希爾頓榮譽客會積分，全被駭客用在亞馬遜網站上購物。對此，希爾頓表示「公司建有適當的資安與防詐騙措施」，也已經恢復客戶奈傑拉的點數。

奈傑拉說，他自己的「水牛城雞翅」（Buffalo Wild Wings）會員帳號，今年初也發生同樣的狀況，九千七百點點數被住在加州的他人全數用光。這家連鎖餐廳的發言人回應，知道「有少數網路機器人企圖破解密碼」，但並未成功，也已恢復奈傑拉的點數。

「讓人想問加入會員值不值得，又安不安全。會員方案要你提供詳盡的資訊，想到就擔心。」奈傑拉說。

根據酬賓方案諮詢業者LoyaltyOne的研究，美國至少有三十八億個酬賓帳號，平均每個消費者就有超過十個。企業藉此提供優惠與服務，而忠誠客戶樂於獻上生日、信用卡卡號、位置數據等資料。資料經過分析，業者可以知道顧客喜好，進而鼓勵更多消費。

過去一年來，美國石油公司埃克森美孚（ExxonMobil）、連鎖寵物店PetSmart、服飾品牌維多利亞的祕密（Victoria’s Secret）與叫車平台優步（Uber）不是推出、就是調整客戶獎勵計畫。醫院、公共事業、酒廠、出版商也紛紛在測試。以捷豹路虎（Jaguar Land Rover）為例，用戶若共享駕駛數據，就能獲得加密貨幣。

因此，酬賓制度成為「制定個人化行銷最好的數據來源」。美國西北大學凱洛格管理學院（Kellogg School of Management）數據分析學程負責人歐圖爾（Thomas O’Toole）說道。

其原因不難理解：酬賓方案是潛在金雞母。美國高檔百貨公司諾德斯特龍（Nordstrom）去年秋季推出新酬賓方案，而舊版方案已有一千萬名會員，消費金額是非會員的四倍。

此外，星巴克推出酬賓方案已有十年，占美國店面業績的四成，會員數過去兩年亦激增逾二五％。星巴克上個月增加獎勵等級，可以更快兌換點數，會員還可以收到個人化點餐建議。

有些品牌與其他公司合作獎勵計畫。美國連鎖藥妝店沃爾格林（Walgreens）的顧客，如果將帳號連到Fitbit運動手環，便可取得點數。

今年三月，知名連鎖速食店Chipotle推出新的酬賓方案，消費者如果使用付費軟體Venmo，就能獲得現金獎勵。 ▲資安專家分析，App便於註冊、密碼安全性低，常處於閒置狀態，這些特點使駭客容易入侵。

雙重驗證、臉部辨識
加強防衛阻絕詐騙

根據佛瑞斯特研究公司（Forrester Research）分析師柯林斯（Emily Collins）說：「企業蒐集海量數據，但實際可用的只有幾筆。」而許多消費者交出個資，也沒有好好管理。美國逾半數酬賓會員帳號處於閒置，每年沒有兌換的酬賓點數總計金額超過一千億美元。

此外，美國酬賓系統設計業者Kobie Marketing總裁貝勒（Marti Beller）說，信用卡公司與銀行業者屢次遭駭之後，已經有萬全準備，個資不易外洩。她建議酬賓方案也應該如此，因為「個資的價值很寶貴」。有些品牌為了防範，加強登入要求，例如雙重驗證與臉部辨識等。

許多企業也與Sift這樣的資安業者合作。Sift的服務遍及約三萬四千個網站與應用程式，它可以取得合作方在酬賓方案蒐集到的海量數據，追蹤顧客在不同帳號的行為模式，分析有無詐騙行為。

也就是說，「用數據保護數據。」如果有人在連鎖咖啡店的軟體點了拿鐵，Sift可以知道這個人現在在紐約，用同樣的iPhone，符合過去的交易模式。但如果兩分鐘後，他的連鎖服飾店帳號，在佛州出現消費，而且用的是安卓系統的手機，Sift會認定這是一筆可疑消費。

Sift這樣無所不知，似乎是要消費者為了對品牌忠誠而犧牲隱私權，但資安專家凱文李指出，不這麼做的下場可能更慘。「不肖分子正在默默合作，研究其他手段以便盜用酬賓方案。」凱文李說：「我們只有這樣做，才可以站在相同的立足點之上。」

資安專家分析，App便於註冊、密碼安全性低，常處於閒置狀態，這些特點使駭客容易入侵。

閱讀完整內容