[新聞] 17LIVE控綠界金流平台有漏洞　揚言提告返還千萬欠款並示警市場

原文標題： 17LIVE控綠界金流平台有漏洞　揚言提告返還千萬欠款並示警市場 原文連結： https://finance.ettoday.net/news/2571235 發布時間： 2023-08-30 00:02 記者署名： 蕭文康 原文內容： https://i.imgur.com/nmCiVRA.jpg 線上第三方支付ECPay交易平台的綠界科技（6763）遭17LIVE控資安漏洞，17LIVE聲稱綠 界科技金流平台出現漏洞，致使17LIVE平台多宗客戶交易資料遭竄改，雖綠界強調此起事 件為程式邏輯瑕疵，非核心系統，是單一個案，也非駭客入侵，不過，17LIVE強烈不滿並 指控綠界科技若是個案又為何需報警處理，並要求配合調查，人前人後說法完全不一致， 揚言將提告同時要求返回逾千萬欠款及示警市場。 綠界科技指出，今年於7月25日，接獲17LIVE詢問撥款事宜，於當日查詢交易情況後，緊 急加強修改程式邏輯判斷，並於後續與17LIVE共同決定報請警察單位協助調查。依據公司 內控管理辦法，上述程式邏輯瑕疵，非屬公司核心系統，且僅有此個案發生，判斷此事件 非屬重大資安事件，並非如17LIVE所述未遵守法令規定發布重大訊息，對市場及時發出警 訊等云云。 綠界科技說，於7月25日接獲17LIVE通知後，已緊急修改完畢，後續並未再發生類似情形 。另經全面徹查後，僅17LIVE有上述問題，並未影響其他會員之權益，公司積極與17LIVE 商討後續事宜，在此澄清說明。 針對綠界的重訊內容，17LIVE也還原事情真相表示，綠界科技交易系統出現失誤卻渾然不 知，直到在今年7月發現前月帳款有誤要求對帳後，竟陸續發現多月均出現短收差異，累 計金額逾上千萬元，追溯時間從2022年迄今，3個月內累積問題交易筆數超過400多筆（非 對方所稱單一個案），且異常時間長達1年以上；經多次協商時，綠界科技推稱係遭駭客 入侵竄改資料（非重訊所說程式邏輯瑕疵），且非綠界科技平台責任，無法履約。 事後，綠界科技僅進行報案，始終迴避雙方契約責任，不願付清積欠逾千萬的帳款。本公 司為維護權益，將向法院對綠界科技提起訴訟，要求綠界儘速履行合約，同步以此聲明對 金融市場秩序失序示警。 17LIVE同時也鑒於線上金流已成為一般日常慣用的管道時，呼籲大眾對於自身交易安全應 提高警覺，政府相關單位也能正視金流系統與服務業者的態度與專業能力，應給予業者最 嚴謹的要求與規範，勿枉勿縱，避免使線上系統成為不肖業者與犯罪者的媒介。 17LIVE針對綠界科技提出七大項質疑：一、綠界科技除聲稱自家系統因受到駭客入侵，在 要求對帳後，才回查自身系統並聲稱此問題自今年5月開始發生，但經雙方進一步確認， 竟發現於去年5月亦有相同狀況，且綠界早在當時即已注意到系統異常，但直到今年7月25 日17LIVE主動通知後才聲稱已將漏洞防堵，請問從發現入侵到修復時間超過一年，一年來 綠界科技系統示警功能是否失靈？為何從未主動警示客戶端有交易問題？這個漏洞為何始 終宣稱為駭客所為？抑或內控出現漏洞？ 二、若依據綠界重訊宣稱，倘為系統邏輯判斷問題，怎會只針對一個公司出現問題？又為 何僅有這段時間出現問題，其他月份卻無程式瑕疵？若僅為系統邏輯判斷問題，怎會出現 兩個不同的交易結果資料，成功的傳給客戶，失敗的留在自己系統裡？更要求我方工程師 要自行進到綠界後台撈取資料？倘若是邏輯判斷，應該是所有交易都會失誤，差異應不只 這些。 三、綠界科技聲稱其自去年5月起即發現平台系統有受駭客入侵，其技術人員為何放任入 侵行為持續發生至今年7月？（中間也未向17LIVE表示任何警訊)就金流公司責任，理應確 保每個關卡都是安全無虞的。今宣稱非核心系統所以無礙，請問綠界核心系統為何？倘若 給予客戶唯一可依據是否能給付產品的系統都非核心系統？那何謂核心？請問綠界心裡只 有核心系統需要照顧，非核心系統並不需要花時間和人力維護？可以任由客戶損失置之不 理？ 四、若如綠界科技聲稱從去年5月便發現系統遭駭客入侵，身為上櫃公司的綠界科技運營 之ECPay平台顯然已暴露在重大風險中，若非核心系統失誤之重大資安事件，且為單一個 案，為何在此時發出重訊澄清？是否連重訊都是刻意掩蓋事實，規避上櫃公司應遵守之法 規。 五、綠界科技作為運營第三方支付的金流平台，應確保金流安全、順暢，其向每個客戶、 每筆交易收取服務費用，並得以成為上櫃公司，便應盡最大的專業能力和責任力守平台交 易正確與安全為責任和義務，然其遇此事不僅後知後覺，更將責任推給入侵者，要求客戶 承擔損失，請問綠界科技若收取管理服務費，卻未能提供安全、合理之服務，甚至不需為 此負責的話，商業制度的公平正義何在？ 六、綠界科技運營之ECPay係領有政府發給執照之專有事業，扮演與銀行溝通之線上金流 角色之一，為社會公器之一環，若依其取得的資安認證，應擁有最嚴格的金融交易模式與 制度運營，然而在控管金融交易時，卻須客戶要求對帳後才查知系統有異，事後並要求客 戶應自行於ECPay後台撈取資料或透過API反查核對，不知其專有執照如何取得？資安認證 更是從何得來？ 七、對照國際中第三方支付公司處理類似事件均能擔起最大平台責任，以日本GMO為例， 控管機制不僅嚴謹，平台對系統遭盜刷等入侵問題，均以保護客戶與用戶權益為最大宗旨 ，反觀號稱台灣最大第三方支付業者的綠界科技，卻未見其作出保護平台與客戶權益的最 大化行動，顯已喪失身為第三方支付業者的專業經營能力與責任。 綠界科技昨日股價表現強勢，終場收在426元、上漲10元或2.4%。 法人指出，資安及信任為第三方支付取得客戶信賴及鞏固業績的最重要的兩根支柱，綠界 科技和17LIVE所引發的資安漏洞糾紛是否會影響綠界科技日後聲譽並影響短線股價表現， 值得後續觀察。 心得/評論： https://bit.ly/44qCyAl 兩邊聲明看起來有幾點偏奇怪 1.綠界說發生問題時間點 交代不清楚 2.明明就有發現問題 卻隱匿告知用戶 看起來綠界應該要賠了吧？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.10.73.238 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1693369215.A.A39.html