驱动中国消息,台湾Groupon在网站上发布公开声,5月19日发现网站资料库遭受SQL Injection攻击,确定被窃资料包括经加密处理的用户密码及电子信箱帐号,因资料库未纪录用户信用卡、收件地址及收件人姓名、联络电话,不会影响到用户日常生活及使用金融服务。
Groupon并于周一向用户发出正式通知,请求用户设定更换密码,未收到通知的用户则不在此次被窃的范围内。台湾Groupon并且强调,已与美国总部合作,强化安全措施,以防止相同的攻击手法,并对用户资料外泄造成用户的不便表达歉意。
台湾Groupon品牌总监卢思珣表示,Groupon在台湾约有380万用户,这些用户有的注册Groupon帐号登入,有的则是使用Facebook或Yahoo等其他帐号登入,此次遭受攻击被盗取的资料以Groupon注册用户为主,使用其他帐号登入的用户不受影响。具体被盗的Groupon注册帐号用户资料规模仍在清查中,但估计只有所有Groupon用户的十分之一。
换算下来,Groupon现有380万用户中约有十分之一的用户资料可能被盗,即约有38万用户可能因此受影响,但是台湾Groupon是在5月19日发生资料库攻击,直到5月27日才开始通知可能受影响用户,请求用户重设密码。
卢思珣表示,从5月19日至今这段期间,台湾Groupon同事随时密切注意可能被盗的用户帐号是否出现异常使用行为,观察至今没有发现异常。至于Groupon资料库仅纪录加密后的用户密码、电子信箱帐号,因为资料库不纪录用户信用卡、收件地址、姓名等资料,用户每次下单均需重新填写资料,虽然用户反映不便,反而降低这次资料外泄对用户的影响。
Groupon是在2010年买下地图日记,正式更名为台湾Groupon进入本地团购市场,与GOMAJI够麻吉、17Life等其他团购公司竞逐台湾团购市场前三名位置。
台湾Groupon通知遭第三方攻击窃取资料,说明用户登入密码及电子信箱帐号均经过加密处理,且已与美国总部加强安全机制。
Groupon请求资料可能被窃用户重设密码,提供重设密码的相关资讯说明,并提供客服专线。
