【2023年02月11日訊】(記者徐曼沅洛杉磯報導)因疫病流行,許多民眾轉為網上購物,近三年來,以在美華人為主要客戶對象的網絡生鮮超市平台「Weee!」迅速崛起,業務不斷擴大。近日,該平台遭駭客攻擊,恐造成110萬用戶數據洩露,而受害者很難索賠。
據Bleepingcomputer網站報導,一名自稱「IntelBroker」的駭客在數據洩密論壇Breached上稱:已獲取Weee!的用戶數據,隸屬Sayweee數據庫的個資已開放,供網友下載、使用。其中,包括Weee!用戶的全名、電郵、電話號碼、使用設備類型、訂單等信息。
7日,Weee!證實了數據洩露的消息,同時也陸續給顧客發信。該公司在致顧客的信件中表示,數據洩露發生在2023年2月6日,駭客竊取了2021年7月12日至2022年7月12日期間所下訂單的信息。被竊的信息包括:姓名、地址、電子郵件、電話號碼、訂單號、訂單金額等。但該公司向客戶保證:沒有洩露任何付款數據(信用卡/借記卡詳細信息),因為他們不會在數據庫中保留任何客戶付款信息;但為安全起見,Weee!建議客戶定期更改用戶密碼。
收到Weee!信函的南加華裔葛小姐表示,近日的確常接到陌生電話。通常,她看到陌生電話都不會接,但有一回接了,對方開口就喊她的名字,背景音很嘈雜,自己根本不認識對方。葛小姐懷疑,這些陌生、疑似詐騙的電話或許就是Weee!的個資洩露造成的。
受害者反應不一
葛小姐說:「我已經刪除了信用卡的資訊,但地址、電話刪不了。」她暫時不打算刪除帳戶,想看看Weee!公司今後的措施再說,或許有可能獲得賠償。但葛小姐表示,她近期不會再利用Weee!購物平台。
洛杉磯居民劉太太表示,疫情後不久,她就開始用Weee!購物,但結束居家閉疫後,劉太太的生活已逐漸恢復正常。她說:「我已經很久沒在Weee!平台上購物了,以前一個月下好幾單,但現在連著幾個月沒買了。」
劉太太說,Weee!平台上一些亞洲商品在洛杉磯的確較難買到,如日本、韓國的生活用品;但這些都不是生活必需品,可以找到替代品。所以,當劉太太收到Weee!的個資洩露通知後,就考慮刪除帳號,避免信用卡被盜用。
在媒體公司擔任採購部主管的Michelle王,也是Weee!個資洩露的受害者,但她不大擔心信用卡帳號被駭客竊取。因為,雖然網絡允許儲存信用卡號和相關信息,但收款公司只能看到信用卡的後四位數,所以即使駭客從Weee!竊得信用卡的信息,也不會是完整的。
經歷了此事,Michelle王也越發肯定虛擬信用卡的好處。她說:「現在虛擬信用卡已經流行起來,商店發的禮品卡其實就是以虛擬信用卡的形式存在。」因為虛擬信用卡可以靈活設定使用額度,且能隨時開卡、鎖卡,大大降低了信用卡被盜用的風險。不過,目前只有公司行號能申請虛擬信用卡,個人仍無法申請。
律師解析賠償可能性
對Weee!個資洩露的受害者而言,最關心的或許是能否獲得賠償。加州註冊律師周梅表示:「商家洩露個資,並不意味著消費者就會獲得自動賠償。」
根據2018年通過的《加州消費者隱私法》(California Consumer Privacy Act,下稱CCPA),消費者可就每次個資洩露事件追討100至750美元的損害賠償。
周梅進一步解釋,加州第一代CCPA於2018年通過,2020年11月通過了《加州隱私權利法》(California Privacy Rights Act,下稱CPRA),擴大了CCPA的範圍,因而也被稱為CCPA 2.0版。但CCPA和CPRA規定了適用企業範圍,該法律只適用於年收入2,500萬美元以上,且50%以上收入來自出售消費者資訊的企業。
周梅表示,現在的企業,無論網上銷售平台還是銀行,都會收集和出售消費者資訊。問題是:Weee!的收入中,是否有一半來自出售消費者資訊。另外,Weee!的年收入若不足2,500萬美元,CCPA或者CRPA就不適用於這一事件。
她說:「哪怕Weee!是適用於CCPA和CRPA的企業,還有一個問題:洩露個資是否就意味著自動賠償。」周梅表示,和一般的民事行為追責一樣,CCPA和CRPA認為,只有能證明企業因疏忽和過錯(Negligence)造成了損失,消費者才可追責。所以,Weee!的110萬用戶想獲得賠償並不容易。
從去年開始,就陸續有Weee!用戶在小紅書等社群平台投訴Weee!洩露個人資訊。Weee!所洩露的110萬用戶數據,是否僅限於2021年7月至2022年7月之間,也有待澄清。目前,Weee!官方除了此前的公開聲明與致用戶道歉信外,並未說明是否給予賠償。◇
