CNET新聞專區：Robert Lemos　　26/01/2005

網路付款服務PayPal提醒一小群客戶慎防網路詐財騙局，因為他們的電子郵件地址已外流。

PayPal是網路拍賣公司eBay的子公司。PayPal說，該公司委託BenchmarkPortal進行網路意見調查，但因為 BenchmarkPortal設計的某個網頁表格的安全措施不周延，以至於有一部分使用者的電子郵件外洩。PayPal未明確說明究竟多少電子郵件地址遭人竊取，只稱「極為有限」。

「就連姓氏和名字都只存在我們自己的伺服器上，」PayPal發言人Sara Bettencourt說：「所有敏感的財務資料都存在我們的伺服器上，不曾遭到外人存取。」

問題出在BenchmarkPortal設計的選擇退出(opt-out)表格有安全漏洞。只要某人猜中這家網路民調業者給某一顧客的意見調查身分編號，表格就會顯示出該名顧客的電子郵件地址。倘若某個駭客猜出有效的身分識別碼，系統就會回傳相對應的PayPal使用者電郵地址。

BenchmarkPortal未對此事發表評論。

Bettencourt說，PayPal已通知每一位受影響的使用者，並開闢一條客戶服務專線電話備詢。但因為外流的資料只限於電郵地址，所以資料外洩的影響應該微乎其微。不過，她還是提醒受影響的使用者，提防可能收到比平時更多量的詐騙郵件。

如同銀行及其他的金融機構，PayPal也成為網路釣魚(phishing)攻擊者鎖定的一大目標，因為從這類公司竊得的顧客資料更可能轉化為現金。

Bettencourt未透露這起資料外洩事件會不會導致PayPal與BenchmarkPortal的合作關係受損。她說：「此刻，我們正與他們攜手合作，以確定以後不會再發生這種事。」

（唐慧文）