證券商屢發生駭客蒐集到大量帳號及密碼用於撞庫攻擊及偽冒下單等資安事件,影響投資人個資安全及權益,臺灣證券交易所要求證券商於客戶登入及電子憑證下載時,應採行雙因子驗證 (裝置綁定、生物辨識及OTP等) 確認客戶身分。
由於系統修改調整需要時間,沒完成修改的證券商可能成為駭客攻擊的目標。針對無法於1月底前完成修改的證券商,為確保客戶帳戶的交易安全,證交所要求必須採行下列有效防範措施:
一、請客戶於1月24日前更新密碼並採用優質密碼原則。
二、客戶新申請/更新憑證下載,應採人工審核。
三、應檢視自身資安防禦能力,春節假期關閉非必要的對外服務系統。
證交所表示,截至1月24日,辦理電子式下單的49家證券商(含已修改完成雙因子驗證機制的16家),總計1,362萬餘帳戶,皆已完成更新密碼或於登入時採行雙因子驗證;至於電子憑證的新申請或更新,未完成雙因子驗證機制的證券商,也都改以人工方式確認是否為客戶本人下載憑證。
春節假期海外市場仍有交易,有辦理複委託電子下單的22家證券商仍須提供服務,其中13家已採行雙因子驗證機制,其餘則採人工接單或於春節期間暫停申請憑證、強制變更密碼等資安強化措施。
證交所提醒,春節期間如果證券商遇有資安事件發生,仍要依規定進行資安通報。如有資安問題可以洽由證交所、臺灣期貨交易所、財圖法人中華民國證券櫃檯買賣中心、台灣集中保管結算所,以及相關同業公會所共同合作建立的證券暨期貨市場電腦緊急應變支援小組(SF-CERT),協助業者因應資安事件以共同確保安全的交易環境。