（台北訊）- 2018年6月29日 Klook客路今聲明，發現部分用戶資料可能在未經授權的情況下被讀取 ，事件起因與第三方網站分析供應商SOCIAPlus (下稱「外部廠商」） 有關的JavaScript程式代碼內藏惡意成分有關。為保護用戶資訊安全，Klook客路發現後已立即刪除該JavaScript程式碼，並與獨立的鑑識公司進行調查。 經外部廠商確認，此次資料外洩的主因是其中一條JavaScript程式碼受到感染。

此事件可能讓部分Klook用戶提供的部分個人資訊及信用卡資訊外流。2017年12月11日至2018年6月13日期間，曾於Klook網站預訂的部分用戶可能會受影響，而使用Klook手機應用程式（iOS及Android)預訂的用戶則完全不受影響。為更了解事件影響層面，進一步調查仍將持續進行，Klook正階段性排除可能受影響的用戶，目前估計僅約8%用戶受影響，Klook已主動聯絡可能受影響的用戶。

此外，Klook已與全球領先的網路安全鑑識公司Kroll完成對此事件的初步調查。刪除該JavaScript程式碼後，用戶資訊已沒有外洩的風險。其後，Klook及外部廠商將合作繼續進行後續調查。外部廠商向Klook宣稱，此事件僅為單一事件，而經外部廠商清查，發現漏洞原因係外部廠商提供予Klook之專屬程式碼所致。

確保用戶資料安全，是Klook不變的堅持。保障用戶的利益是Klook面對此事件的首要任務，Klook已採取相關行動，包括：

• Klook會主動通知相關主管機關
• 定期檢驗目前的資安系統，且更嚴謹審核第三方所提供的任何資訊
• 持續與全球領先的網路安全鑑識公司Kroll合作，更深入了解此事件的相關訊息

Klook將持續採取有效措施，以最高標準保障所有用戶都能在資料安全的情況下，繼續安心使用Klook平台的便利服務。

FAQs

關於事件內容

1. Klook客路如何發現個人資料外洩的？

我們發現部分用戶資料可能在未經授權的情況下，遭第三方網站分析供應商SOCIAPlus (下稱「外部廠商」）洩露， 而這是跟該第三方供應商向Klook網站提供的JavaScript程式代碼內藏惡意成分有關。為保護用戶資料安全，Klook在發現事件後已立即把所有該外部廠商的代碼在整個平台除去，同時正積極聯同一間獨立鑑識公司進行調查。經向該外部廠商確認後，Klook確定是次資料外洩的主因是其中一條JavaScript程式代碼受到感染。

此事件可能讓部分Klook用戶提供的部分個人資訊及信用卡資訊外流。2017年12月11日至2018年6月13日期間，曾於Klook網站預訂的部分用戶可能會受影響，而使用Klook手機應用程式（iOS及Android)預訂的用戶則完全不受影響。為更了解事件影響層面，進一步調查仍將持續進行，Klook正階段性排除可能受影響的用戶，目前估計僅約8%用戶受影響，Klook已主動聯絡可能受影響的用戶。

針對信用卡資訊，我們確認使用以下付款方式的用戶不受影響：

• 2017年12月11日前以加密代碼形式，儲存信用卡付款資訊在Klook帳戶中的用戶不受影響
• 使用「信用卡綁定PayPal」付款的用戶不受影響
• 使用PayPal付款的用戶不受影響
• 使用微信支付的用戶不受影響
• 使用支付寶的用戶不受影響
• 使用Apple Pay的用戶不受影響
• 使用Google Pay (Pay with Google)的用戶不受影響
• 使用Dragonpay 的用戶不受影響

2. 針對此事件，Klook採取了什麼措施？

Klook已與全球領先的網絡安全鑑識公司Kroll完成對此事件的初步調查。我們在把JavaScript惡意程式碼完全移除後已經再沒有看到任何資料外流發生。Klook及外部廠商將繼續合作調查此事件。外部廠商向Klook宣稱，此事件僅為單一事件，而經外部廠商清查，發現漏洞原因係外部廠商提供予Klook之專屬程式碼所致。

確保用戶資料安全，是Klook不變的堅持。保障用戶的利益是Klook面對此事件的首要任務，Klook已採取相關行動，包括：

• Klook會主動通知相關主管機關
• 定期檢驗目前的資安系統，且更嚴謹審核第三方所提供的任何資訊
• 持續與全球領先的網路安全鑑識公司Kroll合作，更深入了解此事件的相關訊息

Klook將持續採取有效措施，用最高標準保障用戶能在資料安全的情況下，繼續享用Klook平台的便利服務。

3. 有多少用戶受影響？

為更了解事件影響層面，進一步調查仍將持續進行，Klook正階段性排除可能受影響的用戶，目前估計僅約8%用戶受影響，Klook已主動聯絡可能受影響的用戶。

只有Klook網站預訂的部分用戶有機會受影響，使用Klook手機應用程式（iOS及Android)預訂的用戶則不在該範圍內。

受影響用戶的處理方法

4. 若我懷疑我的個人資料被洩露，該採取什麼行動？

若用戶曾於Klook網站（電腦版/行動版）預訂服務、且使用上述受影響之付款方式付款，其後曾發現信用卡帳戶有不尋常的交易者，我們建議立即與發卡銀行或單位聯繫，並進行剪卡、更換卡片之動作。在過往信用卡被盜刷的實際案例中，信用卡用戶只要即時通報銀行或發卡單位，一般不須為被盜刷的行為負責，而銀行也會針對用戶有被盜刷嫌疑的款項，進行退款。

此外，我們強烈建議用戶立即更換密碼。為確保安全及密碼強度，建議使用8碼以上的英數字母混合之組合作為密碼。

於此同時，用戶若對其於2017年12月11日至2018年6月13日期間訂單有疑問或需要額外協助之處，敬請傳送電子郵件至Klook為此事件受到影響之用戶所設立的信箱：privacy@klook.com

5. 除了付款資料外，還有哪些資訊被洩露？

截至最新的調查，在付款頁面上的資訊，包括為了預訂旅遊服務所需的顧客個人聯絡資訊，有一定可能性被懷有惡意的單位獲取。但目前仍未有任何證據顯示這些在付款頁面的資訊已被懷有惡意的單位使用。

6. 我在Klook進行旅遊服務預訂的時候，該如何確保信用卡安全？

所有在Klook網站及App的轉帳交易均於確保安全的外部付款平台進行。為確保安全，我們會定期檢視我們與外部廠商的網路安全協議，並以此確保他們可達到我們要求的安全強度。

7. 假如我的信用卡被盜刷，Klook是否會給予我任何補償？

對於信用卡被盜刷的用戶及因此所造成的不便，我們感到深切的遺憾。此事件可能是由於第三方服務公司違反資料保密所致。顧客可針對盜刷相關問題，與發卡銀行或單位聯繫。信用卡用戶只要即時通報發卡銀行或單位，通常不需為被盜刷的行為負責，而銀行也會針對用戶有被盜刷嫌疑的款項，進行退款。

8. 我在KLOOK預訂了一些行程還沒出發。此事件會影響我的行程安排嗎？

此事件對還沒出發的行程沒有任何影響，所有未出發的行程亦會如常進行和運作。用戶可以放心如期出發，亦不必因此改變任何行程。

9. Klook可以選擇「保存信用卡資料」以作未來預訂之用。這有風險嗎？

用戶的信用卡資訊並不會在我們的網站上處理或保存，而是透過加密連結直接發送給我們的付款處理合作夥伴，並在其已確保安全的伺服器上處理。 Klook收到的只是一個「代碼」 - 代表信用卡的一串亂碼。我們只會儲存這些代碼在我們的系統中，但我們無法解密更無法得取其中的信用卡資訊。

加強資訊安全

10. 未來如何確保相似的個資外洩事件不再發生？

科技及資訊安全一直是Klook的經營核心，平台採取高標準的資安系統，確保用戶資訊安全。針對本次第三方數據外洩事件，我們將更嚴謹的審核網路安全保障及第三方所提供的任何資訊。

Klook將持續採取有效措施，用最高標準保障用戶能在資料安全的情況下，繼續安心使用Klook平台的便利服務。

用戶若對其於2017年12月11日至2018年6月13日期間訂單有疑問或需要額外協助之處，敬請傳送電子郵件至Klook為此事件受到影響之用戶所設立的信箱：privacy@klook.com

• 有關企業合作夥伴及營銷夥伴查詢：partnership@klook.com
• 媒體訪問需求或查詢：press@klook.com