独/PChome遭骇客入侵 长达12页的渗透报告让350万用户个资全都露
联合报/ 记者马瑞璿
骇客组织Settra在暗网点名,已于6月10日入侵PChome网页、支付系统,取得系统中102GB
的内部资料,内容涵盖350万名用户个资、内部系统架构、法遵与稽核文件、人资资料,
以及长达9年的营运纪录。过去,台湾也曾有其他第三方支付业者资料外泄,但是,
PChome的Pi钱包是台湾第一家遭到勒索软件入侵的第三方支付业者。
Settra在暗网点名已入侵PChome,并公开一份长达12页的“完整渗透报告”,该报告内容
不仅公开会员资料与交易纪录,也延伸至员工人事资讯、身分证字号、薪资资料与大量履
历文件。更值得注意的是,文件同时提及API串接技术文件、生产环境数据库架构、内部
稽核与资安报告,以及反洗钱(AML)与法遵文件。这类资讯的组合,使得外界开始关注
,攻击者可能取得的不只是数据库,而是接近企业营运逻辑与治理体系的整体脉络。
目前PChome尚未回应这次事件。资安业者认为,这次事件若属实,从公开的内容来看,整
体的攻击范围不限于电商平台本身,更指向PChome整体的支付与金流生态系统,涵盖支付
连、Pi Wallet与PayLink等服务。影响核心可能落在第三方支付与金流整合环节,而非单
一消费型平台。
骇客组织Settra是2026年新崛起的勒索软件,其运作模式采用典型的双重勒索策略,也就
是在加密企业系统的同时,先行窃取资料,再以公开资讯作为施压手段。
不过,与传统勒索组织不同的是,Settra更倾向将攻击内容“文件化”,以类似调查报告
的方式对外释出,并详细描述入侵过程与资料内容。这种做法不仅增加勒索压力,也同时
对企业品牌与合规形象造成额外冲击,使事件本身延伸至声誉与治理层面。
从目前已公开的资讯来看,资安专家认为,此次事件的关键并不在于“外泄资料数量”,
而是在于被盗资料的类型与关联性。如果会员资料、内部技术文件、法遵纪录与营运资讯
确实被同时取得,意味着攻击者可能已经不只是存取单一系统,而是逐步拼凑出企业的整
体运作方式。
资安专家指出,这类资讯一旦被利用,后续风险通常不会立即显现,而是可能转化为更精
准的钓鱼攻击、商业电子邮件诈骗、供应链渗透,甚至长期潜伏式攻击行为,使企业面临
持续性资安压力。尤其,若后续调查证实,确有未授权存取情况,影响范围恐将不只限于
单一业者,而可能扩及第三方支付、银行合作系统与整体金融科技生态链。
资安业者竣盟科技总经理郑加海观察,骇客入侵的新趋势在于“攻击者不再只是破坏系统
,而是试图取得可理解企业的一切资讯”。他也建议,因应趋势变化,防御重点也应该要
跟着改变,企业需要的不只是入侵防护,而是能够即时辨识资料异常流动的能力,并透过
最小权限原则、资料分级、环境隔离与Zero Trust架构降低横向扩散风险。
另外,目前也有愈来愈多企业、组织评估导入欺敌防御技术(Deception Technology),
郑加海认为,透过诱捕与伪装资产,可提早发现攻击者在内网中的活动轨迹。未来资安治
理的重心已将从“是否被攻破”,转向“是否仍能掌握资料的可见性与可控性”。
https://udn.com/news/story/7241/9597652