台「Pi錢包」部分會員資料遭駭 姓名、手機等外洩
Pi錢包(拍付國際)6月遭駭客組織Settra入侵,Pi錢包公布最新調查結果指出,本次外洩資料主要為內部員工日常作業檔案,絕大多數檔案不涉及個人隱私,但2019年與2022年的專案會員資料,個資種類包含姓名、手機號碼與車牌號碼也有外洩情況。針對受影響的名單,Pi錢包近期將陸續發出App推播訊息進行個別通知。
Pi錢包日前會同專業第三方資安鑑識機構完成全面盤查,公布最新調查結果。Pi錢包指出,服務系統安全無虞,服務App、交易系統或網頁均未遭駭客入侵,用戶個人帳號密碼、交易資料、信用卡卡號及點數等,皆儲存於獨立且嚴密防護的資料庫,此資料庫確認安全無虞。不過,2019年與2022年因專案上線的會員資料仍有外洩。
Pi錢包也在調查報告中說明事故發生原因。Pi錢包指出,「本次事故為主機防火牆遭駭客漏洞攻擊,導致其取得權限並非法存取內部員工的檔案伺服器,造成部分日常作業檔案外洩」。後續處置上,Pi錢包表示,已就資安防護進行強化,包括防火牆漏洞修補及版本升級、帳號權限清查、非授權軟體清理與阻斷、導入端點偵測與回應等。
而在Pi錢包發生駭客入侵事件之後,主管機關數位發展部也於7月進行個資查核行政檢查。
對於Pi錢包昨日公布調查結果,數發部數位產業署指出,7月1日辦理實地行政檢查後,已責成該公司盡速盤點本事件受影響資料,依個資法規定通知當事人,以維護民眾權益。而數產署也依個資法程序積極調查中,如拍付國際有違反個資法的情事,將依法裁處。
資安專家鄭加海表示,這份第三方數位鑑識報告最大的價值,不是在於證明「沒有交易資料外洩」,而在於釐清攻擊者真正突破的是哪一層防護。調查顯示,攻擊者利用主機防火牆漏洞取得初始存取權限,入侵企業內部資訊環境,並存取部分員工作業檔案及歷史專案資料,但未發現支付核心系統、交易平台、信用卡資料、交易紀錄或會員帳號密碼遭到入侵或外洩,顯示核心支付環境與企業辦公網路之間的安全分區發揮了防護作用。
鄭加海分析,近年勒索攻擊已從癱瘓系統轉向「竊取資料再勒索」,真正目標往往是企業最具價值的資料,而非核心交易系統本身。對金融科技業而言,防護重點應從支付系統,擴展至整體企業受攻擊面,透過零信任、持續漏洞管理、網路分段、最小權限及主動式威脅偵測,才能在資料遭竊前中斷攻擊鏈,而非等到暗網曝光駭客入侵資訊後,才啟動應變。