PChome Pi錢包被駭 350萬用戶個資外洩 暗網資料已撤下
電商業者PChome旗下Pi錢包(拍付國際)驚傳遭駭客入侵,350萬名用戶個資外洩;台灣曾發生第三方支付業者資料外洩,但Pi錢包是台灣第一家遭到勒索軟體入侵的第三方支付業者。數位發展部數產署昨天表示,今天會進行實地行政檢查,釐清案情並持續追蹤個資外洩等情形,若發現有違反個資法情事,將依法裁處。
PChome表示,針對外部流傳之暗網貼文內容,經過初步的了解,相關訊息所指涉內容與母公司系統並無直接關聯,目前也未發現PChome主站或核心營運系統有遭入侵情形。
Pi錢包發表聲明表示,已會同資安專家進行全面系統檢測與鑑識調查,並即時監測任何異常存取行為,防止後續損害擴大,公司也已通報數發部。Pi錢包並表示對這起事件感到遺憾,並對所有受影響的用戶致上誠摯歉意,一旦確認受影響範圍,將主動通知用戶,也會配合調查,落實改善措施,防止類似事件再次發生。
駭客組織Settra是在6月10日入侵PChome旗下Pi錢包支付系統,取得系統中102GB內部資料,內容涵蓋350萬名用戶資料、內部系統架構、人資資料,以及長達九年的營運紀錄。Settra並在暗網公開了一份12頁的「完整滲透報告」,不僅公開會員資料與交易紀錄,也延伸至員工人事資訊、薪資資料與履歷文件。
從文件內容來看,雖然Settra在暗網上將受害者標示為「PChome」,但攻擊範圍指向PChome旗下的支付與金流生態系統,主要集中在拍付國際與國際連等支付與金流服務相關企業,並涵蓋支付連、Pi錢包與Pi PayLink等服務,事件影響核心可能落在第三方支付與金流整合環節,而非單一消費型的平台。
不過,駭客放在暗網上的資料,已於昨天傍晚撤下。資安專家認為,極有可能是業者已與駭客組織聯繫上,才讓相關資料先行下架,以免影響範圍擴大。
對於此次Pi錢包疑似遭駭客入侵,數產署指出,今天的行政檢查將釐清案情、檢視業者對於個人資料保護的落實作為,並持續追蹤本案個資外洩情形,嚴格督導業者後續資安與管理作為,經調查如發現有違反個資法情事,將依法裁處。
報導指出,駭客組織Settra在6月10日入侵Pi錢包支付系統,取得約102GB資料,疑涉及350萬名用戶個資、交易紀錄與內部營運文件,影響範圍相當大。 暗網資料包含會員個資、交易紀錄、內部系統架構、人資資料,以及長達九年的營運紀錄,甚至還有員工薪資與履歷文件,顯示外洩內容不只限於消費者資料。 數發部數產署將進行實地行政檢查,釐清案情並追蹤個資外洩情形;Pi錢包則已啟動全面檢測與鑑識調查,並表示會通知受影響用戶、配合調查與改善。精華 FAQ
