台灣電商市場近期又有資安事件,網路家庭(PChome)集團在短短兩週之內,接連遭遇新興勒索軟體組織 Settra 的暗網點名威脅,以及旗下跨境代購平台「比比昂(Bibian)」的重大個人資料外洩事件。這兩起事件在時間上的高度重合,確實是需要資安與資訊人員關注,針對內部系統共構風險與資安合規管理,業界也需要有更好的方式來因應與盤點內風險。
CyberQ 觀察,這類集團式架構在面對橫向移動攻擊與資料隔離時,確實在防禦上有其需要關注的地方,究竟有哪些防禦重點需要強化呢 ? 以下是相關事件的思考和觀察。
暗網上的叫陣:Settra 勒索軟體宣稱入侵 PChome 核心
2026 年 6 月,根據資安威脅情資平台 Dexpose 的資料 指出,新興勒索軟體組織 Settra 在其暗網網站上將 PChome 列為受害者,並宣稱已成功入侵該公司的網頁與支付系統。
面對這波暗網攻勢,網家集團在第一時間進行了應變。根據 經濟日報的報導 ,PChome 官方對此澄清,經由初步資安鑑識與盤查,該暗網貼文所指涉的內容與母公司系統並無直接關聯,目前主站以及核心的營運執行系統、支付管道皆維持正常運作,並未發現遭駭客入侵的實質證據。儘管母公司主站暫時宣告安全,但如果考量日前有新聞報導的子公司災情,一起看確實也引發了業界關注。
我們來看看 Settra 在暗網公布的事件是講了哪些東西,他們在暗網論壇上公布的文章標題是 HOW A TAIWANESE GIANT SOLD OUT ITS CUSTOMERS A payment company sells trust, security, and reliabilit…,不只是簡單發布幾句恐嚇聲明,更同步公開了一份長達十二頁的滲透報告,用來向市場施壓並證明他們確實掌握了內部權限。
這份長達十二頁的滲透報告中,駭客在文件中聲稱,他們早在 2026 年 6 月 10 日就已經成功滲透了 PChome 的網頁與支付系統。他們宣稱從中一共竊取了高達 102GB 的內部核心資料,其內容涵蓋了大約 350 萬名會員的個人資料、9年的營運歷史紀錄、內部的系統架構圖、公司內部的法遵與稽核文件,甚至連員工的人資檔案都被列在外洩清單當中。
在這份文件中,駭客還特別指涉了 PChome 旗下的 Pi 拍錢包系統。這項消息讓台灣業界重視,因為如果駭客需稱屬實,這意味著 Pi 拍錢包可能成為台灣第一家遭到國際勒索軟體組織攻破並公開點名的第三方支付業者。對此,Pi 拍錢包也發表了聲明回應。
CyberQ 認為,這類包含系統架構與法遵文件的資料一旦流出,駭客組織後續可能引發更精準的社交工程、商業電子郵件詐騙或是長期的潛伏式攻擊。
面對這份十二頁報告帶來的威脅,網家集團母公司隨後發布聲明進行澄清。官方強調,經過內部的初步資安鑑識與盤查,暗網貼文與這份文件所指涉的內容,與母公司的系統並沒有直接關聯。目前 PChome 主站以及核心的營運執行系統、支付管道全都維持正常運作,並未發現遭到實質入侵的證據。
目前這起事件演變成駭客拿出大篇幅技術文件大調胃口,而官方強烈否認核心系統受害的局面。對於駭客這份 PDF 文件的真偽、資料是否為拼湊而來,以及後續主管機關數發部進一步的行政檢查結果,將會是釐清真相的真正關鍵。
歷史訂單全曝光:比比昂確認遭遇實質資料外洩
就在 Settra 進行勒索軟體行動的同時,部分在比比昂消費過的使用者在 Threads 等社群平台上發文,前陣子也表示收到極為擬真的詐騙釣魚郵件。如 自由時報的報導 所述,這些詐騙內容不再是粗劣的罐頭文字,而是精準列出會員的真實姓名、電話、住址,甚至連數年前的真實歷史購買品項與訂單細節都一覽無遺,導致眾多消費者在不疑有他的情況下落入假冒客服的解除分期付款陷阱。
隨著災情擴大,比比昂官方隨後發布了正式的道歉與說明。根據 民報的追蹤報導 ,比比昂從 6 月 10 日發布疑似個資事件公告,歷經委託第三方資安團隊的深入擴大盤查,最終在 6 月 16 日正式承認這批外洩資料確實源自公司內部系統,影響範圍包含部分代購與比比昂日貨服務的會員,並於 6 月 18 日提出發放 2,500 日圓購物折價券的補償方案。
雙重事件深度對比與現況
這兩起平行事件的差異與現狀,可以透過下表檢視。
| Settra 勒索軟體宣稱威脅 | 比比昂(Bibian)會員資料外洩 | |
| 事件主體 | 網路家庭(PChome)母公司主站與支付系統 | 旗下跨境代購平台子公司比比昂 |
| 情資來源 | 駭客組織暗網公告與 Dexpose 威脅報告 | 社群網站會員揭露與官方正式道歉聲明 |
| 外洩內容 | 尚未獲得第三方鑑識實質證實,官方全面否認 | 真實姓名、電話、住址、詳細歷史訂單品項 |
| 官方行動 | 執行系統盤查,發布澄清表示核心主站安全運作 | 協同外部資安廠商完成漏洞修補,提供補償方案 |
| 潛在風險 | 集團品牌信任度受挑戰,需防範供應鏈橫向威脅 | 會員噁能面臨假客服分期付款之二次詐騙危害 |
業界評論:集團系統資料共構的合規與防禦考量
雖然網家母公司強調主站未受 Settra 勒索軟體影響,但子公司比比昂發生了資安事件,確實會讓業界擔憂是否集團內部存在著系統共構的其它風險。
CyberQ 認為,比比昂與 PChome 母公司電商平台之間,會員資料是否跨平台共用、後台資料庫是否串接、以及帳號認證系統是否真正獨立,需要有一個好的隔離方式。如果架構上有部分,甚至是高度共構,那麼任何一個子公司的防禦破口,確實對整個集團是有風險的。
台餐的學界也呼籲數發部應該儘速建立更為嚴格的電商資安治理框架。誠如 Newtalk新聞的探討 所言,當前市場上,許多企業其實在面對新型態的勒索威脅與資料竊取時,採取的比較是被動的漏洞修補,而沒有在架構層面設法落實零信任微隔離與更嚴格的法規合規審查,部分消費者相對會處於資訊真空和個資外流的風險之中。
但不諱言,人力是個問題,各家公司的資安預算、資安人力很多都是需要補實補強的。對所有 IT 架構師與資安從業人員而言,在追求跨平台業務綜效的同時,資料核心的邊界防禦與合規隔離,需要多留意並和管理階層討論,老闆也要確認公司的資安防護預算與人力配置,設法讓技術團隊、資安團隊、經營管理團隊間建立好的溝通橋樑。
PChome集團下的第三方支付 Pi 拍錢包也發表了資訊安全事件的對外說明
