台灣知名電商 PChome 爆出嚴重資安漏洞,駭客組織 Settra 近日在暗網公開點名台灣電商龍頭 PChome,聲稱已於6月10日入侵其網頁與支付系統,竊取高達102GB的內部資料,內容涵蓋約350萬名用戶個資、員工身分證字號與薪資、長達9年的營運紀錄,以及反洗錢(AML)等法遵文件。PChome旗下由拍付國際營運的第三方支付服務「Pi拍錢包」已證實收到勒索訊息,並向主管機關數位發展部通報。若事件最終確認屬實,Pi錢包將成為台灣第一家遭到勒索軟體入侵的第三方支付業者。
PChome旗下Pi錢包遭Settra駭客組織入侵,350萬用戶個資恐全數外洩
Settra公開12頁「完整滲透報告」,攻擊範圍遠超電商平台
勒索軟體情資網站 Ransomware.live 已將 pchome.com.tw 列入 Settra 的受害者名單,頁面標示發現時間為2026年6月28日晚間7時50分,推估攻擊發生於6月10日。
Settra在暗網公開一份長達12頁的「完整滲透報告」,詳細記錄入侵步驟、存取路徑與竊取資料內容。報告中揭露的資料類型極為廣泛,不僅包含會員資料與交易紀錄,還延伸至員工人事資訊、身分證字號、薪資資料與大量履歷文件。更關鍵的是,文件同時提及API串接技術文件、生產環境資料庫架構、內部稽核與資安報告,以及反洗錢(AML)法遵文件。
資安業者分析,這次攻擊範圍不限於電商平台本身,更指向PChome整體的支付與金流生態系統,涵蓋支付連、Pi Wallet與PayLink等服務。影響核心落在第三方支付與金流整合環節,而非單一消費型平台。
資安專家指出,如果會員資料、技術文件、法遵紀錄與長達9年的營運資訊確實同時被取得,意味著攻擊者可能不只存取了某個資料庫,而是逐步拼湊出企業的整體運作邏輯。被偷走的不只是350萬筆紀錄,更可能是一套讓攻擊者讀懂這家公司如何運作的完整地圖。
Settra:2026年新崛起的勒索組織,用「調查報告」取代勒索信
Settra是2026年新崛起的勒索軟體組織,其運作模式採用典型的雙重勒索策略(Double Extortion),在加密企業系統的同時先行竊取資料,再以公開資訊作為施壓手段。
與傳統勒索組織不同的是,Settra更傾向將攻擊過程「文件化」,以類似調查報告的方式對外釋出,並詳細描述入侵過程與資料內容。這種做法不只增加勒索壓力,也同時對企業品牌與合規形象造成額外衝擊,使事件從「資料安全問題」延伸至「企業治理問題」。
Settra選擇用調查報告代替勒索信,格式愈完整,示警效果愈強。這是一種把企業透明度反過來當武器的新型態威脅手法。
PChome回應:主站未遭入侵,Pi拍錢包獨立營運查核中
PChome母公司網路家庭(網家)公開回應表示,母公司的營運系統並未發現遭入侵跡象,Pi拍錢包為獨立營運的第三方支付服務,其資訊安全與系統管理機制由營運團隊依既有程序進行檢視與查核。
不過,拍付國際已證實收到來自Settra的勒索訊息,並於6月30日發出正式聲明。聲明中指出,公司已採取以下行動:
- 啟動資安應變程序:會同資安專家進行全面系統檢測與鑑識調查
- 強化系統監控:即時監測任何異常存取行為,防止後續損害擴大
- 通報主管機關:依法向數位發展部報告本次事件
- 委託第三方鑑識:聘請獨立資安鑑識機構驗證事件範圍
拍付國際表示,待確認受影響範圍後將主動通知受影響用戶,並對可能受到影響的用戶致上歉意。
後續風險:不只是一次性外洩,更可能是長期滲透的起點
從目前已公開的資訊來看,此次事件的關鍵並不在於「外洩資料數量」,而在於被盜資料的類型與關聯性。資安專家認為,這類資訊一旦被利用,後續風險通常不會立即顯現,而是可能轉化為更精準的釣魚攻擊、商業電子郵件詐騙(BEC),甚至供應鏈滲透或長期潛伏式攻擊。
尤其,若後續調查證實確有未授權存取情況,影響範圍恐不只限於單一業者,而可能擴及第三方支付、銀行合作系統與整體金融科技生態鏈。
用戶自保:立即更換密碼,留意異常交易
對於使用過PChome或Pi錢包的用戶,專家建議採取以下自保措施:
- 更換密碼:盡快更改與PChome、Pi錢包相同的登入密碼
- 避免密碼共用:不同平台應使用不同密碼,防止撞庫攻擊
- 檢查帳務:留意信用卡及銀行帳戶是否出現異常交易
- 警惕詐騙:拍付國際強調,公司絕不會透過電話、簡訊或電子郵件要求用戶提供密碼、驗證碼或金融帳戶資訊
拍付國際客服專線為02-27035198(週一至週五09:00–18:00),官方客服信箱為service@piapp.com.tw。