UDN報導：PChome 傳遭 Settra 駭客組織入侵，暗網公開「滲透報告」曝 350 萬用戶個資

駭客組織 Settra 宣稱已於 6 月 10 日入侵 PChome 網頁與支付系統，在暗網公開一份長達 12 頁的「完整滲透報告」，聲稱掌握 102GB 內部資料，涵蓋 350 萬名用戶個資、員工薪資與身分證字號、長達 9 年的營運紀錄，以及反洗錢（AML）等法遵文件。資安業者指出，Pi 錢包（Pi Wallet）恐成台灣首家遭勒索軟體入侵的第三方支付業者。PChome 回應表示主站未遭入侵，而 Pi 拍錢包部分正在查核中。
（前情提要：全台戶籍個資流竄暗網！台男花5000枚USDT好奇買下，交易所「出金成鐵證」）
（背景補充：香港數碼港400GB資料網上裸奔！180家Web3企業員工個資遭駭外洩）

據 聯合新聞網（UDN） 獨家報導，駭客組織 Settra 宣稱已在 6 月 10 日入侵 PChome 網頁與支付系統，在暗網公開一份長達 12 頁的「完整滲透報告」（詳細記錄入侵步驟、存取路徑與竊取資料內容的技術文件），聲稱取得 102GB 內部資料，涵蓋 350 萬名用戶個資、員工身分證字號與薪資、大量履歷文件，以及 API 串接技術文件、生產環境資料庫架構、內部稽核報告，乃至反洗錢（AML，協助金融機構辨識與防堵可疑金流的法規遵循制度）等法遵文件。PChome 截至發稿尚未回應，以下所有資訊均出自 UDN 報導，動區無法獨立查證任何細節真偽。

不只是個資

UDN 報導引述資安業者分析，此次攻擊範圍不限於電商平台本身，更指向 PChome 整體的支付與金流生態系統，涵蓋支付連、Pi Wallet 與 PayLink 等服務。UDN 報導指出，過去台灣雖曾有第三方支付業者個資外洩，但若事件屬實，Pi 錢包將成為台灣第一家遭到勒索軟體（ransomware，先加密企業系統、再以資料解密換取贖金的惡意程式）入侵的第三方支付業者。

UDN 報導提到，如果會員資料、技術文件、法遵紀錄與長達 9 年的營運資訊確實同時被取得，意味著攻擊者可能不只存取了某個資料庫，而是逐步拼湊出企業整體運作邏輯。被偷走的，不只是 350 萬筆紀錄，更可能是一套讓攻擊者讀懂這家公司怎麼運作的地圖。

UDN 報導進一步引述資安專家指出，這類資訊一旦被利用，後續風險通常不會立即顯現，而可能轉化為更精準的釣魚攻擊、商業電子郵件詐騙（BEC，Business Email Compromise），甚至供應鏈滲透或長期潛伏式攻擊。若後續調查證實確有未授權存取，影響範圍恐不只限於單一業者，而可能擴及第三方支付合作銀行與整體金融科技生態鏈。

Settra 用報告勒索

Settra 是 2026 年新崛起的勒索軟體組織，採用「雙重勒索策略」（Double Extortion，在加密企業系統的同時竊取資料，再以公開外洩作為施壓手段），與傳統勒索組織不同的是，Settra 更傾向把攻擊過程「文件化」，以類似調查報告的格式對外釋出，詳細描述入侵步驟與資料內容。UDN 報導指出，這種做法不只增加勒索壓力，也讓企業品牌形象與法規合規性受到額外衝擊，讓事件從「資料問題」延伸至「治理問題」。Settra 選擇用調查報告代替勒索信，格式愈完整，示警效果愈強，這是一種把企業透明度反過來當武器的新型態威脅。

「攻擊者不再只是破壞系統，而是試圖取得可理解企業的一切資訊。」

資安業者竣盟科技總經理鄭加海，據聯合新聞網（UDN）報導引述

UDN 報導引述竣盟科技總經理鄭加海建議，企業需要能即時辨識資料異常流動的能力，並透過最小權限原則（Least Privilege，限制每個帳號只能存取執行任務所需的最低資源範圍）、資料分級、環境隔離與 Zero Trust 架構（零信任，預設不信任任何連線、一律驗證身份）來降低橫向擴散風險。UDN 報導也引述鄭加海指出，欺敵防禦技術（Deception Technology，在網路環境中佈置假資產誘捕攻擊者、提早暴露入侵動向）愈來愈受企業關注，資安治理重心已從「是否被攻破」轉向「是否仍能掌握資料的可見性與可控性」。

PChome：進一步釐清

網家公開回應，Pi 拍錢包乃是獨立營運的第三方支付服務，其公司相關資訊安全與系統管理機制，由營運團隊依既有程序進行檢視與查核。現階段相關內容需要等待進一步釐清，對於未經證實的資訊不便評論。

📍相關報導📍

勒索軟體ALPHV BlackCat主犯認罪！全球逾千人受害，某受害者曾損失120萬美元比特幣

Lockbit 勒索病毒成員在美認罪！吸金超5億鎂「多是比特幣」，判25年以上監禁

資安警告！專家爆料全球 1.49 億條帳密外洩，42 萬個幣安帳戶受波及