台灣大型電商平台 PChome 傳出遭新興勒索軟體組織 Settra 點名攻擊,引發外界關注電商平台個資、金流與內部系統安全風險。據第三方資安情資平台揭露,PChome 網域已被列入 Settra 勒索軟體受害者名單,事件發現時間為 6 月 26 日,攻擊日期則標示為 6 月 10 日,產業別為零售與電子商務,狀態仍列為未知。
另一家資安情資網站 DeXpose 也指出,Settra 於 6 月 28 日聲稱對 PChome Online Inc. 發動網路攻擊,並以外洩客戶資料作為勒索威脅。該網站資料顯示,攻擊目標為 pchome.com.tw,國家為台灣,攻擊組織則為 Settra。
有報導指稱,駭客組織聲稱已取得 PChome 內部資料,內容可能涉及 350 萬名會員個資、交易紀錄、內部系統架構、法遵與稽核文件、人資資料等。不過截至目前為止,相關外洩規模、資料真實性與實際受影響範圍,仍有待 PChome 官方、主管機關或第三方資安鑑識結果確認。
《科技新報》記者也向數發部詢問是否會如先前 iRent 事件一樣採取介入,不過目前該部會尚未有正式回應。
值得注意的是,不同資安情資平台對此次事件的描述並不完全一致。GalaxyWarden 報導稱,Settra 聲稱攻擊 PChome,外洩資料類型包含憑證、員工資料與用戶資料,但其提及的受影響人數為超過 3.5 萬名用戶與員工,與媒體報導的規模存在落差。這代表目前外部資訊仍以駭客宣稱與暗網監測為主,尚不能直接等同於已完成驗證的外洩事實。
Settra 是近期才被資安情資平台追蹤的新興勒索軟體組織。SOCRadar 的勒索軟體情資頁面顯示,Settra 首次被觀察到的時間為 2026 年 6 月,目前列出 11 名受害者,涉及製造、零售電商、科技、運輸等產業。由於該組織活動時間短,外界對其攻擊手法、勒索模式與實際資料外洩能力仍掌握有限。
(Source:SOCRadar)
資安業界近年也觀察到,勒索攻擊已不再侷限於加密企業檔案,而是逐漸轉向「純資料勒索」與「雙重勒索」。攻擊者即使未造成系統全面停擺,也可能透過竊取資料、公開樣本、威脅通知客戶或主管機關等方式,向受害企業施壓。加拿大網路安全中心在 2025 至 2027 年勒索威脅展望中也指出,資料竊取與線上勒索已成為勒索軟體生態的重要型態。
若此次事件最終確認涉及會員個資或支付相關資料,對 PChome 而言,影響將不只是資訊系統安全問題,也可能牽涉個資保護、第三方支付法遵、用戶信任與企業聲譽管理。對消費者而言,在事件釐清前,建議提高帳號安全意識,包括避免重複使用密碼、啟用雙因素驗證、留意異常登入通知與可疑簡訊、電郵或釣魚連結。
(首圖來源:PChome)
科技新報粉絲團
加入好友
訂閱免費電子報
