新聞生活資訊

Pi 拍錢包遭駭?駭客稱取得 350 萬筆個資與 102GB 資料,數發部今日稽查

PChome 集團旗下第三方支付服務「Pi 拍錢包」傳出資安事件。勒索軟體組織 Settra 聲稱已入侵拍付國際系統,取得包含會員資料、交易紀錄與支付系統文件在內的 102GB 資料。

Pi 拍錢包官方已證實收到外部組織的勒索訊息,並通報主管機關、啟動第三方資安鑑識。不過,目前外界流傳的「350 萬筆個資」、「9 年交易紀錄」等內容,仍主要來自駭客與暗網情資,尚未獲得官方調查確認。

Pi 拍錢包遭駭?駭客稱取得 350 萬筆個資與 102GB 資料,數發部今日稽查

資料更新時間:2026 年 7 月 1 日 08:00
Pi 拍錢包已於 6 月 30 日公布資訊安全事件說明;數位發展部數位產業署預定於 7 月 1 日進行實地行政檢查。目前尚未公布鑑識結果與實際受影響人數,後續仍以 Pi 拍錢包及主管機關公告為準。

Pi 拍錢包資安事件重點整理

  • Pi 拍錢包證實收到勒索訊息,並非只有網路傳言。
  • 駭客聲稱取得約 102GB 資料,涉及 350 萬名會員及 9 年紀錄。
  • 上述資料數量與內容尚未經官方鑑識確認。
  • PChome 表示,目前未發現主站或核心營運系統遭入侵。
  • 數位產業署於 7 月 1 日進行實地行政檢查。
  • 用戶近期最需要注意的是假冒客服、釣魚簡訊與精準詐騙。

Settra 聲稱取得 102GB 資料,可能包含哪些內容?

根據暗網情資與媒體取得的資料,勒索軟體組織 Settra 聲稱在 6 月 10 日入侵相關支付系統,並於 6 月 28 日公開一份長達 12 頁的滲透報告。

Settra 雙重勒索攻擊示意圖
Settra 雙重勒索攻擊示意圖

Settra 宣稱取得的資料約為 102GB,可能包含:

  • 約 350 萬名會員的姓名、聯絡方式及身分證字號
  • 長達 9 年的歷史交易或營運紀錄
  • Pi 拍錢包、PChomePay 支付連及 PayLink 等服務文件
  • 支付系統架構與 API 串接技術資料
  • 員工履歷、薪資及其他人資資料
  • 內部稽核、資訊安全、反洗錢與法遵文件

不過,這些項目目前仍屬於駭客單方面宣稱。不同資安情資平台所列出的受影響人數也存在差異,因此不能直接將暗網資料清單視為已確認的外洩範圍。最終有哪些資料遭到存取、複製或外流,仍要等待第三方資安鑑識及主管機關調查。

Pi 拍錢包官方怎麼說?

拍付國際在官方公告中表示,公司近日得知 Settra 聲稱對系統發動攻擊,並確認收到外部組織傳送的勒索訊息。

拍付國際目前已採取多項措施,包括啟動資安應變程序、會同資安專家檢測系統、強化異常存取監控、依法通報數位發展部,以及聘請第三方資安鑑識機構獨立驗證事件範圍。

官方也承諾,一旦確認實際受影響範圍,將透過官網或 App 公告並主動通知用戶。換句話說,目前官方確認的是「收到勒索訊息並進行調查」,尚未正式確認 350 萬名用戶的個資全部外洩。

Pi 拍錢包官方說明

PChome 24h 購物也被入侵了嗎?

針對外界將事件描述為「PChome 遭駭」,PChome 網路家庭表示,經過初步了解,暗網貼文所指內容與母公司系統沒有直接關聯,目前也未發現 PChome 主站或核心營運系統遭到入侵。

Pi 拍錢包由拍付國際營運,屬於獨立營運的第三方支付服務,相關系統安全與調查工作由拍付國際負責。因此,現階段不能直接將 Pi 拍錢包的資安事件,擴大解讀為整個 PChome 24h 購物系統均已遭到入侵。

PChome 和 Pi 錢包的關係圖示意。
PChome 和 Pi 錢包的關係圖示意。

數發部 7 月 1 日實地行政檢查

數位發展部數位產業署表示,已在第一時間掌握相關情資,並依《個人資料保護法》等規定處理,於 7 月 1 日對拍付國際進行實地行政檢查。

這次檢查將釐清事件經過、實際個資外洩情形,以及業者是否落實個人資料保護與資安管理。如果後續調查發現違反個資法,主管機關將依法裁處。

截至本文更新時間,數產署尚未公布行政檢查結果,因此外洩人數、資料類型及是否涉及支付資訊,仍無法正式定案。

Pi 拍錢包用戶現在該做什麼?

現階段最需要提防的,不一定是帳戶內的款項立刻被盜,而是外洩資料可能被拿來製作更逼真的詐騙話術。

疑似外洩資料類型。
疑似外洩資料類型。

1. 更換 Pi 拍錢包及重複使用的密碼

建議先更換 Pi 拍錢包帳號密碼。若同一組密碼也用在 PChome、Email、社群平台或其他購物網站,這些帳號也應一併更換。

新密碼不要只在舊密碼後面增加一個數字,應改用未曾使用過、長度足夠且不容易猜測的組合。其他重要帳號若提供雙重驗證,也應一併開啟。

2. 檢查交易紀錄與綁定的付款工具

進入 Pi 拍錢包查看近期付款、P 幣折抵、自動繳費與其他交易紀錄,確認是否出現自己不認識的消費。

同時留意綁定信用卡的銀行 App 通知及信用卡帳單。若發現不明扣款,應立即聯絡發卡銀行並向 Pi 拍錢包客服反映,不要只透過簡訊內提供的連結處理。

3. 不要相信主動聯絡你的「官方客服」

近期如果收到自稱 Pi 拍錢包、PChome、銀行或數發部的電話與簡訊,內容提到以下情況,都應先視為高風險訊息:

  • 帳號受到駭客攻擊
  • 需要取消錯誤扣款或重複訂單
  • 要求重新驗證信用卡
  • 要求提供簡訊驗證碼
  • 要求操作 ATM、網路銀行或下載遠端控制 App

真正的官方客服不會要求用戶提供帳號密碼、信用卡完整資料或簡訊驗證碼,也不會要求用戶依照指示操作 ATM。

數產署也提醒,用戶不要點擊不明網址,不要輕易提供密碼、驗證碼及身分證字號;遇到可疑情況可撥打 165 反詐騙諮詢專線查證。

需要立刻刪除 Pi 拍錢包或停用信用卡嗎?

目前沒有證據顯示刪除 App 就能消除已經可能遭到存取的資料,因此單純移除 Pi 拍錢包 App,並不能取代更換密碼、檢查交易紀錄與防範詐騙。

信用卡也不一定需要立刻停卡。不過,若已出現不明消費、異常驗證通知,或收到不是由自己發起的一次性驗證碼,就應立即聯絡發卡銀行,評估停卡或更換卡號。

對於暫時不打算繼續使用 Pi 拍錢包的用戶,也可以先移除不必要的綁定卡片及自動付款設定,降低後續風險。

Pi 拍錢包遭駭事件仍有三大問題待確認

目前整起事件最重要的三個問題,包括 Settra 是否真的完整取得 102GB 資料、350 萬名會員是否全部受到影響,以及外流內容是否包含可直接用於付款或登入的資訊。

在官方鑑識完成以前,不能因為駭客公布了資料清單,就認定所有內容都已經外洩;但官方已證實收到勒索訊息,也代表這並非可以完全忽略的網路傳言。

對一般用戶來說,現階段最實際的做法,就是更換重複使用的密碼、檢查近期交易,並提高對假客服與釣魚訊息的警覺。

若後續確認個資真的外流,姓名、電話、消費紀錄等資訊很可能被用來增加詐騙話術的可信度。因此,即使對方能說出你的部分個人資料,也不代表對方就是官方人員。

官方資訊來源

延伸閱讀》

如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。

加入LINE好友  追蹤FB粉絲團  追蹤 Instagram  訂閱 YouTube  訂閱 Telegram

Related Articles