去（2025）年於韓國發生「酷澎韓國(Coupang Corp.)個資外洩事件」，經酷澎股份有限公司（下稱酷澎臺灣）在23日向數位發展部數位產業署(數產署)通報，其委託之第三方資安公司Mandiant鑑定後發現，本事件已確認影響逾20萬名臺灣用戶，數產署即要求酷澎臺灣於當日親赴數產署說明及提供相關資料，並將於115年2月25日辦理行政檢查，亦已責成酷澎臺灣積極妥處，以維護民眾權益。記者黃仁杰／台北報導

去（2025）年於韓國發生「酷澎韓國(Coupang Corp.)個資外洩事件」，經酷澎股份有限公司（下稱酷澎臺灣）在23日向數位發展部數位產業署(數產署)通報，其委託之第三方資安公司Mandiant鑑定後發現，本事件已確認影響逾20萬名臺灣用戶，數產署即要求酷澎臺灣於當日親赴數產署說明及提供相關資料，並將於115年2月25日辦理行政檢查，亦已責成酷澎臺灣積極妥處，以維護民眾權益。

[caption id="attachment_207626" align="aligncenter" width="2560"] 酷澎臺灣於取得Mandiant之調查結果，即依規定向數產署通報，說明經第三方鑑識確認，本次事件共計20萬4,552名臺灣用戶之姓名、電子郵件、電話號碼、配送地址以及近5筆訂單紀錄等資料遭非法讀取。（圖／酷澎提供）[/caption]

數產署表示，自去年11月報導「酷澎韓國個資外洩事件」，即於第一時間要求酷澎臺灣針對本事件說明、提供調查進展及釐清是否影響酷澎臺灣之用戶，當時酷澎臺灣數次表示，並未涉及臺灣使用者的個資，僅說明委託第三方資安公司調查鑑識中。數產署亦持續關注調查進展，並於114年12月24日邀集資安、個資專家辦理實地行政檢查，瞭解酷澎臺灣之個資保護情形，另要求業者針對本事件每兩週向數產署回報韓國及第三方資安公司調查進度。

更多科技工作請上科技專區：https://techplus.1111.com.tw/

酷澎臺灣於取得Mandiant之調查結果，即依規定向數產署通報，說明經第三方鑑識確認，本次事件共計20萬4,552名臺灣用戶之姓名、電子郵件、電話號碼、配送地址以及近5筆訂單紀錄等資料遭非法讀取，數產署已責成酷澎臺灣依個人資料保護法規定，通知受影響之用戶，且要求酷澎臺灣應設立專屬客服管道、研擬補償方案，並對外界溝通說明、積極處理、妥為回應，以保障消費者權益；數產署並將針對本事件再次辦理行政檢查，如經調查發現有違反個資法情事，將依法裁處。

另數產署也提醒民眾，個人資料外洩後易遭詐騙集團利用，以「解除分期付款」、「貨運包裹異常」或「客戶售後服務」等手法進行詐騙，請酷澎臺灣的使用者在這段期間要保持警覺，對各項可疑訊息要積極查證，不點擊不明網址，及不輕易提供密碼、驗證碼或身分證字號，嚴加防範，如發現任何可疑情況，請立即撥打 165 反詐騙諮詢專線查詢，以降低受詐風險。

這篇文章 酷澎韓國爆個資外洩事件 逾20萬筆台灣個資遭外洩 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

未來手機就是皮夾！數位發展部於2024到2027年推出「數位皮夾（Digital Identity Wallet）專案」，提供額外數位驗證管道證明身分，可以收納自然人憑證、健保卡等證件。數發部數位國際司長莊盈志24日透露最新進度，目前數位皮夾的開發告一段落，將推動沙盒測試，除了銀行、保險業者積極參與，也將爭取超商業者加入，力拚今年12月試行版上路，希望未來民眾去超商，手機一掃就能取貨。記者／李琦瑋

未來手機就是皮夾！數位發展部於2024到2027年推出「數位皮夾（Digital Identity Wallet）專案」，提供額外數位驗證管道證明身分，可以收納自然人憑證、健保卡等證件。數發部數位國際司長莊盈志24日透露最新進度，目前數位皮夾的開發告一段落，將推動沙盒測試，除了銀行、保險業者積極參與，也將爭取超商業者加入，力拚今年12月試行版上路，希望未來民眾去超商，手機一掃就能取貨。

[caption id="attachment_165864" align="alignnone" width="1706"] 數發部數位國際司長莊盈志表示，數位皮夾力拚年底試行，希望未來民眾到超商取貨，不用再出示身分證。（圖／記者 李琦瑋攝）[/caption]

數位皮夾是什麼？

數發部在2023年提出「數位皮夾」的概念（全名為分散式數位身分認證與授權系統），並成為「數位創新關鍵基礎建設計畫」的一環，用於日常數位生活的分散式身分系統，核心的2項功能為認證與授權。

數發部提到，如同現實生活，人們可以將自然人憑證、員工證、信用卡、集點卡放進皮夾，數位生活也需要一個皮夾，用於「證明你是誰」與「讓你授權他人」等目的。個人，或是各式公私部門等單位，都可以將自己的憑證放進皮夾，這些證件可以是自然人憑證、信箱帳號、學歷證書等公務用證件，也可以是會員卡、入場券等娛樂需求的兌換券。

延伸閱讀：未來手機就是證件 「數位皮夾」是什麼、台灣何時上路？

數位皮夾的應用場景

莊盈志指出，數位皮夾專案為期4年，正在跨部會溝通，會將民眾使用情境較多的部分，優先納入，包括內政部自然人憑證、經濟部工商憑證，勞動部職業相關的技術證，以及交通部的駕照等等等，但健保卡和後端的醫療系統整合非常緊密，納入難度較高，還再想辦法突破障礙。

莊盈志提到，除了政府單位，也廣邀民間業者參與，讓數位皮夾的應用場景持續擴充，最積極響應的是金融業，主要是銀行、保險業務，需要做KYC身分驗證，若透過數位皮夾，經政府核發證件，有助於減少業者進行KYC的工作量。

另外，莊盈志指出，許多民眾會網購，前往超商取貨時，需要出示身分證等證件，若還要累積會員點數，則須要報出電話號碼，可能會有個資外洩的問題，若能將資訊整合在數位皮夾裡，未來只需要掃一下手機，就能取貨了，應該會非常便民，今年會積極與業者接洽；未來也希望和國際單位接軌，連「國際駕照」都能在手機上申請，不必親自去監理所。

數位皮夾的使用方式

莊盈志提到，數位皮夾的開發，符合國際針對資料保護的加密方法，會透過APP形式使用，個資只會放在自己的手機APP裡；要開啟時，必須經過生物辨識；也非一打開就能用，必須進行單次身份驗證，每一次使用都要選擇此次辦理業務時，需要揭露的資料，如只顯示姓名、住址，讓民眾依照其申辦的業務，只提供必要的資料給對方；單次有效，才能真正確保民眾的資料安全。

推動進度與經費

對於數位皮夾推動進度，莊盈志指出，預計今年3月中下旬，就會於沙盒測試運作情況，12月可推出試行版，開放給民眾下載、讓各界應用。

經費的部分，莊盈志表示，去年耗費約1億元，包括開發程式、手機APP的安全控制、發給合作機關憑證、給金融業等應用端的驗證套件等等，確保民眾提供的資料正確、沒有被竄改，也進行社會溝通，舉辦20多場面向產業、法治和政府單位的座談會，盼取得外界理解與支持，也希望一起合作，發展出符合民眾需求、業者能實際運作的技術。今年則花費幾千萬元，用於建置及輔導各機關。

公告程式碼取信於民

針對外界擔憂的資安問題，莊盈志說，相關安全檢測都會是數發部團隊處理，而且之後會把程式碼完完整整、一字不漏地公告，一來是讓民眾知道，數位皮夾運作過程中，沒有侵犯人權，如追蹤民眾的使用；再來，數發部開發過程已進行嚴謹安全檢測、漏洞查核，難免還是有疏漏，希望開放程式碼後，供民間社群、技術社群檢視，若發現問題，可以回報給數發部，就會立刻去修正，產生一個更加安全的環境。

媒體詢問，此舉是否增加駭客入侵風險？莊盈志說，如果駭客能夠進去，代表有漏洞，那不如公開程式碼，集結眾人力量，強化安全。

※探索職場，透視薪資行情，請參考【科技類–職缺百科】幫助你找到最適合的舞台

這篇文章 超商取貨不用出示身分證？數發部：數位皮夾拚年底試行 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

記者／劉閔 是否曾發現每當自己使用手機搜尋某商品、又或者和朋友通話聊天提及某品牌時，在下一次使用手機的時候就會 …

記者／劉閔

是否曾發現每當自己使用手機搜尋某商品、又或者和朋友通話聊天提及某品牌時，在下一次使用手機的時候就會看到相關內容的廣告出現，由於過於巧合以及頻繁，有不少用戶因此擔心自己的手機被「偷聽」了。對此國外有媒體為了找尋答案，特地使用全新手機來實驗，而最終結果顯示手機受到偷聽根本是無稽之談。

根據外媒報導，為了此項實驗他們特地創造出一個名為「羅賓」的虛擬人物，並且也建立假的臉書帳號。而實驗首先是花費 2 天的時間在 3 隻全新手機旁談論要到歐洲旅遊以及地板裝修的假消息，並且沒有在手機輸入任何資訊以及使用語音助理，結果手機出現的廣告並無出現相關的內容。

資安專家認為，若要透過對行動裝置偷聽的方式而取得所需的資訊根本很難辦到，因為最基本的如果一次要紀錄數以百萬計使用者所有對話，那將要耗費極大的資源與金錢，也沒有那個價值。他反而認為根本不用對行動裝置進行偷聽，也有辦法獲得所需的全部資訊。

他表示在某種程度上手機的確也一直處於被偷聽狀態，例如許多 App 透過語音訊息搜尋後，能藉由演算法來進行相關的廣告推播。另外也包含手機定位，只要沒徹底關閉定位功能，用戶所到之處只要開啟瀏覽器或應用程式，那也有很高機率出現與周遭環境相關的廣告資訊等。

專家認為真正的風險主要都來自於用戶誤點擊或下載到流氓軟體所致，因為這種軟體可能會要求允許使用攝影鏡頭以及麥克風的權限，而這類型的網路攻擊往往讓使用者個資與隱私處於外流風險，建議停止授權相關功能給 APP，才能有效抑止大部分監聽。

這篇文章 ­­­懷疑手機被偷聽？外媒實測機率低 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

記者／劉閔 在日前有報導指出 Google Pixel 手機內的截圖編輯工具不安全，有可能會讓用戶洩露個人隱私 …

記者／劉閔

在日前有報導指出 Google Pixel 手機內的截圖編輯工具不安全，有可能會讓用戶洩露個人隱私，而這項被稱為「aCropalypse」的漏洞近日無獨有偶在 windows 10 和 windows 11 的作業系統上也發現存在同樣的 Bug。只要當用戶裁剪截圖並保存，被裁剪的敏感信息並無完全刪除，而駭客便可通過簡單代碼還原其內容，讓用戶隱私再度受到威脅。

根據微軟官方表示，這是經由用戶使用在微軟應用商店下載的 Snipping Tool 截圖工具，當截圖後點擊儲存，若之後對照片進行裁剪和編輯並行使覆蓋原檔案儲存，恐怕會因此受到此漏洞影響，導致裁切與塗抹過後的原檔被破解，而當中可能包含的人名、地址、帳號與信用卡較敏感資訊等被儲存成 PNG 格式的圖片很容易被有心人士還原圖檔，進而產生個資外洩的情形。

對於這項錯誤，微軟表示若有有心人士想要成功盜取資訊，需要使用罕見的使用者互動和攻擊者無法控制的幾個因素，意指有相當的困難度。另外當檔案完成建立後，只要不公開共享，那麼被利用的風險與嚴重性就相對降低。

但即使如此微軟仍然對此事件快速做出修正，並且在微軟的應用商店 Microsoft Store 釋出修補上述資安漏洞的更新版本，建議用戶可以自行下載安裝，讓用戶的電腦可以避免受到影響。

至於在這修補更新檔之前，有曾經使用 Snipping Tool 截圖工具並遭受到有心人士利用該漏洞還原竊取資訊的受災戶有多少，目前尚未有完整的統計數據。

這篇文章 ­­­Windows截圖修改曝漏洞　微軟：威脅低已推更新修復 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 在全美16個州，營運近80家的社區衛生系統集團（CHS）於本周證實，由於資安供應商Fortra提 …

編譯／鄭智懷

在全美16個州，營運近80家的社區衛生系統集團（CHS）於本周證實，由於資安供應商Fortra提供的MFT系統GoAnywhere出現安全漏洞，駭客利用其入侵公司資料庫，並竊取約100萬名病患的個資。

社區衛生系統集團在提交美國證券交易委員會（SEC）的通報文件中指出，雖然攻擊事件尚在調查中，但是Fortra的違規行為並未對公司的資訊系統，以及具體營運（包含提供病患的醫護服務）造成任何實質性干擾。

該公司提到，除了通報受影響的客戶與監管機構外，還將為受害客戶提供身份盜用保護服務。此外，雖然相關保險不一定能彌補在本起攻擊事件的直接與間接損失，但公司整體的業務、營運與財務績效不會因此而出現重大不利發展。

社區衛生系統集團的通報文件和對外公開發言並未說明外流資料的類型，或是攻擊者身分等相關訊息。但是各界認為最有可能的攻擊者是俄羅斯勒索集團Clop。該集團在稍早聲稱其利用GoAnywhere的安全漏洞─目前被命名為CVE-2023-0669，竊取130 多個組織的資料。

耐人尋味的是，至本文截稿前，Clop卻並未為其說法提供任何有關證據。在該集團官網上也沒有出現Fortra 或 GoAnywhere的相關訊息。

資安公司Huntress則認為，利用GoAnywhere安全漏洞展開大規模入侵活動的攻擊者應該是另一個名為Silence的駭客組織。該組織至少在2016年開始活躍，主要使用Clop所開發的同名勒索軟體，並且可能與被稱為 TA505 的組織有所聯繫。

為了控制GoAnywhere出現安全漏洞的破壞與損失擴大，Fortra於美東時間時間 2 月 7 日發布了一個緊急補丁—7.1.2 版，並呼籲所有 GoAnywhere 客戶盡快更新，修復程式漏洞。

資料來源：SEC、TechCrunch、Huntress

這篇文章 <a>俄羅斯駭客入侵美國大型醫療集團 </a>上百萬病患個資外流 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯 / 龔鈺翔 身份竊盜資源中心（Identity Theft Resource Center,ICRT）在 …

編譯 / 龔鈺翔

身份竊盜資源中心（Identity Theft Resource Center,ICRT）在2022年跟蹤的紀錄1802起違規事件中，就有66%的通知缺乏關於攻擊和受害者的細節，身份竊盜資源中心總裁兼執行長Eva Velasquez與Better Identity Coalition：「數億人對發生在他們身上的事情一無所知，更重要的是，他們實際可以做些什麼」。Grant Thornton詐欺風險緩解的高階經理James Rutolo說：「如果您的銀行卡號或是帳號被盜，應該採取一些措施，在我看到的大部分違規通知中，這些訊息都沒有傳達」。

根據ICRT報導中，2022年的資料洩漏影響大約4億人、1802起違規事件，僅比2021年少了60起。推特在報告名單上分別排在第1位和第6位，在2022年的12月疑似違規有2.2億受害者，11月約有550萬名受害者，與之前報導的2021年推特API違規有關，但是推特堅稱沒有證據表明涉及2.2億受害者的資料洩漏。

國際交易委員會將去年入侵事件的略少於2021年，歸根於俄羅斯網路犯罪分子被俄烏戰爭分散注意力，幾位網路安全專家也提出了這個說法，國際交易委員會報告還指出，網路犯罪分子正從零時差攻擊轉向研究API漏洞，最近Ｔ-Mobile的漏洞影響了多達3700萬消費者。

目前美國各州的資料洩漏法五花八門，其中很多都不要求提供受害者的資訊，而美國聯邦貿易委員會一直在追查那些掩蓋違規行為的公司，例如去年CafePress隱瞞多起違規行為，該委員會命令CafePress採取新的安全協議。

資料來源：CYBERSCOOP

這篇文章 2022年個資外洩  4億受害者不知被盜 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

美國第二大醫院衛生系統「共同精神健保」（CommonSpirit Health）在上周五（11月9日）證實，由 …

美國第二大醫院衛生系統「共同精神健保」（CommonSpirit Health）在上周五（11月9日）證實，由於10月遭逢勒索軟體攻擊，超過62萬名病患資料因此外洩。該公司已通知執法部門，但尚不清楚發起攻擊的駭客或組織的身分。

《TechCrunch》指出，在全美21個州經營著700多個護理點和142家醫院的「共同精神健保」於10月5日確認公司系統出現資安問題，導致多家醫療機構的營運被迫停止，包含手術在內的重大醫療行為因此遭到推遲。該公司在第一時間並未對攻擊事件多作評論，並拒絕透露病患的個資與醫療紀錄是否已經外洩。

「共同精神健保」在上週五的公告明確指出該攻擊事件屬於勒索軟體攻擊，且攻擊者早在9月中旬即入侵系統，獲得「共同精神健保」旗下的醫療單位Franciscan Health的病患個資。該公司進一步提到，目前尚無任何證據表明有任何因本起攻擊事件而外洩的個資被第三方濫用。

雖然「共同精神健保」的公告並未提及有多少病患個資遭到外洩；但根據美國衛生與公共服務部（Department of Health and Human Services）醫療資料外洩統計網站統計，有623,774 名病患的個資與醫療紀錄在本起攻擊事件外洩。

「共同精神健保」的發言人Chad Burns表示，公司發現系統遭到勒索軟體攻擊後，即迅速採取保護系統的措施，並展開調查，以及維持醫療體系的運轉。同時，公司已通報執法單位，並配合相關調查。假使安全無虞，系統將增添更多的資安工具重新恢復連線。

據資安公司Emsisoft 的分析師 Brett Callow觀察，截至2022年為止，至少有15個在全美營運著61家醫療單位的美國衛生系統受到勒索軟體攻擊；其中最少有12 起攻擊事件涉及個人健康資訊在內的個資遭到洩露。

（編譯／鄭智懷）

資料來源：TechCrunch

這篇文章 美國醫衛系統遭勒索軟體攻擊　逾62萬名病患資料被盜 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

澳洲第二大電信公司 Optus 報告了一次網絡攻擊。而這次的攻擊暴露了客戶的姓名、出生日期、電話號碼和電子郵件 …

澳洲第二大電信公司 Optus 報告了一次網絡攻擊。而這次的攻擊暴露了客戶的姓名、出生日期、電話號碼和電子郵件地址。

這家擁有超過一千萬用戶的公司表示，他們已經解決了這次攻擊，但駕駛執照和護照號碼等其他細節已經被駭客得手。Optus也表示，支付數據和帳號密碼沒有被洩露。

根據BBC報導，該公司表示將通知那些處於「高風險」的人，但所有客戶都應該檢查他們的帳號。

Optus首席執行長Kelly Bayer Rosmarin 在 ABC 電視上向其客戶道歉。她表示，姓名、出生日期和聯繫方式已經被洩露，「在某些情況下」可能還有駕照號碼，在「極少數情況下」護照和郵寄地址也被洩露了。

注意到「異常活動」後，該公司通知了澳洲聯邦警察。而調查人員正試圖「了解誰在訪問數據以及出於什麼目的」。根據其網站上的一份聲明，Optus「正在與澳大利亞網絡安全中心合作，以減輕對客戶的任何風險」。Optus 也向主要金融機構通報了此事。

Optus 表示：「雖然我們不知道客戶受到何種傷害，但我們鼓勵客戶提高有關他們帳戶的安全意識，包括注意異常或欺詐活動，以及任何看似奇怪或可疑的通知」。Rosmarin 女士表示，以防萬一，公司已將所有客戶置於高度戒備狀態，但許多客戶還是感到擔憂。

卡巴斯基網絡安全研究員David Emm告訴 BBC ：「他很高興看到 Optus 表示將一一聯繫那些他們認為可能受到影響的人，並讓客戶清楚知道，透過電子郵件或 SMS發送的消息都是假的。沒有密碼或支付訊息被盜取的確認訊息也讓人稍微安心」。

但Emm 也表示：「儘管如此，客戶應該對他們看到的任何欺詐活動保持警惕，並應該使用獨特、複雜的密碼，和使用雙重身份驗證來保護他們的在線帳號」。（記者／莊閔棻）

參考資料：BBC

這篇文章 澳洲電信公司受網絡攻擊 用戶個資遭洩漏 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

三星在7月底遇到的網絡安全漏洞，暴露了美國部分客戶的個人訊息。三星電子表示，他們正在進行調查以確定有哪些客戶的 …

三星在7月底遇到的網絡安全漏洞，暴露了美國部分客戶的個人訊息。三星電子表示，他們正在進行調查以確定有哪些客戶的個人訊息受到影響。

三星初步調查指出，客戶的社會安全號碼和信用卡號碼沒有受到影響，但包括姓名、聯繫方式和人口統計詳細內容、出生日期和產品註冊數據等在內的訊息被洩露。目前尚不清楚有多少客戶受到影響。 三星沒有立即做出回應。

三星表示：「2022 年 7 月下旬，未經授權的第三方從三星的美國系統中獲取了訊息。我們已採取行動保護受影響的系統，並聘請了一家領先的外部網絡安全公司，並正在與執法部門進行協調。」

三星進一步指出，每個客戶被洩漏的數據類型可能會有所不同。目前正在聯繫受影響的客戶。（記者／莊閔棻）

參考資料：Reuters、itnews                                      

這篇文章 美國用戶個資外洩  三星涉資安問題 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。