(觀傳媒編輯中心)【記者郭嘉 / 綜合報導】近期韓國科學技術情報通信部公布針對酷澎入侵事故的調查結果,引發電子商務資安治理議題的廣泛關注。酷澎台灣亦於2026年2月24日針對此事件發布最新聲明,說明了詳細調查進展。
根據調查報告內容,本次事故發生於2025年4月至11月間,攻擊者透過利用使用者認證體系,偽造或變造電子通行證,在未經正常登入程序的情況下非法存取使用者資料。調查團指出,攻擊者為曾參與使用者認證系統開發的軟體工程人員,離職後仍持有相關簽名金鑰資訊,並將其儲存於個人設備中。
酷澎台灣在聲明中確認,本事件係由一名酷澎韓國前員工針對酷澎及其客戶所實施的犯罪行為。酷澎的立場始終是呼籲將該名前員工繩之以法,並依法追究其所有法律責任。
就台灣用戶所受影響而言,酷澎台灣委任之鑑識與資安專家Mandiant的調查顯示,該名前員工的未授權行為亦包含接觸了約20萬個酷澎台灣帳號的用戶資料;其中,經鑑識分析識別出該名前員工實際儲存的資料,僅包含1個酷澎台灣用戶帳號的資料。
事故外洩規模方面,調查團透過網頁及應用程式連線記錄分析,確認包括「資料修改頁面」、「配送地址清單頁面」以及「訂單查詢頁面」等多個服務介面曾遭非法存取。資料類型主要涵蓋使用者姓名、電子郵件、電話號碼、住址以及部分訂單資訊。
根據酷澎台灣官方聲明,第三方鑑識專家確認本次事件遭接觸的資料僅限姓名、電郵、電話、配送地址等基本聯絡資訊,財務資料、密碼及身分證件均未受波及。前員工實際儲存的資料範圍極為有限,相關設備已全數追回並完成鑑識分析,資料亦已刪除。多家資安公司持續監控各平台,迄今未發現任何資料遭濫用或外流的跡象,韓國警方亦得出相同結論。前員工所使用的系統存取管道已於2025年11月完成封堵,不再構成風險。
酷澎在本事件發生後已配合官方調查程序提供硬碟設備與相關數位證據資料,並接受數位鑑識分析。調查團亦確認,攻擊者曾於正式攻擊前進行測試性存取行為,顯示該事件存在長期準備階段。儘管外界對事件規模感到擔憂,但官方報告並未認定企業存在惡意隱匿資安風險之情況。
酷澎台灣表示,在收到調查發現後均立即通知數位發展部。數位發展部的指導與務實立場,使全球鑑識與資安專家得以完整進行本次調查,對於迅速且準確釐清上述重點發現發揮了關鍵作用。
在監理層面,國內知名法政策學者、高雄大學前法學院院長廖義銘教授指出,本次事件凸顯大型電商在內部資安治理與權限控管上的制度性挑戰。廖義銘認為,監管機關在評估個資外洩事件時,不應僅關注資料種類或是否造成實際損害,而應同時審視企業是否建立有效的監控與事故通報機制。
酷澎台灣表示,為展現對台灣市場的重視與對用戶體驗的承諾,將推出用戶回饋方案,整體價值超過新台幣2億元。符合條件之客戶,將可獲得總價值新台幣1,000元的酷澎購物折價券。酷澎台灣將主動通知符合條件之客戶。未來也將持續依循台灣相關法令,強化服務流程與用戶溝通機制。
