這起跨國資安事件始於2025年11月,當時酷澎南韓總部爆發個資外洩,數產署第一時間便介入要求酷澎台灣說明。然而在長達3個月的追蹤期間,酷澎台灣多次以「委託第三方資安公司調查中」為由,對外聲稱並無證據顯示台灣用戶受到影響,並強調台、韓兩地的資料庫存有區隔。
直到今年2月10日,南韓官方調查結果出爐,指出攻擊者早已聲稱台、日、韓用戶皆受波及,酷澎台灣才於2月23日向政府通報,證實確實有台灣用戶的資料遭到非法存取。
根據數發部的最新調查顯示,這起事件的攻擊者竟是酷澎南韓的離職員工,其手法是利用手中持有的「備援金鑰」偽造客戶登入驗證,進而擷取用戶資料。調查小組更戳破了酷澎台灣原先的說法,發現雖然台韓資料庫看似獨立,實際上卻共用同一組金鑰,且公司並未在員工離職後即時刪除權限或定期更換金鑰,才讓離職人員有機可乘。
第三方資安鑑識報告指出,攻擊者透過2千多個不同IP,成功接觸到20萬4,552名台灣用戶的個資,外洩範圍涵蓋姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄。
數發部副署長黃雅萍表示,儘管相關威脅已暫時止血,但針對酷澎台灣管理缺失及資訊透明度不足的部分,政府將在統整鑑識報告與各項事證後,依法律程序辦理後續裁處,詳細罰鍰金額將待進一步審議。數產署預計將於3月5日左右發布更完整的詳細調查報告,以釐清所有權責並督促業者完成資安優化管理。
