全支付早被駭客盯上？盜刷前1機密已流入暗網販售　一文揭電子支付金流漏洞

近期一名用戶在社群上控訴，自己使用foodpanda外送平台綁定全支付與銀行帳戶扣款，竟在短時間遭盜刷20多筆，損失金額達8萬元以上，且稱沒有點任何不明連結，另有網友指出，全支付此次盜刷事件發生後，已有使用者資料遭放上暗網販售，該貼文迅速引起大量網友議論資安疑慮，全支付對此已發表最新回應，指出「暗網販售使用者資料」不符事實，同時也強調絕不會以任何理由要求民眾提供帳號密碼、信用卡資料或驗證碼，呼籲若發現帳戶異常應盡速與發卡銀行與客服聯繫。不過事實上，全支付早在今年7月就被踢爆發資安問題，電子支付系統遭駭客入侵也非首例，本文帶您深入了解！

全支付帳密外洩疑雲再起？駭客暗網兜售憑證引專家震驚

其實早在今年7月，全支付曾傳出測試平台的管理員帳號與密碼遭外洩，據《Ithome》指出，根據資安專家追蹤，在深網論壇上，一名駭客宣稱掌握全支付後台帳密，並以加密貨幣「門羅幣」為交易方式販售，貼文附有後台登入介面截圖及部分帳號名稱，如「joe」「hana_jiang」「qa_tool」等。經專家比對後發現，部分帳號包含「UAT」字樣，疑似為測試環境，全支付當時回應「已確認為測試環境，未涉及用戶個資」，並強調資安團隊完成防禦強化。

當時有匿名資安研究員警告，測試環境如未設IP白名單限制，任何開放的登入頁面都可能被自動化掃描工具鎖定：「只要弱密碼被突破，就等於打開金流系統的後門。」他指出，全支付若未採多因素驗證或紅隊演練，就難以阻擋類似攻擊再度發生。

全支付資安問題只是冰山一角？看Wiseasy事件揭示的全球性警訊

電子支付平台遭駭已非個案，2022年，新加坡總部的支付終端商Wiseasy亦爆出重大資安醜聞，根據Buguard公司調查，Wiseasy的員工帳密被惡意軟體竊取並放上暗網販售，導致駭客可輕易登入後台、操作超過14萬個支付終端設備，更嚴重的是，該平台竟未設置雙重驗證機制，此事凸顯電子支付產業的結構性弱點：為求系統便捷與快速維運，企業常將測試環境與生產系統架構共用；一旦測試帳密外洩，就如同給了駭客一把「預備鎖匙」，在全支付、Wiseasy兩起事件中，攻擊者皆利用這類防護薄弱之處，取得後端金流或憑證資料。

專家指出：「駭客的目標其實不是消費者的個資，而是平台的金流通道，只要能操控交易機制，就能偽造付款或轉移資金。」這種入侵手法已在亞太地區多起案例中出現，顯示支付安全正在成為新世代金融戰場的核心問題。 （相關報導： 學霸林睿庠怎麼玩壞暗網帝國？誤信駭客炒幣慘賠！貪婪勒索「這群人」毀掉自己 ｜ 更多文章 ）

全支付該如何補洞？資安專家提五大防線觀察

據資安專家分析，電子支付平台在測試與正式系統間常出現安全盲點：第一，測試平台若未鎖定來源IP，就容易被網路掃描工具如Shodan發現；第二，通用密碼習慣（如admin123）仍常見於測試帳號；第三，多因素驗證未普及，一旦帳密外洩即失守；第四，缺乏滲透與紅隊演練，使企業無法預先察覺風險；第五，過度依賴外包工程團隊，增加管理層級混亂風險。這些漏洞疊加，使平台在面對釣魚網站或惡意登入攻擊時更加脆弱。專家坦言：「測試環境沒有真實客資，但卻有真實風險。」這句話道盡金融科技業在創新與防護間的艱難取捨。

針對此次盜刷風暴使用者資料外洩，全支付怎麼回應？

盜刷風暴延燒後，對於有網友於社群平台發表全支付使用者資料遭放上暗網販售一事，全支付已做出回應，詳細聲明如下：​

全支付嚴正聲明：請注意近期網路各種詐騙行為，全支付消費者資料安全無虞，針對部分社群不實言論將保留法律告訴權。

近日社群網路出現多則不實貼文及未經查證的言論（包括Threads 平台帳號 @bestpika 所發布內容），對全支付品牌進行不負責任之詆毀行為。全支付電子支付股份有限公司在此嚴正澄清：

相關貼文內容並非事實（例如所謂暗網銷售相關個資，經每筆查詢皆為各種個資拼湊而成，錯誤百出，例如有男性資料身分證第一碼為2者，所謂資料身分證號碼與個資實際無關，另資料部分顯示為簡體字等等），以上種種對本公司及員工名譽造成不當損害，同時提醒轉載不實暗網銷售相關個資可能已構成犯罪行為，針對全支付之不實言論部分本公司已載取相關社群畫面將保留依法進行告訴之權利，呼籲社群已轉載人員立即刪除相關文字，也呼籲外界勿再散播、轉傳或引用不實資訊，以免觸法。

同時，針對近期媒體報導之「詐騙事件」，全支付亦特此說明： 


該事件為外部詐騙集團近期假冒多家知名品牌或金融機構名義，製作極為相似的「釣魚網站」或傳送假活動連結，引導民眾輸入個資、OTP 驗證碼或信用卡資料，進而造成盜刷等損失。此事件與全支付系統安全無關，更非全支付資料外洩所致。

目前全支付整體系統運作正常，內部資安防護機制穩健，並無任何資料外洩情形。用戶的帳戶資料、交易資訊及個資均受到嚴格加密與監控保護，資金安全無虞。全支付對於外界不實訊息深感遺憾，也再次呼籲民眾務必提高警覺。詐騙案件層出不窮，已非少數個案，而是整體社會的資安挑戰。詐騙手法日新月異，常以「官方活動」、「限時優惠」、「帳號異常通知」等名義誘使民眾上當。 另籲請政府相關主管部門、電訊機構對企業通報之假網址停權、停網連接請求完成之工作時間應予即時，以減降受害被詐騙之機率。

全支付提醒社會大眾：

1. 切勿點擊可疑連結，請確認網址是否為品牌官方網站或 App。
2. 請勿提供任何個資或驗證碼（OTP） 給未經查證之陌生來源。
3. 若發現疑似詐騙行為，請立即撥打 165 反詐騙專線或報警處理。
4. 如已提供資料或遭盜刷，請儘速聯繫發卡銀行與遭偽冒單位官方客服，以利後續協助。

全支付再次鄭重聲明： 


全支付電子支付股份有限公司及各官方單位，絕不會以任何理由要求民眾提供帳號密碼、信用卡資料或驗證碼。請社會大眾遇到疑似詐騙情形時，務必謹慎查證，以守護自身權益與資金安全。

全支付將持續與主管機關及警方密切合作，強化用戶資安防護，並打擊詐騙集團，為全民打造更安全、可信賴的行動支付環境。