商傳媒|吳承岳/台北報導
駭客組織「tbabi」(亦稱 Anka Red Team)聲稱已竊取並外洩日本全家(FamilyMart)逾2150萬筆紀錄,其中包括企業企劃、支付相關、合約文件、員工資訊、交易紀錄及廣告商/代理商資料等高度敏感的商業數據。此消息由 Dark Web Informer 於上週五(5月22日)在暗網論壇觀察到後,並於上週六(5月23日)在社群媒體X上發布報告。
根據《innovaTopia》報導,此次聲稱外洩的數據性質偏向企業對企業(B2B)的營運資料,暗示駭客可能已入侵全家總部或核心業務系統,而非針對消費者資料庫。然而,截至本新聞發布,全家尚未證實此資料外洩事件,相關資訊仍屬於駭客單方面的主張。
報導指出,全家是日本第二大連鎖便利商店,截至今年4月30日,在日本境內擁有16,421家門市,並由伊藤忠商事(Itochu Corporation)全資持有。便利商店業態已逐漸演變為「生活基礎設施」,整合了支付平台、點數經濟圈及行政服務等功能,使得其數據安全顯得更加重要。
過往全家也曾發生資料外洩事件,包括2003年「FamiPort Club」會員服務約18萬筆個人資料外洩,以及2023年因加盟公司筆記型電腦遭竊導致部分工讀生資料可能外洩。儘管資安威脅層出不窮,但關於此次聲稱發動攻擊的「tbabi(Anka Red Team)」,國際網路威脅情資界對其過往實績和攻擊手法了解有限。
面對此類未經證實的暗網資料外洩聲稱,資安專家呼籲企業及個人應保持警惕。即使聲稱可能為假,若輕忽警戒,一旦事件屬實,恐將導致損害擴大。《innovaTopia》評論表示,「持續事實查證」與「為最壞情況預做準備」是當今網路風險應對的基本原則。對於台灣企業而言,這起事件再度凸顯資料保護的重要性,應審視內部資安防護措施,尤其針對核心商業系統的入侵風險,並定期演練應變計畫,以降低潛在資安衝擊。
依據日本已於2022年4月全面實施的《個人情報保護法》修訂案,若發生可能損害個人權益的資料外洩,個人情報保護委員會(Personal Information Protection Commission)要求相關個人資料處理者必須向其報告並通知受影響的個人。
