區塊鏈借貸巨頭Figure遭駭，近百萬客戶資料外洩

當97萬筆個人資料一夕間被駭客竊取，這不只是數字遊戲，而是金融科技產業面臨的嚴峻現實。

區塊鏈借貸平台Figure上週承認遭受資料外洩攻擊，但當時僅表示「有限數量的檔案」被竊。如今真相大白：安全研究員Troy Hunt分析駭客公布的資料後發現，外洩資料包含967,200個獨特電子郵件地址，以及客戶姓名、出生日期、住址和電話號碼等敏感資訊。

駭客集團的勒索手法

網路犯罪集團ShinyHunters向TechCrunch承認發動此次攻擊。該集團在其「洩密網站」上公布了聲稱從Figure竊取的2.5GB資料，這是一種典型的勒索手法：先攻擊企業系統，再要求贖金，如果企業拒絕支付就公開資料羞辱受害者。

Hunt是知名資料外洩通報網站「Have I Been Pwned」的創辦人，他的分析揭露了Figure最初聲明的不完整性。企業往往在資料外洩初期低估損害規模，這種「漸進式揭露」已成為資安事件的常見模式。

新興金融科技的資安盲點

Figure標榜運用區塊鏈技術提供創新借貸服務，但這起事件暴露了金融科技新創的結構性弱點。相較於傳統銀行擁有數十年建立的多層防護體系，新興金融科技公司往往優先考慮產品開發速度和用戶體驗，資安投資可能相對不足。

更值得關注的是，ShinyHunters等專業駭客集團正將目標轉向金融科技企業。這些公司握有大量個人金融資料，卻可能缺乏傳統金融機構的嚴密防護，成為駭客眼中的「軟目標」。

亞洲金融科技市場的警示

對於亞洲快速發展的金融科技生態系統而言，Figure事件具有重要警示意義。從新加坡的數位銀行到香港的虛擬資產交易平台，再到台灣的行動支付服務，整個區域的金融創新都建立在數位基礎之上。

特別是在中美科技競爭的背景下，亞洲金融科技公司面臨雙重挑戰：既要在創新上保持競爭力，又要確保資料安全符合各國日益嚴格的監管要求。香港和新加坡等金融中心正加強對金融科技公司的資安監管，台灣的《個人資料保護法》也對資料外洩訂定嚴厲罰則。