金融科技巨頭Figure遭社交工程攻擊，客戶資料外洩

區塊鏈借貸公司Figure確認遭駭客攻擊，員工受騙導致客戶資料外洩。駭客組織ShinyHunters公布2.5GB資料，凸顯單一登入系統風險。

一封看似無害的電子郵件，讓區塊鏈借貸巨頭Figure Technology的數百萬客戶個資陷入危機。

2月13日，這家以區塊鏈技術為基礎的借貸公司證實遭受資料外洩攻擊。公司發言人艾麗西婭·賈迪克表示，駭客透過社交工程攻擊欺騙員工，成功竊取「有限數量的檔案」。

駭客組織公開施壓：拒付贖金的代價

知名駭客組織ShinyHunters隨即在暗網上承認犯行，聲稱Figure拒絕支付贖金，因此公開了2.5GB的竊取資料。外洩資訊包括客戶全名、住址、生日和電話號碼等敏感個資。

更令人擔憂的是，這起攻擊並非孤立事件。ShinyHunters成員透露，Figure是針對使用單一登入服務商Okta企業的大規模攻擊行動受害者之一。同一波攻擊還波及哈佛大學和賓州大學等知名機構。

這起事件揭示了現代數位金融服務的核心矛盾：為了提升效率和用戶體驗而採用的單一登入系統（SSO），反而成為「單點故障」的風險來源。

當Okta這類身份驗證平台遭到攻擊時，所有依賴該系統的企業都可能受到影響。對金融科技公司而言，這種集中化風險特別危險，因為客戶對金融服務提供商的信任度要求極高。

對於亞洲地區的金融科技業者來說，Figure事件提供了寶貴的教訓。無論是螞蟻集團、騰訊金融，還是台灣的玉山銀行數位服務，都面臨類似的資安挑戰。

特別值得注意的是，這次攻擊並非透過複雜的技術手段，而是利用社交工程技巧欺騙員工。這提醒我們，再先進的技術防護都無法完全取代人員的資安意識訓練。

在監管日趨嚴格的環境下，亞洲各國政府對金融科技公司的資料保護要求越來越高。中國大陸的《個人資訊保護法》、台灣的《個資法》，以及新加坡的資料保護法規，都對違規企業施以重罰。

Figure承諾為受影響客戶提供免費信用監控服務，但資料外洩的影響往往持續數年。個人資料一旦外洩就無法收回，可能被用於身份盜用、詐騙或其他犯罪活動。

更深層的問題是，當資料外洩成為「新常態」時，金融服務業的商業模式是否需要根本性改變？客戶是否還願意為了便利性而承擔個資風險？