金融科技巨頭Figure遭社交工程攻擊,客戶資料外洩
區塊鏈借貸公司Figure確認遭駭客攻擊,員工受騙導致客戶資料外洩。駭客組織ShinyHunters公布2.5GB資料,凸顯單一登入系統風險。
一封看似無害的電子郵件,讓區塊鏈借貸巨頭Figure Technology的數百萬客戶個資陷入危機。
2月13日,這家以區塊鏈技術為基礎的借貸公司證實遭受資料外洩攻擊。公司發言人艾麗西婭·賈迪克表示,駭客透過社交工程攻擊欺騙員工,成功竊取「有限數量的檔案」。
駭客組織公開施壓:拒付贖金的代價
知名駭客組織ShinyHunters隨即在暗網上承認犯行,聲稱Figure拒絕支付贖金,因此公開了2.5GB的竊取資料。外洩資訊包括客戶全名、住址、生日和電話號碼等敏感個資。
更令人擔憂的是,這起攻擊並非孤立事件。ShinyHunters成員透露,Figure是針對使用單一登入服務商Okta企業的大規模攻擊行動受害者之一。同一波攻擊還波及哈佛大學和賓州大學等知名機構。
單一登入的雙面刃困境
這起事件揭示了現代數位金融服務的核心矛盾:為了提升效率和用戶體驗而採用的單一登入系統(SSO),反而成為「單點故障」的風險來源。
當Okta這類身份驗證平台遭到攻擊時,所有依賴該系統的企業都可能受到影響。對金融科技公司而言,這種集中化風險特別危險,因為客戶對金融服務提供商的信任度要求極高。
亞洲金融科技的警鐘
對於亞洲地區的金融科技業者來說,Figure事件提供了寶貴的教訓。無論是螞蟻集團、騰訊金融,還是台灣的玉山銀行數位服務,都面臨類似的資安挑戰。
特別值得注意的是,這次攻擊並非透過複雜的技術手段,而是利用社交工程技巧欺騙員工。這提醒我們,再先進的技術防護都無法完全取代人員的資安意識訓練。
在監管日趨嚴格的環境下,亞洲各國政府對金融科技公司的資料保護要求越來越高。中國大陸的《個人資訊保護法》、台灣的《個資法》,以及新加坡的資料保護法規,都對違規企業施以重罰。
信任重建的漫長道路
Figure承諾為受影響客戶提供免費信用監控服務,但資料外洩的影響往往持續數年。個人資料一旦外洩就無法收回,可能被用於身份盜用、詐騙或其他犯罪活動。
更深層的問題是,當資料外洩成為「新常態」時,金融服務業的商業模式是否需要根本性改變?客戶是否還願意為了便利性而承擔個資風險?
相關文章
美國國防部正式確認:敵對勢力利用商業位置數據追蹤戰場士兵。參議員警告廣告科技產業已成「國家安全威脅」,數據經濟的隱患首次在軍事層面公開曝光。
開源框架Starlette驚爆重大漏洞,影響全球數百萬AI代理伺服器。MCP協議的認證憑證面臨竊取風險,企業與開發者應如何因應?深度分析。
從「說句好話就能破防」到需要深度技術知識的複雜攻擊,AI安全漏洞的演化揭示了一個更深層的問題:我們究竟在保護什麼?
從巴黎到台北,政府級間諜軟體攻擊記者與社運人士的事件頻傳。Apple、Google、Meta提供的免費防護功能,你啟用了嗎?本文帶你看清這場不對稱的數位戰爭。
觀點
分享您對這篇文章的看法
登入加入討論