最近幾週我們追蹤資安事件的時候,看到一則新聞特別值得拆給台灣中小企業老闆看:南韓電商龍頭酷澎(Coupang)公告,3,367 萬筆用戶個資外洩,這個數字超過南韓總人口的一半。更刺眼的是這次撕開漏洞的角色:竟然是一位曾經參與設計用戶身份驗證系統的離職工程師。
這位工程師靠著一把沒被回收的簽章金鑰,在離開公司之後仍然替自己生成可用的權杖,連續存取系統長達五個月。從 SOC 的角度看像是「合法用戶登入」,警報從頭到尾沒響過。
事件不只在韓國延燒。根據 iThome 整理的數發部調查結果,台灣有超過 20 萬戶用戶被波及,外洩個資包含姓名、Email、手機、地址、部分訂單紀錄等五類,數發部更直接認定酷澎在台有四大缺失,可依個資法重罰。
換句話說,這不是一則跨海的「他家的事」。它直接波及了台灣消費者的個資,也讓任何在台灣養 IT 系統的中小企業都該停下手邊工作,回頭檢查一件最樸素的事——我們公司的離職員工權限到底回收乾淨了沒?
酷澎韓國 3,367 萬筆個資外洩:從 11/17 發現到 38 天後才承認的時間軸
先把這次事件的事實基準擺出來。酷澎是南韓最大的電商,俗稱「韓國亞馬遜」,由軟銀願景基金推動在紐約掛牌,市值最高曾衝破 600 億美元。
這次外洩來自一名前員工的「內鬼」操作。但更難看的是事件揭露的節奏——公司一開始試圖把規模壓到 3,000 人,整整兩天後才回報主管機關,最後在外部鑑識公司 Mandiant 介入下,才完整承認真實規模是 約 3,367 萬筆(後再上修到 3,750 萬筆),剛好是最初公告的一萬倍。
事件完整時間軸
時間點 | 發生什麼事 | 責任歸屬 |
|---|---|---|
2025-04 | 離職工程師開始用留存的簽章金鑰偽造權杖,連續存取用戶 DB | 離職權限回收機制無效 |
2025-11-17 16:00 | 酷澎內部資安團隊偵測到異常存取,初估僅 4,500 帳號 | 偵測延遲 5 個月 |
2025-11-19 21:35 | 延宕約 53 小時後才向韓國個資保護委員會通報 | 違反 24 小時通報規定 |
2025-12-01 | 公開承認外洩規模 3,367 萬筆,超過南韓總人口一半 | 初期淡化 → 危機公關信任崩盤 |
2025-12-23 | 執行長公開致歉並請辭,韓國警方搜索酷澎首爾辦公室 | 美國投資人集體訴訟同步啟動 |
2025-12-29 | 公告投入約 1.69 兆韓元(約 11.8 億美元)做用戶補償 | 發折價券,台灣用戶同步發放 |
2026-02 | 第三方鑑識證實台灣逾 20 萬戶個資遭非法存取 | 我國數發部認定 4 大缺失可依個資法重罰 |
韓國個資保護委員會(PIPC)後續開出 6,246.8 億韓元(約 4.56 億美元) 的罰款,罰的理由寫得很清楚——是「安全管理不善」,而非「被駭得運氣差」。這個區別非常重要。
罰的不是運氣不好被打中,是當你被打中之後才被發現「離職員工權杖沒回收」、「24 小時通報線形同虛設」、「補強動作慢半年」這三件早該被內控擋掉的事。
為什麼台灣 20 萬戶會被牽連:跨境電商的個資資料常識
很多老闆第一個反應是「酷澎不是只服務韓國嗎?台灣的個資怎麼會在裡面?」答案要從跨境電商的個資資料常識說起。
酷澎於 2024 年正式進軍台灣市場、由韓國總部統一營運,所有台灣用戶註冊資料、出貨地址、訂單紀錄都同步寫進首爾的核心資料庫。也就是說,台灣用戶就算在 iPhone 上看到的是繁體中文介面,背後的儲存層仍然是韓國總部那一套——離職員工撈到的 DB 裡,自然就有台灣消費者的個資。
根據 數位時代統計,韓國公平交易委員會甚至討論「勒令停業」的最高刑度,這在韓國電商史上是首見。
對台灣這邊呢?數發部在 2026 年 2 月正式公告 4 大缺失,重點不在「事件發生」而在「事件之後怎麼應對」:未及時通報受影響台灣用戶、未提供本地中文事故說明頁、未確認第三方資料留存範圍、未對韓國總部的安全管理落差做風險評估。任何一條,個資法都可以開罰。
5 類個資的真實詐騙利用對應
台灣 20 萬戶被外洩的個資類別 | 詐騙利用方式 |
|---|---|
姓名 + Email | 釣魚信、撞庫攻擊、社交工程開門磚 |
手機號碼 | 假冒物流簡訊 + 一頁式詐騙網站連結 |
收件地址 | 假冒包裹到付詐騙、實體跟監前置情報 |
部分訂單紀錄 | AI 生成假客服信騙退款(精準度極高) |
註冊時間 + 帳號狀態 | 做帳號黑市定價、二次轉售給其他攻擊者 |
⚠️對中小企業老闆的提醒
如果你公司本身也是電商、SaaS 或會員制服務,今年值得做的一件事是:把所有「員工會看到、能匯出、能下載」的客戶資料欄位列一張清單,回頭對照離職員工權限。酷澎的 20 萬戶台灣資料外洩,至少還有一個跨國 PIPC + 數發部 + Mandiant 三方在追查;你公司萬一發生同類事件,補救期會直接吃掉一年營收。
打開漏洞的角色其實是離職員工:複盤這條最該被抄走的教訓
你會發現,過去媒體報導的大型資安事件,主角通常是俄羅斯駭客團、北韓 Lazarus、或是某個 0-day 漏洞。
但這次酷澎事件最讓資安圈集體傻眼的,是整起事件的攻擊面其實非常傳統——一把「離職員工沒被收回的金鑰」。
Mandiant 的鑑識報告指出,該名工程師於 2024 年底離職之前,曾經參與設計酷澎的備用身份驗證系統(backup authentication),離職時把該系統的權杖簽章金鑰留存了下來;酷澎一直到 2025 年 11 月才意識到這把金鑰仍然能生成有效的 session token。
為什麼這條漏洞會被資安圈集體忽略
這條教訓最殘酷的地方是:酷澎的資安投資並不少。他們有外部 SOC、有 SIEM、有定期的 pentest——但這些都是「對抗外部攻擊」的投資。
對「內部離職員工的金鑰生命週期管理」這條冷門但致命的缺口,整個產業普遍重視不夠。
Samsung 在 2023 年也踩過類似的內部洩密事件(雖然是員工自己 paste 進 ChatGPT 而非離職後攻擊),我們之前在 Samsung 三起 ChatGPT 洩密事件完整復盤 文章裡也拆過——不論「離職後撈資料」還是「在職時 paste 給 AI」,本質都是「員工 × 資料邊界」這個老題目,而且都是被自己人打開的洞。
中小企業最常見的離職權限管理盲區
我們在客製化系統開發的諮詢經驗裡發現,多數中小企業老闆會把資安預算花在「防外」的工具上(防火牆、WAF、CDN),但對「員工離職那一週發生了什麼事」反而沒有 SOP。
最常見的情況是——HR 在 Slack 通知 IT「某某某 X 月 X 日離職」,IT 把 Email 帳號停掉、把 GitHub 移除、把 VPN 收回,看似結案,但中間少了 6-8 個關鍵步驟。下一節我們直接把那張 SOP 攤出來給你看。
中小企業老闆最該抄的紅線:離職員工權限回收完整 SOP
下面這張表是把酷澎事件複盤之後抽出來的最小可行 SOP。它假設你公司可能沒有完整 IAM、沒有 SOC、IT 人力只有 1-2 個——也就是 99% 的台灣中小企業真實情況。
你不需要全部一次落實,但「金鑰與權杖」「資料庫帳號」「第三方 SaaS 共用帳號」這三條紅線,是這次酷澎事件直接告訴你「不做就會出事」的部分。
離職前 7 天到離職後 30 天的完整檢查表
離職前 7 天 | 離職當天 | 離職後 7 天 | 離職後 30 天 |
|---|---|---|---|
HR 通知 IT 並開回收清單 | 收回 Email、Slack、VPN、SSO | 掃描 GitHub / GitLab 個人 token 是否撤銷 | 檢查雲服務 API key 輪替(含被人工分享過的) |
帳號交接:誰繼承這個人的工作 | 收回實體設備 + 啟動遠端抹除 | 檢查 DB 內所有以該人姓名命名的測試帳號 | 審計過去 90 天該人的存取日誌找異常 |
資料權限盤點:他能看到什麼 | 撤銷所有 OAuth 授權與第三方 token | 檢查 cron job / scheduled task 是否有他的 owner | 資料庫權限二次掃描(容易遺漏的點) |
敏感系統金鑰盤點 | 產生簽章金鑰 / JWT secret 全面輪替 | 檢查 CI/CD 內嵌的 deploy key | 第三方 SaaS 帳號付費權限交回 finance |
通知所有 SaaS 廠商成員變動 | 撤銷雲端共享資料夾連結 + 出席信箱 | Backup / DR 系統權限同步收回 | 正式 close-out 報告,老闆簽字結案 |
🚨酷澎事件最致命的一條:金鑰生命週期管理
離職員工帶走的東西比一般檔案危險得多——「能簽章驗證權杖的金鑰」。這意味著他在離開公司之後,仍然能用合法的 session token 進入系統,從 SOC / SIEM 的角度看就是「正常用戶登入」,警報不會響。解方是:所有人類員工持有的 API key、JWT secret、deploy key,在離職當天「全部輪替」——別只是撤銷該人的存取權,要直接「假設這把金鑰已經外洩」,整把換掉。這條成本不高,但 99% 的中小企業沒做。
中小企業最容易遺漏的 5 個檢查點
- 「個人 GitHub PAT」連到公司 repo:這是離職權限回收最常漏掉的地方,因為 PAT 不掛在 IT 後台,掛在工程師的個人帳號裡。
- Cron job / scheduled task 的 owner:離職的工程師寫的自動化排程,可能會在他離職後繼續用他的權限執行。
- 第三方 SaaS 的共用帳號:行銷工具、設計工具、影音剪輯工具,常常用「公司+姓名」這種共用帳號,離職時沒人想起來。
- Backup / DR 系統的權限:正式環境權限收回了,但備援系統往往是另一套帳號,被忽略。
- 付費 SaaS 的 billing owner:離職員工是某個 SaaS 的付款人,沒交接 → 信用卡到期或卡號變更時整個服務當機,公司措手不及。
如果你公司目前還沒有 SSO,這條 SOP 會非常難跑——因為帳號散落在 20 幾個 SaaS、回收一輪要 IT 加班三天。這也是為什麼我們之前寫過 企業單一登入 SSO 完整指南:SAML、OAuth、OIDC 差在哪?——SSO 對中小企業的真正價值,從來都不在「員工少記幾個密碼」這層,最關鍵的是「離職那一天可以一鍵收回」。
另一篇相關長文是 企業資料治理採購完整指南,講的是當員工進進出出時,資料權限要怎麼掛在「角色」上而非「個人」上——這條和酷澎的 root cause 直接對接。
24 小時通報這條合規線:對照台灣個資法你真的準備好了嗎
酷澎事件第二條被罰得最重的,是「延遲通報」——從偵測到通報之間隔了 53 小時,違反韓國個資保護法 24 小時內通報的硬性規定。
台灣的個資法雖然沒有「24 小時」這條明文,但 數發部 2026 年公告對酷澎的 4 大缺失 中也有一條與「通報延遲、未對台灣本地用戶提供合理告知」直接相關。
換句話說,台灣監管機關的精神和韓國 PIPC 是對齊的:「事故發生不可避免,但延宕通報是公司可控的——你選擇延宕,就承擔加倍罰款。」
韓國 PIPA 與台灣個資法的關鍵差距對照
法規面向 | 韓國 PIPA(酷澎被罰依據) | 台灣個資法 + 數發部裁量 | 中小企業應落地動作 |
|---|---|---|---|
通報時限 | 發現後 24 小時內通報主管機關 | 無明文小時數,但「延遲」屬可加重情節 | 內控規定「發現 8 小時內通報資安長 / 老闆」 |
受影響用戶告知 | 須個別通知 + 提供補救方案 | 數發部認定酷澎缺中文事故說明頁 | 預先準備事故告知信件模板與多語版本 |
資料留存紀錄 | 所有存取日誌至少留 1 年可審 | 台灣個資法第 27 條要求「必要安全措施」 | DB / API gateway 啟用 audit log 滿 12 個月 |
最高罰款 | 約 4.56 億美元 + 強制業務改善 | 最高 1500 萬新台幣 + 連續罰 | 把潛在罰款計入「資安預算」做老闆教育 |
民事賠償 | 每人最高 30 萬韓元 | 每人最高 2 萬元 + 集團訴訟可累積 | 買網路安全保險 + 預留事故補償現金流 |
看到上面這張表你會發現一件事:通報這件事是「平時就要排練的能力」,不要等到事情發生再從零開始。如果公司沒有預先準備事故告知信件模板、沒有資安事件通報內部 SOP,事情真的發生那一刻,IT 跟老闆要花的時間會直接從 24 小時跳到 7 天。
從技術、合約、流程三層補:中小企業可實際落地的資安治理架構
讀到這裡老闆會問:「我懂了,那實際要動哪些東西?」我們的看法是——資安治理不能只靠單點補強,要從三層一起動,否則永遠是「補哪裡漏哪裡」。
下面這張 mermaid 圖把這三層拆給你看:技術層擋「金鑰外洩」、合約層擋「離職員工帶走資料的法律手段」、流程層擋「SOP 沒人跑」。
技術層:把帳號與金鑰當成基礎建設來治理
技術層的細節可以參考 中小企業 AI agent 部署資安完整指南:1M 暴露 AI 服務、PraisonAI CVE 60 天止血 那篇——同樣是「被自己人或被疏忽打開」的真實案例復盤。
核心三個動作:把所有人帳號收進 SSO(即使你只有 10 個員工也值得);所有密鑰收進 KMS(如 AWS Secrets Manager、HashiCorp Vault、Doppler);所有權限掛在「角色」上而非「個人」上。
合約層:員工和廠商簽字之前先寫好資料邊界
合約層的部分,這次酷澎事件其實揭露了另一個被低估的議題:員工離職時公司有沒有權利要求「歸還」或「銷毀」他電腦上、雲端硬碟裡、個人 GitHub 上的公司資料?
我們在 核心員工離職帶走系統知識完整防禦框架 這篇講過更完整的合約條款設計,可以一起看。重點是「資料返還條款」和「離職後 12 個月的合作禁止期」這兩條,台灣中小企業普遍沒寫進員工合約。
流程層:最便宜但最少人做的那一塊
流程層最容易被忽略,因為它「不會花錢」,但也最沒人推動。
建議的最小可行做法——把離職 SOP 列成 checklist,要求 IT 與 HR 雙人簽字,每季給老闆看一次最近三個月的離職紀錄。光是「老闆每季要看」這個動作,就能逼出 80% 的紀律。
配合 AI 駭客時代中小企業資安行動清單:60 天止血、盤點、補強、建制完整 SOP 裡那份 60 天行動表,一季可以完成最痛的那一輪止血。
在我們的客製化系統開發裡這條為什麼變成必檢項
把鏡頭拉回我們自家。我們是一家做客製化系統開發的公司,主要交付的是「中小企業老闆要長期養」的系統——也就是說,我們交付的不只是 code,還有一份「未來 5-10 年要被很多任工程師接手」的資產。
客製化系統的資安第一原則我們內部叫做「離職友好設計」(offboarding-friendly design):任何金鑰、任何 deploy key、任何資料庫密碼,都不能寫死在某個個別工程師的個人帳號裡。聽起來像常識,但你會驚訝有多少客戶接手的舊系統,整個 production 都靠某個離職多年工程師的個人 GitHub PAT 在跑。
ℹ️我們做過這件事
順帶說一下,這篇文章講的「離職友好設計」與「金鑰生命週期管理」,是我們公司自己每天都在跑的事——我們內部就有 20+ 個 AI 與自動化流程,所有密鑰都統一收在密鑰管理服務(KMS)裡,並且綁定角色而非個人;任何工程師休假、離職、或暫時調動,整套權限可以一鍵切換而不需要動程式碼。在我們的客製化系統開發中,這條也是我們進現場第一週就會檢查的東西——很多客戶第一次發現自己 production 上有一把寫死的 admin token 是在我們進場之後。看到這裡,如果你也在想「這套放在我們公司會是什麼樣子」,我們很樂意 聽你聊聊現在的實際情況,一起看看哪些做得起來、能從哪一塊開始。
從酷澎事件到你公司的下一步:30 天止血路線圖
看完酷澎這條時間軸,你大概可以感受到一件事——資安事件「會發生」這件事是必然的,公司能做的真正的事,是讓「發生那一天,傷害不會無限擴大、罰款不會吃掉一年營收、客戶信任不會崩盤到 IPO 估值打對折」。「保證不發生」這條,本來就不存在。
下面這份 30 天止血路線圖是最小可行版本,每個中小企業老闆都可以照著跑。
週次 | 動作 | 產出文件 / 證據 |
|---|---|---|
第 1 週 | 盤點所有「員工/前員工持有的金鑰、token、共享帳號」 | 一份 Excel 帳號清單 + 風險分級 |
第 1 週 | 找出過去 12 個月離職員工,逐一核對權限是否乾淨 | 離職核對表 + 異常清單 |
第 2 週 | 輪替所有疑似外流的金鑰、JWT secret、deploy key | 輪替記錄 + 通知合作廠商換 API key |
第 2 週 | 撰寫 / 更新公司離職 SOP(含本文 H2-4 的 SOP) | 一份 1-2 頁的 SOP 文件 |
第 3 週 | 檢查 DB / API gateway 的 audit log 是否完整、留存 ≥ 12 個月 | Log 留存截圖 + 補設定差距清單 |
第 3 週 | 撰寫資安事件通報內部規定(含通報時限與聯絡名單) | 一頁式事件通報流程圖 |
第 4 週 | 選 1 個情境跑紙上演練(例如:員工筆電遭竊) | 演練紀錄 + 缺口清單 + 下季待辦 |
第 4 週 | 老闆簽字結案,並排入下一季資安治理 review | Quarterly review meeting 紀錄 |
ℹ️我們怎麼看
資安事件的下半場已經改變題目。真正的競賽是「被打中那一天能多快收手」,不是「會不會被駭」這個假命題。酷澎被罰的 4.56 億美元,其中至少七成可歸因於「事後處置」——延遲通報、初期淡化、補強動作慢;事件本身雖嚴重,但只要他們在 24 小時內坦白、48 小時內通報、72 小時內輪替金鑰,罰款很可能砍半、執行長也未必下台。對中小企業老闆而言,下一個 3 年最值得投資的東西,是「事故發生後 72 小時的應變能力」——比起更貴的防火牆,這條反而是最便宜、最容易落地、又最被低估的資安投資。
Q酷澎事件中我也是台灣用戶,我該怎麼自保?
三件事可以馬上做:第一,立刻在所有跟 Email 綁定的服務開啟兩階段驗證(2FA);第二,未來半年特別小心物流簡訊與假冒客服信,所有「點連結補資料」的訊息一律不開、改打官方客服確認;第三,若收到酷澎發放的折價券通知,務必從酷澎 App 內查看而非點外部連結,因為大量釣魚信會冒充補償通知。
Q我們公司不是電商也不大,真的需要做這麼多嗎?
酷澎被罰是因為「安全管理不善」,不是因為「規模大」。台灣個資法對任何處理個資的單位都適用——只要你有客戶名單、員工資料、會員 Email,就在範圍內。中小企業的好處是檢查面積小、SOP 跑起來更快,可以挑文章中「離職員工權限回收 SOP」這一張表先做,剩下的依預算逐季補。
Q我們的 IT 只有 1 個人,這份 SOP 要怎麼開始?
建議的順序是:第一步先把「離職員工帳號清單」做出來(光是這份 Excel 就能讓你看到很多沒收回的東西);第二步把「未來 12 個月會離職的人」對應的金鑰、權杖做盤點;第三步把離職 SOP 寫成 1 頁 checklist,要求 HR 通知 IT 時必須同步走完。一個人也可以跑,重點是「寫下來」而非「靠記憶」。
Q這次酷澎在台灣會被罰嗎?我們公司有受影響需要做什麼?
數發部已正式公告 4 大缺失,依個資法可開罰至最高 1,500 萬元並命令限期改善。對台灣用戶來說,個人權益部分可以保留證據(包含酷澎發送的折價券通知信、若有實際詐騙損失的對應紀錄),未來若有集體訴訟可主張權益。對中小企業老闆來說,這次案例最大的提醒是「跨境電商的個資處理者責任」——若你公司使用任何海外 SaaS 處理員工或客戶資料,務必確認該服務商的事故通報流程與資料留存政策。
Q「離職員工的金鑰要全部輪替」是不是很傷工程?工程師會不會跳腳?
輪替金鑰本身不會傷工程,傷工程的是「金鑰沒做集中管理、寫死在多份程式碼裡」。正確的做法是把所有密鑰收進 KMS(如 AWS Secrets Manager、HashiCorp Vault、Doppler 等),程式碼從 KMS 讀取——這樣輪替時只需在 KMS 後台改一行,所有服務自動拿到新值。這個改造一次性投入大約 1-2 週工程,是中小企業性價比最高的資安投資之一。
看到這裡如果你的反應是「我們公司好像有些地方該檢查」,這正是這篇文章想引發的對話。
我們是恆遠數位行銷,日常就在做客製化系統開發與 AI 自動化導入這類事,可以把你公司現在的情況丟過來——聊聊你的系統開發需求 或 聊聊你的 AI 導入需求,我們陪你看一下從哪一塊開始最划算,後面真的要動手再談範圍跟費用。
AUTHOR
恆遠數位編輯團隊
想了解更多?看看我們的相關服務
相關文章
新人 onboarding 系統採購完整指南:3 條 SaaS 路徑(BambooHR / Sapling / Notion 自架)vs 客製化開發、5 個流程踩雷點、4 個 HR 老闆採購決策——把新人 30 天 ramp-up 變 7 天
WebGL 是什麼?網頁 3D 物件能做到什麼程度?2026 技術現況與企業導入決策完整指南
客製化系統發包「3 家報價差 5 倍」完整解碼框架:6 個落差來源、5 個詐欺廠商紅旗、3 條當場驗證問句——中小企業老闆比價不踩雷的最後一道關
中小企業客服中心採購完整指南:BPO 委外 / 自架 / SaaS 三條路徑成本拆解 + 6 個老闆決策 + 5 條合約紅線
中小企業 ATS 招募系統採購完整指南:Greenhouse / Lever / Workday / 104 整合 4 條路徑 — 6 個老闆採購決策、5 條合約紅線、3 個報價區間
留言(0)
尚無留言,成為第一個留言的人吧!