媒体22日报导，有人在黑客论坛声称窃得微风百货的业务数据、90万用户个资等。微风坦言，近日收到匿名网络勒索信件，已立即启动损害机制，但也强调外流个资与公司数据库有落差，黑客未必是从微风骇入。

数码部部长唐凤23日表示，已责成旗下国家资通安全研究院配合经济部商业司展开行政调查，针对微风百货的网安措施提供专业协助。随后将配合《个人数据保护法》修法提出相应配套，并与各目的事业主管机关合作，重新检视网安法纳管范围，特别是与大量个资相关的部分。

此前，卫福部健保署、和泰汽车旗下的和云移动服务（iRent）相继传出个资外泄事件。公路总局2月9日即表示，确认iRent有违法情事，发生外泄风险之个资笔数达40万笔，依《个人数据保护法》处最高罚锾新台币20万元。

KPMG台湾所顾问部营运长谢昀泽受访时表示，近期黑客攻击事件爆出，推测是有集团策划、有节奏性的曝光，攻击计划可能部署已久。过去台湾常被黑客盯上的焦点产业是金融、制造和上市柜大型企业，但现在已盯上一般中小企业。

正如台湾电子业以完整供应链闻名，黑客产业的上下游供应链也已成形，从代工、数据兜售到勒索取款皆有相应的「供应商」。

谢昀泽观察，在黑客产业的专业分工中，上游由网络狙击手先「代攻」窃取数据，交由中游的数据贩子分批分时于暗网兜售，最后经下游的取款车手透过各种心理战和媒体战，恐吓企业交付赎金。

有些黑客勒索信甚至还附上早鸟优惠和QRCode，显示取款仍为黑客攻击的主要目的。而黑客集团很可能是跨国运作，并寻找接地气的在地伙伴，以达成伤害企业形象、勒索取款之目的。

虽然个资外泄的消费者是受害者，但集体诉讼门槛高，愿意提告的消费者有限，因此形象遭重创的企业仍为主要受害者。有些台厂遭受攻击后可能不愿付款，攻击者还会向其客户如苹果（Apple）告状，台厂可能迫于客户压力而付款。

谢昀泽也提到，生成式人工智能（AI）工具愈趋普及，黑客也可能运用相关工具加速网攻作业。虽然聊天机器人开发者皆宣称设有安全道德围墙，想产出恶意程序码「理论上」应会遭拒，但这些安全围墙会否被翻墙，仍是潜在风险。

责任编辑：朱原弘