文章总结: 拍付国际遭Settra勒索事件中,黑客声称窃取102GB数据含350万用户信息,受害方称仅员工资料受影响。Settra是2026年6月出现的数据掮客团伙,以公开渗透报告施压。双方说法对立,需等待独立鉴识结果。建议关注后续数据公开和监管调查结论,警惕二次勒索风险。 综合评分: 86 文章分类: 应急响应,数据泄露,威胁情报,安全运营,漏洞预警
拍付国际(Pi 拍钱包)遭 Settra 勒索
原创
mayfly mayfly
独眼情报
2026年7月2日 14:00 湖北
在小说阅读器读本章
去阅读
none !importantnone !importantnone !importantnone !important事情背景介绍none !importantnone !importantnone !importantnone !important
把已经能确认的时间点拉成一条线,事件的轮廓就清楚了。
- 6 月 10 日:这是黑客声称的入侵日期,也被暗网监控网站采纳为推测的攻击时间。
- 6 月 28 日:Settra 在自己的泄露站挂出这名受害者,同时公开了一份长达 12 页、写得像「渗透测试报告」的文档,详细描述它宣称的入侵过程和拿到的数据。值得注意的是,Settra 这一天一口气挂出了 11 家受害者,横跨美国、加拿大、葡萄牙、韩国、新加坡等地,行业从农业、制造到支付、餐饮都有——这是新团伙集中放料、快速打知名度的典型做法。
- 6 月 30 日:拍付国际发出第一份公告,承认收到了来自外部组织的勒索讯息,已通报主管机关并展开资安鉴识。同一天,数位发展部下属的数位产业署宣布将进行实地检查。
- 7 月 1 日:数位产业署到拍付国际做实地行政检查,当天完成。当天傍晚,拍付发出第二份公告,口径明显收紧:称经确认,受影响的范围「仅限于内部员工资料层,未涉及交易系统」,用户的支付交易资料、点数记录、信用卡号「均安全、未遭存取或外泄」,鉴识仍在进行。母公司 PChome 也发了重大讯息,强调集团各项服务的系统和会员、交易数据库都各自独立管理,初步清查没发现 PChome 主站和 24h 购物的数据库受影响。
- 7 月 2 日前后:Settra 泄露站上关于这名受害者的条目,通过观察已被撤下。
none !importantnone !importantnone !importantnone !important谁是 Settra,它和别的勒索团伙有什么不一样none !importantnone !importantnone !importantnone !important
Settra 是 2026 年 6 月才冒出来的新团伙,几家勒索追踪机构给它的标签是「数据掮客」——重点不在加密你的系统逼你买解密钥匙,而在偷走数据、再用「不给钱就公开」来施压。它自己放话说,不挑国家也不挑行业,只挑「有可乘之机」的目标,一句宣传语大意是「只要进得去,就是目标」,强调它盯的是那些没打补丁、权限管理松散的系统。
它有一个和多数同行不太一样的习惯:把每次攻击的「战果」写成一份类似安全检测报告的文档公开出来,一步步描述怎么进去的、拿到了什么。这么做的用意很直接——除了数据外泄本身的风险,还额外给受害企业扣上「你看你的安全和合规有多烂」的帽子,把压力从技术层面延伸到品牌声誉和监管合规层面。这次针对 Pi 拍錢包的那份 12 页文档,就是这套打法的产物。
理解这个背景很重要:那份「渗透报告」是黑客自己写的、用来施压的宣传材料,里面的每一项都是它单方面的说法,不是第三方核实过的事实。 后面所有「它到底拿到了什么」的争议,都要放在这个前提下看。
none !importantnone !importantnone !importantnone !important到底泄露了什么?两套针锋相对的说法none !importantnone !importantnone !importantnone !important
这起事件最需要冷静对待的,就是「泄露规模」。目前摆在台面上的是两套说法,分别来自利益完全相反的两方。
黑客的说法(往大了说):Settra 声称拿到 102GB 数据,涵盖约 350 万名用户的个人资料、长达 9 年的营运记录,还延伸到员工的身份证号和薪资、大量履历,以及应用程序接口(系统之间对接用的技术文件)、生产环境的数据库架构、内部稽核报告,甚至反洗钱(金融机构用来识别和防堵可疑资金流动的合规制度)相关的法遵文件。
受害方的说法(往小了说):拍付国际在 7 月 1 日的第二份公告里称,受影响的只有内部员工资料这一层,没有碰到交易系统,用户的支付资料、点数和信用卡号都没被存取或外泄。
这两套说法的落差非常大,而且双方都有明显的动机:黑客要把规模吹大,才能抬高赎金、加重压力;受害方要把范围说小,才能减轻法律责任、监管处罚、声誉损失和用户恐慌。在独立的鉴识结果和监管调查结论出来之前,谁都不该被全盘采信。
有几个点可以帮你自己判断分寸:
第一,那个 350 万的数字,需要打个问号,但也不是天方夜谭。 Pi 拍錢包自己历年公布的会员数大约在 100 万到 150 万之间,350 万看起来对不上。不过 Pi 拍錢包在 2020 年合并了另一家支付公司支付连,而支付连当年会员数超过 1000 万;加上 9 年的历史数据累积,一个把这些都算进去的数字冲到 350 万,量级上并非不可能。台湾安全业者也判断,这次事件牵动的可能不只是 Pi 一个 App,而是 PChome 整个支付与金流生态(支付连、Pi Wallet、PayLink 都在内)。但请注意:量级说得通,不等于就是事实——它终究是黑客单方声称的,而且被受害方直接反驳了用户数据这一块。
第二,这些细节大多来自同一个源头。 台湾媒体上那些具体数字和文件清单,几乎都能追溯到同一家媒体的独家报道,而那篇报道读的又是黑客自己公开的那份文档。换句话说,看起来很多家在报,实际上核心信息只有「黑客的说法」这一个源,中间没有独立的第三方交叉验证。
第三,安全业者的一个提醒值得记住:这类事件的真正杀伤力,往往不在「泄露了多少条」,而在「泄露了什么类型、彼此怎么关联」。如果会员资料、技术文件、法遵记录和多年营运数据真的被一锅端,那攻击者拿到的就不只是一个数据库,而是一张能看懂这家公司怎么运转的「地图」,后续可能被拿去做更精准的钓鱼、商业邮件诈骗,甚至供应链渗透。这是这起事件即便在用户资金没被直接盗走的情况下,仍然不能轻视的原因。
none !importantnone !importantnone !importantnone !important拍付到底付赎金了吗?none !importantnone !importantnone !importantnone !important
直接回答:不知道,而且现阶段没有任何公开证据能支持「付了」或「没付」的结论。
需要先讲清楚一个常识:一家公司几乎不可能公开承认自己付了赎金——付款既涉及法律风险,又会招来「花钱能了事」的模仿犯,还可能违反某些司法辖区的规定。所以「官方没说付款」这件事,本身推不出任何结论。
能拿来推断的,只有拍付的公开姿态,而这套姿态偏向「不付、扛下来」这一侧,理由有几层:
一是监管已经实质介入。数位发展部依据个人资料保护法做了实地检查,明确说了如果查到违法会依法开罚。对一家受严格监管的支付业者来说,付钱并不能让麻烦消失——监管调查照样进行,付款反而可能被视为处理不当。这大幅降低了付款的诱因。
二是它请了独立第三方做鉴识、并承诺公开受影响范围。打算私下花钱摆平的公司,通常不会主动把范围往外摊、更不会请独立机构来「查自己」。
三是它 7 月 1 日的第二份公告在给自己「减压」。把范围收窄到「仅员工资料层、用户数据没事」,如果属实,意味着黑客手里那张「350 万用户个资」的王牌其实没那么值钱——筹码变小,付款的动力自然更弱。
但必须强调,以上全是倾向性推断,不是证据。 付了钱的公司同样会通报监管、请鉴识、发安抚公告。要真正判断付没付,得看后续几个信号:黑客有没有把完整数据公开放出来(真放了,通常说明没谈拢或没付)、有没有过一阵子又把帖子挂回去、拍付和数发部后续公布的鉴识与调查结论、以及会不会出现「二次勒索」。在这些信号出现之前,任何「他们肯定付了」或「肯定没付」的断言都站不住脚。
none !importantnone !importantnone !importantnone !importantSettra 为什么撤下了拍付的勒索信息?none !importantnone !importantnone !importantnone !important
先说最重要的一句,也是外界最容易搞错的一点:勒索站把一个受害者撤下来,不能直接读成「受害者付钱了」。 这是圈外人(有时也包括媒体)看到撤帖时的第一反应,但在勒索生态里,撤帖是个多义动作,付款只是众多解释中的一种。
可能的原因大致有这么几类,我按本案的合理程度排一下:
一、谈判中或已达成交易。 对一个「数据掮客」型、纯图财的团伙来说,「收钱—撤帖」本来就是它的商业模式。这是最直觉的解释,但正因为太直觉,反而容易被过度采信。在本案「监管已介入、受害方又公开说用户数据没事(筹码变小)」的背景下,这条成立的可能性存在,但没有强到可以当默认答案。
二、谈判过程中的临时下架。 有些团伙会在谈判期间先把帖子撤下来,作为「你配合、我先释出善意」的姿态,一旦谈崩再重新挂回去。也就是说,撤帖有可能只代表「双方在谈」,而不代表「已经了结」。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:独眼情报 mayfly mayfly《拍付国际(Pi 拍钱包)遭 Settra 勒索》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论