Skip to main content
← Back to board (業界新聞)

【臺灣資安大會直擊】酷澎臺灣資安長陳浩維宣布:酷澎首個公開版漏洞獎勵計畫,並揭露背後的戰略藍圖

by
iThome
iThome Bot ·
Posted in 業界新聞
新聞

陳浩維也在臺灣資安大會現場,針對先前韓國酷澎因為內部前中國籍員工外洩客戶個資,有20萬名臺灣客戶受到牽連一事,正式對大眾鞠躬道歉。

除了表達歉意,他強調,酷澎臺灣近兩年積極和數位發展部合作,不論從物流隱碼、Passkey技術導入,到零售與旅宿業情資分享中心(R-ISAC)的倡議,也同時積極投入臺灣資安人才培育,以及支持臺灣資安社群運作。

陳浩維認為,產業可能有競爭關係,但面對資安這件事情上,唯一的敵人就是攻擊者,「我們都是Team Taiwan,One Team,One Fight。」他說。

臺灣酷澎與HackerOne合作,臺灣首例也是酷澎全球首例

全球最具規模的漏洞回報平臺HackerOne,長期與財星五百大企業及政府機關合作,協助企業建立有組織、有獎勵機制的資安漏洞研究生態。不過,在臺灣,從未有企業與HackerOne合作推出「公開版漏洞獎勵計畫」(Public Bug Bounty Program)——開放所有資安研究人員皆可參與、公開透明的漏洞回報機制。

此次,陳浩維公開宣布「酷澎臺灣公開版漏洞研究計畫(Coupang Taiwan Public Bug Bounty Program)」,在演講開始前一個小時正式上線。他指出,這不僅是HackerOne進入臺灣市場以來的首個公開計畫,也是酷澎集團在全球各個市場中,第一個率先啟動此類公開計畫的據點。

「我們希望對資安研究有興趣的朋友,可以一起來保護臺灣的消費者,讓這個網路更安全,」陳浩維表示,臺灣數位發展部的法人機構資通安全研究院,去年也開始舉辦這類的漏洞獎勵計畫,也有越來越多企業開始願意加入這樣的活動。

不過,陳浩維強調,這次與HackerOne合作的公開版漏洞獎勵計畫,是奠基在已經運作一段時間的「私有版」漏洞回報計畫──邀請特定研究人員參與,隨著這個活動從私有轉為公開,意味著:酷澎願意將自己的資安體質公開,並接受全球資安社群的挑戰與檢驗。對酷澎而言,這是一種需要高度自信,也需要高度誠意的決定。

酷澎臺灣此舉,除了肯定臺灣的資安社群能量,也標誌著這家跨境電商,已經決定將資安防禦的觸角,從內部的封閉測試轉向全球白帽駭客的集體智慧。這項決策的背後,不僅是對技術實力的自信,更是酷澎在經歷資安風暴後,重塑數位信任的關鍵一步。

韓國酷澎資安事件,牽連20萬名臺灣客戶

陳浩維坦言,要理解這一切倡議背後的重量,必須先回到幾個月前在韓國酷澎爆發的那場資安事件。

2025年,酷澎韓國發生嚴重的資安事件,有一名中國籍的酷澎韓國前員工,利用其對公司內部系統的知識與存取權限,對酷澎及酷盟(Coupang Eats)的顧客資料進行了未經授權的存取與竊取。根據韓國酷澎委託第三方數位鑑識公司Mandiant進行的獨立調查結果,此事件影響了約20萬名臺灣顧客的個人資料。

受影響的臺灣顧客資料,包含:姓名、電話、電子郵件地址等基本聯絡資訊,以及部分帳戶相關的欄位。不過,陳浩維也再三強調,這起資安事件並不涉及信用卡資訊、密碼,以及身分證字號等高度敏感的資料。

「根據多家資安公司共同進行的資訊監控,以及數位鑑識報告,我們的總結是,目前都沒有任何遭到濫用的情形。」陳浩維表示,韓國主管機關的聯合調查小組也得到相同結論。

他指出,從調查結果可以發現,受影響的顧客資料沒有被散布、沒有被分享或轉移給任何第三方,也沒有看到被進一步犯罪利用的案例。「但我們會持續進行監控,這個工作不會停止,」陳浩維說。

在確認事件影響臺灣顧客的當下,酷澎臺灣第一時間通報主管機關數位發展部,並持續保持暢通的溝通。事後,酷澎臺灣也對每一位受影響的臺灣顧客,發放新臺幣一千元等值的酷澎購物券。

為了更了解受到影響客戶的心聲,陳浩維也到第一線,親自接聽客服電話,直接與客戶溝通,而且,他和其中一位顧客談了一個多小時的電話。在這樣的過程中,陳浩維清楚感受到臺灣客戶的憂慮、不滿和不安。

對此,他也以酷澎臺灣資安部門的主管,以及臺灣資安社群的一份子,在臺灣資安大會的講臺上,正式對大眾鞠躬道歉、表達歉意。

內部威脅與日俱增,惡意的主動竊取行為比例也大增

陳浩維表示,酷澎韓國發生的資安事件,其實就是所謂的內部威脅(Insider Threat),「這起事件跟一般資安攻擊不一樣的地方,在於攻擊者是內部人員,」他說。

他也援引美國政府對於「Insider」的定義:利用組織內部知識或授權存取權限,進行有害或無益行為的人員——可能是現職員工、前員工,也可能是承包商或供應商。他清楚的指出,內部威脅的危害,往往比外部攻擊更難察覺,也更難防範,因為「攻擊者原本就站在防線之內。」

根據Ponemon Institute於2026年發布的《Cost of Insider Risks 2026 Global Report全球內部風險成本報告》,內部威脅造成的平均損失已達每年195萬美元,相較2022年的162萬美元,增幅超過兩成。

報告同時指出,在所有內部威脅事件中,約有52%來自員工疏失,27%則屬於惡意的主動竊取行為,然而,後者的比例正在逐年成長;此外,該份報也顯示,約73%的受訪組織擔心,AI工具的使用會加入內部資料外洩的風險;但這些組織中,僅有18%已經具備完善的AI治理機制。

陳浩維指出,美國的中大型企業近年來已開始在資安團隊內部,建立獨立的「Insider Threat Program」(內部威脅應對計畫),目前有63%的組織導入,一年可以減少7起內部威脅的事件發生,也可以減少820萬美元的損失。

有別於一般的事件應變機制。美國政府甚至透過總統行政命令(EO),要求所有關鍵基礎設施(CI)的主管機關建立此類計畫。根據數據,這些計畫的導入,已讓相關事件數量減少了約一半。

要如何應對內部威脅呢?陳浩維引述美國國家反情報和安全中心的「內部威脅防護計畫」提出五大要點。首先,組織必須識別自身最重要的資產與數據,也就是「皇冠上的珍珠」(Crown Jewels);其次,需要跨部門整合,包括資安、法務、人資等,建立完善的通報機制與標準作業程序。

第三,要鼓勵員工主動回報可疑行為,而不是依賴被動偵測;第四,導入使用者行為分析(UEBA)等偵測工具;第五,在整個組織打造全員參與的資安文化。畢竟,「最容易被忽略的風險,往往來自最熟悉的人,」他說。

AI時代的資安新常態,攻擊成本趨近於零

為了更清楚描繪當前資安威脅的整體輪廓,陳浩維引用美國網路安全暨基礎設施安全局(CISA)前局長及多位資安長共同發布的《The AI Vulnerability Storm: Building a Mythos-ready Security Program》報告,其中也提到,在2018年,一個漏洞(CVE)被公開之後,駭客平均需要兩年三個月才能將其發展為可用的攻擊手法;但到了2026年,這個時間已縮短到僅僅十個小時。

換句話說,過去資安團隊賴以為生的「修補窗口」(Patching Window)——也就是漏洞公開後,企業得以在遭受攻擊前完成修補的時間——在AI輔助攻擊的時代,已近乎消失。

陳浩維認為,當攻擊不再是偶然的個案,而是必須面對的日常,特別是因為AI日益普及與強大的關係,漏洞從發現到被利用的時間(Time to Exploitation)從數年縮短至短短十小時的今天,傳統的三十天修補窗口已然失效。

報告中的另一組數據同樣震撼:2026年,漏洞公開當天(Day 0),就已有高達百分之二十五的比例被攻擊者直接利用。

與此同時,根據美國國家標準暨技術研究院(NIST)於2026年4月發布的公告,NIST已宣布未來不再對所有新增漏洞完整的分析與評分,而是優先處理已被部署或涉及關鍵系統的漏洞——這個決定的背後,正是因為漏洞的產出速度已遠超人工處理的能量。

「攻擊不再是偶然發生的個案,它將持續發生,並可能以不同的型態呈現,」陳浩維認為,當被攻擊成為日常,身為資安從業人員更重要的是,在面對這些事件的時候,如何對內強化資安措施,對外展現負責任的態度與積極的處理。「讓我們從每一次的事件中,變得更強大。」他也:「AI時代的資安,攻擊更容易,信任更昂貴。」因此,所有的行動,都必須作到連結、共享和培育。

打造「全球資源、臺灣先行」的酷澎臺灣資安團隊

陳浩維在兩年前加入酷澎美國西雅圖總部,成為資安團隊的第一號員工,此前曾在亞馬遜服務超過十年,也是亞馬遜資安部門的第一位臺灣籍員工,負責網路鑑識、全球漏洞獎勵計畫,以及內部威脅(Insider Threat)調查等業務。今年,他離開居住了十幾年的美國,以酷澎臺灣暨日本資安長的身分返回臺灣,回到他一直說是「起點也是終點」的土地。

陳浩維指出,酷澎臺灣的資安團隊不只是聽命於總部的執行單位,更是勇於任事、敢於針對資安議題率先全球推出各項新服務的「創新樞紐」。「我們不只是跟各個總部合作,我們也會提出臺灣自己的倡議,」他說。「我們勇於率先在臺灣推動全球未有的資安計畫,然後再把這些經驗推向全球。」

在過去兩年中,酷澎臺灣利用其獨特的市場地位,將臺灣作為資安最佳實踐的實驗基地。這種「臺灣先行」的定位,在酷澎的數個實際案例清晰可見。

解決LINE難以控管稽核問題,導入企業版Line Works

首先是Line Works的導入。臺灣有高達九成以上的智慧型手機用戶使用LINE作為日常通訊工具,其滲透率之高在全球幾乎難出其右。對於企業而言,這代表員工很自然地將工作訊息、客戶資料,甚至商業機密,透過個人LINE帳號進行傳輸——而資安團隊既無法稽核,員工離職後也無法清除相關群組或訊息記錄。

酷澎臺灣選擇正面解決這個問題,而不是強行禁止員工使用熟悉的介面。陳浩維表示,他們找上了由日本開發的LINE Works,功能上類似於企業版LINE的通訊平臺。

「在臺灣酷澎導入之前,LINE Works只有服務日本客戶,根本沒有臺灣客戶,甚至試過每一個管道,也找不到相關的聯絡方式。」陳浩維說,過程相當艱辛,但最終建立了連結,開啟了合作。

LINE Works整合了組織的單一登入(SSO)機制,通訊紀錄可以納入資安偵測系統,員工離職後的存取也可受控管理,同時也能與公司的客戶關係管理系統整合,能在不改變員工習慣的前提下,將影子IT納入監控,這項由臺灣發起的倡議,隨後也開始影響酷澎全球的資安布局。

主動識別仿冒網站,三步驟下架詐騙網站

其次是針對電商產業最頭痛的詐騙網站問題,酷澎臺灣亦建立主動出擊的防禦機制。陳浩維展示一個實際案例:一個網域名稱與酷澎高度相似的仿冒網站(coupangkp.tw),不僅複製了酷澎的官網外觀,還設有假冒的登入頁面,並透過LINE帳號誘導消費者聯繫,進行詐騙。

而在酷澎臺灣的資安團隊中,設有專責的威脅情資分析專家,每天分析驗證國際威脅情資廠商提供的資訊、比對本地域名資料,一旦發現偽冒酷澎的釣魚網站,便透過 AI與自然語言處理(NLP)技術進行自動化分析,主動識別仿冒網站。

他表示,仿冒網站的情資一旦確認,便同步啟動三個層次的下架程序:首先,向TWNIC和165反詐騙通報窗口,申請域名的DNS網域的解析封鎖(RPZ),使釣魚網址無法解析;接著要求社交平臺下架詐騙帳號(包含FB、LINE帳號);最後,通知域名註冊商將違法網域徹底撤除。

陳浩維表示,製作這些仿冒網站的成本很低,速度很快,但酷澎臺灣透過縮短偵測與下架的時間差,大幅提高詐騙者的營運成本,有效降低了品牌信任受損的風險。

引進物流隱碼與Passkey技術,把資安創新落地成顧客體驗

過去兩年,酷澎臺灣連續參與數位部的「數位韌性產業計畫」,在數位部數位產業署、工研院及數位新創協會的支持與協助下,推出了兩項受到矚目的技術創新。

第一項是2024年推出的「跨境物流隱碼科技」陳浩維指出,在電商的物流配送的流程中,包裹上的運送標籤幾乎必然印有顧客的姓名、地址與電話號碼——這是在每次配送過程中,個資就會被所有經手人員看見的系統性風險。

酷澎臺灣的解法是,在酷澎跨境電商服務「火箭跨境」的物流標籤上,以安全碼取代顧客的真實電話號碼,搭配QR Code進行加密通訊,讓快遞員在需要聯繫收件人時,只需掃碼即可透過安全管道撥打,顧客的真實電話始終不會直接暴露在紙本標籤上。

陳浩維表示,這項計畫不只在臺灣落地,也是酷澎跨境物流鏈中的首次導入,被酷澎視為「臺灣先行,全球可能跟進」的範本之一。

第二項是2025年打造FIDO免密碼的新世代數位信任防線,推出「Passkey無密碼登入」進行數位身分驗證升級,這也是酷澎臺灣與全球開發團隊共同研發的自主技術,讓臺灣用戶可以透過生物辨識(如指紋或臉部辨識)完成帳號登入,徹底省去記憶密碼的需要。

「沒有密碼,就沒有密碼被盜的風險;沒有密碼,也就沒有憑證填充攻擊(Credential Stuffing)的著力點。」陳浩維說,這項作法是臺灣跨境電商首例,也是酷澎持續強調的「以資安提升顧客體驗」的具體呈現。

他指出,這兩項計畫讓酷澎臺灣連續兩年獲得數位部「友善電商」的認可,成為數位韌性產業計畫中的標竿案例。

此外,酷澎臺灣也成功加入FIRST(Forum of Incident Response and Security Teams)——全球最重要的資安事件應變組織之一,他表示,加入FIRST需要兩個現有會員的背書(Sponsor),酷澎同時獲得臺灣電腦網路危機處理暨協調中心(TWCERT/CC),以及韓國資安協會(KISA)的聯合推薦,成為少數由兩國資安機構共同背書而加入的會員,並強化了酷澎在國際資安社群中的正式地位。

推動臺版零售情資分享中心R-ISAC,把競爭對手變成資安夥伴

身為臺灣電商零售業的一份子,陳浩維提出他認為臺灣電商產業最需要的一項集體行動:建立零售業情資分享與分析中心(Retail-Information Sharing and Analysis Center,R-ISAC)。

ISAC的概念起源於美國,目的是讓同一產業的組織,在不涉及商業機密的前提下,共同分享威脅情資、最佳實踐,以及資安事件的應對經驗。也就是說,讓產業的競爭者面對資安這個共同的敵人時,可以成為彼此的盟友。

美國早已有成熟的零售與旅宿業ISAC(Retail and Hospitality ISAC),酷澎本身也是其核心成員,他也和美國ISAC有長期聯繫。「在業務層面,我們都有競爭,但在資安領域,我們的競爭對手只有一個,就是攻擊者,」陳浩維表示,希望產業成員可以成為夥伴,提升整個產業的資安應對能力,尤其是在AI這個資訊不對稱的今天,我們更需要互助、交流與協力。

臺灣R-ISAC的推動,已獲得數位部數位產業署署長蔡福隆,以及中華民國無店面零售商業同業公會(CNRA)的秘書長為許生忠的支持與指導;未來將透過無店面商業公會轄下的資安委員會的運作機制,推進臺灣R-ISAC的實際運作。

在組織架構上,臺灣R-ISAC規畫設有指導委員會(Steering Committee)負責策略指引、跨部門協調與對外合作,以及營運辦公室(Operations Office)負責日常管理、會員服務與專案推動;主要功能涵蓋情資整合與分享、AI輔助的情報平臺、警訊推播、責任與隱私合規處理,以及會員招募與成員培育等。

陳浩維特別強調,臺灣R-ISAC的關注範圍不限於技術性的威脅指標(IOC),也將涵蓋詐騙情資——包括仿冒網站與各類詐欺手法的資訊分享,「這些可以分享給同業,讓整個電商生態都能提早預警。」他說。

在機制設計上,酷澎臺灣的規畫是以「輕量化」起步,利用AI Agent自動化情資的整理、驗證與初步分析威脅指標(IOC),同時維持「Human in the Loop」的人工審核機制,確保資料品質與隱私保護兼顧。陳浩維表示,未來臺灣R-ISAC的情資,也有機會與國際情資網絡進行交換,讓臺灣的電商資安防線真正接上全球的視野。

打造數位信任飛輪,資安不是成本而是企業競爭力

陳浩維用「數位信任飛輪」來涵蓋酷澎臺灣的整體資安策略。他指出,這個飛輪模型的核心是「信任」,外圍由四個互相驅動的要素組成,包括:公私協力;酷澎導入新資安技術;顧客數位信任提升,以及整體產業安全升級。

每一個要素的強化,都會帶動下一個要素的前進,最終讓整個飛輪加速轉動。陳浩維說:「我們希望資安的角色,不只是一個成本中心,而是可以帶動企業發展,一起跟產業把資安的標準拉到更高的水平,蛻變為推動企業成長的『信任引擎』。」

在資源投入上,酷澎集團在全球擁有超過兩百位資安專業人員,並在資安、個資保護及資訊安全基礎建設上的投入,2023年資安及資訊科技總投資額達290億元,到2024年成長為450億元。

陳浩維表示,這些投資數字因酷澎是韓國上市公司,依規定必須做相關的資訊揭露,而從相關資訊也可以觀察到,酷澎在過去三年,已連續成為韓國上市企業資安投入的前三名。

在臺灣,酷澎目前也開始採用本土的資安廠商,並計畫持續擴大合作範圍。陳浩維說,如果這些合作模式成功落地,或許也能鼓勵臺灣的資安新創廠商向更廣的國際市場擴展,可以由酷澎臺灣的經驗將這些臺灣資安業者的產品或服務,引進韓國甚至是全球酷澎,也藉此帶動臺灣資安產業的成長。

投入資安人才教育,鼓勵參與數位動員

除了技術與組織的建設,酷澎臺灣也積極投入資安人才的培育。過去一年,陳浩維率領團隊走訪了四所臺灣大學(包括兩所公立與兩所私立大學),分享企業資安團隊的日常工作與職涯路徑,希望讓有興趣的學生對這個領域有更真實的認識。今年,酷澎臺灣也將繼續進入校園,延續這條教育之路。

酷澎也與教育部AIS3相關計畫合作,推動資安教育向下紮根,攜手培育新世代資安人才;以參與臺灣駭客年會HITCON 2025等在地資安活動,用實際行動支持臺灣本地的資安社群。

「我今年離開了居住了十幾年的美國,回到了美麗的家鄉臺灣,」陳浩維說:「當時出國留學時,我的目標非常明確:我的起點就是終點,也就是回到這裡,在吸收完這些經驗與知識後,如果有一天可以回來幫忙,我覺得會是一件非常美好的事情。」

臺灣二十年來持續遭受網路攻擊,臺灣雖然沒有天然資源,卻有為數眾多的惡意行為者虎視眈眈。他說:「我們需要一起去保護,一起團結,對抗這些惡意的攻擊者,保護網路生態系的使用者。」

陳浩維也透露,他也非常期待能參加今年夏天的「漢光演習數位動員」,這是他過去在美國時,因遠距離而無緣參與的事。他說,他的團隊中,也有成員會一起參與這個數位動員,因為,他希望:「酷澎臺灣不只是一個商業的市場參與者,也希望成為臺灣整體數位防衛力量的一部分。」

View original 0 Likes 0 Boosts

Comments (0)

No comments yet.