戴夫寇爾被捲入微軟駭客風波！他們賣的是怎樣的「攻擊型」資安服務？|數位時代 BusinessNext

先發現微軟bug，卻被捲入駭客風波！戴夫寇爾賣的是怎樣的「攻擊型」資安服務？

去年底微軟旗下商務email伺服器爆發資安漏洞，讓一間來自台灣的新創在國際間聲名大噪。這間資安顧問新創叫戴夫寇爾，他們為何不提供防護、只專注攻擊服務？

3月初，微軟揭露商業用電子郵件伺服器系統Exchange遭到駭客入侵，讓來自台灣的資安新創公司浮上國際舞台，戴夫寇爾（DEVCORE）在2021年1月就發現了漏洞（bug）並向微軟回報，微軟也公開向其致謝。

但後續卻傳出案外案，在微軟即將推出修正檔的前2天，有駭客利用戴夫寇爾通報的漏洞發動大量攻擊，其他資安業者也通報戴夫寇爾，懷疑駭客可能竊取其資料，微軟也為此展開調查。

戴夫寇爾則立即澄清，得知駭客可能使用其通報的漏洞攻擊後，已全面清查員工的電腦設備、公司內部系統以及基礎架構，確認系統或設備並沒有遭入侵，或是資料外洩的跡象。

微軟郵件系統遭攻擊事件尚未落幕，但可以發現戴夫寇爾相當懂得找尋漏洞，用「 愈會攻擊，就愈懂得防禦 」來形容他們的商業模式再貼切不過。戴夫寇爾提供企業滲透測試與紅隊演練等資安服務。

簡單來說，他們從駭客的角度出發，挑戰攻擊企業的網站、資訊系統、設備等軟硬體，找出潛在的漏洞，用以驗證、評估企業的資訊系統與軟硬體安全性。

戴夫寇爾去年 10 月起進行微軟Exchange Server 漏洞研究，並於 12 月取得初步成果並通報給微軟。事後微軟安全回應中心網站也致謝發現漏洞的戴夫寇爾首席資安研究員暨研究組組長蔡政達（Orange Tsai）。

圖／微軟

從小就愛玩遊戲，「學網攻防戰」成技術養份

比起多數競業販售資安的防護「盾牌」，他們的產品是賣攻擊的「矛」，用來檢測企業的盾牌是否有足夠的防禦能力，提供顧問服務，但不包含解決方案落地。

雖然不以駭客自稱，但戴夫寇爾的共同創辦人暨執行長翁浩正，並不否認自己對於電腦與駭客技術的熱誠，「在這個圈子裡，不會有人自稱駭客啦。」一定要說的話，他更傾向把戴夫寇爾視為白帽駭客（在合法、獲得允許的情況下入侵系統，找尋資訊安全缺口）。

翁浩正對於電腦技術熱愛的啟蒙，可以一路追溯到小學時期，「一開始碰電腦一定是玩遊戲啊，但一下就全破了，我就想辦法去調參數，看能不能弄得難一點。」別人玩遊戲追求破關，他卻嫌太簡單，自此之後便著迷於0與1的世界。

到了高中，接下替學校管理網路中心的任務，負責維運各種伺服器，意想不到的是，學校網路是許多人的攻擊目標。

由於10多年前學網相對頻寬大、網速較快，常有人駭進去下載音樂等，翁浩正開始翻書、讀原始碼、找指令，釐清攻擊者的手法與防禦辦法，在高中展開了一場場資訊攻防戰。

攻擊型資安服務，技術口碑說服企業買單

大學時期，翁浩正號召了一群志同道合的夥伴成立以「研究資訊安全」為主軸的社團NISRA（Network and Information Security Research Association）並在全台征戰資安競賽，更奪得行政院資安技能金盾獎冠軍。

畢業後他到資安公司上班一段時間，還是忍不住想要「幹大事」，就像小時候嫌遊戲太簡單，翁浩正拉著幾個夥伴以個人資金成立了戴夫寇爾。當時正職員工只有兩人：翁浩正與共同創辦人暨資深專案經理徐念恩，其他夥伴則以兼職方式支援，光是第一關找客戶，就遇到難關。

戴夫寇爾用攻擊找出企業資安漏洞的做法，常令企業方有許多擔憂，像是「會不會因此造成服務停擺」、「會不會偷走機密資料」等，在初期業務拓展上難度不低。

但靠著兩人長期耕耘技術圈人脈、累積客戶與品牌名聲，隨著近來企業資安意識抬頭，戴夫寇爾逐漸打開知名度，現有客戶包含電商網站、金融業、政府機關以及半導體企業等，採用專案制或者訂閱制簽約，「有網路的地方就有資安問題存在。」 翁浩正說。

另外一個比較大的挑戰——規模化，對於戴夫寇爾來說更像是一種取捨，目前公司擁有20多名員工，預計將招募各方好手、拓展規模至60名夥伴。

徐念恩坦誠，戴夫寇爾的服務的確倚靠大量技術夥伴的能力，每一間企業需要的檢測也不相同，規模化的確不容易，「有點像是律師服務，要靠人來解決事情，我們的目標是維持高質量的服務，不會為了擴張降低品質。」

2012年成立至今，戴夫寇爾未向外部投資人或VC拿錢，曾有人表達投資意願，但就怕拿了錢會失去初衷，「成立公司不全然為了盈利，也希望為社會多做一點事情；有了投資人後，要考量的事太多了。」翁浩正有點浪漫的思想，也難怪NISRA的社團宗旨中，「愛」就是唯一信條。

戴夫寇爾不賣防護用的「盾牌」，他們的產品是「駭客之矛」，從駭客的角度出發，挑戰企業的網站、資訊系統、設備等軟硬體，找出潛在的漏洞，用以驗證、評估企業的資訊系統與軟硬體安全性。

圖／戴夫寇爾

創業至今的三個問題

Ｑ：對於微軟事情的回應？

除了徹底清查公司內部系統與設備，戴夫寇爾研究團隊保持高度自律，若發現企業漏洞，成員絕對遵循責任揭露（Responsible Disclosure）原則，從未在原廠分享技術細節與公告漏洞修補前洩露任何資訊。而且，漏洞研究在我們內部是獨立編制，相關研究資料與訊息皆設置在企業內部網路，並設有稽核紀錄，僅有研究人員能夠存取。

Ｑ：與資安品牌是競爭關係嗎？

一攻一防，很多人以為兩方是競爭對手，但其實我們的合作大於競爭。在進行各種檢測的時候，反而能凸顯資訊安全品牌的重要性，證明他們有效；而如果我們找到漏洞，也會向他們反應，讓漏洞能夠被修補起來，其實是一種雙贏。

Ｑ：能不能「先攻擊」再提供企業服務？

這樣就是妨礙電腦使用罪了吧！的確有人會「先打掛你的網站」，再去求職或要錢。雖然現在很多大企業的心態很開放，會讓所有人去找bug（漏洞）、開出對應獎金；但在企業沒有同意的情況下就貿然攻擊，並大肆宣揚或兜售服務，這就是一種勒索，我們不會這樣做。

責任編輯：郭昱彣、張庭銉、林美欣

從手遊場景打造現金回饋新模式

Arthur Wan 指出：「ShopBack 在台灣市場落地 8 年了，核心強項始終是電商回饋機制。」然而，若回饋只綁在購物，使用頻率終究受限於消費需求。對此，ShopBack Play 借助手遊的高黏著、高回訪特性，把回饋從交易場景延伸到日常互動；使用者不需消費，只要下載並完成指定任務，就能累積現金回饋，平台也因此更貼近使用者的日常生活。

這也呼應近年全球竄起的「X to Earn」模式。Arthur Wan 解釋，從 Shop to Earn 把消費轉成回饋、Play to Earn 讓玩樂產生回饋，到 Move to Earn 讓移動與運動也具備回饋可能，市場正在探索「參與行為」的價值：「愈來愈多日常行為，其實都能透過特定場景轉化為實際獲益。」

ShopBack Play 的優勢在於回饋可轉移。過往遊戲獎勵多停留在虛擬世界，例如兌換道具；但透過 ShopBack，玩家取得的現金回饋可直接延伸到電商與日常消費，讓娛樂回報更實用、更有感。

引發使用者越玩越賺的回饋循環

ShopBack Play 的使用方式很簡單。在 ShopBack App 首頁進入遊戲專區選定遊戲後，系統即導流至 App Store／Google Play 下載並開玩；玩家只要破關或完成指定里程碑，就能回到 ShopBack 形成「選遊戲→開玩→達標領回饋→再探索」的回訪循環。為了加碼誘因，ShopBack Play 也不定期推出「紅色遊戲專區 2 倍回饋」活動。

Arthur Wan 觀察，「消費者其實並沒有那麼忠誠於某一款特定遊戲。」多數人打開手遊，只是想放鬆、填補空檔，對單一遊戲的黏著度不高。也因此，ShopBack Play 目前合作超過 400 款遊戲，並規劃於 2026 年持續更新合作清單，讓使用者隨時有新選擇可玩。

「我們希望透過遊戲回饋，創造更多回訪的理由。」 Arthur Wan 表示，這也補上 ShopBack 的互動頻率缺口。由於 ShopBack 核心仍以購物回饋為主，熱門品類多集中在旅遊與時尚（如 Booking.com、Trip.com、KKday、Klook，以及 adidas、Nike、GU），消費頻次相對較低；ShopBack Play 則提供更日常、更高頻的回訪動機，讓使用者更常打開 App。

他指出，ShopBack Play 上線後帶動每月回訪 ShopBack 的使用者數成長 15%，整體使用者 CLV（Customer Lifetime Value，顧客終身價值）成長 30%，顯示回饋場景擴張確實見效。且透過遊戲接觸到 ShopBack 的使用者中，也有相當比例會進一步前往平台其他商家消費，形成交叉銷售效應（Cross-sell），推升平台使用深度與消費頻率。

讓回饋生態系融入生活空檔

將回饋帶入用戶生活中的更多片段，讓原本就會經歷的日常時刻變得更有價值，是 ShopBack 持續拓展「行為換回饋」場景的核心思維。對遊戲廠商而言，長期痛點在於下載成本高、留存率偏低，最怕「下載了就走」：數字漂亮，卻沒有實際遊玩行為，轉換與 ROI 難以落地驗證。對此，ShopBack Play 把回饋門檻從「下載」改為「達標」──使用者必須完成指定關卡或里程碑才拿得到回饋，藉此濾掉無效流量，讓導入更貼近真實參與，也更有利於提升轉換率與投資報酬。

對許多用戶而言，遊戲早已是生活的一部分。現在透過 ShopBack Play，不僅能在零碎時間中放鬆娛樂，更能完成任務獲得實質回饋 ，讓「玩遊戲」與「破關」不再只是虛擬成就，而是能實際折抵日常開銷的量化報酬。對 ShopBack 而言，不僅提升用戶在平台內的互動頻率，也補強過去必須透過消費行為才能獲得回饋的單一路徑。透過遊戲機制，用戶即使在非購物場景中也能保持接觸，並於任務完成後自然回流 App，進一步探索購物優惠與合作商家，打造高頻率且正向的使用循環。

也因此，ShopBack Play 推出後的亮眼表現，更進一步驗證這套機制具備高度潛力與市場接受度。據平台統計，功能上線後短短半年內，用戶數成長 12 倍，其中近 60% 為原本的 ShopBack 使用者首次接觸手遊，成功帶動原有會員活躍與新型態行為轉換。除了使用數提升，ShopBack Play 的回饋金發放規模亦快速擴大，自功能上線以來，累計回饋金額已接近 1 億元，展現「遊戲回饋」模式的強勁吸引力與發展性。

隨著 ShopBack Play 與購物回饋、載具回饋機制整合，平台逐步建構出「玩能賺、買能賺、日常生活也能賺」的循環回饋生態系，不僅為用戶帶來更即時、更有感的回饋體驗，也持續深化 ShopBack 在消費日常中的角色。

「ShopBack Play 只是起點。」ShopBack 東亞區總經理 Arthur Wan 認為，當消費者愈來愈精打細算、也更習慣用行為換取回報，未來仍有更多「X to Earn」場景值得探索與開發。「對我們來說，關鍵不只是推出一個新服務，而是持續擴大回饋觸發點，從線上購物、實體場景一路延伸到遊戲入口，串連商家與用戶的日常接觸，讓回饋真正融入生活，讓每一個日常時刻，都更有所得。」