刑事報案・證據說明

有人持續攻擊我們的公司系統

我們已蒐集完整技術證據,懇請警方受理偵辦、依法向電信業者調閱認定行為人。

⚠ 7/5 曾以每秒最高 628 次暴力攻擊;攻擊持續逾一整日,至 7/6 上午仍在進行中
📅 查看完整攻擊時間軸(附截圖佐證)→

一句話說明:

有人用電腦程式,持續攻擊我們公司的網路系統,害我們公司的多個網站癱瘓、客人進不來,並多次試圖侵入我們的資料庫。這是犯罪。我們已完整蒐集攻擊來源的技術線索(含一個未掛 VPN、疑似露出的台灣住宅網路 IP),懇請警方受理,並依法向電信業者調閱、認定行為人身分。我方僅提供線索,行為人身分由警方調查認定。

一、這是犯罪行為(不是小孩玩鬧)

行為人以自動化電腦程式(外掛/機器人),透過 VPN 隱藏身分,對我們公司的網頁系統發動大量惡意請求。這在台灣已構成刑事犯罪

攻擊規模(分兩波,兩天):
  • 第一波(7/5)暴力洗榜:在短短 39 秒內,以每秒最高 628 次的速度,灌入 2,381 筆偽造資料——這種速度人手絕對不可能,百分之百是電腦程式。每一筆都換一個全新的識別碼(UUID)以規避追蹤。
  • 第二波(7/6)持續掃描資料庫:接連數小時、每秒約 10 次,反覆掃描我們的每一個後端資料庫端點(見下表)。此波在本站已停止對外服務後仍持續(見第三段「決定性證據」)。
  • 第三波(7/6 中午)分散式洪流:另有一次在約 6 秒內、來自全球數十國約 2,700 個代理/殭屍網路節點的集中洪流,同時灌打分數提交與留言端點——動用大量代理節點發動,是有規模、有資源的攻擊手法,非隨手惡作劇。
這不是「洗版」,是蓄意設計的攻擊。
行為人刻意撰寫程式,並用三層偽裝來隱藏身分、規避追查、攻擊我們的資料庫:
  • 偽裝身分:用大量不同的假人名(范悅麗、鄧旭民、湯飛子、袁功濤、姚浩良…十餘個)洗版,製造「很多人」的假象。
  • 偽裝識別碼:偽造的 2,381 筆資料,用了 2,381 個「全都不一樣」的識別碼(device ID)——每寫一筆就換一個新的,目的就是讓我們查不出是同一個人。
  • 偽裝位址:全程掛 VPN 隱藏真實 IP。
一個玩遊戲的小孩不會這樣做。只有「蓄意攻擊、且刻意要規避追查」的人,才會設計出這種多層偽裝。這是一次有技術、有規劃的攻擊,不是惡作劇。

而且他不只是攻擊排行榜。經我們比對伺服器紀錄,他系統性地、反覆地嘗試存取我們的每一個後端資料庫端點——這是試圖侵入資料庫的探測行為。

他反覆攻擊的資料庫端點攻擊次數
/api/totals(累計統計資料)354 次
/api/leaderboard(排行榜資料)354 次
/api/messages(留言板資料)354 次
/api/online(線上狀態)354 次
/api/heartbeat(連線偵測)354 次

※ 這種「逐一、反覆掃描每個資料庫端點」的行為,一般玩家不可能做出——這是有意圖的入侵探測。

他攻擊時使用的識別碼(UUID)全都不一樣

偽造的 2,381 筆資料,用了 2,381 個「全都不重複」的識別碼(UUID / device ID)——他每送出一筆,就換一個全新的 UUID。正常使用者的裝置識別碼是固定的;只有刻意規避追查的程式,才會每一次都生成不同的 UUID。這是蓄意規避追蹤的明確意圖。

證據原始資料(如實提供,未經取捨,交由警方偵辦):以上端點攻擊次數、UUID 數量、來源 IP,均可由 Cloudflare 伺服器紀錄與我方資料庫查詢佐證,原始母本存於 Cloudflare,警方可依法調閱。

二、我們已蒐集到指向行為人的技術線索(懇請警方調閱認定)

行為人攻擊時掛 VPN(假 IP)。但在持續回連本站的過程中,有一個未掛 VPN 的台灣住宅網路連線被伺服器記錄下來,露出了一個真實住宅網路位址(IP)。此 IP 的歸屬與租用人,須由警方依法向電信業者調閱認定——我方僅如實提供以下記錄:

待查住宅 IP123.110.239.24

所屬電信台灣「台灣寬頻通訊 TBC」(住宅寬頻網路,非 VPN)

記錄到之裝置OPPO 手機(型號 CPH2599,Android;見下方 UA 說明)

連線時間2026-07-06 早上 07:57–08:10(多次連線)

電信商台灣寬頻通訊(TBC,AS131596)— hostname:123-110-239-24.best.dynamic.tbcnet.net.tw

概略區域IP 公開定位顯示為新竹縣竹東一帶(IP geolocation 定位結果,通常具相當參考價值;惟屬定位推測,非電信業者認定。確切租用人與地址,以警方向電信業者調閱之租用資料為準;該 IP 為動態分配,故時間點為關鍵)

關於裝置型號(OPPO CPH2599)的技術說明——避免誤會:
同一個 IP 123.110.239.24、同一次連線中,不同請求記錄到的瀏覽器識別字串(User-Agent)詳略不同:部分請求(來自 App 內建瀏覽器 webview)記錄到完整型號字串,明確含 OPPO; CPH2599;另一部分一般 Chrome 請求則因瀏覽器隱私機制送出精簡字串(顯示為 Android 10; K、不含型號)。這是 Android 版 Chrome 的正常隱私行為,兩者來自同一 IP、同一次連線。完整型號字串原文如下(來自伺服器 D1 原始記錄,id 654 / 655,已固化並附 SHA-256):

Mozilla/5.0 (Linux; Android 16; CPH2599 Build/BP2A.250605.015; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/149.0.7827.159 Mobile Safari/537.36 ... Android (36/16; 480dpi; 1080x2412; OPPO; CPH2599; ...; zh_TW_#Hant; ...)

為什麼這個連線值得警方關注?
正常玩家是「打開遊戲畫面玩」,玩家本人根本不知道、也碰不到那些後端資料庫端點。 而且當時我們的系統已進入離線防護狀態,正常遊戲畫面完全不會發送任何請求。 但這個 IP 卻跳過遊戲畫面、直接一個一個去戳後端資料庫端點—— 這是「繞過正常介面、直接連線後端」的行為,正常玩家在技術上不會這麼做。 (被害人已確認:此裝置不是我方本人或家屬所有。) 此 IP 是否即為行為人,由警方調閱認定;我方不作指認。

👉 懇請警方協助:

  1. 調閱令 / 搜索票向「台灣寬頻通訊(TBC,AS131596)」調閱 IP 123.110.239.24 在 2026-07-06 早上 07:57–08:10 的租用人資料(該 IP 為動態分配,故時間點為關鍵;IP 定位顯示服務區約在新竹竹東一帶,供縮小範圍參考),朝鎖定行為人方向偵辦。
  2. 並可向 Cloudflare, Inc. 依法調閱完整連線紀錄佐證。

我們已把技術蒐證工作完成,並如實提供全部線索。行為人身分之認定,屬警方偵查職權。

完整來源 IP 清單(伺服器連線紀錄,如實提供,不取捨、不指認,全部交警方調查認定)

下表為伺服器連線紀錄(Cloudflare + 我方資料庫)中,與本事件相關之來源 IP。我方不判斷何者為行為人本人,僅如實列出「哪個 IP、從哪、連幾次、打什麼」,一律請警方依法向各電信業者調閱認定

來源 IP連線次數電信商 / ASN國別時間(台灣時間 2026-07-06)性質(客觀描述)
123.110.239.2410台灣寬頻通訊 TBC / AS131596(住宅寬頻)台灣07:57–08:10未掛 VPN 之台灣住宅 IP;UA 含 OPPO CPH2599;打含 /api/run(分數提交)之後端端點。待警方向 TBC 調閱租用人。
82.140.187.532,156UAB Bite Lietuva / AS209854(VPN/代理,非台灣住宅網路出口顯示台灣06:53–11:47以固定節拍(每分鐘定時)持續輪詢全部後端端點達 5 小時 → 自動化程式;為VPN/代理出口,證明行為人使用 VPN 偽裝。
218.166.165.13822中華電信 HiNet / AS3462(住宅寬頻)台灣13:26–13:27下午另一波台灣住宅 IP,密集打全部後端端點。待警方向中華電信調閱租用人。
61.216.68.1391中華電信 HiNet / AS3462台灣(單筆)一台 Mac 電腦連線。已確認非我方本人或家屬。來源待警方調閱認定,第三方線索一併提供。

※ 三筆標黃者(123.110.239.24 / 218.166.165.138 / 61.216.68.139)為台灣本土住宅網路 IP,是最可能循電信業者租用資料鎖定行為人之線索。VPN 出口(82.140.187.53)調不到人,但證明對方蓄意掛 VPN 偽裝。

另有一次分散式洪流(2026-07-06 11:44 前後約 6 秒內,來自全球數十國約 2,700 個代理/殭屍節點 IP,各連 4 次、集中打 /api/run/api/messages)。此屬透過大量代理節點發動之洪流,該等 IP 多為被利用之中繼節點,非行為人住址;完整清單可另交警方。

行為人暱稱「L」/「L〇〇co 火柴人」(行為人自取之暱稱)。

附帶說明:行為人暴走前曾以真身「L」正常遊玩(7/5 晚間~7/6 凌晨),惟該時段早於本站啟用連線 IP 記錄之前,我方資料庫僅存其裝置識別碼與所在國別(台灣),未存當時之連線 IP;該時段之真實 IP 須由警方向 Cloudflare 依法調閱舊紀錄比對,我方不臆測。

三、決定性證據:本站「停止對外服務」期間,這些來源仍在持續攻擊

正常玩家在網站停止服務時不會有任何流量。但這些來源在我們把系統關閉、對一般玩家不可用之後,仍持續、規律地對後端發送大量請求——這是「非正常玩家」最有力的證據。

2026-07-06 凌晨 03:27(台灣時間),為了止血,我們部署了離線防護(kill-switch):遊戲畫面照常可玩,但前端程式完全不再對後端 API 發送任何請求(排行榜、留言、線上狀態全部改用本機暫存)。此後,任何一般玩家的瀏覽器對後端的請求數 = 0。

然而在此之後,伺服器紀錄顯示:
  • 82.140.187.53(VPN 出口):於離線防護部署後,仍自 06:53 持續打到 11:47,共 2,156 次,且以固定節拍(每分鐘準時、每分鐘 10 次、連續 126 分鐘)輪詢後端全部端點 → 這是定時腳本,人手不可能。
  • 123.110.239.24(台灣 TBC 住宅/OPPO 手機):07:57–08:10,直接打 POST /api/run(分數提交端點)等後端 API。離線防護後,正常玩家前端根本不會呼叫此端點。
  • 218.166.165.138(台灣中華電信):下午 13:26–13:27,再度密集打全部後端端點。
結論(客觀):這些請求不是「正常玩家載入頁面」。它們發生在本站已對一般使用者停止服務之後,且以自動化、規律、直打後端的方式進行 → 定性為「停止服務期間仍持續發送之自動化攻擊/偵察」

技術誠實聲明:本站連線紀錄不儲存 HTTP 回應碼,故我方不主張「對方收到錯誤仍續打」之細節;我方主張的是可驗證之事實——在本站對正常玩家停止服務後,上列來源仍持續直接對後端發送請求(正常玩家此時後端請求數為零)。

四、這對我們公司造成的實際危害(營業/業務妨害)

這不是「一個遊戲被搗亂」那麼簡單。這台伺服器上,是我們公司全部的事業

1多個公司網站一起癱瘓、客人進不來
這名攻擊者癱瘓的不只是遊戲網站。我們公司多個正式營運的網站都在同一台主機上,包括:
  • M〇〇n(名稱去識別化)——一個醫療 AI 服務,正準備向創投(VC)募資。
  • F〇〇a(名稱去識別化)——一個正準備上架 Google Play 的正式 App。
他的攻擊燒爆了我們雲端服務的用量額度,波及同一帳號下的所有服務 → 客人全都進不來。這是直接的營業妨害
2逼我們花錢、花大量人力止血
為了防堵他的攻擊,我們被迫升級付費方案、投入雲端費用,並花費了約 12~14 小時的人力連夜修補漏洞、蒐證。這些都是他造成的實際金錢與時間損失
3他在關鍵時刻打擊一家準備募資/上架的公司
在我們準備向創投募資、準備 App 上架的關鍵階段,服務被癱瘓、資料被污染,直接損害公司信譽與商業機會

以上均構成營業妨害/業務妨害,並為後續民事求償之依據。

五、證據截圖

雲端額度被燒爆
▲ 我們的雲端服務用量被他的攻擊燒至 99,076/100,000(接近上限),波及同帳號所有服務。
排行榜被洗
▲ 排行榜前 8 名全被他用假分數洗成「L 599,999」,真實玩家全被擠出。
留言板被洗版
▲ 留言板被他用「十幾個不同的假名字」洗版(製造多人假象)。
攻擊者霸榜
▲ 攻擊者以偽造分數霸佔排行榜第一名。
污染持續
▲ 相隔 8 分鐘後畫面仍相同 → 證明污染是持續、穩定寫入,非一次性意外。
Cloudflare 安全分析
▲ Cloudflare(我們的資安服務商)安全分析後台,記錄了所有攻擊流量。原始資料存於 Cloudflare 伺服器,警方可依法調閱。

各來源 IP 之 Cloudflare 連線分析(後台原始畫面)

以下三張為 Cloudflare 安全分析後台針對各 IP 篩選之連線紀錄畫面(裝置、系統、路徑、次數)。畫面左上帳號 email 已遮蔽(不影響證據內容;原始未遮蔽版本可經司法程序向 Cloudflare 調閱佐證)。

123.110.239.24 CF 分析
123.110.239.24(台灣寬頻通訊 TBC)— 裝置:Android 手機(來源瀏覽器含 ChromeMobileWebview,機型 OPPO CPH2599);打後端 API 端點。台灣住宅 IP,待警方向 TBC 調閱租用人。
82.140.187.53 CF 分析
82.140.187.53(AS209854,VPN/代理出口,非台灣住宅網路)— 裝置:Windows 桌機;服務 origin 端 1.29k 次;持續打全部後端端點。證明行為人使用 VPN 偽裝。
61.216.68.139 CF 分析
61.216.68.139(中華電信 HiNet)— 裝置:Mac(MacOSX)電腦。第三方線索,已確認非我方本人或家屬,來源待警方調閱認定。

六、為什麼這些證據可信

以上所有連線資料,都是我們的資安服務商 Cloudflare(一家國際大型網路安全公司)的伺服器自動記錄的,攻擊者無法竄改、也無法刪除

我們已將這些資料以防竄改方式(SHA-256 數位指紋)固化保存,原始母本仍存放在 Cloudflare 伺服器,警方可經司法程序向 Cloudflare 調閱佐證。

我方立場:我們全程只是被動記錄攻擊者送過來的連線資訊(就像監視器拍下闖進來的人),從未主動去攻擊、掃描或反擊他。我們是純粹的受害者,依法報案。

被害公司與營運者身分:(已去識別化,正式報案時另向警方提供)・ 報案摘要產出:2026-07-06
完整技術證據(含伺服器原始連線紀錄、裝置識別字串原文、Cloudflare 安全分析截圖,均附 SHA-256 完整性雜湊)可即時提供。原始母本存於 Cloudflare 伺服器,警方可依法調閱佐證。攻擊持續回連中,懇請儘速受理。