Egidio
Dossier · 2026

Data Breach sa Pilipinas: mula leak papuntang scam

Hindi na isyu ng malalayong bansa lang ang data breach. Sa Pilipinas, ang leaked na pangalan, numero, o KYC record ay direktang nagiging materyales ng isang scammer — at dokumentado na ito ng National Privacy Commission (NPC) at ng mga kaso sa 2023-2025.

Ang direktang koneksyon sa mga scam call at text

Halos hindi na-kokontini ang isang data breach sa loob lang ng kumpanya o ahensyang na-hack. Sa sandaling kumalat ang datos, ang mga detalye rito — pangalan, numero ng telepono, address, minsan pati bank account — ay nagiging bahagi ng "sample" na ginagamit ng isang scammer para gawing kapani-paniwala ang kanyang approach, sa halip na basta random na tumawag o mag-text. Iyan ang dahilan kung bakit personalized ang ilang scam call — alam na nila ang buong pangalan mo, minsan pati pangalan ng employer mo, bago pa man sila tumawag.

4.3M+
Pilipinong naapektuhan ng personal data leak noong ikatlong quarter (Q3) ng 2025 lang — tumaas ng 73% kumpara sa nakaraang quarter, ayon sa monitoring ng data leak.
Manila Bulletin, "Personal data leaks jump 73% in Q3," Oktubre 2025.
72 oras
Ang deadline para sa isang personal information controller o processor para i-notify ang NPC, mula sa sandaling nalaman o may reasonable belief na nagkaroon ng personal data breach.
National Privacy Commission, breach notification rules.

Tatlong dokumentadong kaso ang nagpapakita kung gaano kalawak ang isyu — kasama ang isang kaso kung saan pinabulaanan ng opisyal na imbestigasyon ang una-unang alarma:

Abril 2023
NBI, PNP, BIR at iba pang ahensya — 1,279,437 records (817.54 GB) ng applicant at employee data mula sa maraming state agency ang na-expose online nang hindi bababa sa anim na linggo, base sa ulat ng cybersecurity research firm vpnMentor. Kasama sa exposed data ang fingerprint scans, birth certificates, TIN, at passport copies.
Marso 2025
National Telecommunications Commission (NTC) — inangkin ng isang threat actor na "ph1ns" sa isang forum na na-compromise nila ang internal systems ng NTC, na may claimed na 126 GiB at 210,482 items — regional records, email address, at cell IDs. Hindi pa opisyal na kinumpirma ng NTC ang buong saklaw, at coordinate ito sa NPC at CICC.
Oktubre 2025
GCash / G-Xchange, Inc. — lumabas sa dark web ang post na nag-aalok ng datos ng 7-8 milyong user (account number, KYC record, linked bank/card). Nag-imbestiga ang NPC, at noong 30 Oktubre 2025 kinumpirma nilang "walang sapat na basehan" para sabihing may nangyaring personal data breach — hindi tugma ang sample sa verified data structure ng GCash, at maraming listed account ang invalid o inactive.

Ang kalusugan: hindi katulad ng ibang leak

Ang isang data breach na may kinalaman sa kalusugan ay iba ang klase kumpara sa iba. Hindi tulad ng isang password o credit card na puwedeng i-reset o i-cancel kaagad, ang medical history mo ay hindi "nag-e-expire" — nananatili itong may halaga sa mga kriminal na merkado kahit ilang taon na ang lumipas.

🏥PhilHealth

Inatake ng Medusa ransomware group ang PhilHealth noong 22 Setyembre 2023, at sinimulan nilang i-dump ang ninakaw na datos sa dark web noong 3 Oktubre matapos hindi mabayaran ang $300,000 ransom demand. Base sa opisyal na imbestigasyon ng National Privacy Commission (NPC), sa 650 GB na data dump, natukoy ang 42,089,693 PhilHealth Identification Number — kasama ang mga senior citizen, indigent, at PWD member. Naglunsad ang NPC ng "PhilHealthLeak Search Tool" para ma-check ng mga miyembro kung apektado sila, at nag-abiso ito sa mga bangko, ospital, at telecom company na maging mas mapagbantay laban sa peke o ginayang PhilHealth ID.

HIPAA Journal · Rappler · National Privacy Commission, 2023-2024.

Paaralan at unibersidad: bagong larangan noong 2026

🎓Canvas LMS breach — apektado ang limang unibersidad sa Pilipinas

Noong 2 Mayo 2026, inamin ng Instructure — ang US-based na may-ari ng Canvas LMS na ginagamit ng maraming paaralan sa buong mundo — na na-compromise ang kanilang sistema ng threat-actor group na ShinyHunters, na nag-claim ng humigit-kumulang 275 milyong records bilang bahagi ng ransomware-style extortion. Hanggang kalagitnaan ng Mayo 2026, limang unibersidad sa Pilipinas ang publikong naka-link sa insidente: kinumpirma ng De La Salle University at Ateneo de Manila University na na-notify sila bilang apektadong client ng Instructure; naglabas ng coordinating advisory ang UST at University of the East; at nakaranas ng service disruption ang San Beda dahil sa parehong insidente. Ayon sa opisyal na statement ng Instructure, pangalan, email address, student ID number, at Canvas platform message ang apektado — hindi kasama ang password, birthdate, government ID, o financial information.

Instructure disclosure, Mayo 2026 · pagbabalita ng mga apektadong unibersidad.

Turismo: kapag hindi lumabas na totoo ang alertang leak

🏨Isang resort-casino sa Pilipinas — false alarm, pero mahalagang aral

Noong unang bahagi ng 2025, nakatanggap ang isang entertainment resort sa Pilipinas ng anonymous tip na may sensitibong datos ng mga high-value customer na na-leak sa dark web — libo-libong record na may pangalan, home address, numero ng telepono, email, cash inflow/outflow, uri ng laro, at play history. Matapos ang forensic investigation ng cybersecurity firm na Blackpanda, natuklasan na hindi totoong nagkaroon ng data theft — na-confirm na false alarm ito, kahit paano kapani-paniwala ang orihinal na tip. Inalis pa rin ng resort ang mga malicious script at pinatibay ang web controls bilang precaution.

Blackpanda, case study, 2025.

Ito ang parehong leksyon na makikita sa kaso ng GCash sa itaas: hindi lahat ng "leak" na inaangkin online ay totoo. Mahalagang hintayin ang opisyal na imbestigasyon — kumpirmado man o hindi — bago mag-react o mag-panic.

Ang vocabulary na dapat malaman

Credential stuffing

Sinusubukan ng attacker nang mass-scale, sa ibang site, ang mga stolen credential mula sa isang naunang breach — umaasang ginagamit mo pa rin ang parehong password sa maraming account.

Password spraying

Kabaligtaran ng classic brute-force: sinusubukan ng attacker ang isang common password sa maraming iba't ibang account, para hindi ma-detect ng automated security system.

MFA fatigue

May-hawak na ng password ang attacker at nagpapadala ng sunod-sunod na MFA notification, umaasang mag-a-approve ka na lang dahil sa pagod o pagkakamali.

SIM swap

Kinukuha ng attacker ang kontrol sa numero mo — kadalasan sa tulong ng social engineering o insider — para ma-intercept ang OTP at ma-access ang mga account mo.

🔒 Kahit hindi kasalanan mo ang isang leaked database, ang epekto nito ay dumarating sa iyo sa anyo ng tawag o text — kaya't ikinokonekta ng Egidio ang mga channel na ito para makilala ang scam pattern na ginawa mula sa nakaw na datos, kahit personalized pa ito. Tingnan kung paano gumagana ang Medusa.

Mga madalas itanong

Ano ang National Privacy Commission (NPC)?

Ang NPC ang opisyal na data protection authority ng Pilipinas. Obligado ang mga kumpanya at ahensya na mag-notify sa NPC sa loob ng 72 oras kapag may nangyaring personal data breach, at nagbibigay ang NPC ng advisory kapag may kaso ng alleged breach na nangangailangan ng paglilinaw sa publiko.

Totoo ba ang lahat ng ibinebenta sa dark web na "leaked data"?

Hindi laging totoo. Sa kaso ng GCash noong Oktubre 2025, matapos ang imbestigasyon ng NPC, natuklasan na hindi tugma ang sample ng datos sa totoong verified data structure ng GCash, at maraming listed account ang invalid o inactive — ibig sabihin, walang sapat na basehan para sabihing may nangyaring personal data breach. Kaya mahalagang hintayin ang opisyal na kumpirmasyon bago mag-react.

Paano nagiging scam ang isang data breach?

Kapag lumabas ang pangalan, numero, at address mo sa isang leaked database, may sapat na ang isang scammer para gumawa ng personalized na text o tawag — halimbawa nagpapanggap na bangko o ahensya ng gobyerno, gamit ang totoong detalye mo para mukhang lehitimo. Ito ang eksaktong dahilan kung bakit mahalaga ang credential hygiene kahit hindi mo direktang kasalanan ang breach.

Bakit partikular na hinahanap-hanap ang datos ng kalusugan?

Hindi tulad ng isang password na puwede mong palitan agad, o isang credit card na puwedeng i-cancel, ang medical history mo ay hindi "nag-e-expire" — nananatili itong valid at may halaga kahit ilang taon na ang lumipas mula sa orihinal na leak. Magkakasalungat at malaking range ang mga presyong inuulat ng iba't ibang estudyo tungkol sa dark web pricing ng health records, kaya imbes na magbigay ng eksaktong numero, ang mas mahalagang punto ay ito: hindi nawawala ang halaga nito sa paglipas ng panahon, kaya't patuloy itong target ng mga kriminal.

Para sa karagdagang basahin