台灣科技大廠華碩近期遭勒索軟體集團 Everest 鎖定,駭客聲稱竊取 1TB 內部資料,包含相機原始碼、AI 模型及高通、聯發科等合作夥伴的機敏檔案。儘管華碩澄清受駭者為供應商且未影響核心系統,但此事件再次暴露了供應鏈資安的脆弱性。本文將深入剖析此次攻擊的潛在風險,並結合華碩內部的緊急應變措施,從「供應商管理」、「開發安全」到「員工資安意識」三個層面,為企業提出具體的防禦建議。
繼無印良品(MUJI)因物流夥伴遭駭而影響營運後,其物流商 ASKUL 於 2025 年 12 月正式公布調查報告。報告揭露了攻擊得逞的三大關鍵:委外帳號缺乏多因素認證(MFA)、防毒軟體遭停用以及備份系統被同步加密。本文深入剖析這份「災難驗屍報告」,探討駭客如何利用供應鏈信任漏洞長驅直入,並結合報告中的教訓,為企業提供針對身分驗證、端點監控與備份韌性的具體強化策略。
微軟悄悄修復了長達八年、遭多國駭客組織濫用的 Windows 捷徑(LNK)UI 缺陷(CVE-2025-9491),該缺陷曾導致捷徑屬性僅顯示前 260 字元,惡意指令得以隱藏。這次 UI 調整的影響是終結了駭客的長期視覺欺騙,但並未徹底解決 LNK 檔案的風險。對一般使用者而言,這提醒我們不應盲目信任 UI 介面。日常防範需堅持「三不一檢查」原則:不開啟不明壓縮檔內的 LNK 捷徑、不忽視 Windows 警告、不輕易點擊執行,並主動檢查可疑檔案的完整目標字串,才能對抗日益複雜的進階威脅。
韓國酷澎大規模個資外洩事件(涉及 3370 萬帳號)再度警示,電商的資安漏洞(尤其來自內部員工或供應鏈)對消費者構成巨大威脅。消費者不應僅依賴平台保護,更須主動採取「數位自保」策略。關鍵行動包括:實施密碼分級與定期更換、啟用兩步驟驗證、對外洩風險高的資料(如地址、電話)進行虛擬化,並時刻警惕利用外洩資料進行的詐騙電話或釣魚簡訊,確保在危機發生時能將損失降到最低。
無印良品母公司良品計畫因其物流合作夥伴 ASKUL LOGIST 遭遇勒索病毒攻擊,連帶導致數十萬顧客資料(姓名、地址、電話、訂單明細)可能外洩,並造成線上線下服務全面暫停。此事件凸顯了第三方供應鏈是現代企業最脆弱的資安環節。為有效防範,企業必須將資安防線從內部擴展到外部。關鍵對策包括:實施最小權限原則,切斷第三方過多的資料存取權;強化零信任架構;建立完善的數據備份與災難復原機制,確保服務不因單一節點中斷;並落實對委外廠商的定期資安稽核,將資安視為共同責任,才能有效應對複雜的網路威脅。
Cloudflare於 18 日突發系統異常,造成全球網路服務大規模中斷,包括 ChatGPT、X、Spotify、Gemini、Canva 等平台全受影響。事件起因為自動生成的威脅管理設定檔過大,導致多項系統崩潰。Cloudflare 已於數小時後修復,但專家指出,因其支撐全球約五分之一網站,此事故凸顯各大網路服務對基礎設施供應商的高度依賴。
AI代理人成為新興資安焦點!隨著生成式AI應用普及,駭客可利用提示注入、資料中毒與權限漏洞竊取資訊或操控系統。從ChatGPT到Copilot,各類AI工具皆潛藏外洩風險。企業需強化AI治理與主動防護,確保創新與安全並行。
2025年,一場突如其來的 AWS(Amazon Web Services)大規模當機事件,再次提醒了全世界:即使是全球最大、最穩定的雲端供應商,也可能出現瞬間癱瘓的狀況。 這場當機事件不僅影響全球網路運作,更暴露出一個現實:我們過度依賴雲端服務。當所有關鍵應用都集中在少數幾家供應商時,任何一處故障都可能牽動全球。
照片
img name