2025 年末的科技圈並不平靜。就在華碩資安長於資安通報應變年會分享趨勢的同一天,知名勒索軟體集團 Everest 在暗網投下震撼彈,宣稱已攻破華碩防線,竊取高達1TB的數據,其中更點名包含極具商業價值的「相機原始碼」。這起事件不僅是對華碩品牌的挑戰,更牽動了高通(Qualcomm)、聯發科(MediaTek)以及虹軟科技(ArcSoft)等上下游供應鏈的神經。
事件剖析:不僅是代碼,更是商業機密
駭客為了證明所言不虛,釋出了七張極具殺傷力的截圖。這些圖片揭露的不僅是應用程式層級的程式碼,更觸及了手機相機模組的核心——從低階韌體、驅動程式、除錯日誌,到涉及 AI 影像識別的權重模型與測試工具。專家指出,出現標註「MTK」(聯發科)與高通晶片的測試修補軟體,意味著這場外洩可能讓競爭對手得以窺探華碩及其合作夥伴在影像調校上的獨家 Know-how。
儘管華碩迅速定調此為「供應商遭駭」,並強調未影響產品安全與用戶隱私,但從駭客掌握的資料廣度來看,這已非單純的單點突破,而是一次典型的「供應鏈攻擊」。當企業自身的堡壘堅不可摧時,駭客便轉向攻擊防禦較弱的合作廠商,藉由共享的開發環境或數據傳輸通道長驅直入。
資安教訓:企業應如何構築防線?
華碩事件為所有依賴委外開發與複雜供應鏈的企業敲響了警鐘。面對此類威脅,資安防禦不能僅停留在防火牆內,必須向外延伸並向內深化。
重塑供應鏈信任模型:稽核與隔離
華碩聲明指出問題源於供應商。這提示企業必須重新審視與第三方的合作模式。
-
強制資安合規
企業應要求所有接觸敏感資料(如原始碼)的供應商,必須符合 ISO 27001 或同等資安標準,並定期接受第三方滲透測試。
-
開發環境隔離
委外開發不應直接存取企業核心儲存庫。應採用虛擬桌面(VDI)或受限的開發沙箱,確保原始碼「不落地」,且資料進出皆須經過嚴格的 DLP(資料外洩防護)掃描。
-
最小權限原則
供應商僅能存取專案當下所需的代碼片段,而非整包 SDK 或 1TB 的完整資料庫。
強化開發安全
代碼混淆與浮水印 既然原始碼有外洩風險,企業就必須假設「代碼終將被竊」。
-
代碼混淆
在開發階段即對核心演算法進行邏輯混淆,即使駭客取得原始碼,也難以逆向工程理解其商業邏輯。
-
數位浮水印
在機敏代碼或 AI 模型中植入隱形浮水印。一旦發生外洩,企業可迅速追蹤洩漏源頭是哪一家供應商,並在法律訴訟中掌握證據。
落實全員資安衛生:從「關機」做起
華碩在事件後連續兩日發出的內部信,看似基礎卻是防禦勒索病毒的關鍵。
-
端點防護
華碩要求員工「下班關機」並非老生常談。許多勒索病毒是利用夜間無人監管時段進行全網加密。減少設備在線時間,就能降低受攻擊面。
-
VPN 與多因子驗證
隨著遠端工作普及,VPN 帳號往往成為駭客的突破口。企業須強制實施 MFA,並監控 VPN 的異常登入行為(如非上班時間或異常地理位置)。
-
修補程式更新
駭客常利用已知漏洞攻擊。確保作業系統與防毒軟體處於最新狀態,是阻擋自動化攻擊最廉價也最有效的方式。
結語
Everest 攻擊華碩一案,再次證明了在萬物聯網的時代,沒有一家公司是孤島。資安防護已從單純的技術對抗,演變為對供應鏈韌性與內部管理紀律的全面考驗。唯有將供應商視為防禦體系的一環,並落實最基礎的資安衛生習慣,才能在數據洩漏的洪流中站穩腳跟。
照片
img name