本周有两起资料外泄事故引起资安圈关注,一是骇客声称窃得逾28亿笔社群网站X(推特)的使用者资料,另一起则是针对资安业者Check Point而来,骇客号称偷到许多内部资料,并开出超过千万台币的价码兜售。
其中比较值得留意的是X的资安事故,由于至截稿为止该公司并未对此做出说明,后续发展相当值得观察。
【攻击与威胁】
根据资安新闻网站HackRead、Cyber Press的报导,名为ThinkingOne的人士于骇客论坛上声称握有28亿笔社群网站推特(X)用户详细资料,并表明这批资料来自对该公司不满的员工,在马斯克入主进行大裁员的期间收集而得,资料量达到400 GB。不过,X始终并未对此事提出回应,因此骇客的说法有待进一步厘清。
这名人士声称向X通知并未得回应,因此他们将另一批2023年泄露的资料整并在一起。当时的骇客宣称握有约2亿笔用户资料,其中包含电子邮件信箱、使用者名称、帐号建立日期,以及关注人数。
但ThinkingOne手上的资料范围更为广泛,使用者名称、帐号建立日期、关注人数等资料外,还包括了个人简介、帐号状态、地理位置及时区、2021及2025年的追踪者人数、好友与列表数量,以及最后一篇推文发布的来源、时间、转推数量。但特别的是,相较于另一批资料,这批资料唯独没有电子邮件信箱,这样的情况并不常见。
根据HackRead、SecurityWeek、The Register等多家新闻媒体的报导,3月30日名为CoreInjection的人士于骇客论坛BreachForums声称,他们从资安业者Check Point窃得一批内部资料,涵盖专案资料、原始码、使用者帐密、员工联络资料等,开价5个比特币(约新台币1398万元)兜售。对此,Check Point表示他们已经掌握骇客的说法,并指出这批资料涉及数个月前的资安事故,当时该公司已解决此事,强调对于资安没有影响。
31日Check Point进一步对此事提出说明,该资安事故发生在去年12月,起因是某个入口网站帐密外流,仅有3个组织的租户受到影响,以及部分Check Point员工的电子邮件信箱名册,但并未影响客户系统、生产力环境,以及资安架构。
4月1日该公司在原本的公告补充新的说法,表示骇客手上的资料很有可能源自于窃资软体在个人装置收集而得,并非直接入侵该公司而得逞,而且,由于存取入口网站必须通过多因素验证,光是取得帐密资料仍无法达到目的。
其他攻击与威胁
例如,最近微软针对Linux、嵌入式系统常见的开源开机启动工具GRUB2、U-boot、Barebox著手进行调查,结果找到一系列的资安漏洞,并指出这些弱点一旦遭到利用,攻击者有机会绕过安全开机(Secure Boot)机制部署恶意开机程式,或是绕过磁碟加密工具,从而完全控制受害装置的开机流程及作业系统,甚至破坏其他设备并从事恶意活动。值得一提的是,即便受害者重新安装作业系统,或是更换硬碟,仍有可能无法清除相关威胁。对此,3组开发团队在接获通报后,已于2月18日、19日发布更新予以修补。
仅管利用U-boot与Barebox的资安漏洞存在前提,那就是攻击者必须实际接触目标装置,然而有鉴于这些弱点有机会让攻击者能完全控制受害设备,使用者还是不能掉以轻心。
当前储存领导厂商之一的Dell,于3月27日编号为DSA-2025-116的产品资安公告,揭露影响旗下Unity储存阵列家族的漏洞,并释出修补。
这些漏洞存在的产品主要是Unity OS 5.4版以前的储存作业系统,因此,会影响到Unity、UnityVSA与Unity XT等储存阵列产品。
纵观这份公告列出的漏洞项目,可区分为两大类,首先,是第三方软体或工具,涵盖131种元件,像是Linux Kernel、Apache HTTP Server、Docker、Vim而导致的漏洞,根据我们的统计,有741个;另一类是Unity OS本身存在的漏洞,有16个,其中最严重的是这3项漏洞:CVE-2025-22398、CVE-2025-24383、CVE-2025-24381。
其他漏洞与修补