回顾2025年6月资安新闻,中华电信凭证合规问题是头号焦点,还有3个威胁层面的议题同样值得我们关注,包括两起超大规模上亿资料外泄揭露、以伊战事引发的网路攻击、国内外重大资安事件,最后还有资安防御发展上的重要进展,我们也整理帮助大家回顾。
(一)中华电信凭证失去信任议题席卷全台
台湾业者面临与浏览器TLS加密凭证合规的重大危机:6月Google突然宣布,Chrome浏览器将不再信任中华电信8月之后新签发的两个商用凭证(CA),包括「ePKI Root CA」与的「HiPKI Root CA」,中华电信因此宣布,8月将暂停签发新的TLS网站凭证,并承诺争取让自家凭证重获预设信任。
后续我们针对此事件进行封面故事报导,有两大议题受关注,一是此事件的影响范围远超外界想像,二是检视中华电信失去凭证信任撤销主因。
首先,本次事件不只是冲击中华电信,导致该公司自家网站的凭证须向其他业者购买,政府部门也面临冲击,因为这将影响使用由中华电信协助政府维运的CA,并且扩及医院、金融机构、交通运输等与民生息息相关的产业。此外,国内有许多公司与组织长期租用中华电信的网路服务,常会一并选用其提供的商用TLS凭证,等于各行各业也受到影响。
而在凭证撤销主因上,根据一些专家的看法,其实是长期积累的「不合规」行为和「诚信」问题所导致的,因此我们归纳出5大原因,包括:凭证扩充栏位问题与内部管理失衡,未依社群公约处理与诚信破产,处理大规模凭证废止作业时违反凭证授权机制,OID设定争议与国格敏感性问题,以及组织与人员异动影响,同时我们也请专家提供多项应对策略与见解。
(二)两起超大规模资料外泄事件
本月资安新闻我们已经报导多起企业的资料外泄事件,特别的是,有两起超大规模外泄事件突显不肖分子将搜集庞大资料的状况,而且恰巧都是由资安新闻媒体Cybernews率先揭露。
首先,是Cybernews研究团队与资安业者Security Discovery联手发现,有一未受密码保护的大型资料库,储存了超过40亿笔用户记录,内含金融财务资料、微信及支付宝(Alipay)的详细资料,虽无法判断该资料库曝险多久,是否有未经授权存取,但这也反映中国政府借由收集民众各式资料监控的情形,后续影响有待观察。特别的是,当中还有包含名为tw_db的资料集,研究人员推测与台湾有关。
其次,是Cybernews揭露半年内找到逾30个帐密资料库,共内含160亿笔帐号密码的资料,发现的前三大资料夹是wechatid_db、address_db、bank,并认为骇客现在可能偏好用资料库去管理窃得的资讯。
(三)以色列与伊朗再爆战争冲突,同时引发重大网路攻击事件
随著以色列发动军事行动,伊朗当地亦遭遇重大网路攻击事件,例如,伊朗国有银行Bank Sepah遭骇,多间分行被迫暂停营业与以色列有关的骇客组织Predatory Sparrow宣称是他们所为。
相隔几天,伊朗加密货币交易所Nobitex也遭同一组织攻击,该交易所证实部分热钱包受影响,估计有逾9千万美元加密货币遭窃并被销毁。这些事件引发全球金融机构的关注,如何从这些事件来省思与借镜,成为资安界与金融业必须正视与探讨的主轴。
(四)国内外多起重大资安事件,时尚品牌业与虚拟货币交易所遭骇最受关注
本月重大资安事故,以台湾而言,根据公开资讯观测站的重大讯息公告,有4家上市柜公司揭露资安事件:
●第一周1起,联嘉光电的网路环境遭骇客试图存取。
●第二周1起,联钧光电今年第二次遭攻击,一周后再说明部份档案有被窃疑虑。
●第四周2起,荧茂光学揭露遭加密攻击,黑松揭露内部邮件通讯录遭窃。
国际间,主动揭露的重大资安事故同样不少,多家时尚品牌业者发布资安事故公告,包括维多利亚的秘密(Victoria’s Secret)、Cartier、The North Face,以及韩国知名网路书店兼售票平台YES24,其中不少事件已确认有资料外泄。
特别一提的是,加密货币交易所也接连传出事故,不只是上述伊朗加密货币交易所Nobitex遭攻击,在台湾,加密货币交易所币托(BitoPro)亦揭露上个月遭骇,后续调查结果指出,其负责云端业务的员工遭骇客社交工程攻击,经过一连串渗透最终导致恶意指令码转移至热钱包主机。此外,还有美国虚拟货币交易所Coinbase向美国SEC通报资料外泄,此案较特别的是,传出是2名印度客服外包业者TaskUs员工收受贿赂,将敏感资料提供给骇客。
(五)中国骇客攻击引发的威胁依然严峻
国家级骇客威胁持续受关注,尤其是中国骇客组织的攻击活动持续被大量揭露。
例如,端点防护业者iVerify发现,有中国骇客组织利用iPhone手机iMessage的 NICKNAME零点击漏洞,锁定至少6名欧美政要及媒体高层攻击,而这些受害者也曾遭中国骇客Salt Typhoon攻击;其次,美国华盛顿邮报发现其电子邮件系统遭骇客入侵,已知有负责报导国安、经济政策、中国等领域的记者帐号被入侵。另外,电信业同样需要留意,因为加拿大网路安全中心示警,指出今年2月加拿大电信业遭中国骇客Salt Typhoon攻击。
亚太地区电商与支付业者也要留意,研究人员揭露中国网路犯罪的OTP盗刷网钓生态系,指出在微信与Telegram上就有1、2千个频道用于中国诈欺黑色产业的交流,主要针对亚太地区而来。随著中国鱼塘(网钓即服务,PhaaS)平台的扩张,正助长信用卡盗刷网钓攻击的犯罪规模。
(六)资安防御新动向与台湾企业揭露加入FIRST经验
在资安防御面向上,我们整理出多个不同领域的重要进展,涵盖勒索软体金额揭露成强制,建立骇客组织命名对照指引等议题。
●澳洲政府颁布新规范,针对遭勒索的企业,要求从5月30日起,不仅要通报资安事件,也要在72小时内通报支付赎金的金额,这在国际相当少见。
●针对骇客组织命名不同问题,微软与CrowdStrike正合作发展一套对照指引,虽然这并非建立共通标准,但目的很明显是要减少资安资讯交流阻碍。
●AWS在6月举行年度资安会议re:Inforce 2025,强调多项身分安全新进展,同时揭露AWS自身用生成式AI帮助资安防御的5大场景。
●台新银行与华硕电脑公开加入国际资安事件应变小组论坛(FIRST)的经验与考量,向更多国际业者看齐。
本周中国政府监控民众的大型资料库曝露在网际网路、韩国书店及购票平台Yes24遭受勒索软体攻击相当受到关注;而在国内,联钧光电针对1月发生的勒索软体攻击事故透露后续发展。此外,本周有许多IT业者发布6月份资安更新,用户应留意并及时套用修补程式
回顾2025年6月底的资安新闻,资料外泄与DDoS攻击的规模皆因创下历史新高,成为瞩目焦点;在此同时,台湾被攻击者锁定的威胁态势,这星期再度浮上台面,包含新兴勒索软体Dire Wolf已将台湾企业列为攻击目标,以及过去攻击台湾的中国骇客组织UAT-5918,被揭露正利用LapDogs的ORB网路来隐匿其攻击活动