台積電供應商擎昊科技更新資安事件說明，提出事後三大檢討

日前勒索軟體LockBit駭客在6月30日聲稱入侵台積電，當日台積電指出已知悉IT硬體供應商遭駭，而被指為受害者的擎昊科技坦承遭駭，相隔4天，擎昊科技再次針對這次資安事件，說明了更多狀況。

在30日首次資安事件公告中，擎昊科技已經說明了初步的調查，包括該公司是在29日遭到網路攻擊，受影響的範圍是該公司為客戶準備系統安裝環境的工程測試區，同時也表示被截取的資訊中，因使用到特定客戶的公司名稱，因而引起網攻團體的注意，並試圖經此途徑取得客戶之機敏資料。

同時，也說明了這次事件的影響，指出被擷取的資訊並無關客戶的實際應用，僅為出貨時安裝設定檔等參數資訊等基本設定，目前沒有造成客戶的損害，客戶也並未因此遭駭。

從上述兩家公司回應來看，也就是說，勒索集團LockBit入侵擎昊科技內網後，發現有台積電TSMC的資料，駭客便對外宣稱，已經成功入侵並竊取到台積電的資料。

擎昊科技4日發布更新公告，提出事後三大檢討

4日，擎昊科技針對該公司遭遇的資安事件，發布更新公告，當中給出了更多在事後復原與檢討方面的資訊。

根據擎昊科技公告的內容，這次新揭露的部分，主要是針對這次資安事件發生的原因及檢討改進重點，他們列出了三點：第一，測試區環境防火牆版本未即時更新，第二，測試區密碼強度不足，第三，區內之客戶名稱未作適當的遮蔽。

其中，關於第一點的測試區環境防火牆版本未更新，是這次新提到的部分。從這樣的內容來看，或許有可能是造成這次事件、攻擊者入侵初期（Initial Access）的發動管道。而這也顯現及時更新修補的重要性，畢竟近來各家防火牆業者都持續釋出安全性更新，而用戶能否及早因應也很重要。

而第二點是關於密碼強度不足的部分，先前我們從匿名資安專家提供的駭客外洩截圖中，已經看到這方面的問題。像是在一張ilo記事本截圖的登入資訊中，似乎有弱密碼的情況，登入帳號是admin、密碼是password；還有一張截圖是列出一批可用HTTPS連入的網址，部分網址後面還列出「root P@ssw0rd」。

在先前對於這次事件的報導中，匿名資安專家指出Lockbit公布的一張ilo記事本截圖的登入資訊，包含像是登入帳號是admin、密碼是password的情形。這也呼應擎昊科技更新公告中指出測試區密碼強度不足的問題。

至於第三點，區內的客戶名稱未作適當的遮蔽，從駭客外洩截圖確實可以看到，測試區的虛擬機器名稱，包含了國內企業TSMC、俊昇、智禾、鍵祥、英寶、巨路、精誠、安極思等廠商名稱的字樣。這也代表擎昊科技會針對這方面做改善，不過這裡未說明具體採行方式。

另一張Lockbit駭客外洩截圖則看到虛擬機器名稱，出現TSMC、俊昇、智禾、鍵祥、英寶、巨路、精誠、安極思等廠商名稱的字樣。而這也呼應擎昊科技更新公告中提及客戶名稱未作適當的遮蔽的情形。

在最新公告的最後，擎昊科技也表示，除了上述三點的檢討與補正，同時也將強化資安防護，規畫調整資安規範與網路架構，並確保內部環境資訊安全與即時監控。

擎昊科技於7月4日發出資安事件更新公告，在新的揭露資訊中，主要增加的是第六點的原因檢討與改善，當中說明他們這次事件的肇因有三，包括：測試區環境防火牆版本未即時更新，測試區密碼強度不足，以及區內之客戶名稱未作適當的遮蔽。

另外，從先前台積電與擎昊科技6月30日的回應來看，已呈現出LockBit本次公布受害者身分卻與事實不符，到了7月4日，除了擎昊科技發布本次資安事件的更新公告，勒索軟體Lockbit駭客也在4日調降勒索價格並緊急宣布公開所有資料。

原先Lockbit在6月30日要求受駭企業支付7千萬美元等值比特幣或門羅幣等虛擬貨幣，8月6日前若沒有支付贖金，會公開相關資訊。在7月4日我們發現Lockbit已經更新了勒索的價格，大幅降低變成10萬美元並且是緊急公開資料。似乎可能是他們隔了四天才意識到，這批資料並非台積電的資料。