回顧2025年6月資安新聞,中華電信憑證合規問題是頭號焦點,還有3個威脅層面的議題同樣值得我們關注,包括兩起超大規模上億資料外洩揭露、以伊戰事引發的網路攻擊、國內外重大資安事件,最後還有資安防禦發展上的重要進展,我們也整理幫助大家回顧。
(一)中華電信憑證失去信任議題席捲全臺
臺灣業者面臨與瀏覽器TLS加密憑證合規的重大危機:6月Google突然宣布,Chrome瀏覽器將不再信任中華電信8月之後新簽發的兩個商用憑證(CA),包括「ePKI Root CA」與的「HiPKI Root CA」,中華電信因此宣布,8月將暫停簽發新的TLS網站憑證,並承諾爭取讓自家憑證重獲預設信任。
後續我們針對此事件進行封面故事報導,有兩大議題受關注,一是此事件的影響範圍遠超外界想像,二是檢視中華電信失去憑證信任撤銷主因。
首先,本次事件不只是衝擊中華電信,導致該公司自家網站的憑證須向其他業者購買,政府部門也面臨衝擊,因為這將影響使用由中華電信協助政府維運的CA,並且擴及醫院、金融機構、交通運輸等與民生息息相關的產業。此外,國內有許多公司與組織長期租用中華電信的網路服務,常會一併選用其提供的商用TLS憑證,等於各行各業也受到影響。
而在憑證撤銷主因上,根據一些專家的看法,其實是長期積累的「不合規」行為和「誠信」問題所導致的,因此我們歸納出5大原因,包括:憑證擴充欄位問題與內部管理失衡,未依社群公約處理與誠信破產,處理大規模憑證廢止作業時違反憑證授權機制,OID設定爭議與國格敏感性問題,以及組織與人員異動影響,同時我們也請專家提供多項應對策略與見解。
(二)兩起超大規模資料外洩事件
本月資安新聞我們已經報導多起企業的資料外洩事件,特別的是,有兩起超大規模外洩事件突顯不肖分子將蒐集龐大資料的狀況,而且恰巧都是由資安新聞媒體Cybernews率先揭露。
首先,是Cybernews研究團隊與資安業者Security Discovery聯手發現,有一未受密碼保護的大型資料庫,儲存了超過40億筆用戶記錄,內含金融財務資料、微信及支付寶(Alipay)的詳細資料,雖無法判斷該資料庫曝險多久,是否有未經授權存取,但這也反映中國政府藉由收集民眾各式資料監控的情形,後續影響有待觀察。特別的是,當中還有包含名為tw_db的資料集,研究人員推測與臺灣有關。
其次,是Cybernews揭露半年內找到逾30個帳密資料庫,共內含160億筆帳號密碼的資料,發現的前三大資料夾是wechatid_db、address_db、bank,並認為駭客現在可能偏好用資料庫去管理竊得的資訊。
(三)以色列與伊朗再爆戰爭衝突,同時引發重大網路攻擊事件
隨著以色列發動軍事行動,伊朗當地亦遭遇重大網路攻擊事件,例如,伊朗國有銀行Bank Sepah遭駭,多間分行被迫暫停營業與以色列有關的駭客組織Predatory Sparrow宣稱是他們所為。
相隔幾天,伊朗加密貨幣交易所Nobitex也遭同一組織攻擊,該交易所證實部分熱錢包受影響,估計有逾9千萬美元加密貨幣遭竊並被銷毀。這些事件引發全球金融機構的關注,如何從這些事件來省思與借鏡,成為資安界與金融業必須正視與探討的主軸。
(四)國內外多起重大資安事件,時尚品牌業與虛擬貨幣交易所遭駭最受關注
本月重大資安事故,以臺灣而言,根據公開資訊觀測站的重大訊息公告,有4家上市櫃公司揭露資安事件:
●第一週1起,聯嘉光電的網路環境遭駭客試圖存取。
●第二週1起,聯鈞光電今年第二次遭攻擊,一周後再說明部份檔案有被竊疑慮。
●第四週2起,熒茂光學揭露遭加密攻擊,黑松揭露內部郵件通訊錄遭竊。
國際間,主動揭露的重大資安事故同樣不少,多家時尚品牌業者發布資安事故公告,包括維多利亞的秘密(Victoria's Secret)、Cartier、The North Face,以及韓國知名網路書店兼售票平臺YES24,其中不少事件已確認有資料外洩。
特別一提的是,加密貨幣交易所也接連傳出事故,不只是上述伊朗加密貨幣交易所Nobitex遭攻擊,在臺灣,加密貨幣交易所幣託(BitoPro)亦揭露上個月遭駭,後續調查結果指出,其負責雲端業務的員工遭駭客社交工程攻擊,經過一連串滲透最終導致惡意指令碼轉移至熱錢包主機。此外,還有美國虛擬貨幣交易所Coinbase向美國SEC通報資料外洩,此案較特別的是,傳出是2名印度客服外包業者TaskUs員工收受賄賂,將敏感資料提供給駭客。
(五)中國駭客攻擊引發的威脅依然嚴峻
國家級駭客威脅持續受關注,尤其是中國駭客組織的攻擊活動持續被大量揭露。
例如,端點防護業者iVerify發現,有中國駭客組織利用iPhone手機iMessage的 NICKNAME零點擊漏洞,鎖定至少6名歐美政要及媒體高層攻擊,而這些受害者也曾遭中國駭客Salt Typhoon攻擊;其次,美國華盛頓郵報發現其電子郵件系統遭駭客入侵,已知有負責報導國安、經濟政策、中國等領域的記者帳號被入侵。另外,電信業同樣需要留意,因為加拿大網路安全中心示警,指出今年2月加拿大電信業遭中國駭客Salt Typhoon攻擊。
亞太地區電商與支付業者也要留意,研究人員揭露中國網路犯罪的OTP盜刷網釣生態系,指出在微信與Telegram上就有1、2千個頻道用於中國詐欺黑色產業的交流,主要針對亞太地區而來。隨著中國魚塘(網釣即服務,PhaaS)平臺的擴張,正助長信用卡盜刷網釣攻擊的犯罪規模。
(六)資安防禦新動向與臺灣企業揭露加入FIRST經驗
在資安防禦面向上,我們整理出多個不同領域的重要進展,涵蓋勒索軟體金額揭露成強制,建立駭客組織命名對照指引等議題。
●澳洲政府頒布新規範,針對遭勒索的企業,要求從5月30日起,不僅要通報資安事件,也要在72小時內通報支付贖金的金額,這在國際相當少見。
●針對駭客組織命名不同問題,微軟與CrowdStrike正合作發展一套對照指引,雖然這並非建立共通標準,但目的很明顯是要減少資安資訊交流阻礙。
●AWS在6月舉行年度資安會議re:Inforce 2025,強調多項身分安全新進展,同時揭露AWS自身用生成式AI幫助資安防禦的5大場景。
●台新銀行與華碩電腦公開加入國際資安事件應變小組論壇(FIRST)的經驗與考量,向更多國際業者看齊。
【資安週報】0602~0606,Chrome將從8月開始不信任中華電信新簽發的TLS/HTTPS憑證
在2025年6月第一星期的資安新聞,最大焦點是Google宣布Chrome將不信任中華電信8月後新簽發的TLS憑證,而資安事故方面,包括SentinelOne運作架構調整卻發生服務中斷,Vanta軟體出錯導致部分客戶資料能被其他用戶存取,還有維多利亞的秘密、Cartier、The North Face等品牌業者,各自遭遇駭客攻擊事故
【資安週報】0609~0613,中國驚傳40億筆民眾個資在網際網路裸奔一天
本週中國政府監控民眾的大型資料庫曝露在網際網路、韓國書店及購票平臺Yes24遭受勒索軟體攻擊相當受到關注;而在國內,聯鈞光電針對1月發生的勒索軟體攻擊事故透露後續發展。此外,本週有許多IT業者發布6月份資安更新,用戶應留意並及時套用修補程式
【資安週報】0616~0620,伊朗國有銀行與加密貨幣交易所雙雙遇襲引發全球關注
在2025年6月第三週的資安新聞中,多起重大資安事故引發全球關注。其中,以色列與伊朗軍事衝突延伸出的網路攻擊,以及中國駭客針對衛星與媒體機構發動的網路間諜行動,尤其受到高度關切
【資安週報】0623~0627,帳密資料外洩與DDoS攻擊的規模雙雙創下新高
回顧2025年6月底的資安新聞,資料外洩與DDoS攻擊的規模皆因創下歷史新高,成為矚目焦點;在此同時,臺灣被攻擊者鎖定的威脅態勢,這星期再度浮上檯面,包含新興勒索軟體Dire Wolf已將臺灣企業列為攻擊目標,以及過去攻擊臺灣的中國駭客組織UAT-5918,被揭露正利用LapDogs的ORB網路來隱匿其攻擊活動
【2025年5月資安月報,AI資安技術發展動能強勁,從Agentic SOC、資安LLM到紅藍隊攻防演練都有進展】
【2025年4月資安月報,臺灣資安產業蓬勃發展,PQC、零信任、產品資安受矚目,LLM安全風險因應成最新主軸】
【2025年3月資安月報,出現專門鎖定臺灣攻擊的勒索軟體,CrazyHunter攻擊目標從醫院擴大至上市櫃公司】
【2025年2月資安月報,臺灣海纜遭人為破壞、醫院遭勒索軟體攻擊,關鍵CI防護受考驗】
【2025年1月資安月報,國家級駭客的網路間諜攻擊事件不斷,海纜與國家通訊韌性也受到考驗】
【2024年12月資安月報,美國9家電信業遭中國駭客Salt Typhoon滲透,政府呼籲使用全程加密的即時通訊App】
【2024年11月資安月報,身分安全與AI成資安熱點,電信業滲透事件敲響警鐘】
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
