繼時尚精品業者路易威登(Louis Vuitton,LV)、保險業者安聯(Allianz Life)傳出資料外洩事故,本週有更多公司傳出類似事故,其中包含時尚精品業者香奈兒(Chanel)、Pandora,讓人懷疑這些精品業者的資安防護不足;但就連科技大廠也Google、思科,也證實遭遇相關攻擊而面臨資料外洩,這樣的情況很可能是一連串的攻擊行動。
而在國內的資安新聞當中,自由時報報導勒索軟體DevMan聲稱對臺灣4家公司下手,但特別的是,駭客並未公布受害公司的全名,資安專家根據贖金的金額推測,這些很可能都是上市櫃公司。
【攻擊與威脅】
時尚精品業者香奈兒發生資料外洩事故,傳出是該公司的Salesforce帳密遭駭所致
時尚精品業者迪奧(Christian Dior Couture)、路易威登(Louis Vuitton,LV)先後在5月、7月傳出資料外洩的情況,兩起事故都出現包含臺灣在內的多個國家分公司客戶受到影響,其中LV傳出歹徒是存取第三方廠商的資料庫而得逞,突顯時尚精品業者對於客戶的個資保護不力,如今時尚精品業者香奈兒(Chanel)也傳出資料外洩的事故。
這起事故的公開,最早是時尚新聞網站Women's Wear Daily(WWD)報導此事,香奈兒於7月25日偵測到駭客入侵第三方服務供應商代管的資料庫,影響美國客戶,曝露他們的個人聯絡資訊。
針對這起資料外洩事故的其他細節,香奈兒並未進一步說明,但資安新聞網站Bleeping Computer取得相關資訊表示,外流的資料攻擊者是從香奈兒的Salesforce執行個體竊得。
丹麥精品業者Pandora資料外洩,恐為Salesforce相關事件最新受害品牌
丹麥精品業者Pandora近日傳出資安事件,被駭客竊取客戶姓名及電子郵件等個資,成為最新資料外洩的精品業者。
財星雜誌首先報導,Pandora以郵件通知顧客外洩事件,Pandora也證實此事。事件起因是這家精品業者使用的第三方系統遭非授權存取,致使客戶資料遭存取。Pandora說,除了顧客姓名與電子郵件之外,其餘敏感資料如:密碼、ID、信用卡與財務資訊,都不受影響。
法國精品業者Chanel也在本周向媒體證實7月25日有類似的資安事件。Chanel代管在第三方業者平臺上的客戶資料,包括姓名、電話及住家地址遭攻擊者存取。該公司表示本次事件只影響美國客戶。雖然兩家公司都未透露第三方系統為何,但Bleeping Computer取得消息指出,兩家公司都使用Salesforce。
網路及伺服器大廠思科及Google雙雙公告其雲端CRM系統遭駭客入侵,竊走部分客戶資訊。
思科上周說明,該公司7月24日得知一名思科客戶代表遭語音釣魚(vishing)鎖定得逞,因而得以從該公司使用的第三方雲端平臺客戶關係管理(CRM)系統的一個執行個體當中,存取並外洩部分用戶資訊。
同時間,Google亦在8月5日公告類似的攻擊。6月間,Google使用的一個企業Salesforce執行個體遭到駭客存取。該系統是用於儲存中小企業聯絡資料及相關資訊。攻擊者在「一小段時間」得以存取資訊,被存取的是基本與常見商務資訊,如公司名稱和聯絡資訊。雖然兩家公司並未透露CRM系統的名稱,但外界推測很有可能就是Salesforce。
四大SharePoint零時差漏洞ToolShell遭4L4MD4R勒索軟體濫用
Palo Alto Networks旗下Unit 42威脅情報團隊揭露,攻擊者正大規模利用微軟SharePoint多項高風險零時差漏洞,針對在地端部署環境展開入侵行動。這波攻擊涉及4個被統稱為ToolShell的嚴重漏洞,分別為CVE-2025-49704、CVE-2025-49706、CVE-2025-53770、CVE-2025-53771。
這些漏洞涵蓋程式碼注入、身分驗證不當、反序列化及路徑走訪限制等多種弱點,最高CVSS風險分數達9.8。根據最新監測顯示,勒索軟體4L4MD4R已開始利用這些漏洞攻擊暴露於網際網路的SharePoint Server,對政府、醫療、教育和企業環境構成實質衝擊。
研究人員指出,攻擊活動自7月中明顯升溫,攻擊者運用自動化工具針對全球多個地端SharePoint伺服器進行版本偵測與弱點測試。受影響產品以2016、2019版SharePoint Enterprise Server及訂閱版本為主,Microsoft 365中的SharePoint Online則未受影響。這些漏洞均允許未授權攻擊者遠端執行任意程式碼或繞過身分驗證,單一主機遭入侵後,攻擊面將擴及組織其他整合式服務。
從今年開始,勒索軟體駭客CrazyHunter、NightSpire接連針對多家臺灣上市櫃公司發動攻擊,使得上市櫃公司的資安防護議題再度浮上檯面,只要有勒索軟體駭客聲稱他們攻擊臺灣企業組織,就會格外引起臺灣各界的關注,如今有駭客組織一口氣聲稱對4家臺灣公司下手,這樣的情況相當罕見。
根據自由時報的報導,DevMan近期在暗網公布4家臺灣受害企業,並聲稱握有這些公司200 GB至960 GB不等的資料,並索討1百萬至6百萬美元(約新臺幣2,997萬至1.8億元)。他們取得資安專家的說法,如此高額的贖金,受害企業很可能都是上市櫃公司。但與許多勒索軟體組織有所不同的是,他們並未公布受害組織全名,而是以星號遮蓋部分字母。
資安專家認為,DevMan在一天內聲稱攻擊了4家臺灣企業,且開出不同級距的贖金,這些駭客的操作,很可能代表三件事,首先,駭客可能掌握特定漏洞,能夠大規模滲透同類型目標;再者,他們鎖定特定產業鏈或供應鏈節點,而能一口氣攻擊多家公司。此外,駭客有可能將臺灣特定產業當試驗場,嘗試進行區域性勒索活動。
其他攻擊與威脅
◆針對勒索軟體Akira疑似鎖定SonicWall防火牆零時差漏洞的攻擊行動,有新的調查結果出爐
◆越南駭客透過竊資軟體PXA,攻擊4,000個IP位址、竊得20萬組帳密
其他漏洞與修補
◆Google發布8月安卓例行更新,修補兩項已遭利用的高通晶片漏洞
◆Dell商務筆電特定晶片存在漏洞,攻擊者恐藉此竊取敏感資料,影響逾100款機種、數百萬臺電腦曝險
◆漏洞挖掘競賽Pwn2Own Ireland 2025將於10月舉行,預告為WhatApp零點擊RCE漏洞祭出最高百萬美元獎勵
近期資安日報
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
