清明连假前后,LINE出现大量帐号被强制登出与盗用,追查发现攻击者利用台湾大哥大为原台灣之星用户提供的语音信箱,因默认密码为0000且未强制更改,成为突破口。电信业者已加强远端验证,改由客服核对身分后再重设密码,但此事凸显Security by Default缺失。 与此同时,供應鏈攻擊风暴持续扩散:TeamPCP借Trivy事故波及多项开源专案,衍生出思科内部凭证与原始码外泄、ShinyHunters声称窃取资料;PyPI套件Telnyx被植入以WAV隐写的有效载荷;高下载量的NPM套件Axios也遭北韩相关组织入侵。 企业与政府端亦频传入侵消息:本土厂商集团多家公司同时受攻,工业电脑厂疑似资料外流;国际上欧盟AWS帐号、荷兰财政与警务系统纷遭未授权存取,伊朗黑客亦宣称入侵美国官员私人邮箱,FBI证实并已应对。 在漏洞面,Citrix与Fortinet公布修补后即见已被利用的迹象,Chrome亦曝出已遭利用的零时差漏洞。安全研究警告Google的Passkey云端同步设计可能引入冒充风险;Google白皮书更指出量子演算进展使破解ECC门槛约降20倍,长期加密安全堪忧。 多份报告显示企业在云端金钥管控与初始入侵手法上存在盲点:逾半企业未掌握加密金钥,語音網釣与第三方供應鏈攻擊已成主要初始入侵手法。 对策方面,厂商也在强化防护:微软收紧旧签章驱动信任、Google为Workspace推出AI勒索防护以中断同步、macOS新增阻断将浏览器指令粘贴至终端的警示。总体看来,攻防已进入多向并进阶段,重视默认安全配置、金钥自主管理与供应链防护已成当务之急。
惊爆连假大乱:LINE被语音信箱给破了?开源供应链与量子危机一起上门!
