本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的內容。
資安趨勢部落精選:
- 別讓你的「名人老公」變成詐騙集團的提款機!盤點這些年愛情騙子冒用過的男神
- 是詐騙嗎?問問趨勢科技AI 防詐達人就知道
- 賣東西也會被詐騙!假買家手法翻新,LINE分享螢幕成詐財新招
- 藉由 AI 組態設定最佳實務原則,解決 AI 資安風險
- IoT 殭屍網路發動大規模 DDoS 攻擊,無線路由器、IP 攝影機成幫兇
- AI 大躍進:2024 年 AI 發展回顧,展望未來
- GenAI 提示注入暗藏風險,連結陷阱竊取機敏資料
- 【企業資安】IoT 殭屍網路發動大規模 DDoS 攻擊,無線路由器、IP 攝影機成幫兇
- 《打詐週報》大S猝逝引發疫苗關注,詐騙集團竟趁機出沒?!警方揭露真相/詐騙高風險業者「最新排名」出爐 中油上榜/李珠珢爆紅引詐騙潮?富邦球團提醒球迷:小心!
- 《上週資安新聞周報》假提供 DeepSeek,真散播惡意軟體/AI工具DeepSeek暗藏國安危機?/伊朗駭客利用 Gemini 使壞,遭 Google 抓包
媒體資安新聞一周精選
【資安日報】2月11日,馬偕醫院遭勒索軟體CrazyHunter攻擊,傳出是中國駭客所為 iThome
微軟、Google 開發大會及 COMPUTEX 聚焦 AI,罕見 5 月同週登場 科技新報網
微軟修補Azure AI臉部辨識服務重大層級漏洞 iThome
HTTP用戶端工具遭濫用,駭客用來挾持M365帳號 iThome
用AI破解AI幻覺!黃仁勳也重視的「可解釋性AI」是什麼?原理、企業應用實例一次看懂 數位時代
怕生成式AI洩密 國軍通令:公務、法規、個人資料皆不得上傳製作 自由時報電子報
資安研究人員聲稱突破OpenAI最新防禦機制,成功在新款機器學習模型o3-mini進行越獄 iThome
美國AI研究有隱憂 智庫示警:頂級研究人員來自中國比重已超越美國 中央通訊社
AI加持資安維運 動態應對威脅 網管人
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成 資安人
2025 網路安全日:台灣常見的五種詐騙手法,Google 教你識詐防受騙 – 說資安 新聞網 說資安新聞網
程式碼管理工具Google Tag Manager遭濫用,攻擊者用來對Magento網站側錄信用卡資料 iThome
新 macOS 惡意軟體偽裝成 Chrome 和 Zoom 安裝程式 科技新報網
iOS 18.3.1更新突釋出! 蘋果示警:USB安全漏洞恐正被駭客利用 CTWant
iPhone用戶警惕!蘋果App Store首次發現OCR惡意軟體:悄無聲息竊取資料 Xfastest Media
與 Windows 差距縮小,今年針對密碼和信用卡 Mac 惡意軟體更加嚴重 科技新報網
駭客會如何利用藍牙控制你的 Mac? 科技新報網
美國土安全部示警:1.2萬具中製攝影機 滲透全美基礎設施 自由時報電子報
木馬程式AsyncRAT濫用TryCloudflare服務散布 iThome
Netgear公布Wi-Fi無線基地臺、路由器重大層級漏洞,6款設備曝險 iThome
0Black Hat公布2025年Black Hat亞洲大會內容安排 中央通訊社
義大利政府驚傳利用間諜軟體Paragon監控記者及異議人士 iThome
彭淮南遭冒名詐騙 Line投資話術曝光央行呼籲別上當 聯合新聞網
防範偽冒離線交易的新式詐騙手法,春節期間臺灣有商家暫停使用感應式行動支付 iThome
詐團冒名「LINE禮物」贈飲料 星巴克:已採取法律行動 中天新聞網
詐團蹭熱度?網傳電話詢問「有無打疫苗」竊個資 警:假訊息勿輕信 壹蘋新聞網
股票抽籤也傳詐騙 國稅局教戰這步驟辨偽 工商時報電子報
海外網購詐騙包裹退稅 財部:網路申請3月底上線 中央通訊社
生物武器資訊恐遭濫用!Anthropic CEO:DeepSeek AI 模型完全無限制 INSIDE
美國眾議院跨黨派要禁聯邦政府公務設備使用DeepSeek AI iThome
三位臺灣AI專家發起DeepSeek R1改造計畫,要打造繁中版開源授權的推理模型 iThome
【資安日報】2月8日,多家資安業者揭露中國AI工具DeepSeek,美國擬禁政府公務設備使用 iThome
DeepSeek R1大型語言模型存在資安弱點,恐被越獄用於網路犯罪 iThome
DeepSeek用戶資訊 可傳中國移動 自由時報電子報
DeepSeek疑慮 教部:公立學校禁用中國資訊產品 中央通訊社
【資安日報】2月10日,150家企業組織的AD聯合身分驗證服務系統遭鎖定,駭客藉此挾持帳號 iThome
公務機關禁用DeepSeek!未禁ChatGPT 數發部長黃彥男這麼說 太報
台灣AI逆襲?民間第一個改造款「繁中版DeepSeek」將誕生? 商業周刊
【資安週報】0203~0208,DeepSeek服務資安風險成焦點,包括資料庫裸奔、無法抵擋基本越獄手法,以及資料與隱私安全問題 iThome
DeepSeek的AI服務隱私防護遭質疑!資安業者指控恐將用戶輸入資料傳至中國國營電信業者 iThome
ChatGPT開放免登入搜尋 恐直接威脅Google iThome
微軟宣佈AI機器人Copilot的漏洞懸賞專案加碼,新增抓漏範圍、鼓勵通報中度風險弱點 iThome
微軟發布二月例行更新,修補4個零時差漏洞 iThome
Power Platform的SharePoint連接器存在SSRF漏洞,攻擊者有機會冒充使用者的名義發送請求 iThome
微軟指認逾3000組外洩ASP.NET金鑰可能遭惡意程式碼注入攻擊 資安人
逾3千個曝露的ASP. NET金鑰遭到濫用,攻擊者用於散布惡意程式框架 iThome
網路釣魚攻擊 俄羅斯駭客Star Blizzard鎖定政府官員與研究人士,意圖透過網釣挾持WhatsApp帳號竊密 iThome電腦報周刊
WHIDS/Sysmon合璧 即時稽核Windows日誌 網管人
台灣又有新詐騙手法!超常用1社群「只是留言」,錢被騙光還淪共犯上警局 風傳媒
數發部持續強化數位韌性與創新發展 打造可信任數位經濟高速路網 說資安 新聞網
【資安日報】2月12日,Fortinet公佈用於攻擊防火牆的身分驗證繞過漏洞 iThome
2025年2月馬偕醫院遭勒索軟體攻擊事件歷程總整理(持續更新中) iThome
英特爾揭發對手致命漏洞!AMD 78個缺陷無解、輝達問題更嚴重 TechNice 科技島
Fortinet公佈已被用於攻擊防火牆的新漏洞,上網安全閘道也曝險 iThome
SAP發布2月例行更新,修補19項資安漏洞 iThome
南韓國情院:北韓駭客大規模入侵 政府文件大量外洩「後果嚴重」 太報
限時申辦凱擘大寬頻1G上網抽輕薄筆電再送資安服務 方案優惠最後倒數0元任選聯網電視、掃地機器人帶回家 ZEEK玩家誌
Google、Discord、OpenAI攜手「ROOST計畫」免費開源工具建構AI安全網路 資安人
WordPress管理流程強化外掛存在高風險漏洞,逾10萬網站恐曝險 iThome
TWCERT引述德資安研究 示警ChatGPT存在爬蟲漏洞 工商時報電子報
入侵 SEC 官方 X 帳號、假傳聖旨「核准比特幣 ETF」!美 25 歲駭客坦承犯行 奧丁丁新聞
人工智慧峰會巴黎登場 法防長:AI帶來國防軍事革命 中央通訊社
券商資安體檢 全都露 證交所首度委外評估 結果顯示76%業者風險控管程度達中等以上標準 經濟日報(臺灣)
傳OpenAI今年將交由台積電試產自有晶片 降低輝達依賴度 鉅亨網
150家企業組織遭到鎖定,駭客藉由AD聯合身分驗證服務繞過多因素驗證,從而挾持帳號 iThome
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備 資安人
VicOne與Zero Day Initiative共同主辦第二屆全球最大汽車零日漏洞發掘競賽「Pwn2Own Automotive 2025」圓滿成功 iThome
AI趨勢周報第267期:國科會加速建置AI算力,預計2029年公共算力達480PF iThome
全球用戶資料都得交出!英政府意圖逼迫蘋果打造 iCloud 後門 科技新報網
亞洲大學網站除夕遭駭!影響上萬學生 校方:今修好 聯合新聞網
【資安日報】2月6日,HTTP用戶端軟體自動存取工具被駭客用於挾持M365帳號 iThome
合勤證實研究人員揭露的漏洞存在於12款DSL CPE設備,呼籲用戶應儘速汰換因應 iThome
小心!卡巴斯基在 Android、iOS 熱門 APP 中發現竊取錢包助記詞的惡意軟體 BLOCKTEMPO
壓縮軟體7-Zip的MotW零時差漏洞被用於攻擊烏克蘭 iThome
資安危機警報:企業如何從重大事件中學習? CIO IT經理人
防堵供應鏈資安破口 採購與預算越趨嚴謹高標 CIO IT經理人
國內醫院首次遭到駭客大規模攻擊,衛福部資訊處長李建璋表示,該醫學中心於二月九日遭到勒索軟體攻擊,起初只是局部受到影響,但情況惡化,一度門診、急診系統五百多台電腦當機,衛福部昨天上午緊急介入處理,該院已自行清除病毒,系統恢復正常運作,患者個資並無外洩。
【資安日報】2月11日,馬偕醫院遭勒索軟體CrazyHunter攻擊,傳出是中國駭客所為 iThome
馬偕醫院遭勒索軟體CrazyHunter攻擊,影響掛號系統與數百臺電腦,駭客揚言持續攻擊。衛福部與資安署已組應變小組,全國醫院提高警戒。全球資安威脅加劇,大規模暴力破解攻擊針對網路邊緣設備,Google Tag Manager亦遭濫用側錄信用卡資料。此外,研究人員聲稱成功突破OpenAI o3-mini防禦機制,蘋果則修補iOS與iPadOS零時差漏洞,以應對資安風險。
微軟、Google 開發大會及 COMPUTEX 聚焦 AI,罕見 5 月同週登場 科技新報網
微軟開發者大會將於雷德蒙德(Redmond)的總部舉行,官方尚未透露將在開發者大會發表的內容,但可以肯定是 AI 將會貫穿全場。回顧微軟去年攜手硬體廠商定義 Copilot+ PC,為 Windows 11 系統增添更多 AI 功能,今年我們可望看到微軟如何拓展更多 Copilot 應用。
微軟修補Azure AI臉部辨識服務重大層級漏洞 iThome
1月底微軟揭露與緩解Azure AI臉部辨識服務、Microsoft Account的資安弱點,其中CVSS評分達到9.9的CVE-2025-21415特別值得留意,該公司提及,此漏洞已有公開的概念驗證程式(PoC)。
HTTP用戶端工具遭濫用,駭客用來挾持M365帳號 iThome
資安業者Proofpoint針對濫用HTTP用戶端工具挾持Microsoft 365帳號的攻擊行動提出警告,駭客從原本使用名為OkHttp的工具,如今轉換Axios、Node-fetch、Go Resty,而有可能突破多因素驗證(MFA)並增加得逞的機率。
用AI破解AI幻覺!黃仁勳也重視的「可解釋性AI」是什麼?原理、企業應用實例一次看懂 數位時代
生成式AI 模型在2025拉斯維加斯消費電子展(CES)大放異彩,可見AI模型對於科技業來說日益重要。隨著各家公司不斷探索AI的潛力,AI系統的可解釋性及對AI系統的信任,將是AI採用與負責任使用的關鍵推手。AI系統雖然功能強大,但往往像是「黑盒子」一樣,披著神祕的面紗。
怕生成式AI洩密 國軍通令:公務、法規、個人資料皆不得上傳製作 自由時報電子報
生成式AI已成為全球躍躍欲試的嶄新領域,多個行業正研究能否倚重生成式AI提升效率。不過,國防部近日通令,考量生成式AI平台藉由大量蒐集、學習用戶提供資訊產出,因此,凡是國軍公務資訊、法規限制資訊與個資等,皆嚴禁發布上傳至任何生成式AI平台,落實保密安全。
資安研究人員聲稱突破OpenAI最新防禦機制,成功在新款機器學習模型o3-mini進行越獄 iThome
CyberArk研究員透露,他們對於才正式發表不久、搭載新資安防護機制的o3系列AI模型進行測試,結果發現還是能夠成功越獄,要求AI模型提供網路攻擊步驟及工具。
美國AI研究有隱憂 智庫示警:頂級研究人員來自中國比重已超越美國 中央通訊社
人工智慧(AI)浪潮席捲全球,外界多認為美國在技術與研究上相對領先,但美國智庫針對AI領域研究者進行分析發現,雖然美國機構和企業所提出的研究論文仍領先中國,但在美國的企業和研究機構專門研究AI的頂級研究人員中,畢業於中國大學的人數已經超過美國,分析認為,此一現象凸顯出美國領先格局中存在的現實隱憂。
AI加持資安維運 動態應對威脅 網管人
人工智慧(AI)技術讓數位化企業得以正式邁向智慧化,但同時也使得原本就難以掌控的資安風險變得更深不可測。Fortinet技術顧問李鵬說明,AI在Fortinet的解決方案中主要增進威脅偵測、異常行為分析與自動化維運管理三大領域。在威脅偵測方面,Fortinet的FortiGuard實驗室長期以來借助AI與機器學習技術,不斷最佳化惡意程式、變種病毒的偵測模型,透過人工神經網路(ANN)結構,分析海量樣本中的特徵數據,並持續精準地將惡意檔案與乾淨檔案分離。同時,Auto-CPRL技術可自動生成惡意程式特徵碼,提升威脅偵測的速度和效率,滿足數位化營運場域中須快速應對零時差攻擊的需求。
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成 資安人
資安研究公司 VulnCheck 在報告中指出,2024年堪稱駭客的「漏洞攻擊豐收年」。根據統計,2024 年共有 768 個具 CVE 編號的資安漏洞遭到駭客利用,較 2023 年的 639 個增加 20%。23.6% 的已知被利用漏洞(KEV)在 CVE 公開揭露當天或更早之前即遭到武器化。此比例雖較 2023 年的 26.8% 略有下降,卻凸顯出漏洞在其生命週期的各個階段都可能遭受攻擊。
2025 網路安全日:台灣常見的五種詐騙手法,Google 教你識詐防受騙 – 說資安 新聞網 說資安新聞網
在台灣,網路詐騙越來越猖獗,尤其是在重大事件、節慶和購物季期間,而詐騙手法也不斷翻新,從假冒名人代言、AI 深偽技術到假購物網站,讓人防不勝防。每年二月第二週的星期二是「網路安全日」,今年「網路安全日」,Google探討近期台灣常見的五種詐騙手法,希望能幫助大家更警惕,也更知道如何識別網路詐騙。
程式碼管理工具Google Tag Manager遭濫用,攻擊者用來對Magento網站側錄信用卡資料 iThome
資安業者Sucuri揭露濫用網站追蹤程式碼(Tag)管理工具Google Tag Manager的攻擊行動,目標是Magento電子商務網站,經過客戶通報及後續調查,研究人員確認至少有6個網站受害。
新 macOS 惡意軟體偽裝成 Chrome 和 Zoom 安裝程式 科技新報網
這是由美國資安業者 SentinelLabs 安全專家所發現,並確認了一種新的北韓惡意軟體變種,名為 「FlexibleFerret」,其專門針對 macOS 用戶進行攻擊。這款惡意軟體是更大規模攻擊行動 「Contagious Interview」(傳染性面試)的一部分,駭客假冒為招聘人員,誘騙求職者下載並安裝惡意軟體。
iOS 18.3.1更新突釋出! 蘋果示警:USB安全漏洞恐正被駭客利用 CTWant
蘋果在上月(1月)28日正式發布iOS 18.3,針對視覺智慧(Visual Intelligence)、AI通知摘要等等進行調整,並修復一些漏洞。然而,今日(11日)稍早,蘋果突襲發布iOS、iPadOS 18.3.1更新,以修補重要Bug和安全性更新,避免駭客利用USB限制模式的漏洞來竊取資料,同時官方也建議「所有用戶都安裝」。
iPhone用戶警惕!蘋果App Store首次發現OCR惡意軟體:悄無聲息竊取資料 Xfastest Media
近日卡巴斯基的研究人員發現,App Store中首次出現了利用OCR(光學字元辨識)技術的惡意軟體,這被認為是「已知的第一起案例」。
與 Windows 差距縮小,今年針對密碼和信用卡 Mac 惡意軟體更加嚴重 科技新報網
據 Malwarebytes 最新公布的 2025 年惡意軟體現況報告(2025 State of Malware)顯示,專門針對 macOS 電腦竊取個人數據(如密碼和信用卡資訊)的惡意軟體,今年內將會變得更加普遍;報告指出,Mac 用戶的風險已接近 Windows PC 用戶,顛覆了過去蘋果裝置較安全的印象。
駭客會如何利用藍牙控制你的 Mac? 科技新報網
早先就曾報導,Mac 與 Windows 間的安全性差距日益縮小,有越來越多惡意份子開始將目標轉向 Mac 用戶。除了時常聽聞的惡意軟體外,惡意份子現在也開始注意到一些原本無害的技術,也能用來攻擊你的 Mac。
美國土安全部示警:1.2萬具中製攝影機 滲透全美基礎設施 自由時報電子報
美國國家廣播公司新聞網(ABC News)最新取得的美國國土安全部公告指出,中國製造、可網路連線的攝影機,使中國政府有能力對美國基礎設施進行破壞或間諜活動,粗估目前有一萬兩千具這類攝影機,在數百個美國關鍵基礎設施中使用,包括化學和能源領域。
木馬程式AsyncRAT濫用TryCloudflare服務散布 iThome
資安業者Forcepoint揭露木馬程式AsyncRAT的攻擊行動,並指出攻擊者在一系列的作案過程裡,透過TryCloudflare隧道來取得相關工具。
Netgear公布Wi-Fi無線基地臺、路由器重大層級漏洞,6款設備曝險 iThome
上週末Netgear公布兩項重大層級的Wi-Fi無線路由器及基地臺弱點,分別涉及遠端程式碼執行(RCE)及身分驗證繞過,相當危險,6款受影響設備的用戶應儘速更新韌體因應。
0Black Hat公布2025年Black Hat亞洲大會內容安排 中央通訊社
網路安全產業久負盛名且深度專業的安全活動系列Black Hat今日公布了2025年Black Hat亞洲大會的內容安排。此次現場線下活動將於4月1日至4月4日在新加坡濱海灣金沙會展中心舉行。活動將包括由Black Hat亞洲評審委員會精心挑選的43場簡報會、為期四天的培訓課程、一整天的高峰會、10場贊助會議以及53場Arsenal工具示範。
義大利政府驚傳利用間諜軟體Paragon監控記者及異議人士 iThome
根據衛報(The Guardian)的報導,一月底WhatsApp揭露的間諜軟體攻擊行動,背後的主謀傳出就是義大利政府,打造間諜軟體的軟體開發業者也終止相關合約。
當趨勢科技的主動式防護平台配上Intel的技術,這套整合式解決方案將更有能力判斷某個加密行為是否正常(比方說,是使用者正在備份檔案,還是勒索病毒正在加密檔案),進而採取適當的動作來保護關鍵系統。
彭淮南遭冒名詐騙 Line投資話術曝光央行呼籲別上當 聯合新聞網
央行前總裁彭淮南遭詐騙集團冒用名義,向民眾謊稱前總裁彭淮南已加入其投資理財群組,央行澄清,彭前總裁從未直接或間接加入任何社群媒體,呼籲民眾不要受騙上當。
防範偽冒離線交易的新式詐騙手法,春節期間臺灣有商家暫停使用感應式行動支付 iThome
今年1月底的春節連假期間,傳出國內有部分金融機構通知特約商店,注意利用刷卡機的偽冒,或Apple Pay等國際行動支付的交易詐騙。Visa表示這次對收單機構的示警,是提醒針對商家的新型態詐欺手法。
詐團冒名「LINE禮物」贈飲料 星巴克:已採取法律行動 中天新聞網
星巴克今天透過臉書粉專以及官網發文稱,近日接獲其他業者藉星巴克之名義,透過網路詐騙,星巴克除已採取法律行動外,為防訊息誤導顧客而影響權益,星巴克也發澄清公告。
詐團蹭熱度?網傳電話詢問「有無打疫苗」竊個資 警:假訊息勿輕信 壹蘋新聞網
藝人大S感染流感併發肺炎在日本猝逝,引發民眾搶打流感疫苗,LINE群組最近流傳疑似利用疫苗熱度的詐騙手法,有人接到電話詢問是否打過疫苗,若依指示按下電話按鍵,手機內的網銀資訊恐遭竊取。警方表示,類似詢息4年前就曾出現,已被證實是假訊息,呼籲民眾接到類似電話千萬不要依指示操作。
股票抽籤也傳詐騙 國稅局教戰這步驟辨偽 工商時報電子報
高雄國稅表示,詐騙集團手法日益更新,許多佯裝合法金融機構或投資公司名義,架設假投資網站或APP,誘導投資人參加股票申購騙取個人資料後,寄發股票中籤通知,並以須繳交證券交易稅等話術要求匯款,造成投資人個資外洩及財物損失。
海外網購詐騙包裹退稅 財部:網路申請3月底上線 中央通訊社
財政部關務署今天表示,民眾海外網購若遭詐騙,可在進口貨物放行的隔天起6個月內,檢具紙本資料寄送至海關申請退稅費,未來將進一步推動線上申請服務,網路申請平台將於3月底上線。
生物武器資訊恐遭濫用!Anthropic CEO:DeepSeek AI 模型完全無限制 INSIDE
在 Anthropic 進行的安全評估中,DeepSeek 的人工智慧模型可以輕易產生危險的生物武器相關資訊,且完全沒有任何安全管制機制。他更表示,這樣的表現是該公司測試過的所有模型中「最差的」。
美國眾議院跨黨派要禁聯邦政府公務設備使用DeepSeek AI iThome
美國眾議院跨黨派推動禁止聯邦政府設備使用DeepSeek,指其與中國政府關聯並可能威脅國安。眾議院議員Josh Gottheimer甚至表示,DeepSeek可能與TikTok案例類似,擔憂中國政府透過技術獲取美國敏感資訊。
歐盟資料保護監督機構計畫討論中國AI企業DEEPSEEK,關切其數據回傳中國的風險及對歐洲用戶權益的影響。DEEPSEEK憑低成本優勢推出新模型DEEPSEEK-R1,引發各國監管機構審查。愛爾蘭要求提供資訊,義大利已全面封鎖,法國等國則研擬應對措施。歐盟強調嚴格隱私保護,並發布AI禁令指南,以規範相關技術發展。
三位臺灣AI專家發起DeepSeek R1改造計畫,要打造繁中版開源授權的推理模型 iThome
這項計畫將以DeepSeek R1為基礎來進行改造,透過重新訓練模型的方式,並以開源授權釋出模型權重,也就是採取開放權重的策略釋出,最後還會打造新的模型身份與品牌。
【資安日報】2月8日,多家資安業者揭露中國AI工具DeepSeek,美國擬禁政府公務設備使用 iThome
中國AI工具DeepSeek爆紅,但資安業者陸續公布相關調查結果提出警告,指出該AI模型存在嚴重的資安風險,能被越獄並用於網路犯罪,行動裝置版本App也採用不安全的傳輸機制,恐危及用戶。
DeepSeek R1大型語言模型存在資安弱點,恐被越獄用於網路犯罪 iThome
資安業者Kela、Palo Alto Networks,以及思科先後對中國AI模型DeepSeek R1提出警告,他們利用多種已知的越獄手法進行測試,結果發現攻擊者能成功要求該模型打造惡意程式、編寫釣魚信,提供製作武器的方法。
DeepSeek用戶資訊 可傳中國移動 自由時報電子報
中國人工智慧(AI)新創公司「深度求索」(DeepSeek)近期爆紅,但研究人員發現,DeepSeek網頁版程式碼疑暗藏後門,可將用戶登錄資訊傳輸至與中國軍方關係密切而遭美國制裁的中國電信巨擘「中國移動」,敲響國安警鐘。
DeepSeek疑慮 教部:公立學校禁用中國資訊產品 中央通訊社
行政院長卓榮泰3日表示,公務機關全面禁用DeepSeek AI服務。教育部今天說,公立學校禁止採購和使用中國資通訊產品,包含軟體和硬體,會再發函各校重申規定。
【資安日報】2月10日,150家企業組織的AD聯合身分驗證服務系統遭鎖定,駭客藉此挾持帳號 iThome
2月10日,駭客鎖定150家企業組織的AD聯合身分驗證服務(ADFS),繞過多因素驗證(MFA),大規模挾持Microsoft 365帳號,受害者以教育機構為主。資安業者警告,中國AI工具DeepSeek可能將用戶資料傳至中國國營電信企業,引發隱私疑慮。此外,《2025年全球風險報告》顯示,錯假訊息與網路間諜名列短期十大風險之一,顯示數位威脅持續升級。
公務機關禁用DeepSeek!未禁ChatGPT 數發部長黃彥男這麼說 太報
數位發展部在春節期間,宣布公務機關不得使用DeepSeek AI服務,避免使用者的相關數據或資訊被傳送,進一步危害到國家資通安全。數發部長黃彥男今日(2/10)僅強調,像ChatGPT、DeepSeek這種大型語言模型有分成雲端跟裝置端,裝置端可讓使用者自己控制資料,但使用雲端語言模型就要備加小心。
台灣AI逆襲?民間第一個改造款「繁中版DeepSeek」將誕生? 商業周刊
該項提案是由台灣連續創業家,同時也是台灣生成式AI年會共同主辦人薛良斌發起,目前核心成員包括有,曾在Meta、亞馬遜AI團隊實習,並有繁體中文大語言模型訓練經驗的台大資工博士候選人林彥廷,以及獲Nvidia投資的知名雲端解決方案公司Ubitus創辦人郭榮昌及其團隊。
【資安週報】0203~0208,DeepSeek服務資安風險成焦點,包括資料庫裸奔、無法抵擋基本越獄手法,以及資料與隱私安全問題 iThome
回顧2025年2月第一星期的資安新聞,國內上市櫃公司的資安事故是一大焦點,從大年初四至今就有7家公司發布重訊,其中PCB業者最要注意,因為有3家都在此時遭到攻擊;春節期間成熱門話題的DeepSeek,不只因為大幅優化GPU利用效率受關注,其資安風險也如同過去ChatGPT爆紅時一樣受到多方檢視。
DeepSeek的AI服務隱私防護遭質疑!資安業者指控恐將用戶輸入資料傳至中國國營電信業者 iThome
中國AI工具DeepSeek本身就表明會將使用者資料存放於中國,且可能會與執法機關和合作夥伴共享,但資安業者Feroot Security發現,這家AI公司竟在此項服務的用戶網頁版登入介面裡,疑似埋藏將資料後送到中國國營電信業者中國移動(China Mobile)的程式碼,此舉恐讓中國政府直接掌控DeepSeek用戶的聊天資料。
ChatGPT開放免登入搜尋 恐直接威脅Google iThome
ChatGPT搜尋去年11月僅提供Plus、Team及排隊名單的用戶使用。12月時擴大提供給所有免費方案用戶,不過必須登入才能使用。免去登入要求後,使用者只要在提示列輸入想知道的問題,ChatGPT就能搜尋網頁,條理列出答案並提供資訊來源。
微軟宣佈AI機器人Copilot的漏洞懸賞專案加碼,新增抓漏範圍、鼓勵通報中度風險弱點 iThome
微軟近日調整AI機器人Copilot漏洞懸賞專案內容,主要的變更有兩大層面,一是增加抓漏範圍,不再只有侷限自家作業系統、瀏覽器、搜尋引擎,以及行動裝置版App;再者,他們對於中度風險的獎勵,提高額度上限。
微軟發布二月例行更新,修補4個零時差漏洞 iThome
本週微軟發布二月份例行更新(Patch Tuesday),當中包含4項零時差漏洞,且有兩個漏洞權限提升漏洞CVE-2025-21391、CVE-2025-21418已被用於實際攻擊行動。
Power Platform的SharePoint連接器存在SSRF漏洞,攻擊者有機會冒充使用者的名義發送請求 iThome
資安實驗室Zenity Labs公布他們去年9月向微軟通報的伺服器偽造請求(SSRF)漏洞,此弱點出現於低程式碼開發平臺Power Platform的SharePoint連接器,攻擊者一旦成功利用,就有機會冒充使用者存取SharePoint環境。
微軟指認逾3000組外洩ASP.NET金鑰可能遭惡意程式碼注入攻擊 資安人
微軟近日發布緊急安全警告,指出軟體開發人員將公開曝露的ASP.NET機器金鑰(machine key)整合到應用程式中的不安全做法,可能導致嚴重的資安漏洞。微軟威脅情報團隊已確認超過3000組遭公開的金鑰可能被用於惡意程式碼注入攻擊。
逾3千個曝露的ASP. NET金鑰遭到濫用,攻擊者用於散布惡意程式框架 iThome
微軟威脅情報團隊於去年12月發現一起攻擊行動,有人利用公開的ASP.NET靜態金鑰注入惡意程式碼,目的是散布後利用框架Godzilla。在調查過程裡,他們發現這起事故是開發人員不安全的實作釀禍,將這些金鑰不慎在公開的程式碼文件或儲存庫曝光,而讓歹徒有可乘之機。
網路釣魚攻擊 俄羅斯駭客Star Blizzard鎖定政府官員與研究人士,意圖透過網釣挾持WhatsApp帳號竊密 iThome電腦報周刊
代號為TA446、TAG-53或UNC4057的俄羅斯駭客Star Blizzard,從2023年至2024年8月從事大規模網路釣魚攻擊,美國司法部與微軟2024年10月聯手,破壞該組織用來攻擊的網站,但傳出不久這些駭客又死灰復燃。
WHIDS/Sysmon合璧 即時稽核Windows日誌 網管人
Windows本身系統稽核功能不足,而WHIDS可以即時監控Windows系統上的事件日誌,並利用自定義的規則進行規則比對來發掘系統內潛在的資安威脅。在本文中將以Windows 11為例來示範如何運用與安裝WHIDS。
台灣又有新詐騙手法!超常用1社群「只是留言」,錢被騙光還淪共犯上警局 風傳媒
台彩春節加碼讓現在買氣仍然不減,但要注意了,因為詐騙集團也盯上刮刮樂進行詐騙。網紅巴毛律師就提醒,詐騙集團會利用「吃紅」手法進行詐騙,民眾千萬不要隨便就留言給帳號,否則得不償失。
數發部持續強化數位韌性與創新發展 打造可信任數位經濟高速路網 說資安 新聞網
數位發展部於 10 日舉行新春記者會,回顧過去一年在數位韌性、數位產業發展及打擊網路詐騙等方面取得的重要成就,同時展望未來一年的施政重點。數發部強調,將持續推動「數發三箭」以強化數位韌性、發展數位經濟,並積極打擊網路詐騙,進一步為臺灣打造可信任的數位經濟高速路網。
【資安日報】2月12日,Fortinet公佈用於攻擊防火牆的身分驗證繞過漏洞 iThome
本週Fortinet更新一個月前發布的資安公告引起各界關注,他們指出駭客利用CVE-2024-55591的同時,也運用另一項先前未揭露的身分驗證繞過漏洞CVE-2025-24472建立管理員帳號。
2025年2月馬偕醫院遭勒索軟體攻擊事件歷程總整理(持續更新中) iThome
在2025年2月,馬偕紀念醫院遭遇CrazyHunter這支勒索軟體的連續攻擊事件,目前已知攻擊路徑為AD主機並派送惡意程式,攻擊者還利用BVOYD手法規避偵測。我們在此總結了相關資訊。
英特爾揭發對手致命漏洞!AMD 78個缺陷無解、輝達問題更嚴重 TechNice 科技島
英特爾在其最新的產品安全報告中,猛烈批評了超微半導體(AMD)和輝達,特別指控輝達去年的GPU安全漏洞「全部屬於高風險等級」,在GPU安全漏洞方面則比英特爾多出80%,還聲稱AMD的韌體漏洞數量是英特爾的4.4倍。
Fortinet公佈已被用於攻擊防火牆的新漏洞,上網安全閘道也曝險 iThome
針對一個月前重大漏洞CVE-2024-55591被用於攻擊行動的情況,今天Fortinet更新公告的內容,引起外界關注。他們指出攻擊過程中駭客還同時搭配另一項身分驗證繞過漏洞CVE-2025-24472,從而將SSL VPN服務作為存取受害組織內部環境的管道。
SAP發布2月例行更新,修補19項資安漏洞 iThome
在二月份例行更新裡,SAP對旗下多項應用系統進行修補,其中最值得留意的是商業智慧平臺BusinessObjects授權不當漏洞CVE-2025-0064、供應鏈關係管理平臺SRM路徑穿越漏洞CVE-2025-25243,以及Node.js程式庫套件Approuter的身分驗證繞過漏洞CVE-2025-24876。
南韓國情院:北韓駭客大規模入侵 政府文件大量外洩「後果嚴重」 太報
據南韓媒體今天(2/12)報導,南韓情報部門指出,北韓駭客大規模入侵南韓政府電子文件管理系統「舉國(On-Nara)」的公司,由於南韓各政府部門的公文處理都是使用這套系統,上面登記了電子郵件、會議資料、機關日程表等資料,恐帶來嚴重後果,情報單位目前正在積極調查。
限時申辦凱擘大寬頻1G上網抽輕薄筆電再送資安服務 方案優惠最後倒數0元任選聯網電視、掃地機器人帶回家 ZEEK玩家誌
開工大吉!迎接校園及職場新挑戰,凱擘大寬頻推出1G上網方案抽筆電好康,線上學習、觀影娛樂都無往不利;娛樂滿屋方案優惠倒數中,申辦就送價值破萬元智慧家電,新年升級智慧家庭生活。鑒於年後詐騙案漸增,凱擘攜手新北市政府警局製播防詐節目幫助民眾識詐護家。
Google、Discord、OpenAI攜手「ROOST計畫」免費開源工具建構AI安全網路 資安人
隨著生成式AI技術快速發展,網路安全面臨新的挑戰。由多家科技巨頭支持的「穩健開放線上安全工具」(ROOST)計畫於法國AI行動峰會正式啟動,該計畫將提供一系列免費開源的安全工具,協助企業強化網路安全防護能力。ROOST的創始合作夥伴包括前Google執行長Eric Schmidt、Discord、OpenAI、Google、Roblox等科技巨頭,以及奈特基金會(Knight Foundation)、AI Collaborative、Patrick J. McGovern基金會和Project Liberty Institute等組織。
WordPress管理流程強化外掛存在高風險漏洞,逾10萬網站恐曝險 iThome
WordPress管理流程改善外掛程式Admin and Site Enhancements(ASE)存在高風險權限提升漏洞,付費及免費的用戶都可能曝險,通報此事的資安業者Patchstack表示,這種漏洞相當特別,能讓使用者回復舊有的權限。
TWCERT引述德資安研究 示警ChatGPT存在爬蟲漏洞 工商時報電子報
資安院旗下台灣電腦網路危機處理暨協調中心(TWCERT/CC)近日發布新資安訊息,指德國資安研究員Benjamin Flesch發現OpenAI的ChatGPT爬蟲存在一個嚴重安全漏洞,此漏洞可被利用發起分散式阻斷服務(DDoS)攻擊,對全球網站運作造成威脅。
入侵 SEC 官方 X 帳號、假傳聖旨「核准比特幣 ETF」!美 25 歲駭客坦承犯行 奧丁丁新聞
去年 1 月駭入美國證管會(SEC)官方 X 帳號,因而導致帳號被盜用於發布假貼文、佯稱「已核准比特幣現貨 ETF 上市」的男子 Eric Council Jr.,於周一在華盛頓特區聯邦法院認罪。
人工智慧峰會巴黎登場 法防長:AI帶來國防軍事革命 中央通訊社
人工智慧行動高峰會在巴黎登場,AI於軍事領域的應用成焦點。法國國防部長勒克努強調,AI帶來國防革命,能強化情報分析、自主控制與戰略決策。科技巨頭與軍方合作加深,美國、歐洲、印度積極佈局,挑戰中美主導權。Google調整AI道德準則,軍事應用不再受限。法國加快國防AI發展,與新創合作,整合軍民資源,以保持國際競爭力。專家指出,軍事AI應用擴展,未來影響深遠。
券商資安體檢 全都露 證交所首度委外評估 結果顯示76%業者風險控管程度達中等以上標準 經濟日報(臺灣)
臺灣證券交易所為全面了解台灣證券業資安現況,首次委外辦理券商綜合性資安總體檢評估,由資誠智能風險管理諮詢公司承接,結果顯示有76%券商的資安控管程度已達中等以上標準。整體而言,此次資安總體檢報告顯示,證券業在資訊安全方面已具備一定的防護基礎。然而,在網站與電子郵件等高風險領域的資安防護仍然面臨挑戰,對證券商的營運帶來潛在的風險。
傳OpenAI今年將交由台積電試產自有晶片 降低輝達依賴度 鉅亨網
消息人士透露,ChatGPT 製造商將在未來幾個月內完成其首款內部晶片的設計,並計劃將其送往台積電 (TSM-US) 進行生產。將第一個設計送入晶片工廠的過程稱為「試產」(taping out)。
150家企業組織遭到鎖定,駭客藉由AD聯合身分驗證服務繞過多因素驗證,從而挾持帳號 iThome
資安業者Abnormal Security對於超過150個企業組織而來的大規模網路釣魚攻擊提出警告,駭客針對AD聯合身分驗證服務服務(ADFS)下手,透過網路釣魚誘騙使用者提供相關驗證資料,從而繞過多因素驗證(MFA)機制竊取Microsoft 365帳號。
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備 資安人
資安監控平台The Shadowserver Foundation最新報告指出,全球大規模的密碼暴力破解攻擊正在進行中,每日動用近280萬個IP位址,試圖破解各類網路設備的登入憑證,受影響廠商包括Palo Alto Networks、Ivanti和SonicWall等。
VicOne與Zero Day Initiative共同主辦第二屆全球最大汽車零日漏洞發掘競賽「Pwn2Own Automotive 2025」圓滿成功 iThome
「Pwn2Own Automotive」旨在透過發掘零日漏洞,強化網路安全措施並促進防範網路事件,為汽車網路安全未來發展奠定基礎。第二屆競賽共吸引來自全球13個國家的21支團隊(包含個人參賽者)參賽,和去年相比參賽國家以及團隊數量皆有增加。歷經三天的比賽總共發現了49個零日漏洞,「Master of Pwn (Pwn大師)」頭銜授予了來自英國團隊Summoning的選手Sina Kheirkhah。
AI趨勢周報第267期:國科會加速建置AI算力,預計2029年公共算力達480PF iThome
國科會預計2029年公共算力達480PF;數發部3月將召開說明會,建立公部門AI評測機制;史丹佛大學開源低成本推理模型s1-32B;號稱業界最小多模態語言模型來了;Hugging Face要打造推理模型Open-R1;OpenAI推理能力模型o3-mini正式推出。
全球用戶資料都得交出!英政府意圖逼迫蘋果打造 iCloud 後門 科技新報網
報導指出,英國政府的這項命令是在上個月祕密發送給蘋果的。英國安全部門要求蘋果建立一個後門,允許英國政府存取所有 iCloud 用戶上傳的內容,無論用戶身處何處。英國政府的這項命令不僅適用於特定帳戶,而是希望獲得「全面存取權限」,能夠查看所有完全加密的數據。這種做法在主要民主國家中前所未見,將對全球科技隱私權造成極大影響。
亞洲大學網站除夕遭駭!影響上萬學生 校方:今修好 聯合新聞網
亞洲大學網站今年春節除夕起,傳出遭駭客攻擊,網頁上申辦學貸、選課、查成績等服務全停擺,學生無法列印學費繳費單,教師也無法處理教務工作。校方今證實,並強調過年即派員加班處理,預計今(6)天完成修復。
【資安日報】2月6日,HTTP用戶端軟體自動存取工具被駭客用於挾持M365帳號 iThome
資安業者Proofpoint針對駭客濫用HTTP用戶端(HTTP cilent)應用程式及程式庫的情況提出警告,指出自去年開始,駭客開始運用Axios、Go Resty、Node-fetch等程式庫作案,意圖竊取Microsoft 365帳號。
合勤證實研究人員揭露的漏洞存在於12款DSL CPE設備,呼籲用戶應儘速汰換因應 iThome
上個月資安業者GreyNoise公布針對合勤科技(Zyxel Communications)CPE通訊設備而來的殭屍網路變種攻擊事故,並指出駭客利用的尚未修補的漏洞而得逞,對此,合勤科技也在2月4日發布資安公告,證實這些設備存在相關漏洞。
小心!卡巴斯基在 Android、iOS 熱門 APP 中發現竊取錢包助記詞的惡意軟體 BLOCKTEMPO
該公司將此惡意軟體命名為 SparkCat,並稱這是已知的第一起竊取軟體進入蘋果 App Store 的案例。其估計,自 2024 年 3 月左右變得活躍以來,該惡意軟體已在 Google Play 被下載約 242,000 次,主要針對歐洲和亞洲的 Android 和 iOS 用戶,但也不排除其他地區用戶受害的可能性。
壓縮軟體7-Zip的MotW零時差漏洞被用於攻擊烏克蘭 iThome
針對去年11月修補的7-Zip高風險漏洞CVE-2025-0411,通報此事的漏洞懸賞專案Zero Day Initiative(ZDI)本週公布發現的過程,去年9月此漏洞被俄羅斯駭客用於攻擊行動,至少有9家烏克蘭企業組織與政府機關受害。
資安危機警報:企業如何從重大事件中學習? CIO IT經理人
網路安全情勢日益嚴峻,攻擊事件層出不窮,企業面臨前所未有的資安挑戰,不僅要面對傳統網路威脅,還要應對新興 AI 風險。為因應日益複雜的網路威脅,2025 年企業必須採取更全面的安全措施。網路安全已成為企業生存亡關鍵。
防堵供應鏈資安破口 採購與預算越趨嚴謹高標 CIO IT經理人
企業經營時,面對各項服務的供應商普遍預設信任,但對其資訊資產未必有全面的了解,尤其是資安防護的做法更不易掌控,當企業開放內部權限時,就會增加內部系統與設備被入侵的可能性。因此企業資安防護能否完善,供應鏈的安全至為關鍵。