ChatGPT API 客戶資料外洩、Google 新 AI 工具 Antigravity 上線就爆漏洞、Nvidia Isaac-GR00T 被發現兩大高風險漏洞
⭕️ 本週重點快速掃描
- AI 巨頭接連爆出漏洞與外洩事件:Google Antigravity、Nvidia Isaac、OpenAI Mixpanel
- 零時差漏洞與大規模掃描攻擊同時升高
- 多國企業與政府系統遭駭,外洩規模持續擴大
- 國際與台灣皆加強反詐政策
- 資安與 AI 投資成全球科技與經濟焦點
AI 是企業創新重要引擎,而資安更是讓企業在轉型浪潮中成為重要的加速器。
企業資安人員若能預見 AI 的安全架構和風險,對於威脅控管必是從從容容,游刃有餘!
邀請您即刻下載趨勢科技《AI 資安白皮書》:
⭕️AI工廠防護,限時索取獨家攻略,立即下載 Secure AI Factory 完整指南!
⭕️用數位孿生與代理式 AI 先發制人⟫限時索取新世代資安白皮書
⭕️AI 創新?別讓漏洞拖垮您!主動保護您的AI 堆疊⟫資安攻略限時下載將關閉
⭕️ 資安趨勢部落格精選
- 什麼是Deepfake深偽詐騙?(2025 最新台灣案例總整理)
- 從 Chrome 零日到 LINE 加密缺陷:本週你該關心的資安新聞
- AI 深偽詐騙全面爆發,縣長、名醫、藝人通通中招。
- 帥哥教練崩潰!照片被盜用15年 ,專家教你秒辨假帥哥
- 【上週資安週報】AI 驅動下的中國駭客攻擊/漏洞、勒索與供應鏈危機接連爆發
⭕️本週最十大資安新聞
1. ChatGPT API 客戶資料外洩,源頭竟是 Mixpanel 遭駭
◎相關新聞
ChatGPT API 客戶資料外洩!OpenAI 證實:全因第三方分析工具 Mixpanel 遭網攻 網路資訊雜誌
Mixpanel 遭駭風暴!數萬OpenAI 開發者電郵、位置曝光 AI郵報
2. Google 新 AI 工具 Antigravity 上線就爆嚴重漏洞
◎相關新聞
Google 新 AI 程式工具 Antigravity 剛推出就發現嚴重安全漏洞 科技新報網
3. Nvidia Isaac-GR00T 被發現兩大高風險漏洞,機器人資安拉警報
◎相關新聞
機器人資安拉警報,Nvidia 緊急修補 Isaac-GR00T 平台兩大高風險漏洞 網路資訊雜誌
4. WhatsApp API 漏洞被揭露,可大規模取得電話、照片與個人資訊
◎相關新聞
WhatsApp 用戶個資曝險:研究揭 API 漏洞可大規模取得手機號碼、照片與個人資訊 資安人
5. Meta 被指約一成營收與詐騙問題廣告相關,美國議員要求調查
◎相關新聞
Meta 估一成營收來自詐騙等問題廣告,美國兩黨參議員要求調查 科技新報
6. 南韓最大交易所 Upbit 遭駭 540 億韓元,承諾全額補償
◎相關新聞
南韓最大交易所 Upbit 遭駭 540 億韓元!官方強調:全額補償用戶損失 鏈新聞
7. WSUS 高嚴重性漏洞(CVE-2025-59287)已遭利用
◎相關新聞
WSUS 高嚴重性漏洞 CVE-2025-59287 已遭利用,呼籲用戶儘速更新 Twcert
8. 俄羅斯駭客利用 MSC EvilTwin 大規模散布惡意程式
◎相關新聞
俄羅斯駭客利用MSC EvilTwin結合被入侵的網站,企圖散佈惡意程式 iThome
9. 瑞幸咖啡敏感個資議題延燒,台灣政府要求確保資料留在台灣
◎相關新聞
瑞幸咖啡蒐集敏感個資引資安疑慮 龔明鑫承諾確保資料留在台灣 自由時報網
10. 刑事局詐防中心法制化啟動,新增偵查隊專責打詐
◎相關新聞
刑事局詐防中心法制化啟航 新設偵查隊專責打詐 中央通訊社
⭕️ 媒體資安新聞一覽
機器人資安拉警報,Nvidia 緊急修補 Isaac-GR00T 平台兩大高風險漏洞 網路資訊雜誌
【科技早餐】NVIDIA 回擊 Google 威脅:很高興 Google 成功,但我們仍領先一代! 科技報橘
Google 新 AI 程式工具 Antigravity 剛推出就發現嚴重安全漏洞 科技新報網
AI趨勢周報第281期:Google揭臺北全新辦公室,打造總部外最大AI基礎建設研發中心 iThome
冒名詐騙升溫,新加坡政府要求蘋果強化 iMessage 防詐 科技新報網
ChatGPT王位不保?Google終極AI武器Gemini 3的逆襲之路 工商時報電子報
ChatGPT API 客戶資料外洩!OpenAI 證實:全因第三方分析工具 Mixpanel 遭網攻 網路資訊雜誌
Mixpanel遭駭殃及OpenAI API用戶 iThome
.NET 10統一建置架構加快安全修補與版本發布節奏 iThome
ClickFix網釣出現新變種JackFix,假借Windows更新名義引誘使用者上當 iThome
WSUS 高嚴重性漏洞 CVE-2025-59287 已遭利用,呼籲用戶儘速更新 Twcert
【科技早餐】Anthropic: AI 省時八成,美國未來十年生產力翻倍! 科技報橘
Fortinet 預警 2026 資安危機 AI將 引爆「網路犯罪 4.0 時代」 工商時報電子報
AI 投資成了美國關稅震動全球經濟下的救命索 台灣足為代表 經濟日報網
趨勢科技於AWS re:Invent發表首套「AI集中曝險管理方案」 Ctimes
趨勢科技將推出業界最完整的企業AI風險管理方案 CIO IT經理人
趨勢科技預測網絡罪行在 2026 年全面工業化 IT PRO
亞洲 AI 心臟,臺灣 AI 主權——GMI Cloud 攜手輝達,打造臺灣第一座 AI 工廠 INSIDE
Canon、Mazda美國分公司雙雙被駭入Oracle EBS iThome
美國CISA警告:Oracle身分管理系統重大漏洞遭零時差攻擊利用 資安人
達特茅斯學院通報Oracle EBS資料外洩 影響至少上千人 iThome
俄羅斯駭客利用MSC EvilTwin結合被入侵的網站,企圖散佈惡意程式 iThome
勒索軟體Qilin對韓國金融業者發起供應鏈攻擊Korean Leaks,背後疑似北韓駭客所為 iThome
瑞幸咖啡蒐集敏感個資引資安疑慮 龔明鑫承諾確保資料留在台灣 自由時報網
酷澎前中國員工洩客戶個資 每4名韓成人有3人中鏢 自由時報網
韓國酷澎大規模個資外洩 警方正追蹤嫌疑人IP 中央廣播電臺
Meta 估一成營收來自詐騙等問題廣告,美國兩黨參議員要求調查 科技新報網
刑事局詐防中心法制化啟航 新設偵查隊專責打詐 中央通訊社
掃碼即報案!屏警首創「打詐一點通」 檢舉詐騙獎千萬 壹蘋新聞網
高市府網站 近1年遭駭526萬次 自由時報電子報
朝日集團遭網攻延後財報 顧客員工等190萬件個資恐外洩 中央通訊社
惡意Blender模型檔案上架3D模型市集,意圖散佈竊資軟體StealC V2 iThome
南韓 MSP 遭駭波及 24 家金融業 台灣企業應提高供應鏈資安警覺 資安人
南韓最大交易所 Upbit 遭駭 540 億韓元!官方強調:全額補償用戶損失 鏈新聞
AI瀏覽器潛藏新攻擊手法!這漏洞讓合法網址也能變駭客武器 工商時報電子報
WhatsApp 用戶個資曝險:研究揭 API 漏洞可大規模取得手機號碼、照片與個人資訊 資安人
資安業者Aisle揭露Firefox中藏匿6個月的高風險漏洞 iThome
【資安日報】11月26日,開源輕量級遙測工具Fluent Bit存在一系列可被串連的資安漏洞 iThome
大規模掃描鎖定Palo Alto Networks旗下SSL VPN平臺而來,5天出現230萬次活動 iThome
【資安日報】11月28日,開發人員不慎在程式碼編排平臺曝露企業組織的機敏資料 iThome
中國APT31組織 利用雲端服務對俄羅斯IT產業發動隱密攻擊 資安人
機器人資安拉警報,Nvidia 緊急修補 Isaac-GR00T 平台兩大高風險漏洞 網路資訊雜誌
二個漏洞皆為 CVSS 3.1 風險值 7.8 的漏洞,影響執行 Isaac-GR00T N1.5 的所有平台。具有本地存取及低權限的攻擊者,可以濫用輸入驗證不足的漏洞。一旦成功濫用,就會引發未授權任意程式碼執行、權限升級、敏感資訊外洩以及資料竄改。
【科技早餐】NVIDIA 回擊 Google 威脅:很高興 Google 成功,但我們仍領先一代! 科技報橘
面對外界質疑 Google 自研 TPU 對 NVIDIA 造成威脅,NVIDIA 罕見在 X 上快速回應,強調「很高興看到 Google 成功,但 NVIDIA 仍領先一代」,並表示自家平台能支援所有主流 AI 模型。這次快速發聲源自一份報導指出,Meta 考慮在資料中心採用 Google TPU,使 NVIDIA 股價盤中一度大跌 7%。
Google 新 AI 程式工具 Antigravity 剛推出就發現嚴重安全漏洞 科技新報網
Google 本月推出 AI 代理程式工具「Google Antigravity」,但發表只 24 小時,安全研究員便發現嚴重安全漏洞。亞倫·波特諾伊(Aaron Portnoy)指出,漏洞讓駭客能修改 Antigravity 設定,操控 AI 代理,在用戶電腦安裝惡意軟體。
AI趨勢周報第281期:Google揭臺北全新辦公室,打造總部外最大AI基礎建設研發中心 iThome
Google臺北全新辦公室要成為總部外最大AI基礎建設研發中心;Claude Opus 4.5來了!程式碼修復能力大升、還能無限聊天;Google推出新一代AI生圖模型Nano Banana Pro;OpenAI推Codex-Max,可24小時跑大型專案;別小看線性迴歸,Google用它讓充電樁預測更可靠。
冒名詐騙升溫,新加坡政府要求蘋果強化 iMessage 防詐 科技新報網
新加坡政府近期要求蘋果與 Google 必須加強 iMessage 與 Google Messages 的防詐騙措施,原因是當地警方發現詐騙集團正利用這兩項訊息平台冒充政府機構,發布釣魚連結與詐騙內容。由於 iMessage 訊息在介面上與一般 SMS 顯示相同,使得民眾難以辨識真假,成為新加坡政府新一波重點整治項目。
ChatGPT王位不保?Google終極AI武器Gemini 3的逆襲之路 工商時報電子報
Google Gemini 3甫推出就震撼全球AI社群,橫掃各大評測排行榜,可以說是「一戰成名」,就連軟體巨頭Salesforce執行長貝尼奧夫(Marc Benioff)都用「太瘋狂」稱讚Gemini 3在推理與速度上的大躍進,甚至宣稱已棄用ChatGPT。
Mixpanel 遭駭風暴!數萬OpenAI 開發者電郵、位置曝光 AI郵報
OpenAI Mixpanel 洩露事件,雖然不是 ChatGPT 聊天記錄被偷,也沒丟 API 金鑰,但駭客拿到了數萬開發者的資料。OpenAI 核心系統沒破,但第三方供應鏈被打穿一次,就夠讓整個生態的開發者未來半年都得提心吊膽地檢查每封郵件。
ChatGPT API 客戶資料外洩!OpenAI 證實:全因第三方分析工具 Mixpanel 遭網攻 網路資訊雜誌
Mixpanel 提供使用分析,讓 OpenAI 用以在 API 產品前端介面追蹤用戶互動。 Mixpanel 在 11 月 8 日偵測到一起釣魚簡訊攻擊,該事件又進一步影響其「小部份」客戶。這家公司調查後,於 11 月 25 告知 OpenAI 用戶資料外洩,但這事件只影響 API 部份用戶,不影響 ChatGPT 或其他產品用戶。
Mixpanel遭駭殃及OpenAI API用戶 iThome
資料分析業者Mixpanel本月遭到駭客入侵,導致部分OpenAI API用戶的帳號資訊外洩。OpenAI已於系統中移除了Mixpanel,也終止使用該服務,並開始通知受影響的用戶。
.NET 10統一建置架構加快安全修補與版本發布節奏 iThome
微軟在.NET 10導入統一建置架構(Unified Build),透過虛擬單一儲存庫與垂直建置方式整合過去分散的元件,大幅縮短建置時間並提升版本一致性,使安全修補與版本發布的效率更高。
ClickFix網釣出現新變種JackFix,假借Windows更新名義引誘使用者上當 iThome
資安業者Arconis揭露新型態ClickFix網釣攻擊手法「JackFix」,攻擊者鎖定想要瀏覽成人網站的使用者而來,一旦他們為了觀看網站內容進行點選,螢幕就會被瀏覽器畫面覆蓋,顯示假的Windows更新,要求用戶依照指示操作。
WSUS 高嚴重性漏洞 CVE-2025-59287 已遭利用,呼籲用戶儘速更新 Twcert
Windows於2025年10月發布例行資安更新公告,揭露Windows Server Update Services (WSUS) 存在一個高嚴重性漏洞(CVE-2025-59287,CVSS:9.8)。該漏洞允許未經身分驗證的遠端攻擊者,透過發送精心設計的請求觸發反序列化,導致在目標伺服器上以系統權限執行任意程式碼。此漏洞僅影響啟用WSUS伺服器角色的Windows Server,預設情況下WSUS角色並未啟用。
【科技早餐】Anthropic: AI 省時八成,美國未來十年生產力翻倍! 科技報橘
Anthropic 依十萬筆 Claude 真實對話分析指出,AI 能讓使用者在完成工作任務時平均省下約八成時間。研究比較「有 AI」與「無 AI」情境,如果完全靠人力,任務平均需 90 分鐘,在 AI 協助下僅需原本兩成時間。任務涵蓋法律諮詢、企業管理到餐飲準備等不同場景,其中醫療輔助效率最高,可省下近九成時間;需要實體操作的硬體故障排查則僅縮短約五成。
Fortinet 預警 2026 資安危機 AI將 引爆「網路犯罪 4.0 時代」 工商時報電子報
報告指出,網路犯罪正持續演變成一個高度組織化的產業,由自動化、專業分工與AI驅動。未來一年,攻防雙方的關鍵,將更著重於行動的「速度」,也就是能多快將情資轉化為攻防行動。近年來,台灣也面臨到更多駭客針對關鍵基礎設施、OT、供應鏈所發動的複雜、大規模的攻擊。組織中的資安團隊,必須重新思考資安防禦架構與策略,使其運作能跟上自動化被快速利用的攻擊生態系。
AI 投資成了美國關稅震動全球經濟下的救命索 台灣足為代表 經濟日報網
美國總統川普 4 月宣布全面加徵對等關稅之際,經濟學家一面倒預料全球會大受衝擊,殊不知美國科技業大手筆的人工智慧(AI)支出帶動了需求,結果讓各經濟預測機構紛紛轉而上修全球今年經濟成長預測,台灣就是最極端的例子。
趨勢科技於AWS re:Invent發表首套「AI集中曝險管理方案」 Ctimes
全球企業加速導入AI之際,伴隨而來的模型風險與新型態攻擊日益嚴峻。網路資安大廠趨勢科技(Trend Micro)宣布,將於12月初在美國AWS re:Invent大會發表全新「Trend Vision One AI Security Package」。這是業界首款專為AI驅動環境打造,涵蓋從模型開發至部署全流程的主動式集中曝險管理方案,宣告企業AI防護邁入新里程碑。
趨勢科技將推出業界最完整的企業AI風險管理方案 CIO IT經理人
趨勢科技企業事業群營運長金敬秀表示:「僅展現創新卻缺乏監管所帶來的風險,是企業難以承受的。我們的目標是要為AI安全奠定基礎並建立防護措施,讓AI轉型能與安全和信任齊頭並進。從一開始就以這樣的原則來打造AI,企業就能充滿信心地向前邁進,讓AI成為企業成長的核心。」
趨勢科技預測網絡罪行在 2026 年全面工業化 IT PRO
趨勢科技香港澳門區顧問總監李浩然表示:「在2026年,網絡罪行不再是服務產業,而是完全自動化的一年。我們正進入一個由人工智能代理主導的時代,它們能在無需人類介入的情況下發現系統弱點、加以利用並牟利。防護者的挑戰不再只是偵測攻擊,而是如何跟上機器驅動的威脅節奏。」
亞洲 AI 心臟,臺灣 AI 主權——GMI Cloud 攜手輝達,打造臺灣第一座 AI 工廠 INSIDE
在發佈會現場,包括輝達、趨勢科技(Trend Micro)、緯謙科技(WiAdvance)、中華系統整合(CSI)以及 VAST Data 等企業,紛紛率領團隊親自出席。這些企業既是應用 GMI Cloud 解決方案的客戶,也是在資安防護、數據高速搬運與儲存、電信機房管理等領域,協助 GMI Cloud 提供穩定服務的合作夥伴。
Canon、Mazda美國分公司雙雙被駭入Oracle EBS iThome
雖然這個駭客組織在竊取Oracle EBS資訊後,經常會公開或銷售受害組織的資料,但Canon指出,這事件僅影響網頁伺服器,該公司已經採取安全措施,也恢復運作。目前還沒有駭客公開Canon公司資料。
美國CISA警告:Oracle身分管理系統重大漏洞遭零時差攻擊利用 資安人
美國網路安全暨基礎設施安全局(CISA)於 11 月 22 日將 Oracle Identity Manager 的重大漏洞列入已知遭利用漏洞(KEV)目錄,要求聯邦政府機構在 12 月 12 日前完成修補。此漏洞編號為 CVE-2025-61757,評分高達 9.8 分,攻擊者無需身分驗證即可執行遠端程式碼。證據顯示,該漏洞在 Oracle 發布修補程式前就已遭零時差攻擊利用。
達特茅斯學院通報Oracle EBS資料外洩 影響至少上千人 iThome
該校在上個月甲骨文公司公告修補EBS零時差漏洞CVE-2025-61884後,達特茅斯也展開調查。該校近日完成調查,判斷在8月9日到12日之間Oracle EBS遭未授權人士存取。分析存取的檔案,達特茅斯學院於10月30日判斷包含攻擊者竊取了EBS中的個人姓名、社會安全碼以及銀行帳號資訊。
俄羅斯駭客利用MSC EvilTwin結合被入侵的網站,企圖散佈惡意程式 iThome
俄羅斯駭客組織Water Gamayun(EncryptHub、Larva-208)發起新一波攻擊行動,過程中利用微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),並透過遭滲透的網站將用戶導向惡意網域。
勒索軟體Qilin對韓國金融業者發起供應鏈攻擊Korean Leaks,背後疑似北韓駭客所為 iThome
北韓駭客Moonstone Sleet於今年9月,傳出使用勒索軟體Qilin對超過20家韓國資產管理公司下手,聲稱要重挫當地股市,並對執法機關喊話、施壓,而他們入侵受害公司的管道,是一家名為GJTec的代管服務供應商(MSP)。
瑞幸咖啡蒐集敏感個資引資安疑慮 龔明鑫承諾確保資料留在台灣 自由時報網
中國大型連鎖咖啡店瑞幸咖啡插旗台灣市場,傳出瑞幸在美國分店的點餐APP蒐集客人個資、定位、網頁瀏覽紀錄等敏感資訊,立委關切恐有資安風險。對此,經濟部長龔明鑫允諾,將充分掌握瑞幸蒐集與運用個資的情況,並會確保相關資料只能留在台灣,他也允諾將會與行政院資通安全辦公室(資安辦)討論。
酷澎前中國員工洩客戶個資 每4名韓成人有3人中鏢 自由時報網
綜合韓國媒體報導,韓國最大電商平台酷澎(Coupang)驚爆洩漏3370萬用戶個人資料,相當於每4名韓國成年人中就有3人的個資被洩漏。酷澎去年銷售額突破41兆韓元(8800億台幣),但在個資保護的投資額僅佔銷售額約0.2%(660億韓元,14.1億台幣),低於Kakao、SK電訊、Naver、KT投入的資金比例。
韓國酷澎大規模個資外洩 警方正追蹤嫌疑人IP 中央廣播電臺
韓國酷澎(Coupang)日前確認近期個資外流的帳號達3370萬個,警方表示正在追蹤犯罪中使用的IP地址,並確認洩漏資訊及發送威脅信件的嫌疑人是否為同一人。
Meta 估一成營收來自詐騙等問題廣告,美國兩黨參議員要求調查 科技新報網
檢舉總是沒用,因此網路興起許多陰謀論,認為 Meta 是詐騙廣告營收太高,所以不敢打擊。這則陰謀論似乎有部分證實,路透社報導有 Meta 文件預估一成營收來自詐騙與非法產品,現在美國兩黨議員要求調查。
刑事局詐防中心法制化啟航 新設偵查隊專責打詐 中央通訊社
刑事局詐欺犯罪防制中心法制化今天正式啟航,未來將專責打擊詐騙,並擴大組織編制,新設詐欺偵查隊,增加警力至136人,此中心將可偵辦跨境及重大詐騙案,提高政府防詐效能。
掃碼即報案!屏警首創「打詐一點通」 檢舉詐騙獎千萬 壹蘋新聞網
內政部日前公布「防制詐欺犯罪有功人員及檢舉人獎勵辦法」,檢舉車手獎1萬、詐騙集團最高1000萬,鼓勵全民投入防詐工作,屏東縣政府警察局為便利民眾檢舉詐騙,首創「打詐一點通」QR Code簡訊報案,屏東里港警分局(1)日由分局長率員前往金融機購、超商積極推廣便民新措施,民眾只要在銀行、超商或提款機周邊發現疑似車手或詐騙情事,即可掃描 QR Code一鍵傳送報案簡訊,不需開口、不需打字、不怕被發現,大幅降低報案壓力與風險,提升通報意願。
高市府網站 近1年遭駭526萬次 自由時報電子報
高市議員林智鴻昨總質詢時指出,網路世代許多工作都跟資訊緊密結合,卻也衍生許多困擾,他注意到市府各局處網站常被駭客攻擊,去年八月到今年十月中旬累計被害次數逾五二六萬次。
朝日集團遭網攻延後財報 顧客員工等190萬件個資恐外洩 中央通訊社
綜合日本放送協會(NHK)與法新社報導,擁有朝日啤酒等子公司的朝日集團控股公司今天宣布,先前受到駭客攻擊導致的系統故障,恐使總共約190萬件個人資料外洩。
惡意Blender模型檔案上架3D模型市集,意圖散佈竊資軟體StealC V2 iThome
為了讓使用者能更容易調整應用程式的組態,許多軟體開發團隊會提供延伸套件機制,其中最常見的就是瀏覽器,也有IDE開發工具提供相關機制。然而,這些機制也成為歹徒下手的目標,他們透過有問題的套件,對使用者散布惡意軟體,如今類似的手法,也出現針對藝術創作者和美術從業人員的情況。
南韓 MSP 遭駭波及 24 家金融業 台灣企業應提高供應鏈資安警覺 資安人
南韓金融業近期遭遇大規模供應鏈攻擊,駭客組織透過入侵單一託管服務供應商(Managed Service Provider, MSP),一舉攻陷 28 家企業,其中 24 家為金融業者,竊取超過 2TB 資料。
南韓最大交易所 Upbit 遭駭 540 億韓元!官方強調:全額補償用戶損失 鏈新聞
韓國最大交易所 Upbit 今日 (27) 凌晨發生異常出金事件,約 540 億韓元 (約 3,688 萬美元) 的 Solana 生態資產被轉往未知的外部錢包,引發市場恐慌。Upbit 立即全面凍結出入金、將資產轉入冷錢包並啟動安全檢查,強調用戶資產不受任何影響,所有損失將由公司全額承擔。
AI瀏覽器潛藏新攻擊手法!這漏洞讓合法網址也能變駭客武器 工商時報電子報
隨著AI瀏覽器進入主流市場,資安風險也悄然升溫。國際資安業者Cato Networks日前揭露一項新型攻擊手法「HashJack」,駭客透過在合法網址後加上「#」符號與惡意提示語,悄悄操控AI瀏覽器助手執行惡意指令,卻能完全躲過傳統防禦機制。
WhatsApp 用戶個資曝險:研究揭 API 漏洞可大規模取得手機號碼、照片與個人資訊 資安人
維也納大學與 SBA Research 的研究人員近期發現,WhatsApp 的通訊錄同步 API(contact-discovery API)因缺乏速率限制(rate limiting)機制,使攻擊者得以大規模爬取用戶個人資料。
資安業者Aisle揭露Firefox中藏匿6個月的高風險漏洞 iThome
利用AI技術進行自動化漏洞分析的資安業者Aisle本周揭露,該公司在Firefox的WebAssembly引擎中發現一個堆疊緩衝區溢位漏洞CVE-2025-13016,該漏洞是因為程式碼裡有一行指標計算錯誤,而讓駭客得以在特定情況下執行任意程式碼,影響全球逾1.8億Firefox用戶。
【資安日報】11月26日,開源輕量級遙測工具Fluent Bit存在一系列可被串連的資安漏洞 iThome
資安業者Oligo Security針對受到雲端環境廣泛使用的輕量級遙測代理程式Fluent Bit提出警告,他們近期找到的一系列資安漏洞,用戶應儘速套用新版程式因應,若不處理,攻擊者可串連運用,並接管雲端環境。
大規模掃描鎖定Palo Alto Networks旗下SSL VPN平臺而來,5天出現230萬次活動 iThome
資安業者GreyNoise近日提出警告,Palo Alto Networks旗下的SSL VPN平臺GlobalProtect疑似遭鎖定,自11月14日出現掃描活動急劇增加的情況,在一天內爆增40倍,創下近3個月的新高,他們在14至19日,偵測到230萬次針對GlobalProtect登入網頁的URI連線。這些攻擊流量有62%來自德國,另有15%來自加拿大,攻擊範圍涵蓋美國、墨西哥,以及巴基斯坦。
【資安日報】11月28日,開發人員不慎在程式碼編排平臺曝露企業組織的機敏資料 iThome
資安業者watchTowr提出警告,開發人員於程式碼編排服務JSON Formatter和CodeBeautify當中,上傳的程式碼內容,曝露企業組織內部的各式憑證、金錀,以及密碼,而且他們確認有人爬梳程式碼內容並挖掘上述機密資料,試圖加以濫用。
中國APT31組織 利用雲端服務對俄羅斯IT產業發動隱密攻擊 資安人
這波針對俄羅斯的攻擊行動最大特色是大量使用當地流行的合法雲端服務(特別是 Yandex Cloud)作為命令與控制(C2)伺服器及資料外洩管道,藉此混入正常流量以躲避偵測。駭客還會在社群媒體檔案中隱藏加密的指令與惡意程式,並刻意選在週末與假期發動攻擊。在至少一起案例中,APT31 早在 2022 年底便已入侵某 IT 公司網路,隨後在 2023 年新年假期期間大幅升級攻擊活動。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
