Everest與Gehenna(GHNA)近期不約而同表明對可口可樂旗下的合作夥伴下手,聲稱成功竊得內部資料,表明他們握有近千名員工個資
專家建議,企業可以將地緣政治風險劃分不同的階段,在營運持續計畫中,針對每個階段訂定詳細的情境與事件應對,更要從6大面向思考如何因應極端情境
GitHub MCP出現嚴重資安漏洞,攻擊者可藉特製Issue誘使人工智慧代理在無人監督下,自動存取並外洩私有儲存庫資料,可能導致企業或個人敏感資訊曝光
資安業者Legit Security揭露AI助理GitLab Duo的提示注入漏洞,攻擊者能藉由事先埋入、隱匿的提示內容,導致GitLab Duo洩露原始碼,或執行其他惡意行為
要避免IT變故對業務運作造成巨大衝擊,需要有足夠的韌性,高度仰賴數位科技的現代社會,更是如此,能屈能伸、具有高度靈活的適應力,已成為生存的必須條件
Node.js函式庫Samlify曝高風險漏洞CVE-2025-47949,攻擊者可利用簽章包裝(Signature Wrapping)攻擊繞過身分驗證並冒充管理員
Google更新Chrome的Password Manager機制,可在偵測到用戶密碼外洩時,主動協助更換成高強度密碼
資安業者Imperva揭露能洩露未公開文章及草稿標題的WordPress資安弱點,並解釋這項看似不起眼的問題,有可能對企業組織帶來隱患
研究人員揭露惡意套件solana-token偽裝Solana開發工具,滲透PyPI函式庫,鎖定加密貨幣開發者竊取原始碼與助記詞組
Docker推出Hardened Images(DHI)安全映像檔,主打精簡內容、減少攻擊面與自動修補漏洞,協助企業強化雲端容器環境的供應鏈安全與維運效率
Coinbase表示受資料外洩事故影響的用戶數,不到每月交易用戶數的1%,外洩個資類型不包含登入憑證、2FA代碼及私鑰等敏感資料,但可能被駭客用來發動社交工程攻擊
上週微軟發布資安公告,修補Azure DevOps、Azure Automation、Azure Storage、Power Apps的重大漏洞,其中CVE-2025-29813達到10分、CVE-2025-29827與CVE-2025-29972達到9.9分,相當危險
團隊資安(Team Cybersecurity)不只是今年臺灣資安大會的主題,更是參與企業共同的心聲
5月釋出的Chrome 137利用裝置上的Gemini Nano模型,協助辨識技術支援詐騙網站
近年來中國對臺網路攻擊力道不僅未減,更持續將攻擊目標擴及全球多國政府與民間企業。在美國RSAC 2025資安會議期間,Google在一場針對媒體的資安情資分享會上,將所有討論焦點都放在中國與北韓問題上,而絲毫未提蘇俄與伊朗,就充分顯現中國威脅已成為全球資安最重大的課題。
資安框架人人都在談,但談歸談、做歸做。當資安長們拿著剛通過的認證向高層報告時,面對真實攻擊卻依然手忙腳亂。該如何從理論跨入實務?讓我們一起用五階段模型,解決企業資安的最後一哩路問題
防詐實驗室設立於digiBlock C數位創新基地,在資料保護的前提下,跨業共享去識化資料,以發展防詐警示技術,建立跨業防詐聯防合作。
未來新增的Microsoft帳戶將預設使用無密碼登入, Windows也將自動提供用戶無密碼優先的登入提示
在今年4月下半,Cloudflare指出其系統偵測並阻擋了數十次超大量DDoS攻擊,其最大攻擊最高峰為6.5 Tbps
強化AI應用防護產品線,Palo Alto Networks除了公布AI安全管理平臺Prisma AIRS,也宣布收購新創公司Protect AI
趨勢科技揭露勒索軟體Fog最新一波攻擊行動,這些駭客在留下的勒索訊息裡,自稱是美國政府效率部(Department of Government Efficiency,DOGE),相當囂張
資安公司Cymulate揭露Windows工作排程工具可被濫用進行UAC繞過與SYSTEM提升權限,並透過後設資料覆寫事件記錄,可能造成事件後續調查困難
生成式AI不當使用出現實際案例!臺灣有北捷AI客服可代寫程式碼,國外有三星員工將內部資料上傳至公用服務,以及美國律師誤用AI虛構判例打官司,均具體呈現LLM在不同層面的潛在風險
各行各業對LLM技術應用需求快速增長,其應用已深入客戶互動與企業內部營運,然而,伴隨新科技而來的風險不容忽視
戰略以資安即國安為基調,以四大支柱為主要核心、遵循兩大準則來落實 .涵蓋全社會防衛韌性 .國土防衛與關鍵基礎設施 .關鍵產業與供應鏈 .AI應用與安全
KPMG顧問部營運長謝昀澤表示,預算縮水使年度防護計畫延宕、老舊系統更新受阻,也影響新興科技防護及前瞻研究,更使監管與外包服務品質下降,恐引發大規模個資洩露與網路攻擊。
Google擴充Android與Play平臺安全工具與API,讓開發者能更早發現問題,簡化法遵流程,強化App安全性與用戶信任
3月31日臺灣再傳CrazyHunter勒索軟體攻擊的消息,我們發現有振曜科技、沛亨半導體、東荃科技這3家業者遇害。振曜集團在今日(31日)上午向我們證實確實集團有兩家上櫃公司受影響,他們並在下午5時半發布資安重訊說明事故。而我們在追蹤公告發布之際,另發現精誠資訊也在下午5時發布重訊表示收到勒索信
研究人員發現,駭客利用微軟的信賴簽發服務,藉由獲取短效期憑證將惡意程式偽裝成合法程式
思科威脅情報團隊Talos揭露新興駭客組織UAT-5918,並指出這些駭客專門針對臺灣的關鍵基礎設施(CI),其作案的戰略、手段、流程(TTP),與多個惡名昭彰的中國駭客組織有所交集
資安業者Bitdefender警告近期嘗試利用PHP-CGI重大漏洞CVE-2024-4577的情況升溫,值得留意的是,超過半數的攻擊針對臺灣而來
日本金融廳近日發布AI討論文件,文件中包含130家日本金融機構運用AI的調查結果。日本金融廳也在報告中承諾會支持金融機構穩健運用AI。
由民間發起、針對繁體中文需求改善的「FreeSEED大型語言模型計畫」,今天宣布取得中央社等多家台灣媒體與內容出版商的資料授權,有助FreeSEED的繁體中文語言支援,並開啟與繁體中文內容出版商合作的開端。
Google 幾年前曾斥資 54 億美元收購了網路安全公司 Mandiant,會藉由 Wiz 讓其安全產品更加完善。Wiz 與多家大型雲端服務公司皆有合作,包括亞馬遜和微軟,提供一體化雲端安全解決方案,查找出相關的安全風險。
Apache基金會近期公布Tomcat高風險資安漏洞CVE-2025-24813,但資安業者Wallarm警告,在該漏洞公開30小時之後就有概念驗證程式碼(PoC)
臺灣資安戰略演進邁入新的里程碑,從《資安即國安》到《國家資通安全戰略2025》,除了確認國家安全的願景外,更要做到全面提升全社會防衛韌性
數發部將在3月底開放數位皮夾沙盒試驗,鼓勵部會、地方政府、民間產業共同參與試驗,並在期間舉行會議、工作訪,蒐集各界意見、調整政策後,今年12月在特定應用展開試營運。
資安業者S-RM揭露一起不尋常的勒索軟體資安事故,駭客罕見針對網路攝影機下手,利用EDR系統目前無法全面防護物聯網設備的局限,成功於受害組織的網路環境部署勒索軟體並將檔案加密
針對爆紅的中國AI模型DeepSeek,近期國家資通安全研究院公布測試結果,指出該模型在4種越獄攻擊的防禦能力不佳,特別是對於文句延續攻擊手法,防禦率僅五分之一至三分之一
資安業者Fortinet提出警告,惡意程式Winos 4.0將攻擊目標轉向臺灣企業,駭客假冒國稅局的名義,聲稱要抽查是否出現不法的情況,引誘財務人員點選附件並依照指示操作,藉此於受害電腦部署惡意軟體
資安業者Wordfence揭露WordPress表單外掛程式Everest Forms存在重大漏洞,若不處理攻擊者有機會藉此挾帶惡意PHP指令碼,從而在未經身分驗證的情況下,遠端在網站上執行任意程式碼,甚至是挾持整個網站
年度十大網站駭客攻擊技法在今年2月出爐,揭露過去一年具創新與影響的重要漏洞研究發現,特別的是,臺灣資安研究人員的研究發表,從2024年度共103項提名脫穎而出,獲選為年度第1名與第4名
海底電纜乘載全球超過95%的數據傳輸,是各國重要的關鍵基礎設施。今年(2025)1月,台灣東北方海域的TPE國際海纜受損,便是由KDDI的海纜船進行搶修。
金融無塵室計畫的第一階段,正在進行警示帳戶聯防案的PoC驗證,預計2月底完成後提報主管機關。第二階段再擴大參與,更多金融機構加入。
密碼外洩查詢網站Have I Been Pwned(HIBP)近期收錄2.84億筆帳密資料,這些資料的來源是駭客於Telegram頻道Alien Txtbase兜售的竊取事件記錄
微軟威脅情報團隊針對開發人員不慎在公開文件及程式碼儲存庫曝露ASP.NET金鑰的情況提出警告,因為去年底有人利用這種金鑰散布惡意程式框架Godzilla
這項計畫將以DeepSeek R1為基礎來進行改造,透過重新訓練模型的方式,並以開源授權釋出模型權重,也就是採取開放權重的策略釋出,最後還會打造新的模型身份與品牌
CyberArk研究員透露,他們對於才正式發表不久、搭載新資安防護機制的o3系列AI模型進行測試,發現還是能夠成功越獄,要求AI模型提供網路攻擊步驟及工具
馬偕醫院遭勒索軟體攻擊,500多台電腦一度當機,病患資料無法開啟。駭客揚言二次攻擊,衛福部及數發部資安專家已介入處理,系統已恢復,個資未外洩。此為國內首見大規模醫院網路攻擊事件。
因應Windows 10將在今年10月14日終止支援,微軟呼籲Microsoft 365用戶將電腦升級到Windows 11,以避免效能和穩定性問題
微軟發布首波資安更新,共修補 159 個資安漏洞,其中含 8 個零時差漏洞。此次更新為微軟史上規模最大的資安例行修補包,其中 3 個由 AI 平台所發現。
臺灣國家安全局與日本警方相繼公布中國駭客的威脅態勢,以及國內上市櫃遭遇供應鏈攻擊、勒索軟體攻擊與DDoS攻擊的事件是主要焦點;在資安威脅技術方面,有雙點擊劫持的攻擊手法、濫用應用程式安全測試OAST機制需要重視
Dario Amodei 在訪談中分享了他對人工智慧發展的樂觀態度,並對未來幾年的技術進步提出了重要見解。他的觀點涵蓋了 AI 的潛力、挑戰以及對社會的影響。
生成式AI改變人類文明的發展,帶動產業升級、效率提升的同時,國家資通安全研究院院長何全德表示,也必須注意使用AI時的風險、治理與對社會帶來的影響
美國傳出打算禁用TP-Link路由器是一大焦點,外界認為與中國駭客經營的殭屍網路Quad7有關,促使美國政府進一步探討相關風險,也突顯邊緣裝置安全是持續備受關注的重要議題。另一重要消息在於,中國駭客組織Salt Typhoon滲透美國電信公司的後續消息不斷,如今美政府積極倡導E2EE全程加密重要性。
為了對受害者形成壓力,願意付錢換取遭竊資料不被外流,駭客採用雙重勒索、三重勒索的手法相當常見,以多種管道施壓的方式逼迫就範。但如今有攻擊者選擇少量、多次公布資料的做法,使得受害企業在每次資料被公開後,必須不厭其煩地向外界澄清影響範圍並未擴大,確認駭客公布的資料,其實源自相同的資安事故。
隨著網路身分安全浪潮吹向臺灣網路服務業,以及全球打擊網路詐騙的行動越來越多,臺灣在身分安全的進展亦是顯著,其他重要新聞也不能因此忽視
「零信任架構」從理論到實踐,探索零信任如何成為企業與政府的資安必修課,解讀零信任理念的核心價值與實踐挑戰,深化企業資安基石
台北捷運提供捷運AI智慧客服,有網友測試後發現,該AI客服可協助產生程式碼範例,事件在網路揭露後,吸引大批網友討論、測試,台北捷運公司緊急要求廠商斷開與Azure Open AI串接,回復原本的旅客應答功能。
安洵事件對全世界發動認知戰的部分樣貌 新興勒索軟體Cicada3301的出現引發資安界重視,3個月內已有30家企業受害 國內有5家上市公司持續反映國內遭受網路攻擊的狀況
台灣資安事件的範圍廣泛,從數據洩漏、系統入侵、到惡意軟體攻擊,每一種事件都可能對企業的正常運作和聲譽造成嚴重影響。 文中介紹四種資安事件類型,以及五個處理方式
資安意識月 (Cybersecurity Awareness Month) 由美國國家網路安全聯盟 (NCA)、美國網路安全暨基礎設施安全局 (CISA) 發起,為每年10月舉辦,透過宣導活動,提升大眾的資安意識。
微軟Windows作業系統19日大當機,全球各地電腦陷入混亂,銀行、媒體和航空公司都成為受害者,資安公司Crowdstrike已承認造成問題,外媒形容,這是「史上最大規模IT當機」。Crowdstrike並不算家喻戶曉,卻能在全球造成如此大規模混亂,提醒我們現代數位基礎設施的複雜性。
零信任架構的提出者、Illumio傳道士John Kindervag表示,零信任的實施可以分成五個步驟,這些步驟目的在於在簡化安全流程,確保系統的每個保護面得到充分保護
政府數位服務指引13項原則 一、了解使用者需求 二、建立跨領域合作機制 三、規劃多元服務管道 四、採用持續精進作業程序 五、確保服務所需資源 六、評估採用工具與系統 七、兼顧資安、隱私及便利性 八、以開放為優先 九、持續測試與快速部署服務 十、擬定中斷因應計畫 十一、遵循易用性原則 十二、鼓勵數位使用 十三、衡量服務績效
如何用生成式AI加強資安? 第一種方式,從開發人員開始,首先,要給開發人員一個安全開發的副駕駛。資安助手是將生成式AI應用於網路安全的第一步。 第二,使用生成式人工智慧來幫助分析漏洞,尤其是已知漏洞。幫助識別修補的結果,將加快人類分析師的速度,最多可提升4倍。 第三,用LLM填補不斷增長的資料缺口,讓機器學習系統在實際攻擊發生之前,可以學會如何防禦。
對於臺灣的資訊硬體供應鏈來說,雲端業者發展的大語言AI也來了新契機。Google和Meta對高性能運算設備的需求,使其加速自研ASIC腳步,並使臺灣的IP業者和RISC-V晶片廠商也在這波技術變革中受惠,而搭載ASIC的伺服器因暫未可能取代GPU伺服器,因此對伺服器業者而言亦無替代效應之情形發生,可視為正面契機。
可以複製貼上的東西,都可能變成詐騙標的,「只要沒有密碼,就不會發生密碼騙走的問題」 所謂零信任就是「永不信任、持續驗證」
Google購物平臺開放與數位商務服務供應商合作,賣家現在可用Shopify管理庫存和訂單
Garmin服務全球大當機破3天,疑似攻擊程式樣本曝光,官方也終於回應用戶資料無損
從Windows 10 May Update 2020開始,只提供64位元版本給OEM,不影響搭載Windows 10之前版本的32位元舊硬體
駭客攻擊手法不斷翻新。近日安全廠商發現,WAV音訊檔也可以被用來散佈惡意程式
徐宏民率領團隊所開發的人臉辨識XAI技術,稱為xCos(Explainable Cosine)模組,不僅可以透過圖像化的解釋來說明AI決策的原因,在原先的AI模型中嵌入模組後,還能提高AI預測準確度,尤其在偽臉辨識方面,能夠自動辨識人臉不自然的表面,聚焦在其他可辨識的人臉部位上,來提高偽臉辨識的準確率。
