「華碩傳出供應商遭駭,外流手機相機軟體開發資料」、「華碩的一家供應商遭駭,駭客可能竊取包含相機原始碼在內的1TB內部資料」……
翻閱新聞媒體,華碩資安事件在2025年底鬧得沸沸揚揚,事件發生的時間點還很湊巧,出事的當天正是一年一度的「TWCERT/CC 2025台灣資安通報應變年會」,會議中邀請到華碩集團資安長金慶柏先生進行「資安趨勢與台灣挑戰」的演講,卻沒想到當天就傳來這麼突發的事件。
先前我們已經論述AWS的資安事件,而華碩的資安事件卻發生在「供應商」身上。其實從新聞內文來看,很明顯知道這是一起勒索病毒事件,我們可以藉由新聞分析出一些資訊做為觀察:
- 【勒索軟體Everest聲稱竊得華碩內部資料,內容為相機的原始碼。】此話顯示即有可能駭客已經取得華碩品牌的電腦與手機等具相機裝置的資料。
- 【HackRead根據Everest公布的螢幕截圖,指出這批資料還有內部的修補程式、測試模組,以及除錯事件記錄資料。】顯示除了裝置本身的程式碼(SDK)外,還有一些相關的日誌資訊。
- 【這批資料也包含用於相機系統的AI模型,以及訓練資料、相機調整的組態檔案與後置指令碼、相機模組與影像處理程式碼的原始碼及檔案。】這內容顯示駭客取得了相關組態檔與用於AI的資料內容。
(參考資料來源:ithome,https://www.ithome.com.tw/news/172642)
從上面的資訊觀察來看,資訊外洩就像是一張拼圖,駭客取得資料後可能拼出相機設計、影像處理及AI影像分析的專案資料內容。
因此,勒索軟體的危害可想而知,我們還是要強調其影響後果是難以估算的。上市上櫃除了面臨發布重大訊息的壓力,擔心品牌聲譽受到影響,也要面臨資料外洩的後續效應。
我們建議一般企業應該參考ISO 27001的控制措施,建立幾個關注項目,預防與處置勒索事件帶來的危害,至少包括:
- 供應商的資訊安全管理,參考委外管理相關條款包括 A.5.19 至 A.5.22。
- 完成勒索病毒緊急危機處理程序,參考事故管理條款包括 A.5.24 至 A.5.28。
- 進行勒索病毒攻擊的相關營運持續演練,參考營運持續管理條款包括 A.5.29 至 A.5.30。
- 定期檢視系統的弱點與組態,並進行適當的修補與安全控制,參考組態管理條款包括 A.5.29 及 A.5.30。
- 定期檢視帳號權限的狀態,避免系統有多餘的閒置帳號與過大的權限,參考存取控制條款包括 A.5.18 及 A.8.2。
近期其實聽到許多企業面臨勒索病毒攻擊的重建之路,金錢與時間成本相形都很高昂。我們沒辦法說上述的控制措施做完後就不會發生勒索病毒事件,但多一分控制就降低一些風險。
下一次,我們可以深入討論供應商的資訊安全管理做法。
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
