美國企業重大資安事件連環爆,羅技、DoorDash 遭駭客攻擊
美國網路安全體系近日陷入多重危機。從國會與政府機構的透明爭議,到企業與供應鏈的重大資安事件,一連串曝光的漏洞與攻擊透露當前數位防線的脆弱現況。
美國參議院今年7月通過決議,要求網路安全暨基礎設施安全局(CISA)公開一份2022年的電信業資安報告,揭露美國通訊產業的漏洞與防護缺口。然而,該報告至今仍未發布,引發國會強烈不滿。
與此同時,資安事件在企業界連環爆發。羅技(Logitech)上週承認遭遇「零時差攻擊(Zero-Day)」漏洞,駭客利用第三方軟體平台的弱點入侵其內部系統,竊取包含員工與消費者資訊的資料。羅技強調,目前未發現身份證號或信用卡資料外洩,並已在漏洞修補後恢復安全防護。
另一方面,npm爆出史上最大規模垃圾包裹攻擊,名為「IndonesianFoods」的惡意蠕蟲透過55個偽造帳戶,在npm註冊庫釋出超過78,000個惡意軟體包,幾乎讓惡意程式數量翻倍。這些套件會自我複製並產生連鎖污染,開發者應立即檢查。
Lumma Stealer木馬再度出現。專家警告,該惡意軟體利用瀏覽器指紋與進程注入技術,潛入Chrome與Edge進程中,偽裝成合法流量以繞過防護機制,竊取使用者數據。
外送平台DoorDash第三次發生資料外洩。駭客透過對員工發動社交工程攻擊,竊取包含姓名、地址、電子郵件與電話在內的客戶資料。雖未發現後續詐欺活動,但公司仍警告用戶提高警覺,勿點擊陌生郵件附件。
從政府延宕的報告,到企業一再重演的資安災難,專家警告,美國正面臨一場資安信任危機,若政府與業界不聯手提升防禦標準,網路攻擊只是時間問題。
(首圖來源:shutterstock)