台積電否認　遭LockBit 駭客攻擊索賠7000 萬美元

編譯／Cynthia

隨著全球晶片供應短缺的情況持續，台積電成為了眾多駭客和勒索軟體組織的目標之一。然而，最近LockBit 3.0勒索軟體組織聲稱攻擊台積電並索取7000萬美元（新台幣約21.8億元）的贖金時，台積電堅稱這項聲明並不屬實。

據台積電發言人表示，數據洩漏事件實際上發生在第三方供應商Kinmax Technology Inc.，這次洩漏僅涉及到一些初始設定檔案，並未對客戶的個人資訊和業務運營造成實質損害。然而，LockBit 3.0勒索軟體組織聲稱其擁有台積電的機密資料，並在暗網上公布四張資料截圖作為證據。

LockBit 3.0勒索軟體組織透露，如果台積電不支付他們要求的7000萬美元贖金，他們將公開洩漏的資料，包括進入台積電內部網路的入口和登錄憑據。他們還威脅稱，如果台積電拒絕支付贖金，他們準備以同樣的價格將這些數據出售給其他買家。

然而，台積電的發言人強調，這次數據洩漏事件是在供應鏈的第三方供應商遭受攻擊，並未直接影響到台積電自身的IT系統。Kinmax Technology Inc.證實遭受攻擊，其補充說明表示，「攻擊的環境是工程測試區，這是為客戶準備的系統安裝環境，竊取的內容是安裝配置文件等參數資訊。由於以上資訊與客戶實際應用無關，只是發貨時的基本設置。目前尚未對客戶造成任何損害，客戶也沒有被駭客攻擊。」為了應對這次事件，Kinmax立即關閉受感染的網路部分，並聘請了一家未透露名字的第三方網路安全公司進行調查和支援事件的應對。

在Kinmax評估風險足跡並審查、改進和加強資訊安全措施的同時，台積電決定根據公司的安全協議和標準作出反應，立即終止與Kinmax的數據交換。同時，他們表示將繼續加強對供應商的安全知識培訓，確保他們遵守相關的安全標準。

這次事件再次提醒我們勒索軟體攻擊的嚴重性以及企業面臨的風險。今年5月，全球共有436個勒索軟體受害者，其中LockBit 3.0勒索軟體集團是最活躍的威脅者之一。與其競爭關係的是8Base的新興駭客組織，自2022年3月以來已經攻擊了近80家組織。

對於台積電來說，這次事件顯示他們對客戶資訊和業務運營的安全重視。雖然數據洩漏發生在供應鏈中的第三方供應商，但台積電立即採取適當的措施保護客戶和業務的安全。同時，他們還加強對供應商的資訊安全要求和措施，以確保整個供應鏈的安全性。這次事件提醒企業加強安全措施以保護敏感資料，並警覺勒索軟體攻擊帶來的風險和威脅。

資料來源：BankInfoSecurity

瀏覽 586 次