資安日報2026-05-26馬偕醫院資料外洩供應鏈攻擊漏洞彙整

來源: iThome | ID: 595 | URL: https://www.ithome.com.tw/news/176130 發布日期: 2026-05-26

原文摘要

台灣本地事件

馬偕醫院再傳資料外洩

  • 駭客組織宣稱取得馬偕全臺5家醫院 1.2TB 醫療資料
  • 院方聲明:疑為2025年舊案,未發現網路流量異常,已向臺北市調查處報案

重大資安事件

事件重點
秘魯SISMATE緊急預警系統遭駭供應商 Consorcio Everbridge 帳號遭入侵,發送假地震/海嘯警報
賓士德國+土耳其分公司外洩涉及 Xentry 車輛診斷系統資料,數十萬客戶受影響
FBI警告 Kali365 PhaaS濫用 Microsoft Device Code Flow 竊取 M365 權杖

供應鏈攻擊(本日重點)

  • Laravel Lang:GitHub 儲存庫遭入侵,植入憑證竊取程式碼,透過 composer 自動載入執行
  • GitHub Megalodon:5月18日,6小時內於 5,561個儲存庫 提交 5,718次惡意內容
  • TrapDoor:NPM/PyPI/Crates 共 384個惡意套件版本,鎖定加密貨幣/DeFi/AI開發者
  • Packagist攻擊:8個套件受害,17小時內上傳 777個惡意檔案

漏洞與修補

產品CVECVSS風險
Universal Robots PolyScope 5CVE-2026-81539.8遠端命令注入
Ubiquiti UniFi OSCVE-2026-34908/09/1010.0 ×3執行任意指令
ChromaDB (≤1.5.8)CVE-2026-45829重大Pre-auth RCE
Ghost CMSCVE-2026-26980SQL注入→ClickFix攻擊鏈

AI 與資安

  • Anthropic Project Glasswing 一個月成果:50家合作夥伴找出 >10,000 漏洞
  • Elastic 揭露 TCLBanker:偽裝Logitech安裝程式,鎖定巴西59個銀行
  • OpenSSF:AI工具導致Linux漏洞通報中約 30% 為重複案例

政策與標準

  • NIST SP 800-172 第三版(5月13日發布):APT深層防線
  • 臺灣《人工智慧基本法》(20條):國科會推動資料開放共享
  • Visa 2026春季威脅報告:2025H2偵測近 10億美元詐騙企圖
  • 微軟 .NET MCP 代理治理套件:控管AI代理工具呼叫

衍生頁面