資安日報2026-05-26馬偕醫院資料外洩供應鏈攻擊漏洞彙整
來源: iThome | ID: 595 | URL: https://www.ithome.com.tw/news/176130 發布日期: 2026-05-26
原文摘要
台灣本地事件
馬偕醫院再傳資料外洩
- 駭客組織宣稱取得馬偕全臺5家醫院 1.2TB 醫療資料
- 院方聲明:疑為2025年舊案,未發現網路流量異常,已向臺北市調查處報案
重大資安事件
| 事件 | 重點 |
|---|---|
| 秘魯SISMATE緊急預警系統遭駭 | 供應商 Consorcio Everbridge 帳號遭入侵,發送假地震/海嘯警報 |
| 賓士德國+土耳其分公司外洩 | 涉及 Xentry 車輛診斷系統資料,數十萬客戶受影響 |
| FBI警告 Kali365 PhaaS | 濫用 Microsoft Device Code Flow 竊取 M365 權杖 |
供應鏈攻擊(本日重點)
- Laravel Lang:GitHub 儲存庫遭入侵,植入憑證竊取程式碼,透過 composer 自動載入執行
- GitHub Megalodon:5月18日,6小時內於 5,561個儲存庫 提交 5,718次惡意內容
- TrapDoor:NPM/PyPI/Crates 共 384個惡意套件版本,鎖定加密貨幣/DeFi/AI開發者
- Packagist攻擊:8個套件受害,17小時內上傳 777個惡意檔案
漏洞與修補
| 產品 | CVE | CVSS | 風險 |
|---|---|---|---|
| Universal Robots PolyScope 5 | CVE-2026-8153 | 9.8 | 遠端命令注入 |
| Ubiquiti UniFi OS | CVE-2026-34908/09/10 | 10.0 ×3 | 執行任意指令 |
| ChromaDB (≤1.5.8) | CVE-2026-45829 | 重大 | Pre-auth RCE |
| Ghost CMS | CVE-2026-26980 | — | SQL注入→ClickFix攻擊鏈 |
AI 與資安
- Anthropic Project Glasswing 一個月成果:50家合作夥伴找出 >10,000 漏洞
- Elastic 揭露 TCLBanker:偽裝Logitech安裝程式,鎖定巴西59個銀行
- OpenSSF:AI工具導致Linux漏洞通報中約 30% 為重複案例
政策與標準
- NIST SP 800-172 第三版(5月13日發布):APT深層防線
- 臺灣《人工智慧基本法》(20條):國科會推動資料開放共享
- Visa 2026春季威脅報告:2025H2偵測近 10億美元詐騙企圖
- 微軟 .NET MCP 代理治理套件:控管AI代理工具呼叫
衍生頁面
- OpenSSF Python安全程式開發指南pyscg發布 — AI加速漏洞通報重複問題
- AI加速Linux漏洞發現OpenSSF稱三成通報為重複案例 — 相關現有概念
- openssf — 發布機構