台灣資安新聞彙整 2026.07.01-07.07
巨變時代,掌握資安資訊必不可少!HENNGE 為您彙整每週資安新聞,快速洞悉產業趨勢、資安新知!
7/1
勒索軟體 Settra 聲稱竊得 PChome 旗下 Pi 拍錢包 350 萬用戶資料
近日Settra勒索軟體團體於暗網宣稱,他們在6月10日成功入侵網路家庭PChome,竊得102 GB內部資料,最早報導此事的聯合新聞網指出,這批資料內含350萬名Pi錢包用戶個資、內部系統架構、法遵與稽核文件、人資資料、長達9年的營運記錄。
https://www.ithome.com.tw/news/177000
7/2
CISA 警告 Microsoft SharePoint 漏洞已遭駭客利用攻擊
美國網路安全暨基礎設施安全局(CISA)警告,Microsoft SharePoint Server 高風險漏洞 CVE-2026-45659 已遭駭客實際利用。該漏洞屬於反序列化漏洞,具備網站成員權限的攻擊者即可在未提升權限的情況下執行任意程式碼,影響 SharePoint Server 2016、2019 及 Subscription Edition 等版本。
https://www.securityweek.com/cisa-warns-of-actively-exploited-microsoft-sharepoint-vulnerability/
7/3
PamStealer 冒充 Maccy 竊取 macOS 登入密碼與加密錢包資料
資安研究人員發現新型 macOS 資訊竊取惡意程式 PamStealer,透過偽造 Maccy 官方網站散布,誘騙使用者下載惡意程式。PamStealer 不僅能竊取瀏覽器資料、iCloud Keychain、加密貨幣錢包與剪貼簿內容,更會利用 macOS 的 PAM 驗證機制反覆確認使用者輸入的登入密碼是否正確,再將憑證回傳至攻擊者伺服器。
https://thehackernews.com/2026/07/pamstealer-uses-fake-maccy-sites-and.html
AI Agent 利用 Langflow 漏洞自動發動勒索攻擊癱瘓資料庫
資安研究人員發現,名為 JADEPUFFER 的攻擊行動疑似由 AI Agent 全程自主執行,從利用 Langflow 漏洞入侵、竊取憑證、橫向移動,到加密並刪除資料庫皆無需人工介入,被認為是首起由 AI 完整執行的勒索攻擊案例。
https://www.securityweek.com/agentic-ai-used-to-conduct-ransomware-attack-via-langflow/
7/4
美國政府機構支付百萬美元贖金阻止 Kairos 公開外洩資料
最新研究揭露,一個美國政府機構疑似向駭客組織 Kairos 支付約 100 萬美元,以阻止遭竊資料遭公開。然而,研究指出 Kairos 並未加密受害系統,而是單純竊取超過 2TB 敏感資料,再以公開資料作為勒索手段,反映近年勒索攻擊正逐漸從「加密勒索」轉向「純資料勒索」。
https://thehackernews.com/2026/07/us-government-entity-paid-kairos-group.html
7/6
Opera GX 零點擊漏洞可自動安裝惡意 Mod 恐竊取 Gmail 等網站資料
資安研究人員揭露,Opera GX 瀏覽器存在一項高風險漏洞,惡意網站可在使用者毫無操作的情況下,自動安裝瀏覽器 Mod,並利用 CSS 洩漏技術竊取 Gmail 信箱、使用者名稱等敏感資訊。目前 Opera 表示未發現漏洞遭實際利用,建議使用者盡快更新至最新版本。
https://thehackernews.com/2026/07/opera-gx-flaw-let-malicious-sites-auto.html
醫材大廠美敦力資料外洩事件,影響逾 380 萬人
美敦力(Medtronic)公布4月駭客入侵事件調查結果,確認有383萬多人個資外洩,包含姓名、聯絡資訊、出生日期、社會安全號碼及健康資訊。
https://www.ithome.com.tw/news/177091
歡迎分享出去!
訂閱電子報
我們將每週彙整台灣資安新聞,寄至您的信箱。
感謝您的訂閱!