2026 上半年資安大鑊整理:舊 token、AI 客服同基建一齊出事
Tech News

2026 上半年資安大鑊整理:舊 token、AI 客服同基建一齊出事

圖片:via TechCrunch — https://techcrunch.com/2026/07/07/the-worst-hacks-and-breaches-of-2026-so-far/
TechLab 編輯部(譯)·

幾單事表面唔同,但問題多數都離唔開身份驗證同供應鏈管理。

幾單大鑊事,其實係同一條線

TechCrunch 整理咗 2026 上半年多宗重災級資安事故:美國 Social Security 資料懷疑俾人搬去冇保護好嘅第三方 server、歐洲同美國水務能源系統俾人打、Stryker 員工裝置俾人遙距清機、Klue 供應鏈外洩波及多間資安公司、Canvas 俾 ShinyHunters 入侵,Instagram 又出現 AI 客服重設密碼流程俾人濫用。表面睇係一堆唔同新聞,放埋一齊就見到:2026 嘅大鑊位,好多時靠舊帳密、過闊權限、薄弱復原能力一路滾大。

舊 token 同第三方,開咗最大個窿

Klue 呢單最值得公司 IT 放大睇。TechCrunch 話,攻擊者用咗 Klue 2022 年俾一個 pilot 發出嘅憑證入場;HackerOne 同 Jamf 嘅公告都確認,Klue 嘅 OAuth 整合令未授權一方攞到 Salesforce/CRM 資料。邊間牌子中招只係表面,最要命嘅地方係好多 SaaS 整合一開就放喺角落,冇人定期 revoke、冇人問 scope 係咪太闊,離職同 vendor 合約完咗都未必收返匙。TechCrunch 指 Klue 早前裁走一半人手再押注 AI;呢件事未必直接造成事故,但提醒大家:少咗人管舊憑證,問題會一直留喺度。

社交工程而家打去 account recovery

ShinyHunters 嘅套路唔神秘,TechCrunch 描述主要係 voice phishing:扮 IT support、扮忘記密碼嘅員工,呃公司交出內部系統權限。Canvas 單案入面,TechCrunch 指私人資料涉及超過 3,000 萬學生同員工,之後登入頁再俾人改樣,仲撞正考試期。Meta/Instagram 嗰邊仲尷尬,404 Media 先報道有人向 Meta AI chatbot 扮帳戶主人,要 chatbot 寄重設碼去攻擊者 email;TechCrunch 引述紐時話影響達數萬個帳戶。呢類事最醒神嘅位係:你有 2FA 都好,客服同復原流程弱,攻擊者照樣有路入。

偷資料之外,停機先痛

水務、能源、醫療科技公司、玩具公司網站、FBI 監控系統,今次 roundup 最值得驚嘅係攻擊開始推到現實服務。EPA、FBI、CISA 同 NSA 4 月聯合警告,伊朗相關攻擊者正針對飲用水同污水系統嘅 operational technology,部分機構出現設定俾人抹走、sensor 數據俾人改動、HMI 操作中斷。Stryker 單案入面,TechCrunch 指數以萬計員工裝置俾遙距清機;Hasbro 就算未講清楚有冇資料流出,單係幾星期復原已經夠傷。資安做得差,以前似後台問題,而家會變停課、停工、停服務。

普通用家先做四件事

第一,去 Have I Been Pwned 查 email,有結果就睇清楚邊個服務、邊類資料流出;冇結果唔等於一定安全,只係 HIBP 暫時冇收錄。開通知,日後有新外洩先收到提醒。第二,用 password manager 幫每個帳戶產生獨立長密碼,舊密碼只要重用過,就當已經唔可信;查密碼就唔好亂喺陌生網頁試,要用就揀 HIBP Pwned Passwords 呢類講清楚機制嘅工具,或者用 password manager 內置檢查。第三,開 2FA,但揀 app 或硬件 security key 好過 SMS;服務有 passkey 就用 passkey,FIDO 講得好清楚,passkey 抗 phishing,server 又冇密碼可以俾人偷。第四,唔好喺電話、DM、email 入面交出一次性 code;真係要處理帳戶,自己打開官方 app 或網址。

公司 IT 要處理嘅係權限同復原

買多件保安工具未必救到呢類事。公司要先列出所有連住 Microsoft 365、Google Workspace、Salesforce、GitHub、Slack 嘅 app,同每個 OAuth token、API key、service account 有咩 scope、幾耐冇用、邊個負責。管理員帳戶要上 phishing-resistant MFA;NIST SP 800-63B 對高 assurance login 都要求有抗 phishing 選項。helpdesk 重設密碼要有第二條驗證路徑,唔可以靠一個電話、一封 email、一句「我係某某」。備份亦唔好淨係有,要定期試 restore;勒索軟件打到落嚟,冇試過還原嘅備份好多時等於冇備份。

身份文件外洩,會越嚟越麻煩

TechCrunch 提到,酒店 check-in、匯款 app、監獄電話服務、英國簽證 portal 近月都有護照或駕駛執照掃描件暴露,合計波及超過 200 萬人。呢個位值得拆開睇:愈多網站因 KYC、年齡驗證、社群門檻去收身份文件,攻擊者就愈多高價資料可以偷。普通人做唔到完全避開,但可以少交就少交;公司就要講清楚留幾耐、點加密、邊個有權睇,唔好當掃描件係普通附件長期擺喺雲端 bucket。

下半年睇三樣嘢

跟住要睇三樣嘢:供應商有冇收走舊 token 同閒置整合,平台有冇幫 account recovery 同 AI 客服加返硬驗證,公司有冇真係練過復原。資安新聞成日講黑客有幾勁,但今年上半年幾單大事都見到,好多公司其實係舊帳密、舊 token 同復原流程先出事。用家要減少可重用嘅秘密,公司要少信任、快 revoke、識還原。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook