LockBit勒索軟件索7000萬美元贖金，臺積電指責供應商

近期，蘋果最大的半導體供應商之一臺積電將一起數據泄露事件歸咎于一家第三方IT硬件供應商，這起數據泄露事件導致臺積電面臨LockBit勒索軟件團伙索要的7000萬美元贖金。

臺積電在通過電子郵件發給安全外媒Dark Reading的一份聲明中證實了有關這起安全事件的多方報道，但沒有表明LockBit勒索軟件團伙具體訪問了其系統中的哪些數據、因此劫持這些數據以索要贖金。不過聲明稱，這起事件并不影響臺積電的業務或客戶信息。

第三方數據泄露

聲明特別指出：“臺積電最近意識到，我們的一家IT硬件供應商遭遇了網絡安全事件，結果導致與服務器初始設置和配置相關的信息泄露出去。”臺積電認為這家第三方供應商是擎昊科技股份有限公司（Kinmax Technology），這是一家總部位于臺灣新竹的系統集成商，聲稱與其他許多知名科技公司合作，包括Aruba、Checkpoint、思科、思杰、飛塔、Hewlett-Packard Enterprise、微軟和VMware。目前還不清楚是否有其他客戶受到了這起攻擊的影響。

與此同時，LockBit團伙內部一個自稱為國家危害管理局（National Hazard Agency）的分支團伙聲稱，它已要求臺積電在8月6日之前支付數千萬美元的贖金，否則將公開泄露這家公司的被盜數據。這伙威脅分子聲稱，他們還將公布其所稱的進入臺積電網絡的“入口點”，以及用于訪問該網絡的密碼和登錄信息。鑒于臺積電是一個誘人的目標，這些信息無疑是網絡攻擊者覬覦的目標。臺積電報告，2022年的合并收入高達758億美元，凈收益約為340億美元。

臺積電表示，在擎昊科技報告了這起事件后，自己已對其系統中使用的硬件部件和安全配置進行了一番審查，以確定這起事件的影響范圍。聲明特別指出：“事件發生后，臺積電按照公司的安全規程和標準操作程序，立即終止了與該供應商交換數據的活動。”這家芯片制造商表示，將繼續致力于提高供應商當中的安全意識，并確保他們遵守該公司提出的安全要求。

IT供應商淡化安全事件

擎昊科技表示，它在6月29日發現了其系統遭到入侵。擎昊科技稱，攻擊者侵入了該公司的工程測試環境，并訪問了系統安裝準備信息。

擎昊科技在一份關于該事件的聲明中表示：“這是為客戶準備的系統安裝環境。獲取的內容是安裝配置文件之類的參數信息。”

上述聲明似乎竭力淡化這起數據泄露的嚴重性。該公司稱：“（泄露的）信息與客戶的實際應用軟件毫無關系。它只是交付時的基本設置。”聲明沒有指明這個客戶就是臺積電。但多少令人困惑的是，它聲稱這家芯片制造商（或其他公司）并沒有受到任何負面影響。6月30日發來的聲明特別指出：“目前，沒有對該客戶造成任何損害，客戶也沒有受到黑客攻擊。”

這家系統集成商在發給Dark Reading的聲明中對這一事件表示遺憾。擎昊科技在聲明中稱：“我們向受影響的客戶表示誠摯的歉意，因為泄露的信息含有他們的名字，這可能會給客戶帶來一些不便。本公司已徹底調查了這一事件，并采取了經過改進的安全措施，以防止此類事件在將來發生。”

如今，越來越多的企業組織因第三方入侵而遭遇數據泄露，臺積電是其中最新的一家。這家公司眼下陷入尷尬的處境，適逢當下外媒紛紛報道眾多企業組織淪為Cl0p勒索軟件團伙的受害者，這歸咎于Progress Software被廣泛使用的MOVEit Transfer應用軟件存在一個漏洞。到目前為止，這起活動的受害者包括：生物制藥巨頭艾伯維（AbbVie）、西門子、施耐德電氣和加州大學洛杉磯分校（UCLA）。