臺積電被勒索7000萬美元，“甩鍋”第三方

上周四，LockBit勒索軟件團伙的附屬機構之一“國家危害機構”(National Hazard Agency)在其泄密站點上分享了被盜的臺積電文件目錄列表的屏幕截圖，并要求臺積電在8月6日最后期限之前支付7000萬美元（編者：本文發稿時，Lockbit已在泄漏站點公布了臺積電被盜數據）。

“國家危害機構”宣稱，臺積電如果未能支付贖金將導致黑客組織公開泄露其信息，包括臺積電IT網絡的網絡登錄憑據。

臺積電(TSMC)發布公告將所遭受的LockBit勒索軟件攻擊歸咎于第三方設備供應商的漏洞，導致攻擊者能夠獲取臺積電在其企業網絡中使用的一些服務器的（編者：供應商默認）設置。

根據臺積電的公告，導致數據泄漏的第三方供應商是中國臺灣系統集成商Kinmax Technology，但未透露泄露數據的性質。

臺積電表示：“臺積電最近意識到我們的一家IT硬件供應商遭遇了網絡安全事件，導致與服務器初始設置和配置相關的信息泄露。”

臺積電“甩鍋”第三方

臺積電聲稱，第三方供應商Kinmax是一家與惠普、微軟、VMware、思科和Fortinet等領先技術公司合作的系統集成商，其自身的系統漏洞使其客戶也面臨威脅。

不過，臺積電表示，此次安全漏洞“并未直接影響臺積電的業務運營，也沒有泄露任何臺積電的客戶信息”。“事件發生后，臺積電已立即按照該公司的安全協議和標準操作程序終止與該供應商的數據交換。”

但是“國家危害機構”表示，準備發布一份所謂的臺積電網絡“入口點”清單以及相關的密碼和登錄信息。

Grip Security首席執行官兼聯合創始人Lior Yaari表示：“此次泄露事件很好地說明了機器身份與員工身份同樣重要。”“數據無處不在，任何人都可以從任何地方訪問。能同時保護員工和機器身份的公司將比其它公司更安全。”

Kinmax道歉并淡化事件影響

據悉，Kinmax已向其客戶發函，通報其在6月29日內部測試環境中發現的網絡入侵，攻擊者未經授權訪問了系統安裝準備信息。

Kinmax信中寫道：“泄露的內容主要包括該公司向客戶提供的系統安裝準備的默認配置，目前尚未對客戶造成任何損害，客戶也沒有被黑客攻擊。”

臺積電和Kinmax均未公開證實LockBit宣稱的獲取了臺積電關鍵數據的說法。雙方均未透露是否愿意支付7000萬美元的要求。

Kinmax泄露事件發生兩周前，美國司法部宣布逮捕了20歲的俄羅斯公民Ruslan Magomedovich Astamirov（АСТАМИРОВ、Руслан Магомедовичь），原因是他涉嫌參與美國和其他地方的多起LockBit勒索軟件攻擊。一天前，LockBit網站宣稱入侵了印度制藥公司Granules India，并公布所竊取的大量文件。

截止本文發稿，Lockbit已經公開泄漏臺積電數據。