民視新聞/蘇恩民報導
全球 NAS(網路附接儲存)大廠、興櫃股后威聯通(7805) 今以 558 元承銷價風光掛牌上櫃,股價衝高以730元大漲3成開出,投資人秒賺17.2萬元,不料驚傳資安風暴,駭客 KaruHunters 在暗網宣告竊取1.7TB 儲存資料,同時取得威聯通核心雲端服務 myQNAPcloud 的「內部存取權限」(internal access),並以 400 美元賤價向不特定人兜售,不僅可能引發全球客戶恐慌,也讓上櫃蜜月行情蒙上陰影。電威聯資安經理黃士展證實接獲駭客竊密情資,已通知用戶變更密碼,並啟用二階段認證,暗網揭露的資訊應無法成功登入。
QNAP 的 QNap Storage 是一款網路附加儲存(NAS)解決方案,專為資料儲存、備份與分享而設計,除了擁有包括蘋果、微軟、三星、特斯拉、思科等171家全球知名大企業用戶,也有無數中小企業IT 部門、甚至家庭都用它來集中管理檔案、資料保護及遠端存取,還可下載QNap Storage客戶名單及產業分類、組織規模、地理位置、融資輪次及營收數據等公司營運狀況。
蘋果微軟特斯拉都是用戶 駭客截圖佐證「內部層級滲透」
根據資料顯示,myQNAPcloud 是威聯通 NAS 裝置的控制中樞,負責協助使用者透過網際網路遠端連線與管理設備。駭客 KaruHunters 指出,其獲得的並非一般單一帳號的權限,而是具備「內部視角」的平台層級存取權。
這意味著,攻擊者一旦掌握此權限,將能繞過既有的身分驗證機制,直接操控多台 NAS 裝置,甚至將其作為發動勒索軟體或大規模資料竊取的攻擊跳板。駭客隨貼文附上一張 QNAP TS-228 NAS 的操作介面截圖作為佐證,強調這是一次涉及平台內部層級的滲透。
資安專家指出,在暗網中,這類權限被視為「進入系統的門票」,其風險遠高於單純的資料外洩,就像偷走銀行金庫後門鑰匙與守衛的識別證,雖然還沒搬走黃金,但可隨時進出、安插內應,是極為嚴重的結構性風險警訊。
核心服務 myQNAPcloud 若淪陷 恐重創「私有雲」安全信任
從財報數據來看,威聯通是不折不扣的獲利優等生。今年前三季營收達 45.96 億元,稅後純益 9.32 億元,每股純益(EPS)高達 30.84 元,毛利率維持在 56% 的高水位。受惠於 AI 時代海量資料需求與企業儲存升級潮,法人原先樂觀預估威聯通 2026 年業績將增長兩成起跳。
然而,myQNAPcloud 此次傳出的外洩疑雲,可能重創客戶對其「私有雲」安全性的信任。過去數年間,威聯通使用者已多次成為 DeadBolt、Qlocker 及 eCh0raix 等勒索軟體的目標。若此次 1.7TB 的內部文件與使用者資訊證實遭外洩,不僅可能面臨各國法規的合規性風險,更可能導致企業客戶轉向競爭對手,進而影響長期的營收動能。
資安專家建議用戶 關閉遠端存取功能
威聯通本次公開申購人氣火熱,中籤率僅約 0.4%,凍結市場資金高達 842.9 億元。以 19 日收盤價 789 元計算,中籤投資人每張潛在獲利約 23.1 萬元,沒想到掛牌前爆發重大資安事件,市場勢必高度關注公司官方的澄清與後續應變措施。
資安專建議,目前雖尚未有官方證實平台遭到全面性入侵,但建議 QNAP 用戶應採取「假設已遭入侵(Assume Breach)」的防禦思維,立即全面啟用多因素驗證(MFA)、盤點 NAS 是否直接暴露於公網,並關閉非必要的遠端存取功能。
這起事件也再次凸顯 NAS 與雲端服務整合後所帶來的系統性風險。對於即將步入資本市場的威聯通而言,如何迅速化解這場信任危機,並強化其雲端平台的防禦韌性,將是決定其掛牌後能否維持蜜月行情的關鍵指標。
