民視新聞/蘇恩民報導
日本知名汽車製造商日產汽車(Nissan)又爆駭客勒索事件!近年令全球各大企業深惡痛絕的駭客勒索團體Everest ,在暗網釋出多份截圖,聲稱竊取 Nissan 高達 900GB 內部資料,同時啟動「倒數計時」,限期 Nissan 5天內支付贖金,否則將全面外洩機密資訊。
根據 Everest 在暗網上傳的資料樣本顯示,這批 900GB 的數據涵蓋範圍極廣。Cybernews 研究團隊分析指出,外洩內容包括經銷商名冊(含名稱、地址及聯絡資訊)、內部文件目錄、財務報表、營運系統輸出,甚至是敏感的「遺失與尋獲車輛鑰匙報告」(lost & found car key reports)。儘管初步截圖尚未直接曝光大規模個人隱私,但專家警告,未公開的巨量資料中,極高機率含有員工或客戶的敏感聯絡資訊,這將大幅提升日產的法規責任與聲譽風險。
這起事件再次讓資安界公認與俄羅斯關係密切的 Everest 駭客組織聲名大噪,且國內外已有多家資安網站或頻道揭露相關訊息。不同於一般採取大規模隨機攻擊的勒索團體,Everest 自2021年崛起後,展現類似國家級駭客 APT的精準攻擊手法,鎖定國際級企業與政府機關,近年攻擊清單包括 ASUS(華碩)、BMW、克萊斯勒(Chrysler)、可口可樂及巴西石油(Petrobras)等各產業巨頭。以華碩為例,Everest 曾宣稱竊取了高達 1TB 的相機原始碼與企業機密,凸顯其專門竊取高價值技術資料的策略及能力。
值得注意的是,這次並非日產首度面臨資安風暴。回顧過往紀錄,日產的資安防線多次出現破口:2025 年底因 IT 服務商 Red Hat 被駭導致 2.1 萬名客戶個資外洩;2024 年澳洲與紐西蘭分公司遭 Akira 勒索組織攻擊,波及 10 萬人;2021 年甚至發生過 Git 伺服器因使用「admin/admin」預設帳密,導致多個專案原始碼外流的低級失誤,顯示該公司在身分存取管理(IAM)與全球資料控管方面恐有嚴重疏漏。
資安專家認為,這次日產面臨更嚴重的危機,可能是來自各方的監管壓力,包括歐盟 GDPR 的巨額罰款、日本 APPI 的合規壓力,以及供應鏈夥伴的資安信任危機,顯示這類事件對大型企業而言,已不再只是單純的 IT 問題,而是企業治理的疏漏。
竣盟科技指出,目前 Nissan 尚未正式回應這起資安事件,但無論事件後續發展為何,有三點已經非常明確:攻擊者的能耐正在提升、跨國企業的防線正面臨更高壓力、資料治理不再只是 IT 的工作,它已成為董事會必須親自把關的風險管理議題。企業必須重新檢視數位資訊監視系統與內部人員的管理機制(健全企業治理),才能通過日益嚴峻的資安威脅考驗。
