瑞銀UBS中招｜黑客攻擊第三方供應商　13萬員工敏感資料外流　包括CEO私人電話

瑞士銀行巨頭 UBS 發生數據外洩事件，其供應商 Chain IQ 遭受黑客組織 Worldleaks 攻擊，約 13 萬員工的敏感資料被洩露，當中更包括 UBS CEO Sergio Ermotti 的私人電話號碼。雖然客戶數據未受影響，但就再次凸顯出供應鏈安全漏洞的脆弱性。

去年美國 97% 銀行曾受第三方數據洩露影響

供應鏈攻擊（Supply Chain Attack）是指黑客透過攻擊企業的第三方供應商或合作夥伴，繼而入侵目標企業系統的攻擊手法 。由於大型企業通常依賴眾多供應商提供服務，這些供應商的安全漏洞往往成為黑客的突破口，甚至有可能通過一次攻擊，便可接觸到大規模的敏感數據，因此供應鏈攻擊的性價比對黑客而言極高，成為近年最常見且威力巨大的網絡攻擊手段之一。

據統計，2024 年美國高達 97% 的銀行曾遭受第三方數據洩露的影響，顯示供應鏈安全問題已成為全球企業特別是金融業面對的痛點。

暗網出售 910 GB 數據庫

今次攻擊的主謀是知名勒索軟件集團 Worldleaks，他們針對包括 Chain IQ 在內的 20 間公司發動攻擊，成功竊取並在暗網上出售包含 190 萬份文件、容量高達 910 GB 的數據庫。這些文件中包含大量敏感資訊，除了 UBS 外，另一家瑞士私人銀行 Pictet 也承認成為受害者之一。Pictet 表示外洩的數據僅限於供應商單據等資訊，而對客戶數據未造成威脅。根據報道，Chain IQ 在 6 月 12 日發現數據外洩後立即採取應對措施，大約在 9 小時後銷毀了 Worldleaks 利用來入侵內部網絡的憑證。

網絡安全專家認為雖然這次事件未涉及客戶數據，但洩露的員工資訊可能被黑客用於冒充銀行員工進行詐騙或發動和釣魚攻擊，特別是生成式 AI 工具的普及，黑客可以更輕易模仿聲音和影像，所以數據外洩的後遺症已被以往大得多。

有法律專家指出雖然 UBS 看似無辜的受害者，但從法律角度看銀行最終仍可能需對受害者的損失承擔責任，所以企業不僅要加強自身的網絡安全，更要對第三方供應商進行嚴格的安全審查和持續監控，並建立完善的應急機制，以降低潛在的風險。

資料來源：https://www.itpro.com/security/supplier-hack-leaks-ubs-data-including-ceos-phone-number