台灣資安新聞彙整 2025.12.17-12.23

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

12/18

Fortinet FortiGate 雙漏洞公開僅三天即遭攻擊　駭客偽造 SAML 訊息竊取防火牆配置

Fortinet 產品爆發兩個評分高達 9.8 的重大漏洞（CVE-2025-59718/59719），主因是 SAML 簽章驗證不當，導致駭客能繞過身份驗證並竊取設備配置檔案。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12547&mod=1

12/19

AWS 遭大規模加密貨幣挖礦攻擊：駭客利用 IAM 憑證與新型持續性技術癱瘓防禦

Amazon 近日揭露一起針對 AWS 客戶的大規模攻擊行動。駭客透過竊取的身分識別與存取管理（IAM）憑證，在受害者的雲端環境中部署加密貨幣挖礦程式。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12553&mod=1

未設驗證 MongoDB 資料庫曝 16 TB 職涯資料，近 43 億筆含大量 LinkedIn 個資

資安媒體Cybernews的研究團隊發現一個未啟用存取驗證的MongoDB資料庫，對外公開曝露於網際網路上。該資料庫總量約16.14TB，累計近43億筆紀錄，內容多為用於潛在顧客開發的職場與企業相關資料，包含大量疑似取自LinkedIn的個人資料欄位。

https://www.ithome.com.tw/news/172911

12/22

安裝數逾 800 萬的 4 款擴充程式，被揭攔截AI對話資料

以色列資安業者Koi Security發現Chrome及Microsoft Edge市集中，有4款擴充程式會監看、記錄並傳輸使用者與AI的對話，都是由同一家開發商所發布

https://www.ithome.com.tw/news/172964

WhatsApp 爆新型帳號劫持攻擊「GhostPairing」 駭客可即時監控所有對話

資安廠商 Gen Digital 近日揭露一起名為「GhostPairing」的 WhatsApp 帳號劫持攻擊活動。攻擊者濫用 WhatsApp 合法的裝置連結功能，透過精心設計的釣魚頁面誘騙用戶輸入配對碼，即可在不觸發任何安全驗證的情況下完全接管帳號，即時監控受害者的所有對話內容。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12561&mod=1

12/23

Red Hat 公司被駭致日產汽車 2.1 萬客戶資料外洩

因系統供應商Red Hat發生資安事故，日產（Nissan）坦承連帶受到波及，福岡分公司部分客戶資料因此外洩，受影響用戶數達2萬

https://www.ithome.com.tw/news/172974

YouTube 幽靈網路新攻勢，以 Node.js 載入器散布 Rhadamanthys 竊資程式

YouTube幽靈網路近期一波活動利用遭入侵帳號上架影片，以外掛與破解軟體引誘被害者下載壓縮檔，最終在Windows電腦散布Rhadamanthys竊資程式

https://www.ithome.com.tw/news/172972