台灣資安新聞彙整 2026.03.11-03.17

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

3/11

ShinyHunters 鎖定 Salesforce 配置錯誤：聲稱已侵入 400 家企業

知名駭客組織 ShinyHunters 利用 Salesforce Experience Cloud 的權限配置漏洞（Guest User misconfiguration），成功存取了數百家企業的敏感資料。Mandiant 指出，駭客利用自動化掃描器尋找未受保護的 API 端點，目前已有約 100 家高科技公司確認受影響。

https://www.salesforceben.com/shinyhunters-breach-400-companies-via-salesforce-experience-cloud/

3/13

Veeam 發布緊急更新：修補多項可導致雲端備份遭 RCE 的重大漏洞

備份軟體大廠 Veeam 發布安全公告，修復了 Veeam Backup & Replication 中的多個關鍵漏洞（CVE-2026-24810 等）。這些漏洞允許攻擊者在無需驗證的情況下遠端執行代碼。由於備份伺服器通常擁有雲端環境的最高存取權，此類漏洞對企業災難復原能力構成致命威脅。

https://cybersecuritynews.com/veeam-backup-server-vulnerabilities/

3/14

Glassworm 供應鏈攻擊：利用「隱形 Unicode」侵入數百個 GitHub 與 npm 專案

資安機構偵測到名為 Glassworm 的大規模供應鏈攻擊。駭客利用特殊的 Unicode 字符使惡意代碼在代碼編輯器中呈現「隱形」狀態，成功滲透了數百個 GitHub 儲存庫及 npm 套件。該攻擊主要針對雲端開發環境中的自動化流程（CI/CD）以竊取部署金鑰。

https://thehackernews.com/2026/03/glassworm-supply-chain-attack-abuses-72.html

LangSmith 曝露帳戶接管漏洞：威脅 LLM 雲端監控安全

用於開發與監控 LLM 應用的雲端平台 LangSmith (LangChain) 被發現存在重大安全缺陷。攻擊者可透過特定的 API 調用，在無需完整憑證的情況下接管其他用戶的帳戶。由於該平台通常存有企業 AI 訓練的敏感對話紀錄，外洩後果不堪設想。

https://cybersecuritynews.com/critical-langsmith-account-takeover-vulnerability/

3/16

企業過半敏感雲端資料仍未加密，Thales 調查報告發出警示

根據 Thales 發布的最新調查報告，儘管雲端採用率激增，但仍有 52% 的企業敏感資料在雲端未進行加密。報告強調，由於多雲環境的複雜性，企業普遍缺乏對敏感資料位置的可視化（Visibility），且身分權限過度授權已成為雲端災難的首要誘因。

https://www.ithome.com.tw/news/174427

GlassWorm 攻擊與 ForceMemo 漏洞概要

GlassWorm 漏洞利用被盜的 GitHub Token，對 Python 專案（如 Django 應用、機器學習程式碼、Streamlit 儀表板和 PyPI 套件）進行惡意注入，目標檔案包括 setup.py、main.py、app.py。使用者若安裝或執行受感染程式碼，即可能觸發惡意程式。

https://thehackernews.com/2026/03/glassworm-attack-uses-stolen-github.html

星巴克內部系統遭遇入侵，數百名員工資料外洩

連鎖咖啡業者星巴克（Starbucks）近日揭露一起資料外洩事件，影響其內部員工系統 Partner Central 的帳號，導致數百名員工個人資料可能洩露。

https://www.ithome.com.tw/news/174422