商傳媒|方承業/綜合外電報導
網路犯罪集團ShinyHunters上週四在暗網發布了聲稱從美國全國保險委員會協會(NAIC)竊取的 3.1 TB 資料,這起駭客事件對金融市場穩定及個人資料安全造成潛在威脅。
駭客組織ShinyHunters是在今年五月下旬利用甲骨文(Oracle)PeopleSoft商業管理軟體的一個嚴重漏洞發動攻擊。該漏洞的嚴重性評級高達 9.8 分(滿分10分),僅需網路連線即可利用,允許攻擊者取得憑證並進入內部儲存系統。甲骨文直到 6 月 10 日才發布資安通報,在此 14 天的空窗期內,全球逾百個組織都受到相同漏洞的波及。全國保險委員會協會則於 6 月 11 日發現遭到入侵,隨即請求聯邦調查局(FBI)及外部資安專家協助調查。
ShinyHunters 最初誇大被竊資料規模,隨後修正說法,承認部分原因是「分析錯誤與人工智慧產生的數據誤讀」。該組織聲稱洩露的資料包括逾 26.4 萬份 2017 至 2024 年間的保險公司監管申報文件,涵蓋財產、意外、健康與人壽保險公司。此外,還有約 4.5 萬份來自穆迪(Moody’s)、惠譽國際(Fitch)、標普全球(S&P)及 A. M. Best 等信用評級機構的文件,這些文件含有用於全球債務市場的金融識別碼。駭客也聲稱竊取了約 2,000 筆客戶紀錄,包含姓名、電子郵件及支付識別碼,以及生產雲端基礎設施日誌、設定檔和包含與即時生產系統綁定憑證的資料庫腳本。
然而,全國保險委員會協會對資料外洩的完整程度提出異議。該協會表示,調查人員並未發現核心營運系統遭到存取的證據,也強調沒有個人身分識別資訊(PII)、支付資料或保戶資訊被竊取。全國保險委員會協會證實被竊的資料主要包含法定財務報告、保險公司信用評級資料以及「過時的日誌與設定檔」。
這起事件已導致信用評級機構暫停向全國保險委員會協會提供資料,該協會也因此暫時停止對保險公司投資組合的投資指定(investment designations)。此舉將影響美國保險公司在州監管要求下,如何分類並資本化其投資持有。資安研究人員指出,評級機構資料結合保險公司財務報表,可能被用於市場操縱或針對性的金融詐欺。雲端設定資料和儲存的憑證更為攻擊者提供了內部架構的藍圖,可能導致後續更複雜的攻擊行動。
全國保險委員會協會的遇襲是ShinyHunters近期一系列攻擊行動的一部分,該駭客組織利用相同的甲骨文PeopleSoft漏洞,也曾鎖定 One Medical、歐洲理事會、伊士曼柯達公司及DentaQuest等機構。美國聯邦調查局 2026 年的網路犯罪報告指出,2025 年美國的網路犯罪損失接近 210 億美元。全球監管機構和治理組織名列最常遭受網路攻擊的三大目標產業之一,而僅竊取資料而非加密勒索的攻擊案件,已從 2025 年上半年的 49% 上升至下半年的 65%。聯邦調查局的調查仍在持續進行中。
