中國史上最嚴重個資外洩！40 億筆資料流出，台灣民眾也受害？｜2025資安新聞

中國爆史上最嚴重個資外洩！40 億筆資料流出，台灣民眾也遭殃？

2025 年 5 月，一起震撼全球的資安事件爆發：來自中國的一個無保護公開資料庫，包含約 40 億筆個資外流，成為中國史上最大規模的個資洩漏事件。甚至還波及到台灣民眾！

---

📌 1. 事件發生經過

• 2025 年 5 月 19 日，資安媒體 Cybernews 與 SecurityDiscovery 團隊（Bob Dyachenko） 發現一個高達 631 GB 的無密碼保護資料庫，任誰都能存取。
• 該資料庫包含至少 16 個分類資料集，包括：
  • wechatid_db：8.05 億筆微信帳號
  • address_db：7.8 億筆含地理資訊的住址
  • bank：6.3 億筆支付卡、姓名、電話、生日等
  • wechatinfo：5.77 億筆疑似對話紀錄
  • 三要素驗證：6.1 億筆身份證號、姓名、電話
  • zfbkt_db：3 億筆支付寶卡號與代幣
  • 其他資料包含賭博、車輛登記、履歷、退休金與保險等資訊。
• 更驚人的是，還包含一個名為 "tw_db" 的資料集，顯示台灣民眾資訊亦遭外洩。
• 該資料庫雖後續關閉，但無法追查來源或責任方，也沒有任何通報機制。

---

🌐 2. 影響範圍分析

• 資料規模驚人：共計約 40 億筆個資，波及數億中國人與不明數量的台灣民眾。
• 資訊多樣性：涵蓋金融資料（支付寶、卡號）、身份資料（姓名、證號、電話）、通訊紀錄、位置資訊、保險與賭博資料等。
• 安全風險高：可能被用於：
  • 釣魚詐騙
  • 身份盜用
  • 金融詐欺與勒索
  • 間諜情報與假訊息操作
• 台灣曝險：「tw_db」 顯示我國民眾資料被洩，但因無通報機制，受害者無法得知或補救。

---

🛡 3. 防範與補救措施

🔐 個人層面建議

1. 監控信用與帳戶活動：定期檢查銀行與支付帳戶是否有異常。
2. 加強通訊帳號安全：啟用雙重驗證（2FA）、更換密碼。
3. 慎防詐騙攻擊：對不明來電、簡訊與網頁保持警惕。

🏛 政府與企業層面建議

1. 建立通報機制：資料外洩須強制通報，並主動通知受害者。
2. 強化法規與罰則：要求資料加密、存取管控與稽核，違者重罰。
3. 促進國際合作：與他國資安單位共享情報，快速應變跨境外洩事件。
4. 提升全民資安教育：從教育推廣資安觀念，鼓勵使用監控工具。

---

📣 總結與警示

這次事件是中國史上最嚴重的個資外洩案之一，暴露出資料保護機制的巨大漏洞，甚至讓台灣民眾也遭波及。

個人應提升資安意識，採取基本防護行動；政府與機構則應建立嚴謹通報與法律制度，並與國際資安單位合作，才能有效應對未來更多可能的資安挑戰。

資訊外洩不只是技術問題，更是全民安全與信任問題。防範勝於補救，現在就是行動的時刻。

---

資料來源：
iThome 報導 ｜ CNA 中央社 ｜ Yahoo 台灣新聞

後量子時代來襲！五大資安對策搶先部署，守住未來機密

一、說明內容（發生時間）

事件背景：根據 Cloud Security Alliance（CSA） 的預測，到 2030年4月14日，量子電腦將具備足夠能力破解目前主流加密演算法。

技術依據：RSA 和 ECC 類加密會被 Shor’s algorithm 快速破解；AES 雖然也會受影響，但因使用 Grover’s algorithm，破解時間遠高於實際可行範圍。

二、影響範圍

1. 傳統加密技術

• RSA（1024、2048、4096）：
  將在數小時到數天內被破解，極高風險。被廣泛用於 SSL/TLS 憑證、數位簽章、VPN。
• ECC（256～521 bits）：
  同樣無法抵抗 Shor’s algorithm，壽命所剩無幾。ECC 被認為是「輕量化替代品」，但將一起被淘汰。

2. 對稱式加密（如 AES-GCM）

雖會受量子影響，但破解難度極高，時間達 10¹² 到 10³² 年。屬於相對安全的演算法，短期內無需更換。

3. 政府、金融與關鍵基礎設施

政府機密、金融交易資料、醫療與通訊資料將面臨大規模洩漏風險。特別是過往資料的「後量子解密威脅」(Harvest Now, Decrypt Later)策略，將引爆歷史機密暴露潮。

三、補救防範措施

1. 採用後量子密碼學（Post-Quantum Cryptography, PQC）

• 推動使用 NIST 正在標準化的新演算法（如 Kyber、Dilithium）。
• 儘快將系統升級為 PQC-ready 結構。

2. 混合加密架構

• 同時使用傳統加密與 PQC，逐步過渡。
• 增強安全性，同時保持兼容性。

3. 關鍵基礎建設提前轉換

• 金融機構、政府、醫療、能源等應加速轉換時程。
• 優先處理長期敏感資料（例如永久性身分證明、公文憑證等）。

4. 審視現有資料保留策略

• 評估歷史資料是否需加密更新。
• 移除過期金鑰與演算法使用，避免「留存弱點」。

5. 建立量子風險應變機制

• 組織層級導入 量子威脅模擬演練（Quantum Threat Tabletop Exercises）。
• 建立專責團隊持續追蹤量子電腦發展進度。

結語

我們正站在後量子時代的門檻上。若未及早部署資安對策，未來幾年內的機密與資產可能一夕破功。現在正是行動的時刻，讓我們以領先者姿態迎接量子新紀元！

Chrome 取消信任中華電信憑證，7 成網站恐跳紅警｜完整分析與補救對策

關鍵摘要：Google 宣布將於 2025 年 8 月 起，不再信任由中華電信 HiPKI 簽發的 TLS 憑證，可能導致包含行政院、經濟部、財政部、金融系統等 7 成以上網站出現安全警示或服務中斷。本篇文章針對事件發展、影響層面及應對策略進行完整整理，協助企業與開發者快速因應。

---

📌 1. 事件發生經過

• Google 解除信任公告：自 2025 年 8 月 1 日起，Chrome 將不再信任中華電信 HiPKI 所簽發的新 TLS 憑證。原因是該機構屢次違反憑證合規政策（TVBS 報導）。
• 中華電信回應：承諾對現有憑證免費更新，並與客戶主動聯繫，延長有效期至 2026 年 6 月（Yahoo 新聞、自由財經）。

🌐 2. 影響範圍

• 政府網站：行政院、經濟部等官網出現憑證失效錯誤或跳出「連線不安全」警告。
• 金融交易：銀行轉帳、證券下單、電子支付等依賴 TLS 憑證的服務恐中斷。
• 民生應用：票務、數位簽章 APP 無法正常使用，影響用戶信任。
• 網路信任體系：專家警告這是「核彈級數位信任事件」，恐破壞網路秩序（來源）。

🛡️ 3. 補救與防範措施

A. 短期補救策略

1. 免費憑證更新：中華電信將主動聯繫客戶，協助免費更換新憑證。
2. 雙憑證部署：數位發展部建議同時部署中華電信與其他 CA 憑證，降低單點失信風險。

B. 中期制度改善

1. 中華電信承諾優化憑證核發流程、強化合規內控機制。
2. 政府將啟動契約監督與定期稽核制度，預防再發。

C. 長期防範與最佳實務

• 建立跨憑證供應商策略，具備自動切換機制。
• 定期公開 CA 稽核報告與透明運作流程。
• 對開發者提供教育、預警與替代方案測試指引。

---

✅ 結語與建議

• 事件本質：中華電信 HiPKI 未達 Google 安全標準，失去 Chrome 信任。
• 衝擊面廣：超過 70% 使用者網站與交易服務可能出現紅色警告或錯誤。
• 企業應對：立即確認憑證供應來源、準備替代部署方案，並持續監控事件更新。

想瞭解更多網站憑證管理與數位信任機制，請關注本部落格或訂閱電子報。