根據2025年11月23日~11月29日間媒體報導資料，及台灣應用軟件每天發行的資訊安全日報， 整理出以下幾個資訊安全威脅情資，提供組織評估分析組織內部的管理、技術架構、系統設定維護等之參考。台灣應用軟件公司網頁上僅整理有限的風險情境資料，實作上風險情境分析，需要考慮更多的影響因素，本週略微簡化風險情境分析，提供讀者應用適切的風險評估方法之參考：

威脅情資-251141
情資名稱：線上格式化工具導致機密憑證與密鑰大規模洩漏。
情資說明：許多開發者／組織在使用 JSONFormatter 或 CodeBeautify 這類「線上程式碼／JSON 格式化／美化工具」時，為了方便排版、檢查、分享，會將含有敏感資訊（如 API key、雲端憑證、私鑰、配置檔、密碼、Token、SSH 金鑰等）的 JSON／程式碼直接貼上網站。 由於這些工具提供“Save / Share Link”功能，並且公開展示最近儲存 (Recent Links) 清單，而該清單沒有存取控制，也未加密／認證保護，只要能取得該 URL，就能下載整份內容 — 也就是說，所有包含在裡面的 secrets 都被公開暴露。
影響產品：使用 CI/CD pipeline、倉儲 (repository)、API 閘道、資料庫、內部系統。
風險評估：憑證、私鑰、Token、API Key、配置資訊、個資資料等被公開且易被抓取；風險等級：高風險。
風險影響：外洩憑證被利用後，攻擊者可能取得雲端管理權限 (如 AWS, GCP)，導致儲存桶 (bucket)、資料庫、VM、API 等被任意瀏覽或刪除。對於使用 Shared Secrets Manager 的企業，整個金鑰庫可能被盜，進而造成系統全面妥協。
應對措施：禁止將任何憑證 / 金鑰 /敏感資訊貼上第三方線上工具，全面檢查是否曾經使用過 JSONFormatter / CodeBeautify 等工具。

威脅情資-251142
情資名稱：Microsoft Teams 架構設計導致惡意程式可繞過防護傳遞。
情資說明：2025 年 11 月，Ontinue 提出研究指出：當使用者接受來自外部租戶 (external tenant) 的 Guest Chat／B2B Guest Access 邀請時，其原屬租戶 (home tenant) 的安全防護 (例如 Microsoft Defender for Office 365 的 Safe Links、Safe Attachments、Zero-hour Auto Purge 等保護機制) 將不再適用；取而代之的是「由邀請方 (hosting tenant) 所控制的安全設定」— 若該 hosting tenant 沒啟用任何防惡意檔／連結保護，攻擊者只要建立一個低成本、預設安全防護不足的 Microsoft 365 租戶 (例如使用 SMB / Essentials / Business Basic)，便能發送惡意檔案、惡意鏈結或木馬 Payload，直接傳送給被邀請者，而這些內容將不經過原租戶的防護機制檢查。
影響產品：混合雲端／本地部署環境 (cloud + on-premises)，尤其是透過 Teams 傳送檔案進行雲端資源存取或遠端存取的環境。
風險評估：Guest Chat 中可能傳送惡意檔案 / 鏈結 → 若被點擊可能導致憑證被竊取／内部資料外洩；風險等級：高風險。
風險影響：惡意程式、勒索軟體傳播：攻擊者可透過 Guest Invite 配合無防護租戶，直接傳送惡意檔案。不需透過電子郵件或網頁釣魚，也不會觸發原租戶的防毒與鏈結掃描機制 (Safe Links / Safe Attachments / ZAP) → 提高惡意程式傳播成功率。
應對措施：限制 Guest Chat／B2B 外部邀請，當發現可疑 Guest Chat / 外部邀請時，彈性封鎖該 Guest 帳戶、立即移出群聊 / 移除訪客權限。

威脅情資-251143
情資名稱：ToddyCat 新工具竊取企業郵件與 Microsoft 365 存取權杖。
情資說明：ToddyCat 最近推出新工具 (例如 TCSectorCopy) 及升級既有惡意工具 (如 TomBerBil) ，能夠針對使用 Microsoft Outlook / Microsoft 365 的企業或組織，竊取企業郵件資料與 OAuth 2.0 存取權杖 (access tokens)。。
影響產品：執行 Outlook 客戶端 (含 .pst/.ost) 的電腦 (Desktop / Laptop / Domain-joined Workstations)。
風險評估：攻擊者可竊取郵件、雲端文件、憑證、認證 Token、瀏覽器 Cookie／憑證 → 所有機密商業、個資、通訊均曝露；風險等級：高風險。
風險影響：商業機密、契約資料、內部專案文件、法律／財務資料、客戶資料、敏感談判內容等，皆可能被不法取得並外洩。
應對措施：加固端點安全 (Endpoint Security / EDR / Hardening)，立即輪替與撤銷所有被盜／可能被盜憑證與 Token。

威脅情資-251144
情資名稱：第三方分析供應商遭駭導致 API 平台用戶元資料外洩。
情資說明：在 2025 年 11 月，Mixpanel — 為 OpenAI 提供前端 Web／API 使用者行為分析 (analytics) 的第三方供應商 — 發生未經授權存取 (unauthorized access) 事件，攻擊者從其系統導出包含 OpenAI API 用戶 metadata 的資料集。這些資料包括帳號所屬姓名 (name)、電子郵件 (email)、大致地理位置 (coarse location based on browser metadata)、使用的作業系統與瀏覽器 (OS / browser info)、引用站 (referrer) 與組織／用戶 ID 等資訊。
影響產品：使用 OpenAI API (平台為 platform.openai.com) 的開發者 (Developers)、企業／組織開發團隊。
風險評估：雖然未洩漏密碼與 API 密鑰，但洩漏姓名 / email / location / OS／browser info 等 metadata，足以被用於釣魚／社交工程攻擊；風險等級：中風險。
風險影響：洩漏的 email + name + approximate location + usage info，可被攻擊者用來製作高度可信 (spear-phishing) 電子郵件，針對開發者或其組織發動釣魚攻擊，誘導其進一步洩漏更敏感憑證 (如 API keys、雲端登入、企業內部系統…)。
應對措施：在選擇第三方 analytics / telemetry / logging / tracking 等服務時，納入資安審查 (security posture assessment)、資安要求 (SLA / contract security clause)、持續監控機制 (regular audit)；若帳號使用者尚未被通知，應立即通知其可能遭受釣魚攻擊，並提供安全建議 (勿點可疑連結、勿洩漏敏感資訊)。

威脅情資-251145
情資名稱：HashJack — 利用 URL #fragment 劫持 AI 瀏覽器與助理。
情資說明：
Cato Networks 的研究人員揭露一種新的 間接提示注入 (indirect prompt injection) 技術 HashJack，可利用看似正常的網址，將惡意指令藏在 # 後面的 URL fragment 中。這一段內容不會送到網站伺服器，也幾乎不會被傳統資安設備記錄，但 AI 瀏覽器與瀏覽器內建 AI 助手會把完整 URL（含 fragment）當作上下文，送進 LLM 處理。
影響產品：導入 AI 瀏覽器 (Comet、Atlas 等) 或 瀏覽器內建 AI 助理（Copilot for Edge、Gemini for Chrome、Claude for Chrome 等）的企業員工端點（PC／筆電） 。
風險評估：在 Agentic 模式下，AI 助理可能自動將表單輸入、頁面內容、使用者資料送往攻擊者端點 → 資料外洩；風險等級：極高風險。
風險影響：傳統防護只監看 HTTP Request / Response，無法看到 #fragment，也看不到 AI 助理如何處理 URL → HashJack 創造了一條「只在本機與 AI 助理之間存在」的新 Data Exfiltration 路徑。。
應對措施：在企業瀏覽器安全基線中，新增條款：對 AI 助理存取 URL fragment 的行為進行限制或審查；若產品可設定，要求 AI 不得將 fragment 當作「可信上下文」；監控 AI 助理相關異常事件，觀察使用者是否頻繁被導向非預期的客服頁、登入頁、或奇怪網域；收集「AI 助理建議錯誤連結／奇怪動作」的案例作為 IOC。

本週彙整五則近期資安事件，分析風場景，這些情境都僅包含有限的資訊。實作上，風險情境分析，可以從不同的角度和層面進行，下期的風險情境分析，台灣應用軟件會稍微調整分析方法與構面，以便提供讀者思考和應用適切的風險評估方法。