在擁有吉普、克萊斯勒、道奇和菲亞特等品牌的全球汽車製造商 Stellantis 證實，在第三方供應商平台上檢測到未經授權的存取權後，其北美客戶服務營運出現了資料外洩。Stellantis是全球最大的汽車集團之一，旗下擁有遍布北美、歐洲和其他全球市場的眾多汽車品牌。

這起事件突顯了現代企業面臨的複雜資安挑戰，其中，透過供應鏈或第三方合作夥伴進行的攻擊，正變得越來越普遍且難以防範。這些供應商，儘管在企業生態系中扮演著不可或缺的角色，其資安防禦能力卻可能不如核心企業強大，從而成為惡意駭客入侵整個網路的「捷徑」。

Stellantis周六發布的聲明中解釋說，這起事件僅涉及有限的個人數據，特別是聯絡資訊。Stellantis 敦促客戶警惕網路釣魚攻擊。這些攻擊包括試圖誘騙用戶分享資訊或點擊有害連結的電子郵件、電話或簡訊。該公司建議透過其官方支援管道驗證任何通訊。

Stellantis 迅速發布聲明並提醒客戶保持警惕，是應對這類事件的標準程序。然而，這也表明攻擊者在成功竊取資料後，下一步可能就是利用這些資訊發動二次攻擊，例如精準的網路釣魚或簡訊詐騙。這使得資料外洩的危害從單純的隱私損失擴展至更廣泛的金融詐騙或身份盜竊風險。網路安全專家指出，由於攻擊者尋找供應鏈中的漏洞而不是直接攻擊大公司，這種違規行為變得越來越普遍。KnowBe4 首席 CISO 顧問Javvad Malik表示，攻擊者經常利用社會工程手段攻擊安全性較弱的小型供應商。這些手段日益複雜，可能涉及令人信服的電子郵件、電話，甚至 AI 生成的深度偽造，旨在誘騙人們批准未經授權的操作。

這些專家觀點進一步證實，當今的資安威脅不再局限於技術層面的防禦。社會工程攻擊，特別是結合了人工智慧的「深度偽造」（deepfake）技術，讓詐騙資訊變得更加真實可信，極大增加了普通用戶辨識難度。這也意味著企業除了強化自身的技術防禦外，更應積極管理其第三方供應商的資安風險，並透過教育提升員工與客戶的資安意識。

Stellantis 的這次事件為其他依賴廣泛供應鏈的企業敲響了警鐘。企業必須建立嚴格的第三方資安審核機制，確保所有合作夥伴的資安標準達到一定水平。同時，企業也應對自身內部進行定期資安演練，模擬供應鏈攻擊情境，以測試其應急響應能力。這不僅是為了保護公司的資產，更是為了履行對客戶資料的保護承諾。總體而言，隨著網路犯罪的演變，資安防禦策略必須從單一的內部防護，擴展到涵蓋整個外部供應鏈和合作夥伴生態系的全面風險管理，才能在複雜多變的數位世界中保障企業的永續營運。

資料來源：https://hackread.com/jeep-dodge-stellantis-confirms-customer-data-breach/