Twitter(推特)公告他們系統內的一個臭蟲可能會讓使用者密碼曝光,並呼籲所有的使用者變更帳號密碼。他們還沒有透露受到影響的使用者數量,但該公司表示已經調查並且修復了此一漏洞。不過內部人士聲稱這個問題影響了大量的使用者,並且讓密碼暴露了“好幾個月”。
Twitter在聲明裡說明自己使用了 bcrypt 進行雜湊處理,這是種較強的雜湊演算法,可以在不洩露密碼的情況下驗證使用者帳號。但該公司沒有透露為什麼密碼會在雜湊處理之前先儲存在內部日誌。他們的調查結果表示並沒有遭受入侵或帳號受到濫用的跡象。不過聲明仍建議使用者要考慮變更帳號密碼以及所有使用相同密碼的服務密碼。
使用者在打開應用程式時也會跳出視窗來告知此問題。根據報導,Twitter到二月為止已經達到3.3億名使用者,且稱他們“正在進行計劃來以防止這漏洞再次發生。”
[延伸閱讀:如何防護你的社群網站帳號]
為了你的隱私和安全著想,以下是三個保護社群網站帳號的建議: 繼續閱讀
距離歐盟通用資料保護法規(GDPR)上路愈來愈近了。跟歐盟其他的資料法規相比,它所帶來更廣泛及明確的範圍預計會影響更多組織。一個例子是其前身,個人資料保護綱領95/46 / EC,這是2014年法律承認歐盟公民“被遺忘權(right to be forgtten)”的基礎。該法規主要影響在歐洲運作的搜尋引擎。
被遺忘權被認為是只在歐盟的問題。但現在,作為即將到來GDPR法規遵循的一部分,全球各組織都將面臨相同的挑戰,而不像從前只有少數會遇上。但最近一項由大數據應用服務商所進行的調查顯示,有三分之二的組織仍然沒有準備好接受GDPR的這方面,而且組織對它實際該如何運作感到困惑。
搜尋引擎因為已經有了超過三年的經驗,可以提供“被遺忘權”法規遵循的第一手資料。特別是Google受到此法規的影響很大,因為該公司所面對的一個案例是該權利在法律上得到確認的原因之一。自2014年以來,Google已經收到超過655,000次請求(代表了超過240萬條連結)來移除搜尋結果。
在上個禮拜,Google發布了一份研究報告草案,該報告提供對自歐盟裁決後所收到請求之身份和性質的深入了解。該報告顯示Google已經移除43.3%所請求的連結。在考慮其他解決方案、技術原因、重複連結和公眾利益後,Google選擇保留剩下的56.7%。 繼續閱讀
歐盟的「一般資料保護規範 (GDPR)」試圖加強規範企業對重要個資的管理方式,不論是自行蒐集處理或委託第三方服務皆然。因此,在貴重資訊的管理和保護方面,關鍵的問題即在於:脆弱的環節在哪裡?
網路犯罪者攻擊大型組織常用的手法,便是從安全控管機制較薄弱的第三方供應商下手。深入瞭解相關領域是一項重要任務,因為許多企業會在毫無可見度的情況下,將資料散佈至其他組織。Ponemon Institute 於 2017 年進行的研究指出,57% 受訪者並未保留共享資訊的第三方名單,而 82% 不知道自己的重要資料是否與第四甚至第五方共用。
同一份調查指出,至少 56% 的受訪者在 2017 年遭遇第三方資料外洩的情況。這項問題對企業而言十分嚴重,因為在 GDPR 的規範之下,供應鏈若發生資料洩漏與入侵事件,組織將遭到究責。平均而言,光是一次資料洩漏,美國企業就得負擔 730 萬美元的罰款、賠償與客戶流失成本。
第三方供應商包括行銷團隊、法律事務所、甚至物流與自由工作者,乃至於任何曾經蒐集或經手客戶、聯絡窗口或員工資料的實體。雲端儲存等外包 IT 後端流程也不例外。過去幾年來曾發生一些嚴重案例,皆是組織因忽視供應商安全性而成為資料外洩的受害者。
若是資料處理過程導致的外洩事件,資料管理者將一併遭到究責。舉例來說,若一間行銷公司因資料遭駭導致電子郵件帳號和電話號碼外洩,雇用這間行銷公司的企業將一併遭到究責。企業若想免除責任,則必須證明自己與該事件完全無關且已善盡應有的注意義務。
更廣泛而論,若資料處理或處置方式違反 GDPR 規範,資料管理者可能遭到究責。資料處理者也將因違反 GDPR 規範或違反資料管理者指示,而遭追究損失責任。
根據報導,有一篇販賣流出資料的貼文出現在俄語系暗網論壇上,比較特別的地方是每筆資料都包含被害人的自拍照。一家研究公司因為一則宣稱以5萬美元銷售10萬份文件的廣告而注意到它。資料內容主要包括ID或護照、地址證明和自拍照等。除了5萬美元的標價外,同一個網路犯罪分子還提供另一個更便宜(70美元)的方案 – 內容包含身份證明文件及自拍照。
雖然外流資料具備不同形式的資訊並不罕見,不過這裡面出現的自拍照產生其他形式個人資料所不會有的嚴重問題。自拍照加上其他個人識別資訊(PII)就可以讓網路犯罪份子用受害者的名義開設銀行帳號或存取信用資料。有些銀行可以讓客戶上傳身份證件掃描檔來完成身份驗證以開設帳號。這種做法會隨著銀行希望用網路方案取代傳統分行而變得更加普遍。
中毒的手機可能導致自拍照外流 行動用戶比電腦用戶遭網路釣魚攻擊高出三倍
該研究公司無法確認資料從何處流出,但列出了可能來源除了存放私人資料的網站、未正確防護的雲端儲存平台外,最有可能的就是存有自拍照的中毒手機。
為了保護可能遭竊和在地下市場被交易的個人資料,使用者應該要管理好自己在網路上所分享的內容,並學習如何防範網路釣魚攻擊。 行動用戶很可能會比一般電腦使用者遭網路釣魚(Phishing)攻擊高出三倍, 手機網路釣魚案例開始增多,原因之一是手機螢幕尺寸較小,使得用戶檢查網站是否帶有網路釣魚特徵也很困難。
為了避免這些攻擊,使用者要小心點入電子郵件會即時通訊上的連結。可以的話,使用者應該手動輸入或用書籤來連上他們要去的網站。
PC-cillin 雲端版主動偵測並預警惡意連結 ✓手機✓電腦✓平板,跨平台防護3到位 即刻免費下載試用
使用者應該意識到任何在一般電腦上造成困擾的威脅,也同樣都會發生在這些手機上。趨勢科技 PC-cillin 雲端版,可以幫助您自動封鎖可疑網址。》即刻啟動防護
🔴PC-cillin 雲端版主動偵測並預警網站、電子郵件和Facebook等社群網站中的惡意連結
✓手機✓電腦✓平板,跨平台防護3到位
《延伸閱讀 》真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆
@原文出處:Data Dump with Selfies Found in Russian Dark Web Forum
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
VPN (Virtual Private Network) 是指「虛擬私人網路」或「虛擬專用網路」,用來保護網際網路連線,你可以將 VPN 想像成一個架設在公共網路之上的虛擬加密資料通道-它會建立從電腦到網路的安全通訊”通道”。VPN 會加密你的連線並防止其他人窺伺你在傳輸的資料。如此一來可以確保你的資料不受各種間諜活動侵害 – 這包括在家使用有線網路時,不過更重要的是在出外使用公共無線網路的時候(如咖啡店、餐廳、機場和飯店等地)。它能夠確保沒有人可以竊取你的個人詳細資料、密碼或信用卡資訊。
連線過程當中,你的電腦會和遠端伺服器交換信任的金鑰。若你是企業員工,那麼 VPN 可讓你從遠端存取你公司的資料中心或網路資源,就好比連上公司的區域網路 (LAN) 一樣。
網際網路確實是個美好的發明,但眾所周知,網路上也可能隨處暗藏著風險。我們必須小心防範,避免遇到惡意程式或身分遭人盜用,也要避免被人追蹤以防廣告業者竊取我們的隱私資訊,同時還要確保兒童上網安全。因此,所謂的「虛擬私人網路」或「虛擬專用網路」(VPN) 正是避免上述問題的其中一種不錯方法。
若你希望在使用免費公共 Wi-Fi 時能獲得安全保障,VPN 是個值得信賴的選項。今日,市場上有許多相對便宜又信譽優良的 VPN 服務可供選擇,有些免費,但有些則須付費。但很重要的一點是,你應該尋找一套功能齊全、完整的 VPN,包括:支援的通訊協定、伺服器位置、行動應用程式,以及惡意程式防護與間諜程式防護等功能。
VPN 可提供相當程度的私密性與安全性,但是不同的 VPN 產品在功能上卻可能天差地遠。
例如,iOS 版趨勢科技行動安全防護當中「內容即時防護」(Content Shield) 功能隨附的本地端 VPN,主要是用來防範網站威脅和網站內容過濾。
以下是有關 VPN 的一些基本觀念。
🔻VPN 提供了安全加密的連線通道,歹徒無法竊聽你與網路銀行或其他敏感網站的連線
🔻哪些是 VPN「做不到」的事?
🔻VPN 與瀏覽器所提供的私密瀏覽或無痕模式相同嗎?
🔻ISP 和 VPN 業者可追查到些什麼?
🔻本地端 VPN 與雲端 VPN 的差異
絕大多數的 VPN 都提供匿名、安全的上網瀏覽。其作法是在你的電腦或行動裝置與 VPN 供應商的伺服器 (另一台電腦) 之間建立安全的連線通道。事實上,你是經由這台第三方電腦連上網際網路。換句話說,你所瀏覽的網站無法追蹤到你的 IP 位址,因為它們看到的是 VPN 伺服器的位址。
這對確保隱私方面是一大福音。但安全性呢?其實 VPN 原本就提供了安全加密的連線通道。因此,歹徒無法竊聽你與網路銀行或其他敏感網站的連線。這類攻擊尤其容易發生在公共的 Wi-Fi 熱點,駭客經常躲在這類場所等待不知情的 Wi-Fi 使用者登入自己的 Gmail 或網路銀行帳號。這就如同躲在你的背後偷看你輸入密碼一樣,你的帳號很可能因此被盜用。
有了 VPN,這所有的資訊都會受到加密通道的保護。某些 VPN 甚至宣稱還能防止你意外下載到惡意程式,例如:垃圾郵件附檔或手機應用程式。還有一些所謂的本地端 VPN (例如趨勢科技 iOS 版趨勢科技行動安全防護「內容即時防護」功能內建的 VPN) 則可以避免你連上網路釣魚網站或其他惡意網站。
你必須記住,並非所有 VPN 產品都一樣,因此很重要的一點就是先做點功課來仔細挑選,因為不同產品所提供的服務內容和品質可能差異很大,功能也不盡相同。例如,各家產品所支援的作業系統和手機平台、每一訂閱可提供的同時連線數量,甚至有些還提支援智慧型裝置。