月份: 2017 年 12 月

本部落格曾在“關於密碼千萬不要做的四件事與密碼設定小秘訣”這篇文章中提到:密碼就跟你的牙刷一樣，不要跟任何人共用。但英國國會議員似乎不這麼認為….

英國國會議員的密碼使用習慣在經過幾位國會議員的推特發文之後遭受嚴格地檢視。事件導因於中貝德福郡議員Nadine Dorries就國務卿Damien Green的推特發文發表評論之後。

Dorries在一開始的留言裡稱自己的工作人員（包括交換計劃的實習生）可以用她的電腦來幫她管理電子郵件。經過Twitter用戶和新聞評論員的反應之後，其他國會議員也相繼回覆她的留言。一名議員說自己經常忘記密碼而必須問他的工作人員，另一位則說會讓電腦保持在不上鎖的狀態，並且與辦公室主管共用密碼。

除了議員，前員工也參加了討論。一位前研究員說當自己為一名議員工作時，他會定期登入並使用老闆的電腦。BBC NewsNight的製作人也補充說國會議員與工作人員共用登入資訊是常見的做法。

圖1、來自國會議員和其他人分享安全作法的留言

 

當英國資訊專員辦公室（ICO）提醒國會議員有義務保護自己的資料，資安專家也對他們加以批評。共用密碼被認為是不安全的；能夠使用電腦的人越多，被有意或無意濫用的機會就越大。任何一個處理敏感資料的人都應該啟用雙因子身份認證 – 現在就算是一般的電子郵件服務也提供這選項，都是因為2016年大規模的資料外洩事件所帶來的影響。 繼續閱讀

駭客組織

美國公布北韓國家駭客作案IP，臺灣近2百個IP名列其中
北韓駭客利用全球數千個IP網址進行攻擊，台灣名列第五大受害國。》相關報導

企業資安

有53%的企業員工在工作時選購禮物;43%承認自己在網路購物上花超過了一個小時 , 企業也該當心購物詐騙! 

消費者不只是在自己的個人時間進行購物。根據CareerBuilder的一項研究發現，有53%的企業員工在工作時選購禮物。這之中有43%承認自己在網路購物上花超過了一個小時。》相關報導

企業被入侵到發現的平均時間為1.6年
趨勢科技調查也發現，從企業被入侵到發現的平均時間為6年，其中政府單位更有被入侵時間長達3612天、將近十年才發現的案例。代表受害者在對相關入侵事件的應變與防範不足，無法發現駭客行為…. 》相關報導

 

網路攻擊的可能元凶,排名第一:前任員工
報告顯示，網路攻擊的可能元凶，排名第一的竟然是前任員工，不知名的駭客排名第二，競爭對手排名第三，排名第四的則是第三方，包括目前公司的供應商、承包商和現任員工等，「駭客就在你身邊」。…. 》相關報導

 

2017年上半年,偵測到近8,300 萬個勒索病毒威脅,及 3,000 次變臉詐騙攻擊
趨勢科技發表的「2017 上半年資安總評：駭客入侵的代價」研究報告,共偵測到近8,300 萬個勒索病毒威脅，以及 3,000 次變臉詐騙嘗試攻擊，更加突顯資安的重要性。儘管資安占企業 IT 預算的比例越來越高，但根據最近一份由 Forrester 所做的分析報告指出，這些預算並未妥善分配，無法解決企業日益面臨的威脅。》相關報導

 

勒索病毒

感染勒索病毒，近6成是員工自掏腰包付贖金，僅37%是老闆出錢
曾經淪為勒索軟體受害者的企業員工中，有59%自己出錢付了贖金，有37%是老板出錢付了贖金, 即使付了贖金也有百分之19拿不回資料…. 》相關報導

勒索病毒成為一般商品!只要 50 美元，就能取得 WannaCry 勒索病毒的終生授權
任何人，據稱只要 50 美元，就能取得WannaCry(想哭)勒索病毒的終生授權，而且可以無限升級。” 就在今年五月 WannaCry 大爆發之後的兩天,地下網站上出現了這則廣告。。。》相關報導

勒索軟體查詢的比例暴增877％, Cerber每月贖金收入都超過20萬美元
Google針對勒索軟體進行金流追蹤發現，從2016年第一季開始到2017年第二季，每一季都有贖金收入的勒索軟體就是Cerber。
Google 在黑帽駭客大會上表示，勒索軟體賺取的金額高達2千5百萬美元（約新臺幣8億元），其中大約三成金額（780萬美元）是勒索軟體Locky的贖金，但到2017年第二季還持續有人受駭、支付贖金以求取得解密金鑰的勒索軟體則是Cerber。
Cerber 加密電腦資料，幾乎都在一分鐘內完成,每個月贖金收入都超過20萬美元，已經維持一年以上。》相關報導

 

數位貨幣

挖礦劫持（Cryptojacking）攻擊影響近1,500個網站
挖礦劫持（Cryptojacking）指的是在未經使用者同意下就利用瀏覽器挖掘數位貨幣的方式。這方式利用網頁內的JavaScript挖掘數位貨幣。負責利用瀏覽器挖礦的JavaScript程式碼不需要安裝。只要載入有問題的網頁就會在瀏覽器內執行挖礦程式碼。
據 PublicWWW 指出，有近1,500個網站使用了 LiveHelpNow 工具，大部分都是線上商店和私人公司首頁。隨著購物季節的接近，預計會有數百萬的使用者連上這些網站。》相關報導

虛擬貨幣發行商Tether遭駭，價值3100萬美元的虛擬貨幣被盜
虛擬貨幣發行商 Tether 1表示，其Tether Treasury錢包於遭到駭客入侵，駭客已將價值3095萬美元的3095萬個USDT貨幣轉移到某個比特幣錢包地址中，該公司正努力避免這批遭竊的貨幣流入市場…. 》相關報導

挖礦平台NiceHash遭駭, 6400 萬美元比特幣被盜
斯洛維尼亞的數位加密貨幣採礦市集「NiceHash」 已確認其網站和支付系統皆遭駭客入侵，其比特幣錢包內的貨幣已被偷走。根據報導，此次總共損失了 4,700比特幣（Bitcoin），約合 6,400 萬美元。》相關報導

全球每天新增300個挖礦網站，5億訪客不知電腦變礦工
全球每天至少增加300個藏有Coinhive挖礦程式的網站，甚至，95%以上的網站都未經用戶同意或告知，就開始偷偷挖礦 》相關報導

Uber以10萬美元與駭客交換 5,700萬外洩個資
Uber 曾於 2016 年遭駭客入侵，使得 5,700 萬名客戶和司機資料遭到外洩 (姓名、電子郵件、電話),此外，另有 60 萬名司機 的執照也在該事件中外流。》延伸閱讀

比特幣挖礦電力消耗已超越160個國家的單年電力消耗
過去一年內，比特幣挖礦的電力總消耗已累計達29.51兆瓦小時（TWh），約佔全球總電力消耗的0.13%，相當於台灣一年電力消耗的11.64%。》延伸閱讀

惡意軟體

高二生10美元買病毒 ,癱瘓遊戲公司,為了讓老爸回神關心家人
高市1名高二生癱瘓遊戲伺服器,理由是:「希望老爸回神多關心家人，不要只沉迷線上遊戲」,因為不滿父親迷上線上遊戲，高中生遷怒遊戲製造商，以殭屍網絡癱瘓遊戲伺服器，還寄恐嚇信勒索比特幣。他坦承上美國網站支付10美元得到殭屍病毒「懶人包」。駭客高中生說，他不是為了金錢，恐嚇勒索手遊廠商，只是想拿回付僵屍病毒的10元美金（約新台弊300多元），並使父親無法順利玩上遊戲，因而回神關心家人，。

每天有323,000 個新的惡意程式變種, 99% 惡意程式駭客用過一次就會加以修改
惡意程式的發展越來越旺盛，而且駭客會記取過去的教訓，不斷提升其攻擊技巧。根據資安網站 DarkReading 指出，每天都會有 323,000 個新的惡意程式變種出現。如果這樣還不夠嚇人，那麼 Verizon 的 2017 年資料外洩調查報告 (Data Breach Investigations Report) 也發現，99% 的惡意程式駭客只用過一次就會加以修改，以便能夠不斷躲避資安軟體的偵測。不但如此，駭客現在也提供了大量生產惡意程式與量身訂做網路犯罪攻擊的服務….》相關報導

流量前 50 名的成人網站中，有 40 個網站容易受到惡意軟體的攻擊
據英國《Metro》網站報導，科技公司 Wandera 發現，透過手機上成人網站，相較於使用電腦，會讓你的個人數據更容易曝光。約 80% 的女性是透過行動裝置進入色情網站，男性的比例約 69%。
#女性比男性更容易使用手機造訪成人網站_你同意嗎? 》相關報導

Android 裝置惡意軟體感染率高達近 7 成
Nokia 公布調查報告指出2017 年行動裝置受惡意軟體感染的比例高達72%，其中搭載 Android 作業系統的行動裝置部分，遭受惡意軟體的感染率有 69%》相關報導

 

 

IOT 物聯網

 

 

Subaru多款車輛爆遙控鑰匙漏洞,只需25美元設備,就可破解並複製遙控鑰匙訊號

汽車製造商Subaru多款車輛爆出遙控鑰匙漏洞。一旦攻擊成功就可以複製遙控鑰匙來進入汽車。駭客只需一個25美元的設備便可捕捉汽車鑰匙發送的封包資料,並取出資料所產生的滾動（上鎖和解鎖）代碼。就可以將這些代碼複製到 Raspberry Pi上。》延伸閱讀

泰迪熊駭進 80萬個帳號登入憑證與 200 萬筆語音

今年 2 月，缺乏安全機制的智慧泰迪熊玩具，據報有 80 萬個帳號登入憑證 (與 200 萬筆錄音) 遭到外洩，這些資料後來都流向地下市場。網路犯罪集團原本希望拿這批資料來從事勒索以賺取暴利。》延伸閱讀

近50萬心律調節器有漏洞
亞培旗下的美國老牌醫療器材業者 Jude Medical所銷售的數款植入型心律調節器及心臟再同步療法節律器被發現有漏洞，讓鄰近駭客可透過無線電波進行攻擊，影響裝置的特定功能…》相關報導

 

實驗：把老舊監視器放在公開網路，平均每兩分鐘就被成功駭進一次
研究人員將監視器以預設的狀態放到公開網路，並允許Telnet連線，放置45小時又42分鐘，結果企圖連線該監視器的有10143次，1254個獨立IP成功存取該裝置，相當於平均每兩分鐘便成功駭進監視器一次。》相關報導

社群媒體

拖了三年！全球1.5億人愛用的 Imgur承認：170萬名用戶資料被竊取

2017年 11月前傳出 Uber早在一年前被駭客盜取多達5700萬名用戶個資消息後，擁有約1.5億人活躍使用的圖像分享平台 Imgur稍早也證實曾在2014年遭駭，甚至直到最近才發現被駭事實。其中170萬名用戶的電子郵件及密碼資料全被盜取。最近駭客將其竊取的資料發送給媒體後，才讓整起事件曝光。

包含LinkedIn資料外洩事件而來的 7.11 個帳號,被垃圾郵件機器人拿來散播銀行木馬

Onliner 大型垃圾郵件機器人,總計利用了 7.11 億個-相當於歐洲人口的帳號，散播惡意程式,這些被綁架的帳號都是從先前發生的資料外洩事件搜刮而來，例如：LinkedIn資料外洩事件。》延伸閱讀

高達85%的LINE 使用者曾誤發訊息
LINE調查發現，有高達85%的使用者有誤發訊息的經驗，而有57%使用者指出，如果誤發訊息時，會向對方道歉，另有15%使用者表示，誤發訊息時瞬間會呆掉、不知所措 》相關報導

駭客對外兜售 600萬 IG用戶個資,包含好萊塢500名人,貝克漢艾瑪華森中標

9 月社群媒體Instagram 遭駭，受害用戶多達600萬，其中最受矚目的包括在Instagram擁有破億粉絲追隨的席琳娜戈梅茲（Selena Gomez）。駭客並以一筆10美元的價格出售這些個資。》相關報導
好萊塢500名人個資遭駭 貝克漢艾瑪華森中標》相關報導

假新聞攻擊太便宜，研究指一年 40 萬美元就能影響選舉結果
趨勢科技調查結果顯示，中國寫作幫寫一則 800 字的假新聞只要 30 美元，俄羅斯公司 SMOService 將影片安置在 YouTube 主頁上顯示兩分鐘只要 621 美元，讓 Quick Follow Now 幫忙找到 2,500 個 Twitter 追隨者轉載連結只要 25 美元。
趨勢科技更進一步估計使用這些服務來編排假新聞事件的成本。報告指出，只要持續放出負面文章，每一篇都轉發 5 萬次，接著使用中毒的 Twitter 帳號進行抹黑運動，並對記者的文章發表負面評論，4 週內就可以讓讀者完全不相信一篇報導的真實性，成本只要 55,000 美元。》相關報導

資安意識

實驗: 8 成資安會議與會者,竟不假思索使用免費充電站
戶外的緊急充電站，背後會流入手機的可能不只是電力而已。有心人士可能趁此良機竊取手機中的照片、簡訊或E-mail。國外有家公司曾做過一個實驗：他們在某個資訊安全會議會場外設置一個免費充電站，發現有8成的與會人員，沒思考安全疑慮，什麼都沒問便直接用來充電。出席會議的人員對資訊安全的重視程度應該較高，這結果令人意外》相關報導

個資隱私

 

Uber 認了,5700萬乘客與駕駛個資遭駭
Uber坦承，去年曾遭駭客入侵，竊走全球5700萬筆乘客與駕駛個資，而Uber還因此付出近300萬台幣贖金。》相關報導

PayPal旗下支付服務 TIO Networks遭駭，外洩近160萬用戶資料
TIO Networks今年7月才被PayPal收購，根據PayPal的調查，TIO網路的資料庫遭到存取，外洩近160萬筆資料，其中包括支付客戶的個人資料，如社會安全碼、姓名、地址等, 但強調PayPal用戶並未受到影響。》相關報導

全球前5萬大網站中有482個會紀錄你的鍵盤敲擊、滑鼠軌跡
美國普林斯頓大學的資訊技術政策中心（Center for Information Technology Policy,，CITP）公布一項研究報告，指出在全球前5萬個流量最大的網站中，有482個會利用「期間重播」（Session replay）服務來紀錄使用者的行為，包含鍵盤敲擊、滑鼠的移動、瀏覽行為、所停留的網頁內容，並將這些紀錄傳送到第三方伺服器上》相關報導

 

「亞馬遜密鑰Amazon Key」無人在家,也能送貨入門,逾六成調查者不敢使用
Amazon Key 送貨服務遭破解, 推出不到一個月就被曝有安全漏洞。網路安全工程師已證明，連接用戶家 Wi-Fi 後執行一個非常簡單的程式，就可以控制監控相機拍攝的畫面，使監控畫面暫停，查看影片的用戶能看到的只是關著的門，畫面是靜止的，即使有人打開門進入也不會被發現。在 Recode 網站調查中，超過 60% 被調查者表示不會選擇 Amazon Key 服務，在 Prime 會員中，只有 5% 認可這服務。》相關報導

Yahoo 認了,不只 10 億! 2013 年 30 億用戶帳號無一倖免,全數被駭
Yahoo 雅虎 坦承2013年發生的資料外洩事件,並非先前所披露的10億筆帳號受駭,而是30億用戶帳號都受駭,這個新數字成為史上最大帳號被駭事件。Yahoo已經發送通知給這些受影響的使用者。》相關報導