本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
CLOUDSEC 2017 企業資安高峰論壇精彩回顧:
【CLOUDSEC 2017 企業資安高峰論壇】9月6日上午精彩議程由 IDC 亞太區資安副總裁、國際資安事件應變小組論壇 、趨勢科技全球技術長領先登場,還有獲得熱烈迴響的「IoT 駭客攻擊模擬展示」, 邀請您回顧精彩重播….
資安趨勢部落格一周精選:
行動電源怎麼買?怎麼使用才安全?- 三個選購原則,六個安全使用小撇步
《魚叉式網路釣魚》 一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表
媒體資安新聞精選:
汽車CAN協定遭爆重大安全漏洞,可讓駭客關閉安全氣囊或感應器
實驗:把老舊監視器放在公開網路,平均每兩分鐘就被成功駭進一次
趨勢科技研究:企業高階主管對歐盟 「通用資料保護法規」(GDPR) 仍未做好準備
Firefox與Chrome跳出「找不到字型」視窗,小心是病毒作祟!
中印關係僵 陸製手機遭波及 印度聲稱有竊取用戶資訊的嫌疑,近日更擴大檢查30家大陸手機廠商
現代企業IT基礎架構、使用者行為模式的轉變,皆可能衍生資安威脅的推陳出新。就WannaCry事件來看,趨勢科技技術總監戴燊觀察,以往勒索軟體加密較少見利用作業系統漏洞擴散,也幾乎沒見過採用蠕蟲來發動。
<回到新聞條列重點>
最新崛起的WannaCry加密勒索蠕蟲全球肆虐,在各國媒體大篇幅報導下,如今已是家喻戶曉的新型態威脅。儘管WannaCry並非零時差攻擊,而是利用Windows環境中已知的SMB(Server Message Block)通訊協定漏洞(CVE-2017-0144),仍受到全球資安廠商嚴密關注,主要原因即在於WannaCry是以蠕蟲(Worm)型態來進行擴散滲透,可說顛覆傳統勒索軟體感染模式。
<回到新聞條列重點>
汽車CAN協定遭爆重大安全漏洞,可讓駭客關閉安全氣囊或感應器 iThome Weekly電腦報
趨勢科技指出汽車所使用的控制區域網路CAN存在漏洞,可讓駭客竄改或關閉透過CAN控制的基本功能,例如關閉停車感應器、安全氣囊或是主動安全系統,進而影響駕駛、乘客的安全。
<回到新聞條列重點>
下一波駭客攻擊高危險群,資安專家:傳統製造業 工商時報電子報
雲端環境與物聯網裝置應用日漸普及,駭客手法越來越多變,讓企業資安備受挑戰。趨勢科技台灣暨香港區總經理洪偉淦說,「傳統製造業」很可能是駭客攻擊的下一波目標。
<回到新聞條列重點>
趨勢科技:四大特點導致 IoT 裝置容易成為攻擊對象 科技新報網
物聯網 (Internet of Things, IoT) 的應用越來越普及,但相關的安全防護措施仍相當缺乏。趨勢科技表示,IoT 有四大特點:24 小時聯網、資安防護脆弱、Botnet 攻擊成本低,以及資安責任歸屬難釐清,成為駭客攻擊的好目標。
<回到新聞條列重點>
不鎖電腦改鎖手機!勒索病毒再出擊HiNet
經過勒索病毒「Wanna Cry」、「NotPetya」的侵襲之後,許多用戶都透過更新電腦來預防勒索,但手機也是駭客瞄準的對象,危機往往就隱藏在您的口袋裡。
<回到新聞條列重點>
免費防毒軟體下載後 恐被強裝其他軟體 中央社即時新聞網
免費防毒軟體雖然免費,但專家表示,使用免費防毒軟體要有心裡準備,極可能被迫安裝其他軟體,讓業者有從中獲利的機會。
<回到新聞條列重點>
網路釣魚攻擊進化 6天詐騙70萬美元MSN台灣
儘管網路釣魚相較於媒體上常看到的精密攻擊似乎已經過時,但它仍是一項持續不斷的威脅。有駭客使用網路釣魚新手法攻擊數位貨幣乙太幣用戶,在6天內海撈70萬美元。
<回到新聞條列重點>
真假看不清?3招秒判釣魚郵件 HiNet
近日有網友反應收到網際網路第三方支付服務商「PayPal」傳來交易錯誤的電子郵件,點選網址之後並輸入帳號密碼時才發現上當,由於郵件內容真假難辨,也使得用戶十分困擾。
<回到新聞條列重點>
手機電池為什麼會爆炸?專家教5招防範 台灣蘋果日報網
三星最新旗艦機Note 8正式上市,力圖甩開Note7爆炸陰霾,不過近年來手機爆炸事件頻傳,讓民眾使用上多了一層擔心。對此,趨勢科技特別提供五招預防方法,包括使用原廠充電器和充電線、避開易燃物、避免摔打手機或泡水、不在溫度過高或過低的環境中充電,以及不在沒人的時候充電。
<回到新聞條列重點>
Instagram API有臭蟲,用戶電話與電郵遭外洩 iThome
Instagram證實遭駭客利用API上的臭蟲,存取了名人帳號的聯絡資訊,包括電話號碼、電子郵件,但未涉及用戶的密碼,受影響的用戶規模並未公佈,目前該臭蟲已被修復。
<回到新聞條列重點>
近50萬心律調節器有漏洞,亞培釋出安全更新 iThome
亞培旗下的美國老牌醫療器材業者St. Jude Medical所銷售的數款植入型心律調節器及心臟再同步療法節律器被發現有漏洞,讓鄰近駭客可透過無線電波進行攻擊,影響裝置的特定功能,目前亞培已釋出更新。
<回到新聞條列重點>
實驗:把老舊監視器放在公開網路,平均每兩分鐘就被成功駭進一次 iThom
一名研究人員將監視器以預設的狀態放到公開網路,並允許Telnet連線,放置45小時又42分鐘,結果企圖連線該監視器的有10143次,1254個獨立IP成功存取該裝置,相當於平均每兩分鐘便成功駭進監視器一次。
<回到新聞條列重點>
趨勢科技研究:企業高階主管對歐盟 「通用資料保護法規」(GDPR) 仍未做好準備 台灣產經新聞網
隨著歐盟「通用資料保護法規」(GDPR)即將於 2018 年 5 月 25 日實施,全球所有企業都應開始做好準備。然而,根據全球網絡資訊保安方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704 )最新的研究調查發現,企業 CXO 級高階主管並未認真看待這項法規,令他們太過相信自己應該能夠符合法規。
<回到新聞條列重點>
台灣創投業 渴望養出獨角獸 工商時報
台灣有沒有機會養出市值超過10億美元的新創公司獨角獸?綜合多家在台活躍創投業的說法,台灣在三個領域最有可能,其一是台灣專業醫療管理結合ICT(資通訊)的新創商業公司,二是以音樂表演為核心內容的線上新創事業,三是能夠硬體搭配軟體的網路資訊安全公司。
<回到新聞條列重點>
建立資安事件通報文化才能真正降低企業成本 電子時報
2016年以來台灣發生數起重大資安事件,一銀ATM盜領案、遊戲公司遭受DDoS攻擊事件,2017年勒索病毒爆發、證券交易商遭DDoS攻擊勒索等重大資安事件,除了讓受駭業者遭受重大損失外,同時也反映出企業普遍資安意識不高,資安防禦措施及資安應變機制不夠完善,因此,如何強化與改善已成為政府與企業當今的重要議題。
<回到新聞條列重點>
為何IoT安全做起來這麼難? Ctimes
今年六月在荷蘭舉辦的「世界論壇」(World Forum)資安會議中,一名來自美國綽號「網路忍者」的 11 歲電腦神童魯賓.保羅(Reuben Paul)應邀上台演說,他表示:「從飛機到行動電話,從智慧手機到智能房屋,任何東西或玩具都能成為物聯網(IOT)的一環;而從魔鬼終結者到泰迪熊,任何東西或玩具都能將之武器化。」並實際示範如何駭入與會者的藍牙裝置,進而操縱泰迪熊。
<回到新聞條列重點>
資安危機!80%消費者因企業受害 新頭殼
趨勢科技於今(6)日舉辦亞太區資安界年度盛會-CLOUDSEC 2017 企業資安高峰論壇,會中邀請雲端、APT防護、機器學習等各界專家針對企業營運潛在危機與漏洞、亞太區資安事件應變以及物連網時代資安防範重點等三大議題做研討。
<回到新聞條列重點>
水能載舟亦能覆舟!物聯網潛伏資安危機 新唐人電視台
智慧時代,人們依靠網路生活,利用物聯網把生活變得方便,人類生活模式,正經歷著科技革命。食衣住行,逐漸全面連結IoT,但這樣的生活,卻潛伏危機。資安公司指出,像五月爆發的Wanna Cry勒索病毒,如果在未來,利用智慧裝置入侵擴散,取得用戶隱私資料、執行勒索行為,將帶來極大災難。
<回到新聞條列重點>
快更新! Apache Struts含有遠端程式攻擊漏洞 iThome
研究人員發現Apache Struts在反序列化不可靠資料上存在漏洞,只要是以Struts與REST通訊外掛打造的應用程式,駭客可自遠端執行任何程式,影響所及包括自2008年以來的所有Struts版本,以及採用該框架知名REST外掛程式的網路應用程式。
<回到新聞條列重點>
被控內建廣告軟體 聯想花350萬美元和解 自由時報電子報
聯想集團有限公司曾在2014年時,在自己旗下的筆電上安裝一款廣告軟體,遭到美國聯邦貿易委員會(Federal Trade Commission)與32名州檢察長認為有侵犯到使用者的隱私權之嫌,聯想集團最後同意支付350萬美元與FTC達成和解。
<回到新聞條列重點>
胡一天專欄:攻性防壁與金融數據主權 Match 生活網
在科幻經典《攻殼機動隊》中曾提出一個概念:攻性防壁。原始設定是指,在人類可以藉由生化電子工程實現超過95%的人類軀體「義體化」之後,「人類」就相當於ghosts in shells — 棲息在人造軀殼裡的意識記憶,徜徉在互聯網資訊大海中;如何保護這個靈魂般的虛擬實體不會遭受到駭客攻擊,就成了資訊安全與人權保障問題。
<回到新聞條列重點>
除了核彈威脅…北韓駭客培養所「121局」早盯上台灣! 東森電視網
北韓第6次核試引爆威力比原子彈強大許多的氫彈,震驚全球,迫使聯合國「安全理事會」召開緊急會議。北韓雖然貧弱,但積極發展核武的戰略讓世界各國無法小覷;同時,北韓也培育駭客來進行秘密任務。在無遠弗屆的網路時代,擁有強大的駭客軍團使北韓能彌補其與美日等強國的軍事力量差距。
<回到新聞條列重點>
網路駭客猖獗 風險僅次於恐怖攻擊 Udn TV
經濟日報今(5)日舉辦2017創新論壇——「防駭大作戰」,近年網路駭客入侵的問題益發猖獗,「資訊詐欺或盜竊」已是未來社會發展10大風險的第六名,僅次於「恐怖攻擊」,造成業界與民眾重大損失。政府與業界又該如何防範呢?請看我們的報導。
<回到新聞條列重點>
Firefox與Chrome跳出「找不到字型」視窗,小心是病毒作祟! iThome
研究人員警告駭客透過殭屍網路散佈惡意郵件,使用者只要點入連結就會被導到一個假冒的Dropbox網頁,使用者不察按下更新鍵後便會下載惡意程式,遠端存取被害者的電腦,或是安裝勒索軟體。
<回到新聞條列重點>
新一波MongoDB勒贖攻擊來襲,2.6萬台伺服器受害 iThome
研究人員發現新一波鎖定公開MongoDB資料庫的勒索攻擊,用戶收到三個不同駭客組織的勒索訊息,要求支付0.05到0.2個比特幣,到總計約有2.6萬台伺服器被害。
<回到新聞條列重點>
俄駭客干預大選?梅克爾政黨遭3000次網攻 台灣蘋果日報網
德國24日將舉行國會大選,獲最多席次的政黨,黨魁可出任總理。不過現任總理梅克爾所屬的德國執政黨「基督教民主黨」周一(4日)聲稱,他們的官網在周日遭受多達3000次的網路攻擊,不少是來自俄羅斯。由於德國將在本月24日舉行國會大選,獲最多席次的政黨,黨魁可出任總理。令人聯想,是否又是俄羅斯駭客企圖干預選舉。
<回到新聞條列重點>
駭客盜片勒贖 炒熱話題 經濟日報(臺灣)
美國HBO熱門影集「冰與火之歌:權力遊戲」的部分劇情之前遭駭客盜走,且被勒贖價值600萬美元的比特幣,但HBO不畏威脅、拒付贖金,押注遭外洩的資訊不會澆熄影迷的熱情、甚至還可能成為很好的宣傳素材,結果證明HBO這場豪賭是正確的。
<回到新聞條列重點>
GitLab爆連線劫持漏洞,已準備修補iThome
研究人員發現使用GitLab時個人所使用的令牌竟出現在網址列,只要複製該令牌就能在不同的機器或瀏覽器上存取該帳號,且個人令牌屬於永久性質,增加了被竊後身份被盜用的風險。
<回到新聞條列重點>
駭客對外兜售600萬IG用戶個資 iThome
這批個資可能來自於Instagram API的臭蟲,包括用戶的電話號碼、電子郵件,目前駭客已在網路上兜售,並開放付費搜尋特定用戶,如明星、政治人物、運動員等個資。
<回到新聞條列重點>
從ATM到Fintech看全球金融革命 雅虎奇摩
近來金融科技(FinTech)觀念盛行,許多科技的發展與創新,例如網路以及行動載具的應用,為金融業帶來革命性的衝擊,金融消費者也因而可以用更低廉的成本享受到更好的金融服務。但其實金融科技的觀念並非現在才有,例如全世界第一台自動櫃員機(Automatic Teller Machine,ATM,或稱自動提款機)是在1967年6月27日由英國人約翰·謝菲爾德-巴隆(John Shepherd-Barron)所發明,安裝於英國倫敦北部的巴克萊銀行(Barclays Plc)的Enfield分行。
<回到新聞條列重點>
手機電池怕爆炸 5招防範必學 tvbs新聞網
近幾年多次的手機爆炸事件讓人在使用手機上多了一層擔心,其實只要了解爆炸背後的原因以及有效的預防方法,就不用太過擔心,資安業者趨勢科技也提供5招教用戶防範。
<回到新聞條列重點>
中印關係僵 陸製手機遭波及 印度聲稱有竊取用戶資訊的嫌疑,近日更擴大檢查30家大陸手機廠商 工商時報
目前中國大陸手機品牌在印度市場可謂占據半壁江山,但8月中旬印度政府以洩露資訊安全的理由,加大規模審查自中國進口的電子產品。近日又傳出,印度官方檢查約30家中國手機廠商,要求其證明未外流印度用戶之資訊。
<回到新聞條列重點>
馬士基資深老將施索仁(Soren Skou)在去年接掌該航運集團的執行長職務。儘管他認為自認身經百戰,但歷經今年6月馬士基電腦系統遭駭事件後,給他一記當頭棒喝,讓他明瞭設立一套危機管理模式來因應這類駭客入侵的黑天鵝事件,是刻不容緩的任務。
<回到新聞條列重點>
隨著科技不斷變化以及功能越來越多後,各產業都在尋找新的科技解決方案來跟上全球人口對於數位的需求,例子之一便是銀行機構已開始針對數位貨幣與金融思考區塊鏈解決方…
<回到新聞條列重點>
比特幣(Bitcoins)匿名及去中心化的特性,加上行情來到4,000美元,已成駭客向企業勒索的絕佳標的。繼日本、美國及俄羅斯等國對虛擬貨幣的相關立法動作後,印度日前也討…
<回到新聞條列重點>
雅虎在2013至2016年間遭受駭客大規模入侵,造成超過10億名用戶個資曝光,美國法官周三晚間批准用戶對雅虎提出集體訴訟。
<回到新聞條列重點>
挪威 國會選舉逼近 加強IT系統安全…防駭客 經濟日報(臺灣)
挪威政府將在11日的國會選舉前加強IT系統安全,避免有人暗地動手腳影響結果。所有選票除例行性的電腦掃描,還會經過至少一次人工計票。目前並無跡象顯示有人蓄意操弄選舉。
<回到新聞條列重點>
當選無效!肯亞總統要重選 聯合報
肯亞最高法院一日以違憲為理由,判決現任總統甘耶達在上月大選中當選無效,且因中選會違法所以選舉也無效,下令六十天內重新舉行總統大選投票。甘耶達表示此一判決結果違反人民意志,他「個人不能同意」,但會予以尊重,還說「這就是民主」,並呼籲支持者保持冷靜。非洲國家的司法單位經常是執政者意志的延伸,肯亞的情況相當罕見。
<回到新聞條列重點>
Arris數據機被爆含有多個漏洞,影響22萬台裝置 iThome
Nomotion主要調查的是美國AT&T旗下U-verse服務所出售或租賃的Arris數據機,AT&T擁有客製這些數據機韌體的權限,但有些漏洞同時出現在Arris數據機的標準版韌體或客製化韌體中。
<回到新聞條列重點>
全球數億郵件帳號遭駭 KPMG提醒使用者勿誤用情資 聯合財經網
媒體報導,全球有「數億個」電子郵件帳號,遭「電郵機器人」竊取密碼事件。國內也有政府機關、企業高層,經由查詢帳號盜失查詢網站,也發現自己除了私人電郵信箱外,連公務電郵也被駭「PWNed(駭客攻陷) 」。
<回到新聞條列重點>
旅遊旺季個資遭駭風險高 專家:這兩件事少做! 中時電子報網
假期出遊時,對於想節省網路用量或沒有租用Wi-Fi機的民眾來說,公共場所Wi-Fi就成為多數人選擇,但美國資訊專家卻對此提出警示,甚至最好出遊前也要更換個人帳號相關密碼,別偷懶而同組密碼用N年。
<回到新聞條列重點>
席琳娜被盯上!駭客放話將洩更多私密照 自由時報電子報
小天后席琳娜人氣夯,IG上有超過1.26億粉絲追蹤,不過也因此成為駭客目標,先前其IG帳號遭駭,PO出舊愛小賈斯汀的正面裸照,還留下不雅文字,雖馬上刪除,但IG母公司臉書已向幾位名人警告,帳號可能已遭不良人士鎖定,隨時都有私密照或簡訊外流風險。
<回到新聞條列重點>
下一波網路癱瘓醞釀中?資安專家指出異常現象! 自由時報電子報
去年一口氣癱瘓美國網路的Mirai病毒,讓許多人開始注意到網路攻擊可能導致的災難性結果。而雲端安全服務廠商Akamai最新的網路現象報告就指出,大規模DDoS網路攻擊中使用的IP位址大幅減少,是PBOT殭屍網路捲土重來的徵兆,顯示網路攻擊已經發展成新舊工具混合使用的情形。
<回到新聞條列重點>
好萊塢500名人個資遭駭 貝克漢艾瑪華森中標 台灣蘋果日報網
好萊塢明星遭駭客入侵事件層出不窮,美國小天后賽琳娜戈梅茲(Selena Gomez)的IG帳號日前遭駭,IG的母公司臉書向包含賽琳娜在內的多位名人提出警告,駭客已鎖定他們的帳戶。英國《鏡報》報導由於軟體漏洞,包含賽琳娜、蕾哈娜、艾瑪華森、「貝嫂」維多莉亞等500位歐美名流IG遭入侵,他們的私人信箱與手機號碼被不肖人士在暗網兜售,1組售10美元(約305元台幣)。
<回到新聞條列重點>
勒索軟體造成的損失超乎贖金本身 電子時報
過去1年來,勒索軟體(Ransomware)日漸成為網路資安的最新攻擊手段,許多團體已開始著手統計相關的財務損失,但最近企業界的幾個實例顯示,勒索軟體造成的損失不單是贖…
<回到新聞條列重點>
全球網路戰爭新型態 軍事單位轉型因應 電子時報
為因應全球不斷演變的新型資訊網路攻擊,領先全球通訊網路技術的Alcatel-Lucent Enterprise提出建言,提醒軍事單位應注意使用中的舊型通訊系統,所可能產生的重大資訊安全風險。
<回到新聞條列重點>
木馬程式入侵 7億電郵帳密外流 工商時報
資安拉警報!國外資訊專家近日發現,一個垃圾電子郵件機器人程式(spambot),竊取全球高達7.1億個電子郵件帳號密碼,並廣泛發送含有銀行木馬程式的信件,影響範圍之廣,是史上最大規模的電子郵件個資外流事件之一。
<回到新聞條列重點>
中國電信產品安全疑慮 印度擬設限使用 中央社即時新聞網
印度內政部司長梅里許表示,政府已對電信行業使用中國製設備提高警覺,因為這些設備容易遭攻擊。印度政府打算以法律禁止電力和電信產業採購中國製的設備。
<回到新聞條列重點>
懼俄假新聞、駭客攻擊 丹麥瑞典決定加強國防合作 中時電子報網
丹麥和瑞典宣布決定加強兩國國防合作,以對抗來自俄羅斯、不斷增加的多種威脅,例如假新聞和駭客攻擊等。除此之外兩國也因俄羅斯軍艦和軍機頻出現在波羅的海,也決定增加傳統軍事合作。
<回到新聞條列重點>