本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 盤點 2017 資安數據,最有感的是哪一個?
- 上週高風險賣場公布,竟是網友口中的那些網拍?
- 53% 的上班族在工作時網購禮物, 企業也該當心購物詐騙!
- 受夠了臉書被洗版? FB ”保持距離”與”暫停追蹤”設定教學
- 趨勢科技籲關注ATM攻擊走勢,持續探索防禦自保之道
媒體資安新聞精選:
分析 14 億筆外洩密碼:40 組最常被使用的白痴密碼,你的是否在其中? 科技報橘
哪些密碼最容易遭駭客外洩?安全機構公佈百大排行榜單 自由時報電子報
你的帳密安全嗎?研究:黑市估約有25%的外洩帳密能成功存取Google帳號 iThome
南韓交易所遇駭 比特幣亞洲市場崩跌 中央社即時新聞網
比特幣交易所遭駭宣告破產 南韓首例 中央社即時新聞網
北韓網攻 上周遭微軟臉書擋下 駭走17%比特幣 南韓交易所破產 台灣蘋果日報
NSA外流攻擊工具遭濫用,企業伺服器淪為駭客Monero幣挖礦工具 iThome
比特幣飆天價 趨勢科技預警2018資安威脅升級 聯合新聞網
Coinhive騎劫色情網10億用戶挖礦 月產門羅幣價值32.6萬美元 鉅亨網
美國直指肆虐全球的WannaCry勒索蠕蟲幕後黑手就是北韓! iThome
勒索病毒、區塊鏈攻擊 明年恐更活躍 自由時報電子報
駭客可挾持空拍機 入侵智慧家電? 三立新聞網
「嗶」一聲很帥?你已落入手機支付5大風險 中時電子報
鎖定IoT裝置的Mirai殭屍網路背後竟是三名21歲年輕人建立的 iThome
物聯網家電成漏洞 經濟學人:2018駭客年 tvbs新聞網
製造業小心被勒索!趨勢科技預測 2018 資安:工業 4.0 時代,危機意識不足恐受害 LineToday
內神通外鬼,英國巴克萊銀行員幫Dridex金融駭客設人頭帳號洗錢遭判刑6年 iThome
iPhone X的Face ID臉部辨識安全嗎? 電子工程專輯
《科技》攻擊技巧再進化,趨勢科技公佈明年駭客三大技法 中時電子報網
摸得到才安心!世界首款虛擬貨幣防駭錢包 雅虎奇摩
韓媒:北韓駭客大肆竊取數位貨幣 中央社即時新聞網
虛擬貨幣湧現與你無關?不經意間你就成了駭客的挖礦工具! INSIDE
上海今年為電信詐騙受害者挽回損失上億元 中央日報網路報
北韓頻頻網攻!白宮:臉書和微軟上周阻止多個攻擊 經濟日報網
川普將發表國安戰略 指中俄為競爭對手 中央社即時新聞網
美國 FCC 宣布終止「網路中立法」,駭客團體匿名者宣布將發動毀滅攻擊捍衛自由上網權! 科技報橘網
美國FCC取消網路中立性對網路世界與台灣的影響 電腦王阿達
為捍衛網路中立性,匿名者揚言對 FCC 發動「毀滅性」網路攻擊! INSIDE
新加坡聯合早報社論–向駭客發出正確訊號 中央日報網路報
Google員工在預裝的Windows 10密碼管理器中發現漏洞 新浪網(臺灣)
蘋果軟體缺失 愈來愈多 經濟日報(臺灣)
你家網站會員資料是否外洩,Tripwire這個免費開源工具能幫你測 iThome
Windows 用戶注意!微軟發布更新修補瀏覽器與惡意軟體防護引擎漏洞 自由時報電子報
Google安全專家:微軟太過於注重Win10 可能讓Win7用戶陷入危險 T客邦
iOS 11.2.1更新來了 讓家庭App可遠端控制 台灣蘋果日報網
Node.js開發者快更新!底層OpenSSL漏洞允許第三方未授權存取 iThome
當心!這幾款遊戲正在偷偷控制你的手機 新浪網(臺灣)
移民署核心設備 禁購中國製 自由時報電子報
專訪金管會主委顧立雄 最長三年的監理沙盒 兼顧金融新創與法規調適 KNOWING新聞
資安法 刪侵害人權疑慮條文 經濟日報網
從法律看科技:「個資」外洩與「資安」竟然沒關係? 科技報橘網
跨界合作覓養分 台灣戲曲激盪新火花 遠見雜誌網
分析 14 億筆外洩密碼:40 組最常被使用的白痴密碼,你的是否在其中? 科技報橘
頻發的訊息外洩事件,讓個人與企業機構的隱私數據時刻面臨洩露的風險。
最近,一則「菜鳥駭客也可以在某些地下駭客論壇或暗網網站中獲得大量敏感數據」的消息,讓人們再次陷入擔憂。
事情是這樣的,位於美國洛斯加托斯的網路情報公司 4IQ 在地下駭客論壇上發現了一個擁有 14 億(1,400,553,869)登錄憑證、大小超過 41Gb 的明文數據庫。
<回到新聞條列重點>
哪些密碼最容易遭駭客外洩?安全機構公佈百大排行榜單 自由時報電子報
知名安全服務機構 SplashData 稍早公布 2017年最糟糕密碼的百大榜單,統計數據主要來自美國、歐洲用戶,在這一年來遭駭客攻擊經由各種途徑所揭露的500萬個密碼清單。
<回到新聞條列重點>
你的帳密安全嗎?研究:黑市估約有25%的外洩帳密能成功存取Google帳號 iThome
多數的人在不同的線上服務都會重複或是僅些微重新組合帳密,研究人員估計在19億筆的資料中,約有25%的帳密資料,攻擊者可以透過取得間接驗證資料,成功存取受害者的Google帳號。
<回到新聞條列重點>
南韓交易所遇駭 比特幣亞洲市場崩跌 中央社即時新聞網
比特幣價格今天在亞洲交易市場一度崩跌約15%,隨後收復部分跌勢,南韓交易所遭遇駭客攻擊,似乎讓投資人受到驚嚇。
<回到新聞條列重點>
比特幣交易所遭駭宣告破產 南韓首例 中央社即時新聞網
法新社報導,Youbit表示,在今天遭到的攻擊行動中,資產額損失17%。8個月前Youbit才遭駭客攻擊,近4000枚比特幣遭竊,當時價值55億韓元(約新台幣1.52億元),交易所資產額因此蒸發近40%,Youbit將此歸咎於北韓駭客攻擊。
<回到新聞條列重點>
北韓網攻 上周遭微軟臉書擋下 駭走17%比特幣 南韓交易所破產 台灣蘋果日報
美國白宮國土安全顧問博塞特(Tom Bossert)前日點名北韓駭客在今年5月發動WannaCry病毒網攻,昨日又揭露臉書與微軟擋下北韓部分網路威脅。網安專家稱,北韓駭客攻擊已從政治行動轉型為國家斂財,台灣遠東銀行10月遭駭18億元台幣就是例子,南韓比特幣交易所Youbit前天也被駭走17%的資產,被迫宣告破產。
<回到新聞條列重點>
NSA外流攻擊工具遭濫用,企業伺服器淪為駭客Monero幣挖礦工具 iThome
駭客在Zealot攻擊中,利用NSA外流的駭客工具,鎖定Apache Struts等漏洞,攻擊Windows、Linux伺服器,以植入Monero採礦程式,估計駭客挖礦得手價值將近8, 500美元的Monero幣。
<回到新聞條列重點>
比特幣飆天價 趨勢科技預警2018資安威脅升級 聯合新聞網
隨著比特幣價格飆上天價,資安大廠趨勢科技今天預警,2018年資安威脅可能跟著升級,除了數位勒索將更加橫行,駭客也可能透過控制IoT(物聯網) 裝置,進行比特幣的挖礦。
<回到新聞條列重點>
Coinhive騎劫色情網10億用戶挖礦 月產門羅幣價值32.6萬美元 鉅亨網
虛擬貨幣狂升,吸引不少人投身挖礦行列,不法之徒趁機在網站植入代碼,綁架網民電腦挖礦。據網上廣告阻擋器 AdGuard 近日發現,最少 4 個著名視頻網站被人植入門羅幣 (Monero) 瀏覽器挖礦程式 Coinhive,估計多達 10 億用戶因此被盜用電腦運算功能挖擴,產生的門羅幣價值每月多達 32.6 萬美元,用戶額外電費損失更是難以估計。
<回到新聞條列重點>
美國直指肆虐全球的WannaCry勒索蠕蟲幕後黑手就是北韓! iThome
美國國土安全顧問Tom Bossert在華爾街日報專欄中指出,包括美國政府、其他國家及私人機構的調查,種種跡象顯示今年5月在全球造成重大災情的WannaCry勒索蠕蟲攻擊背後指向北韓,呼籲嚴懲駭客及指使的極權政府。
<回到新聞條列重點>
勒索病毒、區塊鏈攻擊 明年恐更活躍 自由時報電子報
今年國內發生勒索病毒肆虐、一銀與遠東商銀盜領案等多項重大資安攻擊事件,引起大眾對資安的關注。趨勢科技今表示,明年這類的駭客攻擊手法將會更加活躍,而且受攻擊對象也會逐漸轉移至可獲得高報酬的對象。
<回到新聞條列重點>
駭客可挾持空拍機 入侵智慧家電? 三立新聞網
未來的駭客可以挾持無人機或空拍機,或用居家智慧裝置打開你家大門?趨勢科技在20日發表「2018資安年度預測報告」,指出駭客將搶搭機器學習與區塊鏈熱潮來發展新攻擊技巧。也就是說,未來駭客能夠綁架冰箱,還能綁架無人機。
<回到新聞條列重點>
「嗶」一聲很帥?你已落入手機支付5大風險 中時電子報
近年來手機支付風行中國大陸,從大商店到小攤販、從網購到公共服務,凡是要付款的場合,只要入網綁定帳號,誰都可以用手機「嗶!」一聲完成付款。台灣因為行動支付發展緩慢,還經常被陸客與台商揶揄台灣的金融科技還在石器時代爬行。
<回到新聞條列重點>
鎖定IoT裝置的Mirai殭屍網路背後竟是三名21歲年輕人建立的 iThome
21歲的Paras Jha與Dalton Norman及20歲的Josiah White已承認建立、操控Mirai殭屍網路,並參與多項網路攻擊,包括去年12月到今年2月間建立另一個殭屍網路Clickfraud,以進行點擊詐騙。
<回到新聞條列重點>
物聯網家電成漏洞 經濟學人:2018駭客年 tvbs新聞網
英國「經濟學人」雜誌預測2018年將會是駭客年。因為物聯網家電與機器的普及,駭客可以入侵沒有資安保護的物聯網機器,再對企業發動攻擊。有專家說,透過物聯網將讓網路攻擊變得更容易。
<回到新聞條列重點>
製造業小心被勒索!趨勢科技預測 2018 資安:工業 4.0 時代,危機意識不足恐受害 LineToday
趨勢科技今日發表 2018 年資安年度預測報告,彙整目前駭客最愛的攻擊手法以及技術趨勢,並透露明年由於獲利模式明確,勒索病毒依舊會是主流,不過攻擊手法應該會翻新,可能會針對用來加強資訊安全的人工智慧、區塊鏈等新技術的漏洞開發出新的攻擊技術。
<回到新聞條列重點>
內神通外鬼,英國巴克萊銀行員幫Dridex金融駭客設人頭帳號洗錢遭判刑6年 iThome
前英國巴克萊銀行員工Jinal Pethad利用假的身份文件在銀行設立103個人頭帳號,幫Dridex金融木馬背後的駭客洗錢,相關金額超過250萬英鎊,遭判刑6年4個月。
<回到新聞條列重點>
iPhone X的Face ID臉部辨識安全嗎? 電子工程專輯
由於臉部辨識技術的本質(收集的資訊能被廣泛應用),確保系統能穩定、有效且安全地辨識個人身份至關重要。然而,透過臉部辨識技術達到安全存取控制極具挑戰性;必須考慮到惡意攻擊存在著多種切入點,例如詐騙、影像控制、執行時篡改,甚至竊取影像等。
<回到新聞條列重點>
《時代》(Time)報導,據美國旅館住宿協會(American Hotel and Lodging Association)統計,每4人中就有1人遇過假的訂房網站,對比2015年,僅有6%的訂房旅客通報過自己遭遇訂房詐騙。
<回到新聞條列重點>
《科技》攻擊技巧再進化,趨勢科技公佈明年駭客三大技法 中時電子報網
趨勢科技2018年資安報告預測,駭客攻擊技巧再進化,明年的駭客三大技法包括:鎖定數位勒索、物聯網漏洞、機器學習與區塊鏈熱潮,發展新攻擊技巧。
<回到新聞條列重點>
南韓日前發生比特幣(Bitcoin)交易所因遭受駭客攻擊申請破產的首例,該交易所已停止所有虛擬貨幣交易,此案件凸顯虛擬貨幣市場的投機行為已暴露嚴重資安問題。
<回到新聞條列重點>
摸得到才安心!世界首款虛擬貨幣防駭錢包 雅虎奇摩
現在的比特幣報價一顆約新台幣53.64萬,以太幣也來到了一顆新台幣2.56萬的高價位,難免讓網路駭客們蠢蠢欲動啦!如果你不放心把虛擬貨幣給存在交易所,即使將私鑰藏在硬碟/手機裡還是不安心,那麼不妨來試試看這款Hoofoo防駭錢包吧!
<回到新聞條列重點>
韓媒:北韓駭客大肆竊取數位貨幣 中央社即時新聞網
南韓的「朝鮮日報」(Chosun Ilbo)引述國家情報院(NIS)指出,由北韓駭客所為的網路攻擊,還包括讓全球最繁忙的數位貨幣交易所Bitthumb今年6月外洩3.6萬個帳戶個資。
<回到新聞條列重點>
虛擬貨幣湧現與你無關?不經意間你就成了駭客的挖礦工具! INSIDE
近日,比特幣再創新高,上週從每枚 1.1 萬美元飆升至 1.75 萬美元。隨著「炒幣」行為越來越熱門,基於區塊鏈技術的虛擬幣不斷湧現。黑客看到了「挖礦」所帶來的巨大利益,各種手段防不勝防。
<回到新聞條列重點>
上海今年為電信詐騙受害者挽回損失上億元 中央日報網路報
中新社報導,最新資料顯示,今年以來,截至11月30日,上海全市接報電信網路詐騙案件同比下降20.03%,涉案金額同比下降5.5%,破案同比上升58.7%,並勸阻潛在被害人13.2萬人次。抓獲違法犯罪嫌疑人同比上升12.2%。共凍結涉案銀行帳戶2842個,挽回民眾經濟損失折合人民幣1.49億元。
<回到新聞條列重點>
北韓頻頻網攻!白宮:臉書和微軟上周阻止多個攻擊 經濟日報網
白宮國土安全顧問波瑟特(Thomas Bossert)19日表示,臉書和微軟上周採取行動阻止了北韓許多網路攻擊行動。
波瑟特並未提供這些行動的細節,但稱美國政府正呼籲企業在網絡安全防禦上進行合作。
<回到新聞條列重點>
川普將發表國安戰略 指中俄為競爭對手 中央社即時新聞網
透社報導,白宮發布節錄自川普國安戰略演說的內容指出:「他們決心要讓這些經濟體變得較不自由和較不公平,以發展軍事力量和控制資訊來壓制社會並擴大自身影響力。」
<回到新聞條列重點>
美國 FCC 宣布終止「網路中立法」,駭客團體匿名者宣布將發動毀滅攻擊捍衛自由上網權! 科技報橘網
美國聯邦傳播委員會(FCC)已於 14 日正式過表決,將廢除原本於歐巴馬政府時期設立的一條有關「網路中立性」的規定,未來網路服務提供商(ISP)將可合法控制網路流量,讓使用較低資費的用戶可使用的網路資源減少,或讓較高付費的大型企業擁有優先權。
<回到新聞條列重點>
美國FCC取消網路中立性對網路世界與台灣的影響 電腦王阿達
什麼是「網路中立性」Net neutrality)呢? 廢除「網路中立性」Net neutrality)後會有哪些正面與負面的影響呢? 對台灣會有多大影響呢? 以下做一整理:
<回到新聞條列重點>
為捍衛網路中立性,匿名者揚言對 FCC 發動「毀滅性」網路攻擊! INSIDE
為了抗議網路中立性解除計劃,世界著名駭客組織「匿名者」(Anonymous)宣布將出手在 48 小時內對美國聯邦通信委員會(FCC)發動「毀滅性」網路攻擊!
<回到新聞條列重點>
新加坡聯合早報社論–向駭客發出正確訊號 中央日報網路報
國防部下個月邀請300名海內外白帽駭客入侵屬下數個網路系統,以尋找網路漏洞。這些駭客每找出一個程式錯誤,便能獲得150元至2萬元獎金,而獎金的多寡取決於尋獲漏洞的嚴重性。這是我國首個政府機關在網路安全方面做出的大膽嘗試。
<回到新聞條列重點>
Google員工在預裝的Windows 10密碼管理器中發現漏洞 新浪網(臺灣)
谷歌安全研究員Tavis Ormandy之前報告並披露了Windows及其功能中的幾個主要漏洞。現在他發現了一個影響微軟用戶的新安全漏洞。這一次,他發現Keeper密碼管理器中存在一些缺陷,預裝在Windows 10的某些版本中,Ormandy解釋說,這類似於他在2016年8月發現的漏洞。
<回到新聞條列重點>
蘋果軟體缺失 愈來愈多 經濟日報(臺灣)
巴隆周刊報導,蘋果每次推出的新款iPhone總會有更多亮眼的功能,但軟體缺失也跟著增多,讓蘋果愈來愈像以前的微軟,不斷發布修補軟體。這不僅可能升高用戶流失的風險,也將限制蘋果擴展市場的野心。
<回到新聞條列重點>
你家網站會員資料是否外洩,Tripwire這個免費開源工具能幫你測 iThome
Tripwire的概念很簡單,它利用機器人申請眾多網站的帳號,每個帳號都以獨立的電子郵件位址申請,但全都使用同樣的密碼,只要檢查各個電子郵件是否遭到第三方存取,就能用來推斷網站是否遭到駭客入侵。
<回到新聞條列重點>
Windows 用戶注意!微軟發布更新修補瀏覽器與惡意軟體防護引擎漏洞 自由時報電子報
微軟於本週二 12/12日,推出例行性的安全性更新,此次共釋出33項漏洞修補的更新,其中,有高達24項的漏洞是與微軟IE、Edge 瀏覽器有關,且主要藏身在微軟腳本引擎(Microsoft Scripting Engine)可能造成記憶體損毀漏洞,建議用戶儘速更新系統。
<回到新聞條列重點>
Google安全專家:微軟太過於注重Win10 可能讓Win7用戶陷入危險 T客邦
Windows 10是目前微軟卯足全力在主推的系統,不過,根據統計直到2017年7月,Windows 7 的市佔率依然佔有 45.73%,還是有相當多人在使用。但是微軟已經宣佈 Windows 7 早在 2015 年正式停止主流支援,而現在Google的安全專家指出,微軟越是針對Windows 10推出安全更新,可能越導致Windows 7陷入危險。
<回到新聞條列重點>
iOS 11.2.1更新來了 讓家庭App可遠端控制 台灣蘋果日報網
約2周前iOS 11.2更新釋出,部分用戶出現Home App共享使用者無法遠端連線的問題,蘋果公司今日推出iOS 11.2.1更新,除了上述問題,也修正相機無法自動對焦等問題。
<回到新聞條列重點>
Node.js開發者快更新!底層OpenSSL漏洞允許第三方未授權存取 iThome
Node.js的HTTP2、TLS模組與底層OpenSSL的漏洞,使駭客可以利用Node.js的TLS或HTTP/2模組,繞過TLS的授權或加密動作傳送資料。
<回到新聞條列重點>
當心!這幾款遊戲正在偷偷控制你的手機 新浪網(臺灣)
「明星公主換裝小遊戲」「瘋狂消寶石」「大球吃小球燒烤」……誰能想到,畫麵粉嫩可愛的兒童遊戲背後,竟然暗藏一條網路黑灰產業鏈。
<回到新聞條列重點>
移民署核心設備 禁購中國製 自由時報電子報
我國邊境管理與國安問題引發關注,行政院昨召開「國土安全政策會報」,「外來人口快速查驗閘門系統案」等採購中國製產品弊案也引發討論。移民署長楊家駿表示,未來移民署的採購會符合工程會的規定,核心資訊等軟體設備將不會採購中國製產品。
<回到新聞條列重點>
洩密議題是企業經營者的燙手山芋,如何防止洩密?引起各界一片討論。「我們公司有導入ISO 27001資安管理制度,防駭客、防洩密,應該就算做好營業秘密管理了吧?」建立好資安管理制度就可以應付洩密訴訟嗎?我國營業秘密法修法自2013年實施以來,檢調單位累計偵辦57件營業秘密案件,僅27件順利起訴,且判決中僅2件成立營業秘密侵害。常見資安管理措施若未能符合我國營業秘密法規定,總在法院苦吞敗訴結果。
<回到新聞條列重點>
專訪金管會主委顧立雄 最長三年的監理沙盒 兼顧金融新創與法規調適 KNOWING新聞
2015年英國首創的監理沙盒制度,似能改善台灣縝密卻缺乏彈性的金融法規環境;但從2016年,前金管會主委曾銘宗力推以來,竟然經歷5屆主委、至顧立雄接掌金管會後才出現突破性進展,「金融科技發展與創新實驗條例」草案(即俗稱的金融監理沙盒草案)終於在今年11月8號通過初審,並於12月18日在民進黨與國民黨雙方高度共識下,在一小時內完成朝野協商。
<回到新聞條列重點>
資安法 刪侵害人權疑慮條文 經濟日報網
立法院司法及法制委員會昨天審查「資通安全管理法」草案,在前一天發生新黨青年軍僅被傳喚當證人卻遭檢調突襲式搜索拘留事件後,行政院版草案明訂「政府必要時得派員進入非公務機關場所檢查」的條文,更引發侵害人權疑慮。
<回到新聞條列重點>
從法律看科技:「個資」外洩與「資安」竟然沒關係? 科技報橘網
關於資訊安全之內涵,多數係以保護企業或組織之資訊資產為主,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊/資產的機密性、完整性、可用性,及維持組織之營運或將風險降低。而個人資料,依據我國個人資料保護法(以下簡稱個資法)第 2 條的定義,指自然人之姓名、出生年月日、國民身分證統一編號…,及其他得以直接或間接方式識別該個人之資料。
<回到新聞條列重點>
跨界合作覓養分 台灣戲曲激盪新火花 遠見雜誌網
遠見高峰會的「文化夜談」,以「藝企相投 創新轉型──台灣戲曲新美學」為題,邀請趨勢科技共同創辦人暨文化長陳怡蓁擔任主持人,與台灣大學特聘教授王安祈、國光劇團團長張育華展開精采對談,暢談國光劇團的創新轉型,包括跨領域,與國家交響樂團的合作;跨文化,與日本橫濱能樂堂合作,推出結合崑曲與日本舞踊的《繡襦夢》全新作品。
<回到新聞條列重點>