《資安新聞周報 》Alexa 語音助理可能成為竊聽器?!/ GDPR重點深度解析/金融科技時代下的資安風險 

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安精選

看懂個資侵害通報規定 GDPR重點深度解析    網管人

研究:福斯與奧迪汽車含有遠端存取漏洞,可讓駭客竊聽談話、追蹤車輛位置        iThome

無痕瀏覽掩護XSS攻擊 記憶體鑑識揪出罪證   網管人

光纖路由器爆RCE漏洞,上百萬台家用路由器門戶洞開        iThome

Alexa遭爆有隱私漏洞,可能成為駭客監聽用戶的幫手  iThome

愛追劇、泡咖啡館、手機血拚 當心挖礦劫持  台灣蘋果日報網

【南北韓高峰會】北韓駭客新手法 侵入電腦幫金正恩政權「挖礦」  鏡傳媒

機器人送貨服務正式在歐美推出,Starship機器人可以送餐到你桌上  iThome

臉書為孩童版的Messenger推出睡眠模式,讓父母管理孩童上線時間 iThome

加密貨幣洗錢防制  實名制是共識     中央社即時新聞網

以比特幣的視角看區塊鏈,這是大多數人所犯的錯誤    T客邦

【冷閱讀】嚴格的隱私權法律 GDPR,可能讓 Google 跟 Facebook 在歐洲更接近壟斷地位  科技新報網

專家傳真-從Facebook個資外洩事件 看我國跨境數據傳輸監理制度 中時電子報網

網攻嚴重 科學園區4月遭襲68億次        自由時報

GitHub發現以明文紀錄用戶密碼的內部臭蟲    iThome

麻州學區電腦遭駭  繳付比特幣贖金解鎖 中央通訊社商情網

資訊便利危機,駭客手法大公開        太平洋日報

鑽研4千頁手冊!Google天才工程師約翰.霍恩,揪出英特爾大漏洞        數位時代

趨勢:惡意程式專門利用臉書Messenger感染Chrome用戶,直指加密貨幣而來     iThome

連網醫療裝置存有漏洞風險 資安必須成為系統建制一部分  電子時報

日本國防資安堪憂 關鍵資訊恐怖分子看光光  臺灣英文新聞

針對企業E-mail系統 趨勢科技推AI防詐騙技術    電子時報

趨勢科技再次於 NSS Labs 進階端點防護測當中榮獲「推薦」評價      iThome

首腦丹尼斯 駭賺1.5萬枚比特幣       中國時報

台警破解手機 瓦解一銀案盜領集團  中國時報

Android手機注意!新間諜程式會偷走你的銀行帳密      T客邦

行動消費世代來臨吃喝玩樂全包辦 小心行動金融暗藏風險!  2017年行動銀行惡意軟體成長4倍 4大步驟檢視行動資安        iThome

泰國True Move爆發個資外流 引發政府全面關切   電子時報

身分證再設計票選遭駭! 內政部關閉網站維修      台灣蘋果日報網

北韓打科技戰 駭韓發電廠竊核機密文件  tvbs新聞網

金融科技時代下的資安風險        遠見雜誌網

史上最盛大的紅帽高峰會將於5月8至10日於舊金山展開  iThome

小英總統拚經濟 5+2產業點燃今年內需發展引擎   匯流新聞網

物聯網 台灣將成全球重鎮  工商時報

八家社會企業 點亮美好價值      遠見雜誌網

數位生活成趨勢 科技基金可期  工商時報電子報

2018台灣經濟犯罪調查報告今發布  籲企業積極防制經濟犯罪與舞弊事件        中央社即時新聞網

金屬中心攜手微軟推出AI合作 促進傳產數位升級轉型 工商時報電子報

看懂個資侵害通報規定 GDPR重點深度解析    網管人

GDPR執法即將上路,歐盟資料保護工作小組於今年2月6日修正通過「個人資料侵害通報指引」個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。本文針對個資侵害定義、通報監管機關之程序等重點內容,擇要析述。

<回到新聞條列重點>

研究:福斯與奧迪汽車含有遠端存取漏洞,可讓駭客竊聽談話、追蹤車輛位置        iThome

駭客可透過遠端或USB取得汽車的IVI系統的管理權限,以掌握喇叭、麥克風與導航系統,可監聽車上的談話、存取通訊錄,還能追蹤車子的位置。

<回到新聞條列重點>

無痕瀏覽掩護XSS攻擊 記憶體鑑識揪出罪證   網管人

近年來個人隱私意識高漲,許多匿名技術因此快速發展。然而,不法份子若利用匿名技術進行駭客攻擊時,如何找出數位證據並發現真正的幕後黑手將是一大重要議題。本文針對利用Cross-Site Scripting進行攻擊的攻擊端主機進行數位鑑識,以記憶體鑑識方法證明攻擊端之不法行為,串聯整起資安攻擊事件。

<回到新聞條列重點>

光纖路由器爆RCE漏洞,上百萬台家用路由器門戶洞開        iThome

安全公司發現光纖路由器出現遠端程式碼執行(remote code execution,RCE)漏洞,讓駭客只要以改造過的URL即可遠端駭入。曝險裝置目前集中在墨西哥、哈薩克及越南等地。

<回到新聞條列重點>

Alexa遭爆有隱私漏洞,可能成為駭客監聽用戶的幫手  iThome

駭客能在使用者未發現的情況下,在使用者啟用Alexa後,偷偷記錄其收到的語音。資安公司Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

<回到新聞條列重點>

愛追劇、泡咖啡館、手機血拚 當心挖礦劫持  台灣蘋果日報網

挖礦程式翻倍成長,愛追劇、手機血拚或泡在咖啡館的人當心了!資安專家趨勢科技提醒,挖礦程式偏好嵌入在使用者可能停留大量時間的地方,比如長影片;另外,喜歡滑手機,看到優惠廣告就點下去的人,以及泡在咖啡館享用免費WIFI,也容易讓電腦或手機不知不覺中被載入挖礦程式,成為幫別人賺外快的礦工。

<回到新聞條列重點>

【南北韓高峰會】北韓駭客新手法 侵入電腦幫金正恩政權「挖礦」  鏡傳媒

南北韓的代表已先在一月九日進行了自2015年12月以來第一次的面對面會談。不過同一時間,根據華爾街日報報導,網路安全專家們發現在某類型的虛擬貨幣發了埋藏惡意軟體,這個惡意軟體並將它搜刮的戰利品轉到了北韓,這說明了在重重的國際禁運箝制下,北韓的駭客正透過網路其他尋找另類的收入。

<回到新聞條列重點>

機器人送貨服務正式在歐美推出,Starship機器人可以送餐到你桌上  iThome

Starship所打造的機器人有6個輪子,看起來像是會走路的傳統吸塵器,它可運送食物、雜貨或包裏,設定的運送時間為15至60分鐘。

<回到新聞條列重點>

臉書為孩童版的Messenger推出睡眠模式,讓父母管理孩童上線時間 iThome

現在不用擔心孩童花太多時間使用Messenger了,臉書近日針對孩童版的Messenger推出睡眠模式的功能,讓父母設定Messenger關閉的時間,像是晚餐、寫作業、就寢等時間。

<回到新聞條列重點>

加密貨幣洗錢防制  實名制是共識     中央社即時新聞網

立法院今天舉行「健全加密貨幣洗錢防制」公聽會,與會專家學者普遍認為實名制是防制洗錢的基本要求。法務部官員則說,將報請行政院決定納管虛擬貨幣與否及其範圍與方法。

<回到新聞條列重點>

以比特幣的視角看區塊鏈,這是大多數人所犯的錯誤    T客邦

事實上,這種思維是非常有侷限性的,可是它卻很普遍,即便今年人們陷入狂熱,熱衷於對幾乎所有可以想像到的計算與商業問題應用區塊鏈、加密數位貨幣,以及結合諸如智能合約和代幣這類更新的開發方向。

<回到新聞條列重點>

【冷閱讀】嚴格的隱私權法律 GDPR,可能讓 Google 跟 Facebook 在歐洲更接近壟斷地位  科技新報網

目前 Facebook 每個月活躍用戶約有 21.3 億人,其中歐盟人口占 3.7 億人(歐盟人口約 5.1 億),而 Google 的 Android 用戶每月活躍裝置超過 20 億,相關 Google 服務月活躍用戶分別都突破了 10 億,這也意味著許多用戶的資料都已在這兩間公司的掌控之下。

<回到新聞條列重點>

專家傳真-從Facebook個資外洩事件 看我國跨境數據傳輸監理制度 中時電子報網

Facebook個資外洩事件應屬近期全球資訊安全上嚴重過失案件。該案件源起在於Facebook透過內部遊戲或心理測驗等工具,請求使用者提供相關個人資訊以順利完成遊戲或測驗之進行。

<回到新聞條列重點>

網攻嚴重 科學園區4月遭襲68億次        自由時報

台灣高科技產業遭到網路惡意攻擊嚴重,科技部長陳良基昨在立法院答詢指出,據科技部監控台灣科學園區的網路,光四月台灣的科學園區網路遭惡意程式攻擊竟超過六十八億次;陳也指出,據國家實驗研究院統計,有三分之一以上的惡意攻擊會經過或到達台灣。

<回到新聞條列重點>

GitHub發現以明文紀錄用戶密碼的內部臭蟲    iThome

GitHub發現的臭蟲會在用戶重設密碼時,以明文紀錄使用者的密碼,GitHub認為外部無法存取,GitHub員工也無法存取,GitHub已通知受影響用戶更換密碼。

<回到新聞條列重點>

麻州學區電腦遭駭  繳付比特幣贖金解鎖 中央通訊社商情網

麻州蘭民斯特學區電腦系統日前遭到駭客攻擊,學區主管徵詢警方意見之後,以比特幣繳付1萬美元贖金,才陸續取回被駭客上鎖的檔案資料。

<回到新聞條列重點>

資訊便利危機,駭客手法大公開        太平洋日報

嘉義縣政府政風處於4月26日邀請資安顧問林志遠,於社會局大禮堂帶來「資訊方便,背後安全性!!駭客手法大公開。」的課程,向現場近2百位機關同仁,揭露日常生活容易忽略的資安漏洞,並教導大家如何避免自身暴露於資訊網路爆炸性發展所伴隨的風險中。

<回到新聞條列重點>

鑽研4千頁手冊!Google天才工程師約翰.霍恩,揪出英特爾大漏洞        數位時代

2018年一開春,就傳出英特爾(Intel)處理器的重大安全瑕疵,影響層面擴及近十年內的個人電腦、智慧型手機、雲端服務。而揪出「Meltdown」、「Spectre」這兩項漏洞的,是留著一頭棕色短髮、英文帶著一點德國口音、年僅22歲的工程師──約翰.霍恩(Jann Horn)。

<回到新聞條列重點>

趨勢:惡意程式專門利用臉書Messenger感染Chrome用戶,直指加密貨幣而來     iThome

趨勢科技本周披露了一個專門藉由Facebook Messenger進行散布,且主要感染Chrome瀏覽器用戶的FacexWorm惡意程式,該惡意程式鎖定的目標為近來盛行的加密貨幣,包括竊取用戶加密貨幣憑證、進行加密貨幣詐騙、誘導用戶造訪遭植入採礦程式的網頁,以及挾持加密貨幣的交易等,功能非常完善。

<回到新聞條列重點>

連網醫療裝置存有漏洞風險 資安必須成為系統建制一部分  電子時報

美國心臟病學學院(American College of Cardiology)電生理學委員會公布報告指出,市售醫療裝置並非完全不會遭受遠端駭客攻擊,進而破壞裝置的運作。換言之,對於用戶來說仍有風險存在。

<回到新聞條列重點>

日本國防資安堪憂 關鍵資訊恐怖分子看光光  臺灣英文新聞

日本自衛隊日前爆出日誌篡改問題,迫使日本政府決定公佈日誌,只有在部分敏感句子上塗黑。但日本《產經新聞》指出,這樣恐怕只會讓駐外自衛隊更危險。

<回到新聞條列重點>

針對企業E-mail系統 趨勢科技推AI防詐騙技術    電子時報

有鑑於企業電子信箱遭冒用並從事詐騙行為的案件層出不窮,台灣防毒軟體業者趨勢科技表示其已研發出一套新技術,運用人工智慧(AI)來阻絕這種所謂的變臉詐騙(Business Email Compromise ; BEC)

<回到新聞條列重點>

趨勢科技再次於 NSS Labs 進階端點防護測當中榮獲「推薦」評價      iThome

NSS Labs 執行長 Vikram Phatak 表示:「為了因應快速演變的威脅情勢,我們特別加強了測試難度來考驗那些採用特徵偵測以外的防護產品。企業需要優秀的偵測技巧,而趨勢科技在這方面表現卓越。」

<回到新聞條列重點>

首腦丹尼斯 駭賺1.5萬枚比特幣       中國時報

俄羅斯籍的丹尼斯,是一名高級黑駭客,擅長利用木馬程式進行攻擊,多年前,丹尼斯與另一群黑駭客組成的犯罪團體,找到某廠牌ATM的漏洞後,丹尼斯就從2013年開始,以植入木馬程式到ATM主機手法,遠端遙控ATM自動吐鈔,得手多次,但歐洲警方完全束手無策。

<回到新聞條列重點>

台警破解手機 瓦解一銀案盜領集團  中國時報

歐洲在過去5年被一組由高級黑駭客所主導的ATM盜領集團所苦惱,歐洲警察組織〔EUROPOL〕為此特別成立一個代號為「Operation TAIEX」的專案行動,並替這個跨國犯罪組織命名代號為「COBALT」,在歐洲布下天羅地網要逮到這些人。

<回到新聞條列重點>

Android手機注意!新間諜程式會偷走你的銀行帳密      T客邦

趨勢科技近期偵測到一波新網路攻擊,Android 惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定(DNS)進行散播,推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader 惡意程式,並喬裝成 Facebook 或 Chrome 等正常應用程式,進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料,不法人士瞄準了台灣、香港、中國大陸、日本和韓國等亞洲地區進行散播攻擊。

<回到新聞條列重點>

行動消費世代來臨吃喝玩樂全包辦 小心行動金融暗藏風險!  2017年行動銀行惡意軟體成長4倍 4大步驟檢視行動資安        iThome

根據國發會最新調查顯示,台灣民眾12歲以上的上網率突破八成,手機已成為民眾日常生活主要的上網工具。隨著民眾對手機黏著度提升,越來越多消費者選擇在手機裝置中下載行動銀行APP,以行動銀行執行重要的企業及個人活動。

<回到新聞條列重點>

泰國True Move爆發個資外流 引發政府全面關切   電子時報

近期泰國第二大電信業者True Move用戶資訊外流一案,引起該國媒體與民眾間的騷動。該國政府省思並認為,用戶資訊須由官方機構儲存以利確保資訊安全。

<回到新聞條列重點>

身分證再設計票選遭駭! 內政部關閉網站維修      台灣蘋果日報網

內政部「身分證明文件再設計」網路票選(https://identityredesign.tw/vote-list.html)活動於4月21日展開,目前得票數居首「嶼民在地」因註明「台灣」引起網友熱議。投票網頁疑今遭駭客竄改,點選「嶼民在地」竟會跳出「該作品涉及違憲」、「支持賴清德!民進黨獨立台灣!這話要說清楚」等警語,之後就冒出中共憲法法規,懷疑遭駭客入侵。內政部表示已關閉網站,將儘速修復上線供票選。

<回到新聞條列重點>

北韓打科技戰 駭韓發電廠竊核機密文件  tvbs新聞網

核武、飛彈一直是北韓的發展重心,在西方留學過的金正恩上位後了解到科技戰的重要,於是大組駭客部隊,去年瞄準南韓一處核電廠攻擊,順利取得發電廠有關核原料生產的機密文件,也讓南韓相當擔心北韓雖然中止核試,但還是要嚴防北韓的駭客大軍。

<回到新聞條列重點>

金融科技時代下的資安風險        遠見雜誌網

資訊安全以及消費者保護一直都是金融監理的重要核心。最近Facebook有5000萬用戶的個人數據被一家英國「劍橋分析」(Cambridge Analytica)政治諮詢公司濫用,造成軒然大波,使Facebook聲譽受損。美國知名零售商Target與Home Depot,在2014年因為支付系統遭駭客攻擊,造成信用卡資料外洩,也導致公司損失超過4億美元。

<回到新聞條列重點>

史上最盛大的紅帽高峰會將於5月8至10日於舊金山展開  iThome

紅帽高峰會是業界領先的技術盛會,每年吸引數千名與會者,並舉辦300多場商業、技術研討會與實作。在這裡可以看到推動企業科技發展的最新開放原始碼技術,包括混合雲基礎架構、容器、雲端原生應用平台、管理與自動化。在為期一週的紅帽高峰會,全球各地的客戶、合作夥伴、科技業領導者將共同體驗創新技術、學習新知與相互合作。

<回到新聞條列重點>

小英總統拚經濟 5+2產業點燃今年內需發展引擎   匯流新聞網

所謂5+2產業指得是「智慧機械」、「亞洲‧矽谷」、「綠能科技」、「生醫產業」、「國防產業」、 「新農業」及「循環經濟」等產業創新計畫。蔡英文表示,5+2產業創新計畫會讓台灣每個產業都有投資機會,其中又以國防產業是最大內需來源,國防產業在未來幾年可以創造數千億元商機。

<回到新聞條列重點>

物聯網 台灣將成全球重鎮  工商時報

總統蔡英文昨(29)日說,全球都在發展物聯網(IOT),而台灣也正處於百家爭鳴階段,政府打造創新空間、高自由度,鼓勵各界想盡所有IOT應用可能性,接著才會開始收斂,目前Google、IBM、微軟、思科等國際大廠紛紛來台,台灣將成為全球IOT重鎮。

<回到新聞條列重點>

八家社會企業 點亮美好價值      遠見雜誌網

十年前,趨勢科技董事長張明正引領風氣,創辦若水國際公司,為身障者創造工作機會。之後如綠藤生技、慕渴鮮乳坊等社企一一發芽;全台第一個社企交流平台「社企流」更推波助瀾,改變不少產業運作思惟。近三年來,全台社企至少成長七倍,約達300家。

<回到新聞條列重點>

數位生活成趨勢 科技基金可期  工商時報電子報

地緣政治及貿易緊張局勢緩解,能源股引領全球股市走高,能源基金4月大漲11%,反觀台積電降第二季營收預測,及市場擔憂蘋果iPhone需求前景,拖累科技股走跌,科技基金4月僅小漲0.25%,但科技產業結構性並未改變,科技生活為大勢所趨,科技基金後市仍可期。

<回到新聞條列重點>

2018台灣經濟犯罪調查報告今發布  籲企業積極防制經濟犯罪與舞弊事件        中央社即時新聞網

資誠聯合會計師事務所與社團法人臺灣誠正經營暨防弊鑑識學會、普華商務法律事務所、普華國際財務顧問(股)公司及資誠智能風險管理諮詢有限公司於2018年5月2日共同舉辦「經濟犯罪調查暨防弊新趨勢」研討會,會中發表《2018台灣經濟犯罪調查報告》,從全球經濟犯罪的統計比較我國目前的現狀,並以企業內部建立「吹哨者」的新趨勢為主軸,從吹哨人的角色、效益及其保護制度等面向,深入探討企業舞弊防制的議題。

<回到新聞條列重點>

金屬中心攜手微軟推出AI合作 促進傳產數位升級轉型 工商時報電子報

金屬中心與台灣微軟合作簽署MOU,偕同將AI應用在傳統產業,協助數位轉型,發展智慧應用。

<回到新聞條列重點>