本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選:
知名電競賽事主持人IG遭盜用 竟要1萬連署才能討回來! 新頭殼
聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身 ETtoday新聞雲
強化裝置安全性, Google 將強制要求手機商進行每月安全更新 癮科技
趨勢科技協助FBI成功將 Scan4You 定罪 台灣產經新聞網
IoT裝置UPnP協定可讓駭客發動新型態DDoS攻擊 一旦發生難以緩解 iThome
RSA資安調查:僅4成7的組織會在第一時間修補安全漏洞 iThome
兩大郵件加密軟體有漏洞 恐易遭駭客入侵 中央社即時新聞網
LG旗艦手機遭爆有遠端程式碼執行漏洞,G4、G5及G6全中鏢 iThome
微軟修補68個安全漏洞,包含兩個零時差攻擊漏洞 iThome
南韓業者GPON路由器漏洞遭5種殭屍網路開採 iThome
【美國銀行】首席技術長:加密貨幣是一個「麻煩的」支付系統,鑑於支付設計不透明 BLOCKTEMPO
密碼沒保管好 信用卡盜刷恐難賠 台灣蘋果日報網
訊息爆炸時代資訊審核的重要性 數位時代
Adobe釋出本月第二波安全修補 iThome
厄瓜多砸上億台幣 監視維基創辦人亞桑傑 中央社即時新聞網
影/員工證晶片植入手背保證不遺失!這些瑞典人好勇 聯合新聞網
網路報稅防駭 五招護身 可由財部網站下載軟體 事前掃毒 完成後移除資料 確保安全 經濟日報(臺灣)
海外被盜刷爆 銀行竟酸「為何亂刷卡」 台灣蘋果日報網
駭客入侵西點軍校 曾留名逾萬軍事、政府及商業網站 世界新聞網
伊朗示威反美 網軍大舉襲美 聯合新聞網
資安界奧斯卡DEF CON 駭進中國 開辦活動26年 首次在美以外地方舉行 旺報
臺灣HITCON再度入圍全球駭客攻防大賽DEF CON CTF決賽,8月於美國再戰全球 iThome
新IP力助物聯網裝置抵禦物理攻擊威脅 EDN Taiwan
Nutanix加強SDN產品布局推出Nutanix Flow iThome
Google:Microsoft Edge的ACG安全功能含有缺陷 iThome
【央行加密禁令】辛巴威央行宣布禁止金融機構與任何加密相關業務往來 BLOCKTEMPO
Windows容器 資安漏洞 Windows Server容器套件含遠端程式碼執行漏洞,用Windows主機執行容器要快更新 iThome Weekly電腦報
AI技術扮要角 打造智慧工廠非夢想 電子時報
36萬筆個資外洩顧客遭詐求償 雄獅旅行社:沒因果關係 經濟日報網
【Mac 不會中毒?醒醒吧】高市佔率讓蘋果成駭客目標,但防毒軟體可千萬別亂裝 科技報橘網
OS業者誤解晶片製造商文件,使Windows、macOS與Linux曝露資安風險 iThome
朔宇結盟FireMon 強化企業整體資安防護力 iThome
臺荷產官學國際合作 建設資安基礎防護 財團法人資訊工業策進會
台灣推動國艦國造 專家:融入資安觀念 中央通訊社商情網
GDPR上路倒數,小心相關網釣活動激增! iThome
訂定「敏感科技保護法」刻不容緩 台灣新生報
拜託別再教我如何成功─Tomofun 創辦人張友辰:「失敗很痛,但那才是學習的開始」 數位時代
知名電競賽事主持人IG遭盜用 竟要1萬連署才能討回來! 新頭殼
現代人相當仰賴社交平台,但由於駭客橫行,也使得盜用事件頻傳,近日知名電競賽事主持「小熊Yuniko」的Instagram遭到盜用,不僅帳戶內原有的照片全部遭到刪除,擁有16萬的帳戶更被轉賣他用,如果要取回帳戶,竟然要1萬粉絲連署才能夠取回,也引發粉絲熱烈的討論。
<回到新聞條列重點>
聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身 ETtoday新聞雲
去年漢堡王曾推出 15 秒的廣告,影片短到沒有時間告訴消費者漢堡有多好吃,但在廣告結束前,主角用一句「O.K. Google,華堡是什麼呢?」讓家中的 Google Home 搜尋維基百科的資料,替觀眾介紹漢堡王的漢堡,有創意的行銷方式,除了說明智慧音箱的普及,更讓人們開始注意到,聲控系統有多容易被操控。
<回到新聞條列重點>
強化裝置安全性, Google 將強制要求手機商進行每月安全更新 癮科技
由於智慧手機市場熱度遠超過傳統電腦,也成為駭客主要攻擊目標,作為 Android 系統提供商, Google 也藉由提供每月安全更新持續修補安全性,只是並非所有的手機業者都會隨之更新,尤其有時牽涉到手機商在各地還有與電信商配合,有些地區或是特定電信商合作機種也不見得都會收到更新,但在今年 Google IO 大會, Google 提及未來將調整 OEM 協議,使手機廠商需要強制進行每月安全更新,確保消費者手中的設備維持最新的安全防護能力。
<回到新聞條列重點>
趨勢科技協助FBI成功將 Scan4You 定罪 台灣產經新聞網
今天公布與美國聯邦調查局 (FBI) 合作追查及逮捕惡名昭彰的 Scan4You 防毒反制服務 (Counter Antivirus,簡稱 CAV) 並將之起訴的相關細節。兩名主要嫌犯當中,Ruslans Bondars最終被判有罪,而 Jurijs Martisevs 則早在 2018 年 3 月即已認罪。是次行動主要透過趨勢科技 與 FBI 獨家合作的調查成果,將歹徒追緝並起訴。
<回到新聞條列重點>
IoT裝置UPnP協定可讓駭客發動新型態DDoS攻擊 一旦發生難以緩解 iThome
資安公司指出UPnP缺少流量驗證機制,拙劣的預設更可能遭到遠端攻擊,同時該協定也存在遠端程式碼攻擊漏洞。若駭客針對UPnP攻擊路由器等連網裝置,結合隱藏原始來源IP及DDoS攻擊,將難以追查IP予以緩解。
<回到新聞條列重點>
RSA資安調查:僅4成7的組織會在第一時間修補安全漏洞 iThome
4月RSA安全會議針對參與的資安專家進行問卷調查,47%的受訪者回應其組織會在第一時間修補漏洞,而詢問受訪者認為組織中最不安全的技術,24.5%認為是雲端架構與應用,23.2%指IoT。
<回到新聞條列重點>
兩大郵件加密軟體有漏洞 恐易遭駭客入侵 中央社即時新聞網
歐洲研究人員發現,PGP及S/MIME這兩種郵件加密軟體出現漏洞,易被駭客入侵。由於PGP及S/MIME使用者眾多,他們呼籲立即停用並移除相關軟體。
<回到新聞條列重點>
LG旗艦手機遭爆有遠端程式碼執行漏洞,G4、G5及G6全中鏢 iThome
這個漏洞雖只在LG的手機獨有,但影響範圍頗大,根據2017年顧問公司Strategic Analytics所做的調查,LG手機在美國Android的OEM市占率超過20%。
<回到新聞條列重點>
微軟修補68個安全漏洞,包含兩個零時差攻擊漏洞 iThome
此次修補的68個漏洞中包含了兩個零時差漏洞,其中之一為遠端攻擊漏洞,存在於Windows VBScript Engine,駭客可建立惡意網站,誘導用戶以IE造訪該站,可讓駭客取得使用者的權限,被列為重大漏洞。
<回到新聞條列重點>
南韓業者GPON路由器漏洞遭5種殭屍網路開採 iThome
5月初Dasan Networks的GPON被發現有兩項漏洞,安全公司Qihoo360發現至少有5種殭屍網路病毒開採漏洞,包括Mettle、Muhstik、Mirai、Hajime 和Satori。
<回到新聞條列重點>
【美國銀行】首席技術長:加密貨幣是一個「麻煩的」支付系統,鑑於支付設計不透明 BLOCKTEMPO
據CCN報導,由於加密貨幣對銀行的交易透明度監管帶來了許多麻煩,美國銀行依然對加密貨幣作為支付形式的概念表現出強硬態度。美國銀行高管週四表示,加密貨幣給當局帶來了更多面對「壞人」的挑戰。
<回到新聞條列重點>
密碼沒保管好 信用卡盜刷恐難賠 台灣蘋果日報網
為強化信用卡線上交易安全性,金管會近年來不斷向銀行宣導網路交易認證機制,要導入「3D驗證碼」,強調信用卡不易被盜刷;但官員強調,依現行規定,若是因遭駭客入侵,如被植入木馬程式,而被盜刷,持卡人不用埋單;但若是持卡人未妥善保管「驗證碼(指密碼)」而被盜用,則由持卡人埋單。
<回到新聞條列重點>
訊息爆炸時代資訊審核的重要性 數位時代
今年的Facebook開發者大會,對於Facebook日益增長操作訊息的有很大幅的說明,因為在美國總統大選曾經發生大量俄羅斯假帳號帶風向成功影響選情,Zuckerberg在會議開始就針對真實的選舉訊息,告訴大家Facebook一直在打擊這些假帳號,審查帳號ID,揭露政治廣告的來源,對象和花費讓政治廣告更加透明化,並且承諾年底會設置20000訊息審查員,請獨立機構來確保系統審查正常運作。除了選舉之外他們針對三種類別打擊假新聞(fake news)。
<回到新聞條列重點>
花蓮縣政府與關懷台灣文教基金會、趨勢科技等單位合作,辦理「魔法VR巴士到校巡迴」,將造價千萬的VR(Virtual Reality)虛擬實境技術帶進校園,預計進入花蓮31國中小學,結合體感互動,讓學生體驗星河奧祕,偏鄉學童也有機會接觸新科技。
<回到新聞條列重點>
Adobe釋出本月第二波安全修補 iThome
本周釋出的安全更新共修補47個漏洞,當中24個屬重大漏洞,涵蓋記憶體重覆釋放、堆積溢位、使用後釋放、越界寫入、類型混亂等類型漏洞,可能導致任意程式執行。
<回到新聞條列重點>
厄瓜多砸上億台幣 監視維基創辦人亞桑傑 中央社即時新聞網
英國「衛報」報導,厄瓜多對2012年開始棲身在其駐英大使館的維基解密創辦人亞桑傑進行監視,最初是為了幫助他,後因他駭入使館電腦而變調。厄瓜多並為此投入了500萬美元。
<回到新聞條列重點>
影/員工證晶片植入手背保證不遺失!這些瑞典人好勇 聯合新聞網
瑞典人已逐漸接受把晶片員工證植入手背的作法,法新社在斯德哥爾摩市訪問到兩名植入晶片的上班族,他們異口同聲說,這樣生活更簡便。
<回到新聞條列重點>
網路報稅防駭 五招護身 可由財部網站下載軟體 事前掃毒 完成後移除資料 確保安全 經濟日報(臺灣)
大多數的民眾會選擇網路報稅,不但省時又可以搶先第一批退稅,但台北國稅局提醒採用網路報稅的民眾,注意報稅前掃毒、報稅後自電腦硬碟移除報稅資料等五大事項,才能安全報稅。
<回到新聞條列重點>
海外被盜刷爆 銀行竟酸「為何亂刷卡」 台灣蘋果日報網
日在日本交易約台幣6萬的消費,因兩人都在台灣,也無透過國外網站消費,驚覺信用卡被盜刷,立即致電發卡的樂天銀行表明被盜刷並要求掛失止付,但第一線客服人員竟回覆:「為什麼要亂刷卡?是妳自己有刷卡忘記了吧?」並於隔天回電曾小姐此交易是她本人消費,仍需繳付這筆款項。
<回到新聞條列重點>
駭客入侵西點軍校 曾留名逾萬軍事、政府及商業網站 世界新聞網
一名加州男子因涉嫌入侵紐約市主計長辦公室和美國軍事學院附屬機構的網站,並塗改其內容,於日前被捕。
<回到新聞條列重點>
伊朗示威反美 網軍大舉襲美 聯合新聞網
美國宣布退出伊朗核協議,以色列轟炸伊朗駐利亞部隊,引發伊朗的反美浪潮。數千伊朗民眾11日走上街頭遊行示威,表示絕不向美國以色列低頭,伊朗政府則下令準備好大規模提煉濃縮鈾,隨時重啟核計畫。就連伊朗的網軍,也開始攻擊美國及盟國的電腦網絡。
<回到新聞條列重點>
面對時刻變化的網路世界,行政院不僅將資訊安全視為國家安全的重點項目,更為了讓台灣廠商有機會能與國際接軌,特地舉辦《2018國際資安新創交流活動》邀請台灣資安企業、資安新創公司、國內外創投與國際資安加速器,透過講座及現場交流的方式,爭取國際商業合作機會和資金,打進國際人脈網絡。
<回到新聞條列重點>
資安界奧斯卡DEF CON 駭進中國 開辦活動26年 首次在美以外地方舉行 旺報
全球知名度最高、歷史最久的駭客大會DEF CON CHINA13日在北京閉幕。這是該項活動創辦26年以來,首次在美國以外的地方舉行。來自全球各地的安全專家和安全愛好者齊聚DEF CON,集中展示全球安全領域最先進的技術研究成果。
<回到新聞條列重點>
臺灣HITCON再度入圍全球駭客攻防大賽DEF CON CTF決賽,8月於美國再戰全球 iThome
臺灣有第二個隊伍「BFS」,是由交大Bamboofox、臺大Balsn、中央大學DoubleSigma以及中科院Kerkeryuan CTF戰隊等四隊聯軍,打下入圍賽第22名的好成績,主辦單位會於一週內會公布,BFS可否成為臺灣第二隊入圍DEF CON CTF決賽的隊伍。
<回到新聞條列重點>
新IP力助物聯網裝置抵禦物理攻擊威脅 EDN Taiwan
Arm宣布推出全新Arm Cortex-M35P,為Cortex-M產品系列中首款專為物理安全提供防竄改功能的處理器,並為安全IP產品系列增添CryptoCell-312P與Arm CryptoIsland-300P,搭載抵禦包括電源與電磁分析等各種旁路攻擊技術,讓合作夥伴實現能抵禦物理攻擊的安全物聯網應用。
<回到新聞條列重點>
Nutanix加強SDN產品布局推出Nutanix Flow iThome
Nutanix對此新產品賦予重任,目標讓應用程式工作負載可以自由在公有雲、私有雲環境間搬遷,同時維持統一的資安管理政策。
<回到新聞條列重點>
Google:Microsoft Edge的ACG安全功能含有缺陷 iThome
Google Project Zero安全團隊指出微軟在Microsoft Edge瀏覽器所使用的ACG安全機制無法有效防範駭客突破沙箱防護,讓駭客可能繞過安全機制展開攻擊,微軟已修補部份漏洞。
<回到新聞條列重點>
【央行加密禁令】辛巴威央行宣布禁止金融機構與任何加密相關業務往來 BLOCKTEMPO
辛巴威儲備銀行(RBZ)董事兼銀行機構註冊官Norman Mataruka週五發布通知,要求所有金融機構在60天內終止服務加密貨幣交易所並開始清算現有與加密相關的帳戶。金融機構已被命令「確保他們不以任何方式使用、交易、持有和/或以虛擬貨幣進行交易」,此舉適用於企業和個人。
<回到新聞條列重點>
Windows容器 資安漏洞 Windows Server容器套件含遠端程式碼執行漏洞,用Windows主機執行容器要快更新 iThome Weekly電腦報
握有系統權限的管理員,若不慎將惡意映像檔上傳至Windows主機,該惡意容器映像檔便可透過此漏洞,對主機發動攻擊。
<回到新聞條列重點>
AI技術扮要角 打造智慧工廠非夢想 電子時報
人工智慧技術的蓬勃發展,不僅為人類創造更美好的生活,也成為全球製造業打造智慧工廠的核心。製造業為生產設備加裝感測元件,並且搭配運用AI、機器學習技術,即可達到提高生產效率、商品品質,同時降低設備維護費用支出。
<回到新聞條列重點>
36萬筆個資外洩顧客遭詐求償 雄獅旅行社:沒因果關係 經濟日報網
雄獅旅行社去年遭駭客入侵,導致36萬筆客戶資料外洩,遭控成為詐騙集團犯罪工具,消基會接獲申訴,提起民事團體訴訟,依個人資料保護法求償363萬多元。士林地方法院今開庭,雄獅主張消基會沒有訴訟實施權,且遭詐騙損失和個資外洩間沒有因果關係,但消基會認為,雄獅身為旅遊業,應做好資安措施,且詐騙集團清楚知道消費者購買行程,可見來源是雄獅個資外洩。
<回到新聞條列重點>
【Mac 不會中毒?醒醒吧】高市佔率讓蘋果成駭客目標,但防毒軟體可千萬別亂裝 科技報橘網
2008 年,喬布斯從信封里掏出了令人驚艷的 MacBook Air,輕薄和便於攜帶使它成為了很多人移動辦公的首選。
而且與普通的 PC 相比,macOS 最大的優勢之一是系統安全性更好,你不需要安裝專門的殺毒軟體,也無需擔心 Windows 上的那些流氓軟體的廣告彈窗。
<回到新聞條列重點>
OS業者誤解晶片製造商文件,使Windows、macOS與Linux曝露資安風險 iThome
由於作業系統開發人員誤解了英特爾架構上的中斷/異常指令—MOV SS與POP SS,使得作業系統無法妥善處理異常狀況,導致駭客可能存取記憶體中的資料,或是控制低階的系統功能。
<回到新聞條列重點>
朔宇結盟FireMon 強化企業整體資安防護力 iThome
為企業提供加值服務的朔宇科技,全新代理的 FireMon 智慧安全管理平台,讓資訊人員能在單一管理介面之中,即可掌握公司內部所有防火牆設備的政策設定,同時驗證設定的合規性與有效性,進而即時回應各種異常事件,提升對抗資安威脅的能力。
<回到新聞條列重點>
臺荷產官學國際合作 建設資安基礎防護 財團法人資訊工業策進會
為協助國內資安基礎防護,今(14)日由中研院李德財院士所帶領的「資通安全研究與教育中心」(TWISC)、林宗男所長代表的資策會資安科技研究所(資安所),以及創辦SecurityMatters(*註)的荷蘭恩荷芬科技大學(Technische Universiteit Eindhoven)教授艾泰爾(Sandro Etalle),在荷蘭貿易暨投資辦事處(NTIO)及經濟部的共同見證下簽署合作備忘錄,成為工業物聯網資安的國際策略夥伴,將針對基礎建設協力,發展工控資安技術。
<回到新聞條列重點>
首屆台美國防產業論壇將於五月十日在高雄登場,我方規畫由國防部長嚴德發、前部長馮世寬與會,凸顯對此一活動的重視。潛艦合作將成焦點,漢翔公司也將展示整合與構改能量,期盼藉此打入國際大廠供應鏈。
<回到新聞條列重點>
台灣推動國艦國造 專家:融入資安觀念 中央通訊社商情網
台美國防產業論壇今天舉辦,與會的國際軍火公司、資安專家認為,由於電子戰、網路戰勢必成為未來戰爭模式之一,台灣推動國艦國造必須融入資安概念,才能抵禦不同形式的攻擊。
<回到新聞條列重點>
GDPR上路倒數,小心相關網釣活動激增! iThome
資安業者Redscan則發現GDPR相關的網釣活動,駭客假借Airbnb名義向房東發出網釣郵件,宣稱變更隱私政策需要獲得房東同意,騙取房東的憑證與金融卡資訊。
<回到新聞條列重點>
訂定「敏感科技保護法」刻不容緩 台灣新生報
立法院三讀通過「資通安全管理法」,對於提供國家關鍵基楚設施者,應提出資安維護計劃,該法涵蓋範圍除公務、公營及政府補助機關之外,還包括水資源、金融、通訊、交通、高科技園區、緊急醫療、中央與地方機閱等八大領域。此法看似完整,但是在現實環境中,僅是跨出微小一步,所幸的是在資安問題上有一個開始。
<回到新聞條列重點>
拜託別再教我如何成功─Tomofun 創辦人張友辰:「失敗很痛,但那才是學習的開始」 數位時代
2016 年底,《換日線》團隊採訪自美返台創業, Tomofun 的創辦人暨 CEO 張友辰。近一年半過去,其推出的「Furbo 狗狗攝影機」已一如當初所計畫,成功打入美國和日本市場,並創下銷售與預購佳績。
<回到新聞條列重點>