《資安新聞週報 》【歷時3年之久】資安法三讀通過/信用卡資料外洩,付款時網路攝影機搞鬼!/北市政府規劃多功能智慧路燈

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選

「屍體從墳墓爬出攻擊人」!美佛州大停電誤發「殭屍警報」    ETtoday新聞雲

駭客頭號目標 川普拒手機安檢:不方便  聯合新聞網

Amazon 為警方提供臉部辨識技術,用戶擔憂雲端平台資訊安全 科技新報網

北韓網軍幫金正恩偷多少錢?外媒:台幣200億元        臺灣英文新聞

網美IG被盜遭勒索 駭客:給不雅照贖回        台灣蘋果日報網

高手在民間?娃娃機台疑遭駭客入侵專夾高價商品        聯合新聞網

Intel 公告第四種 Spectre 安全性漏洞的細節   Engadget中文版

CPU推測執行瑕疵再添兩個新變種漏洞    iThome

NATO向假消息開戰      自由時報

「帳號出現異常活動 請更新您的付款資料」?  鎖定 Apple ID 網路釣魚攻擊現身 個人信用卡資料恐遭駭        iThome

HNS IoT殭屍病毒 研究人員發現首隻重開機後依舊可存活的IoT彊屍病毒 iThome Weekly電腦報

能關閉防毒軟體、被發現就當機! 惡劣挖礦軟體3天內感染50萬台PC      iThome

單身商機正夯 便利性與隱私外洩的雙面刃      電子商務時報網

用戶隱私不容妥協 LINE在內網路服務面臨全新挑戰      聯合新聞網

強化資安防護 外交部建置進階防衛系統  中央社即時新聞網

【歷時3年之久】資安法三讀通過,臺灣資安發展將邁向制度化、一致化        iThome

路燈人臉辨識恐探隱私 北市:循個資法規定  中央社即時新聞網

調查顯示 一半CEO認為遲早將受網路攻擊     經濟日報網

約翰 史崔勒基╳王文華:該堅持的是目的,而不是途徑      快樂工作人雜誌

偽裝虛擬女友成人遊戲,鎖定Windows和Android 用戶,當心信用卡資料外洩甚至卡費暴增        癮科技

家長監控app遭爆雲端資料不設防,上萬用戶Apple ID、密碼可能外洩     iThome

微軟 Google 發現新一代處理器漏洞,但威脅性較之前低     科技新報網

專業組建資安服務 調查局產險加入生態系      網管人

資安一周(0516-0522):小心駭客用GDPR設下網釣活動!Chrome將不再標示HTTPS網頁為「安全」        iThome

【臺灣資安邁入新紀元】資安法立院三讀通過        iThome

創業加速器 AppWorks 校友經驗談,AI 新創成功的七大關鍵       數位時代

Fed官員批加密貨幣是鬧劇!經濟學家:比特幣恐歸零 中時電子報網

趨勢科技的專業技術協助執法機關將 Scan4You 定罪     中央日報網路報

NCC副主委翁柏宗確定續任 新聘資安領域委員      中時電子報網

蘋果應中國政府要求,撤下中國所有採CallKit設計的App    聯合新聞網

「免iTunes」全球首款加密iPhone?檔案傳輸軟體DearMob iPhone? Manager問世,新增重大功能「數據安全」        iThome

英特爾、微軟公佈漏洞出現新變體 未來幾周發佈補丁  新浪網(臺灣)

駭客攻陷居易路由器漏洞以竄改DNS設定,影響逾20款路由器型號 iThome

文金會後停止敵對行??韓媒:北韓仍持續駭客攻擊      臺灣英文新聞

專訪/LINE資安長:隱私問題並非只存在服務設計層面        聯合新聞網

〈觀察〉純網銀執照爭奪戰 公股銀兩擔憂 組國家隊恐有難度    鉅亨網

延攬民間高手!日本防衛省擬建司令部統籌網路維安工作    ETtoday新聞雲

LocationSmart網站漏洞可能洩露北美2億手機用戶位置        iThome

Signal漏洞連環爆! 桌面版應用程式一周內被爆兩個程式碼注入漏洞  iThome

Alphabet 的 Project Shield 擴展至保護政治團體免受 DDoS 攻擊        Engadget中文版

四大漏洞 使資安風險加劇  工商時報電子報

元大人壽 獲新版PIMS認證        工商時報

入侵墨銀行同業支付系統 駭客得手4.5億       中央社即時新聞網

盤古實驗室:全球有10%的iOS程式含有ZipperDown漏洞,可危及程式功能與權限       iThome

EFAIL漏洞可能洩露加密郵件明文內容,Thunderbird建議用戶不要停用加密郵件功能      iThome

「屍體從墳墓爬出攻擊人」!美佛州大停電誤發「殭屍警報」    ETtoday新聞雲

美國佛州萊克沃思市(Lake Worth)上周日發生持續27分鐘的停電,但地民眾卻收到官方所發布的「殭屍警報」。簡訊一送出,讓約有7,880多位民眾身陷「殭屍危機」。

<回到新聞條列重點>

駭客頭號目標 川普拒手機安檢:不方便  聯合新聞網

川普總統使用未安裝精密安全裝置的白宮手機講電話並發推特,且屢次以「太不方便」為由,拒絕每月將手機交付安全專家檢查,迄今長達五個月。這讓川普的手機成為外國情報人員及駭客可能輕易入侵或監控的目標。

<回到新聞條列重點>

Amazon 為警方提供臉部辨識技術,用戶擔憂雲端平台資訊安全 科技新報網

Amazon 旗下擁有電商、雲端計算、物流等多個業務體系,但外界很少知道電商巨擘還與警方有緊密的合作,Amazon 向警察提供臉部辨識系統,可透過監控鏡頭即時辨識數百萬人的臉部資訊。目前已經有 20 多家非營利機構致信 Amazon 公司 CEO 貝佐斯(Jeff Bozes),要求停止向警方出售該技術,一個強大的監控系統有被濫用的可能。

<回到新聞條列重點>

北韓網軍幫金正恩偷多少錢?外媒:台幣200億元        臺灣英文新聞

北韓的網軍部隊,除了幫助金正恩取得國外機密資料外,更爲他的國家,賺進大把銀子。他們到底賺(偷)了多少錢呢?媒體報道,答案是將近台幣200億元。

<回到新聞條列重點>

網美IG被盜遭勒索 駭客:給不雅照贖回        台灣蘋果日報網

在社群網站《Instagram》上有10萬粉絲的網路正妹Alice,經營了6、7年的帳號日前被盜,而該位土耳其駭客,還威脅她要拿錢出來回帳號,讓她感嘆「網路詐騙真的是一件很可怕的事情」。

<回到新聞條列重點>

高手在民間?娃娃機台疑遭駭客入侵專夾高價商品        聯合新聞網

新北市鶯歌區建國路1家夾娃娃機店業者昨晚向警方報案,聲稱店內疑遭人使用「電子干擾器」詐術,導致機器設定於「保證取物模式」每夾必中,專挑高價藍芽喇叭下手,甚至沒有投幣就被夾走2個。

<回到新聞條列重點>

Intel 公告第四種 Spectre 安全性漏洞的細節   Engadget中文版

在年初巨大的 Spectre / Meltdown 事件之後,Intel 就有承諾不僅會盡快將漏洞補起來,而且還會繼續研究是否有類似的設計錯誤可以讓不肖者有機可趁。今天 Intel 便與 Google 和微軟一同公開了第四種(簡單名為 Variant 4)繞過安全機制取得資料的管道,基本上和之前的一樣,都是利用處理器的預測功能,透過其他頻道取得資料。

<回到新聞條列重點>

CPU推測執行瑕疵再添兩個新變種漏洞    iThome

Google安全團隊Project Zero在今年1月揭露CPU的推測執行瑕疵,衍生出3個變種漏洞,最近又發現2個衍生的變種漏洞英特爾、微軟、AMD、Arm相繼發表聲明,釋出修補或即將修補。

<回到新聞條列重點>

NATO向假消息開戰      自由時報

筆者閱讀五月十二日的日本讀賣新聞,有一則報導提到,北大西洋公約組織(NATO)在二○一四年於拉脫維亞首都里加成立「戰略溝通中心」,針對由其他國家發動的操縱輿論、介入選舉、資訊安全等提出對策和提供訓練。有十四國參加,組織常駐成員為各國政、軍、學界、民間的專業人員。

<回到新聞條列重點>

「帳號出現異常活動 請更新您的付款資料」?  鎖定 Apple ID 網路釣魚攻擊現身 個人信用卡資料恐遭駭        iThome

趨勢科技偵測到一波新的 Apple ID 網路釣魚攻擊,其假冒 Apple 的名義通知客戶其Apple帳號因為出現異常活動而被鎖住,並要求點選郵件內所附的連結更新付款資料,當受害者點選郵件中的「Update Your Payment Details」(更新您的付款資料) 按鈕時,將會連上一個外觀類似 Apple 網站的假冒網站,此網站所使用的影像背景甚至跟正版的 Apple 網站一樣,以取得受害者信任。

<回到新聞條列重點>

HNS IoT殭屍病毒 研究人員發現首隻重開機後依舊可存活的IoT彊屍病毒 iThome Weekly電腦報

新版HNS入侵裝置並取得最高權限之後,會將自己加到系統的啟動程序,以達到永久進駐的目的,使它成為全球首支在重開機之後還能存活的殭屍病毒。

<回到新聞條列重點>

能關閉防毒軟體、被發現就當機! 惡劣挖礦軟體3天內感染50萬台PC      iThome

WinstarNssmMiner以開原碼專案XMRIG實作而成的挖礦軟體,三天內就感染50萬台PC,目前已經挖到133個、價值2.8萬美元的Monero幣。

<回到新聞條列重點>

單身商機正夯 便利性與隱私外洩的雙面刃      電子商務時報網

隨行動裝置與網路的快速發展,APP(行動應用程式)日益多元化,交友媒合類型的APP便在現代人快速的生活步調中應運而生。然而在交友便利性提高的同時,使用者也經由同意使用條款後,將個資使用之部分權力讓渡給APP開發商,開發商對使用者個資的保護若不夠周全,將造成使用者個人隱私受到侵害。

<回到新聞條列重點>

用戶隱私不容妥協 LINE在內網路服務面臨全新挑戰      聯合新聞網

如同微軟、Google在近期的開發者大會上強調確保用戶安全隱私,以及本身應肩負的社會責任,LINE在東京與Intertrust共同舉辦第三屆資安高峰會上也說明透過與更多安全機構合作,並且配合各地區安全隱私政策調整本身服務平台營運使用模式。

<回到新聞條列重點>

強化資安防護 外交部建置進階防衛系統  中央社即時新聞網

外交部今天表示,針對新型網路攻擊手法,已於5月中旬完成建置「進階持續性駭侵(Advanced Persistent Threat,APT)防衛監控系統」,提升外交部整體資安防護能量。

<回到新聞條列重點>

【歷時3年之久】資安法三讀通過,臺灣資安發展將邁向制度化、一致化        iThome

前朝政府早在2015年便已經提出資安法草案,政黨輪替後,民進黨政府加深資安力道,提出「資安即國安」的資安戰略目標。

<回到新聞條列重點>

路燈人臉辨識恐探隱私 北市:循個資法規定  中央社即時新聞網

台北市政府規劃可統計人車流、人臉辨識等多功能智慧路燈,預定明年在信義區等處設1萬2600盞,但因人臉辨識恐涉及隱私和資安疑慮。副市長林欽榮今天說,會依個資法定訂相關規範。

<回到新聞條列重點>

調查顯示 一半CEO認為遲早將受網路攻擊     經濟日報網

KPMG全球總部今(22)日發表「2018 KPMG全球CEO前瞻大調查」,針對近 1,300 位世界知名企業執行長進行訪談,調查顯示,55%CEO將謹慎預測其所屬企業的年營收成長幅度,僅37%的CEO規劃在未來三年內增加6%以上的員工數量,半數以上CEO預估其營收成長將低於2%。

<回到新聞條列重點>

約翰 史崔勒基╳王文華:該堅持的是目的,而不是途徑      快樂工作人雜誌

2004年,王文華卸下MTV董事總經理的頭銜,休息2年後和趨勢科技董事長張明正創辦若水公司,投入社會企業;2002年,史崔勒基放棄高薪的顧問工作,和妻子背著背包環遊世界9個月,足跡遍及中南美洲、亞洲與非洲,如今成為勵志書籍作家與演說家。

<回到新聞條列重點>

偽裝虛擬女友成人遊戲,鎖定Windows和Android 用戶,當心信用卡資料外洩甚至卡費暴增        癮科技

趨勢科技發現一個多平台間諜軟體:Maikspy,透過偽裝成人遊戲:Virtual Girlfriend(虛擬女友),試圖竊取Windows和Android個人資料。一旦使用者安裝惡意Virtual Girlfriend(虛擬女友)應用程式,間諜軟體便會秀出線上約會詐騙網站以誘騙受害者進行註冊,取得其信用卡資料以及竊取此信用卡之後所新增支付的刷卡費用。

<回到新聞條列重點>

家長監控app遭爆雲端資料不設防,上萬用戶Apple ID、密碼可能外洩     iThome

研究人員發現家長監控app TeenSafe在AWS上的伺服器存放用戶資料並未設定密碼防護,可能外洩家長註冊TeenSafe的電子郵件信箱,孩童的Apple ID信箱、裝置(iPhone)名稱、裝置辨識碼,以及用明碼儲存的孩童Apple ID密碼。

<回到新聞條列重點>

微軟 Google 發現新一代處理器漏洞,但威脅性較之前低     科技新報網

根據《路透社》的報導,微軟和 Google 的網路安全研究員日前發現了新的處理器漏洞。該漏洞與 2018 年 1 月出現的 Spectre 和 Meltdown 兩種處理器漏洞相關,而且對許多現代的處理器都會造成影響。

<回到新聞條列重點>

專業組建資安服務 調查局產險加入生態系      網管人

著眼於企業與組織長久以來建置許多防禦設備,仍無法避免被駭客滲透而發生重大資安事故,關貿網路於去年(2017)年底發布攜手法務部調查局、兆豐產險等合作夥伴共同打造的資安天網防禦服務(Skynet Defense Service),提供預警、防禦、監控、通報、應變、對策、分析、鑑識、保險,共九大功能項目的最佳建置案例,涵蓋事前防禦、事中調查、事後理賠,協助本土金融與企業有效地提高防護力。

<回到新聞條列重點>

資安一周(0516-0522):小心駭客用GDPR設下網釣活動!Chrome將不再標示HTTPS網頁為「安全」        iThome

歐盟於5月25日實施的《歐盟通用資料保護規則》(GDPR)除了讓眾多業者戰戰兢兢之外,也成為駭客的利器,趨勢科技於近期指出,駭客在GDRP的前夕發動大規模的網釣活動,透過電子郵件竊取使用者的個資與憑證。迄今已知的受害者包括蘋果用戶與Airbnb用戶。

<回到新聞條列重點>

【臺灣資安邁入新紀元】資安法立院三讀通過        iThome

臺灣在5月11日立法院院會中,順利完成《資通安全管理法》三讀,法條經由總統公告後,正式施行日期將由行政院另行公告。接下來,行政院也將陸續完成相關包括《資通安全管理法施行細則》在內的6個子法,期能完善臺灣資通安全的法治基礎。

<回到新聞條列重點>

創業加速器 AppWorks 校友經驗談,AI 新創成功的七大關鍵       數位時代

” AI first ” 正在成為主導未來商業發展的主流思維,現在正是「AI 創業」最好的時間。根據研究機構 IDC 預估,全球 AI 市場將由 2016 年的 80 億美元,快速成長至 2020 年的 470 億美元;2019 年將有 40 % 的公司採用 AI 創新服務;到了 2021 年,則會有 75% 的企業把 AI 融入企業的日常應用,就如同今日的行動應用一樣普及。

<回到新聞條列重點>

Fed官員批加密貨幣是鬧劇!經濟學家:比特幣恐歸零 中時電子報網

不少人都曾砲轟加密貨幣的存在,不只「股神」巴菲特直指比特幣是賭博遊戲,微軟創辦人比爾蓋茲也批評比特幣不是好東西。如今美國聯準會(Fed)官員也出面表示,加密貨幣出現至今,詐欺的情況多於實用,還有經濟學家認為比特幣歸零的可能性很高。

<回到新聞條列重點>

趨勢科技的專業技術協助執法機關將 Scan4You 定罪     中央日報網路報

全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天公布與美國聯邦調查局 (FBI) 密切追查、逮捕惡名昭彰的 Scan4You 防毒反制服務 (Counter Antivirus,簡稱 CAV) 並將之起訴的相關細節。兩名主要嫌犯當中,RuslansBondars最終被判有罪,而 JurijsMartisevs 則早在 2018 年 3 月即已認罪。透過趨勢科技與 FBI 獨家合作的調查成果,將這幫歹徒追緝並起訴。

<回到新聞條列重點>

NCC副主委翁柏宗確定續任 新聘資安領域委員      中時電子報網

國家通訊傳播委員會(NCC)提名副主委翁柏宗續任,並提名鄧惟中、孫雅麗新任委員,今(21)日於立法院交委會通過審查,經院會通過後,任期將到2022年7月31日止。兩位準新任委員皆為資訊專長,精通資安領域。

<回到新聞條列重點>

蘋果應中國政府要求,撤下中國所有採CallKit設計的App    聯合新聞網

去年因中國政府要求,蘋果表示基於配合在地法令情況下,將App Store中所有VPN相關App項目下架,而稍早又傳出中國地區開發者陸續收到蘋果通知,表示配合中國工業與訊息產業部相關規定,將使所有採用CallKit設計的App內容下架,同時尚未上架的App若採用CallKit設計,將無法通過上架審核。

<回到新聞條列重點>

「免iTunes」全球首款加密iPhone?檔案傳輸軟體DearMob iPhone? Manager問世,新增重大功能「數據安全」        iThome

DearMob iPhone® Manager最近新增了「數據安全(檔案加密)」功能, 成為全球第一款支援加密傳輸iOS數據的iPhone®檔案管理工具,為用戶的iPhone®照片、影片、聯絡資訊及其他資料提供加密服務。加密原理為RSA 1024bit (非對稱加密)和AES 256 bit (對稱加密)兩種算法配合,並且每個文件還生成一個隨機密鑰,只有用戶密碼作為唯一Key來進行解密。

<回到新聞條列重點>

英特爾、微軟公佈漏洞出現新變體 未來幾周發佈補丁  新浪網(臺灣)

英特爾和微軟公佈了一個Spectre and Meltdown安全漏洞的新變體,存在該漏洞的晶元被廣泛應用於計算機和移動設備上。

<回到新聞條列重點>

駭客攻陷居易路由器漏洞以竄改DNS設定,影響逾20款路由器型號 iThome

居易科技旗下路由器傳出被駭事件,駭客透過韌體的漏洞竄改DNS伺服器設定,可能將用戶導向惡意的DNS伺服器,以釣魚網站蒐集用戶的憑證。

<回到新聞條列重點>

文金會後停止敵對行??韓媒:北韓仍持續駭客攻擊      臺灣英文新聞

北韓網軍,除了幫金正恩賺進大把銀子之外,也讓他能夠利用網路,以相對便宜的成本,攻擊外國,甚至連資安一流的以色列,都曾遭密集攻擊。雖然在文金會後,南北雙方關係改善,但韓媒透露,北韓仍持續進行對南韓的網路侵略。

<回到新聞條列重點>

專訪/LINE資安長:隱私問題並非只存在服務設計層面        聯合新聞網

在此次第三屆資安高峰會裡,筆者有機會與LINE資安長暨隱私長,同時擔任資訊保護長的中山剛志進行訪談,針對LINE近期在資安方面的努力,以及在Facebook發生隱私醜聞事件、歐盟即將推動史上最嚴格的資料保護法令GDPR等影響下,LINE方面所做因應措施進行分享,同時也透露未來勢必藉由區塊鏈等新技術確保用戶隱私安全。

<回到新聞條列重點>

〈觀察〉純網銀執照爭奪戰 公股銀兩擔憂 組國家隊恐有難度    鉅亨網

金管會將開放兩張純網銀執照,目前傳出繼 LINE 和日本樂天等 2 大外商有意願之外,中華電 (2412-TW) 也有意聯手臺銀、兆豐銀等公股銀,爭奪純網銀執照。不過,公股銀普遍擔憂的是,洗錢防制趨嚴,純網銀資訊安全要求高,加上純網銀利差收益有限,對於加入「國家隊」搶純網銀執照,恐怕仍有難度。

<回到新聞條列重點>

延攬民間高手!日本防衛省擬建司令部統籌網路維安工作    ETtoday新聞雲

日本防衛省擬將「網路防衛任務」部分工作委託給民間企業,旨在防止海外勢力入侵國家安全系統。據了解,防衛省將於2019年度之後的下一期《中期防衛力整備計劃》當中,增加上述計劃內容。

<回到新聞條列重點>

LocationSmart網站漏洞可能洩露北美2億手機用戶位置        iThome

LocationSmart主要提供手機位置追蹤服務,透過基地台三角定位取得行動手機用戶位置,將這些資料出售給其它業者以協助定位或作為行銷之用。研究人員發現該網站有漏洞,洩露用戶位置。

<回到新聞條列重點>

Signal漏洞連環爆! 桌面版應用程式一周內被爆兩個程式碼注入漏洞  iThome

這兩個漏洞嚴重的地方在於,駭客可以自己開始與被害人的對話,而且在攻擊的過程不需要被害人參與互動,Windows、Linux以及macOS平臺的桌面應用程式都在漏洞影響範圍之內。

<回到新聞條列重點>

Alphabet 的 Project Shield 擴展至保護政治團體免受 DDoS 攻擊        Engadget中文版

Alphabet 旗下的 Project Shield 是個提供免費 DDoS 保護服務的計劃,但過去就只有開放予新聞組織申請,不過今天他們就宣布服務範圍推展至美國的政治團體,包括候選人、政治行動委員會和政治活動。

<回到新聞條列重點>

四大漏洞 使資安風險加劇  工商時報電子報

網路安全的攻擊招數不斷進化,網路安全資源不足的企業將難以管理風險。據安永調查報告顯示,導致企業風險加劇的四大漏洞,分別是員工粗心或缺乏安全意識、落後的資訊安全管控或架構、惡意軟體及網路釣魚。

<回到新聞條列重點>

元大人壽 獲新版PIMS認證        工商時報

元大人壽於日前獲英國標準協會(BSI)頒發「BS 10012:2017個人資訊管理制度」(PIMS)國際標準認證,此認證標準是依循號稱「史上最嚴格的個人資料保護法」的歐盟規則所訂定。元大人壽表示,一直以來,在資訊安全與管理上以確保客戶資料的隱密性與安全性為首要任務,此次通過驗證不但對元大人壽是一種肯定,更是一份責任與承擔。

<回到新聞條列重點>

入侵墨銀行同業支付系統 駭客得手4.5億       中央社即時新聞網

墨西哥中央銀行墨西哥銀行今天表示,駭客鎖定墨西哥銀行同業支付系統,過去短短幾週,就得手超過1500萬美元(約新台幣4.5億元)。

<回到新聞條列重點>

盤古實驗室:全球有10%的iOS程式含有ZipperDown漏洞,可危及程式功能與權限       iThome

盤古實驗室並未公布ZipperDown的漏洞細節,僅說它是一個非常經典的安全問題,可能危害應用程式的功能及權限,諸如破壞應用程式的數據,或者取得任意程式的執行能力,不過,iOS系統的沙箱也能限制ZipperDown漏洞的攻擊範圍。

<回到新聞條列重點>

EFAIL漏洞可能洩露加密郵件明文內容,Thunderbird建議用戶不要停用加密郵件功能      iThome

使用者在讀取含有遠端內容的加密信件時,不要使用現在同意(Allow now)選項載入遠端內容,而且也不應點擊信件中的遠端內容,如此同樣會開啟反向通道。

<回到新聞條列重點>