《資安新聞周報 》抓假消息 境內耗時 境外IP難辦 /數位勒索不只有勒索病毒/要偷特斯拉 Model S,手機+平板即可複製車鑰匙?

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

  

媒體資安新聞精選:

Yahoo信箱被駭案達成和解 將支付8500萬美元賠償金額 先賠償美國、以色列用戶       癮科技

半年黑客盜走20億美元 你的數字貨幣 還安全嗎?      Moneybar

940萬筆乘客個資外洩 國泰驚爆資安危機       中央通訊社

北美網釣攻擊最愛冒充的廠商:微軟、PayPal及Netflix        iThome

要偷特斯拉 Model S,手機+平板即可複製車鑰匙?     科技新報網

商業電子郵件詐騙猖獗,企業損失創新高        iThome電腦報周刊

抓假消息 境內耗時 境外IP難辦       聯合報

2018年洩露個資暴增,45億筆為去年同期2.3倍 今年個資外洩半來自社群網站     iThome電腦報周刊

你有多久沒更新家中 Wi-Fi 路由器密碼?        點子生活

這位神秘駭客修補了 10 萬台路由器漏洞 網友:這才是真正的駭客!      點子生活

從HR角度看工程師履歷-趨勢科技Recruiter分享如何撰寫工程師履歷       LineToday

2018 HITCON CTF台灣地區BFKinesiS第三名 刷新台灣地區最佳成績   CompoTech Asia 電子與電腦

HITCON CTF線上比賽成2019年第一場DEF CON種子賽,冠軍波蘭隊率先取得決賽門票        iThome

AlphaGo啟發人類視野 旅日棋士王銘琬:人的價值是擁有「過程」   芋傳媒

把安全總部設在卡車裡!IBM 推出業界首款行動式網路安全作業中心、根本就是電影FBI的特勤戰術中心        T客邦

川普指責北京干涉期中選舉 臉書、推特:沒有發現證據      ETtoday新聞雲

詐騙案層出不窮 電信業每年損失170億美元  工商時報

【Yahoo論壇/林穎佑】數位國土的捍衛戰士 雅虎奇摩

自動販賣機支援行動支付好方便,但研究人員竟能駭進app無限免費儲值 iThome

 

不只防電腦、手機病毒還幫你保護密碼!『 2019雲端版PC-cillin 』防毒軟體要給你最完整的安全防護        電獺少女

貿易戰升級新冷戰 台商的下一步:雙邊攻略  天下雜誌網

台灣擬跟民間分享陸駭客資料!簡宏偉:AI軍備競賽開打    MoneyDJ 理財網

東南亞醫療人力短缺 間接推動數位醫療產業發展  電子時報

美政府醫療網站被駭,7.5萬筆個資被竊  iThome

庫克首次放話!要求彭博社撤下中國惡意晶片報導:「根本就不是真的」  科技報橘網

Facebook 拯救資安,傳聞年底前收購網路安全公司       科技新報網

沙國投資論壇官網遭害 首頁變王儲處決卡修吉圖  台灣蘋果日報網

連網裝置需要更安全的記憶體    電子工程專輯

台灣面臨數位轉型 刻不容緩 朱雲鵬:以人的需求出發,串起裝置、系統、資訊,並重視應變與學習能力        工商時報

警政署力推智慧警政,打造大數據分析平臺以提高網路犯罪偵查率    iThome

馬雲:VR結合實體經濟才有未來       世界日報

Mozilla和ProtonVPN展開實驗性合作,為Firefox用戶提供VPN服務訂閱優惠  iThome

Android 9以硬體沙盒保護簽章金鑰確保交易安全,防止用戶被詐       iThome

大陸藉由5G技術掌控全球網路骨幹 引發其他國家對資安隱憂    電子時報

Windows 191H更新將採用Google修補工具以減少Spectre修補的效能影響       iThome

jQuery知名外掛File Upload遭爆有存在超過8年的安全漏洞        iThome

AWS修補IoT平台FreeRTOS的13個安全漏洞        iThome

VMWare重大漏洞可讓Guest OS軟體在主機OS上執行 iThome

研究人員公布D-Link路由器漏洞,牽涉8款產品,D-Link只修補2款        iThome

駭客鎖定BTCP加密貨幣展開51%攻擊,還開直播告訴你有多簡單      iThome

「知彼知己」= 駭客角度 ?!       資安人

黨政人士:選戰最後關頭  防中國網軍狂轟     自由時報

零壹攜手羽昇國際 深耕雲端市場 以雲端架構師角色 扮演客戶第一線防護關卡 提供數位轉型全方位協助        經濟日報(臺灣)

【資安危機衝擊製造業拉警報】正視工廠生產線上的資安威脅,徹底改變防護概念為當務之急    HiNet

【聚焦應用程式白名單,生產內網管理也必須重視】惡意威脅無孔不入,機臺安全從4大防護面向做起        iThome

Yahoo信箱被駭案達成和解 將支付8500萬美元賠償金額 先賠償美國、以色列用戶       癮科技

針對2016年坦承在2014年就已經知道遭駭,卻選擇對此事隱匿的情況,目前已經與AOL合併為Oath的Yahoo網路事業,稍早確認將與源自美國、以色列等國家地區用戶進行和解,總計約賠償高達8500萬美元。

<回到新聞條列重點>

半年黑客盜走20億美元 你的數字貨幣 還安全嗎?      Moneybar

根據騰訊安全發布的《2018上半年區塊鏈安全報告》顯示,從 2013 年到 2018 年上半年,加密數字貨幣市場共發生過 54 起安全事件,其中 10 件重大安全事故由黑客攻擊引起。僅今年上半年,黑客攻擊導致 20 億美元損失,區塊鏈領域因安全問題損失超 27 億美元。

<回到新聞條列重點>

940萬筆乘客個資外洩 國泰驚爆資安危機       中央通訊社

國泰航空公司表示,86萬筆護照號碼、約24萬5000筆香港身份證號碼、403筆逾期信用卡號、27筆不含安全碼(CVV)的信用卡號外洩。

<回到新聞條列重點>

北美網釣攻擊最愛冒充的廠商:微軟、PayPal及Netflix        iThome

微軟、PayPal、Netflix高居前三名外,其他前十名業者依序是美國銀行、富國銀行、臉書、摩根大通、Orange、DHL及Dropbox。

<回到新聞條列重點>

要偷特斯拉 Model S,手機+平板即可複製車鑰匙?     科技新報網

特斯拉電動車採用自動解鎖 Passive Entry 等技術,讓車主更方便駕駛愛車,可是有關技術一直被安全專家視為風險極高的安全漏洞。最近,有一名特斯拉車主在 YouTube 公開一段影片,記錄他的電動車被偷車賊以平板電腦偷取車鑰匙訊號,並成功偷走他的電動車。

<回到新聞條列重點>

商業電子郵件詐騙猖獗,企業損失創新高        iThome電腦報周刊

針對企業的電子郵件詐騙(BEC),身為企業高層主管、採購與財務負責人,可要當心!這是全球跨國貿易企業,都必須關注的郵件資安問題,臺灣也不例外。

<回到新聞條列重點>

抓假消息 境內耗時 境外IP難辦       聯合報

選舉期間假消息成為焦點,中選會主委陳英鈐曾在立法院坦言「目前我們都有點束手無策」,刑事局雖成立專責小組,辦案人員坦言,臉書、谷歌和LINE等容易散播假消息的網路平台,每個公司各有查帳號IP的規定,不僅公文往返冗長,如果是海外IP,還要透過國際司法互助協助,偵辦並不容易。

<回到新聞條列重點>

2018年洩露個資暴增,45億筆為去年同期2.3倍 今年個資外洩半來自社群網站     iThome電腦報周刊

個人資料的保護日漸受到重視,相關的重大攻擊事件依舊頻傳,而且,駭客得手的資料量比以往更多。最近由提供身分認證解決方案業者Gemalto推出的報告,呈現出2018上半年遭到洩露的個資筆數,是去年同期2.3倍之多,而且,竟有一半以上來自社群網站。

<回到新聞條列重點>

你有多久沒更新家中 Wi-Fi 路由器密碼?        點子生活

最近有項報告指出,英國各地的路由器可能面臨駭客、病毒的威脅,因為許多人在購買路由器之後,並不會重新設定密碼,這讓駭客有機會竊取你的信用卡資訊。事實上,這情況在台灣也曾發生過,只要 Google「台灣 家裡WIFI 遭盜」,第一則新聞就是駭客盜刷信用卡的新聞。

<回到新聞條列重點>

這位神秘駭客修補了 10 萬台路由器漏洞 網友:這才是真正的駭客!      點子生活

根據 ZDNet 報導,一位講俄語的黑帽駭客偷偷駭入了人們的 MikroTik 路由器,並且修補了設備漏洞,保護這些路由器的使用者避免密碼遭盜,或是被利用當殭屍網路。

<回到新聞條列重點>

從HR角度看工程師履歷-趨勢科技Recruiter分享如何撰寫工程師履歷       LineToday

這次邀請到趨勢科技負責招募的Catherine與Sarah跟大家分享,對他們來說工程師履歷如何撰寫,能夠吸引他們的目光,什麼樣的內容會是注意的焦點,另外也點出一些履歷撰寫時可以注意的方向,增加自己的履歷被挑選進一步洽談的機會!

<回到新聞條列重點>

2018 HITCON CTF台灣地區BFKinesiS第三名 刷新台灣地區最佳成績   CompoTech Asia 電子與電腦

最受矚目的國際駭客賽事2018 HITCON CTF於10月20-22日展開全球線上競賽,經過48小時馬拉松式的解題後,由波蘭Dragon Sector打敗眾多高手,拿下冠軍,獲得5,000美元獎金,並直接晉級全球最大規模駭客競賽2019 DEF CON的拉斯維加斯決賽。

<回到新聞條列重點>

HITCON CTF線上比賽成2019年第一場DEF CON種子賽,冠軍波蘭隊率先取得決賽門票        iThome

臺灣HITCON舉辦的CTF線上解題比賽,被DEF CON CTF主辦單位O.O.O.指定為2019年DEF CON CTF決賽第一個種子賽事,吸引全球近1,800個隊伍參賽。

<回到新聞條列重點>

AlphaGo啟發人類視野 旅日棋士王銘琬:人的價值是擁有「過程」   芋傳媒

「王銘琬」三個字對多數台灣人或許陌生,但若講起他的妻子「劉黎兒」,或許較能引起讀者共鳴。王銘琬四歲時受父親的啟蒙接觸圍棋,十三歲要到日本深造前,曾與清大教授沈君山大戰七盤,得到「圍棋小神童」的稱號。

<回到新聞條列重點>

把安全總部設在卡車裡!IBM 推出業界首款行動式網路安全作業中心、根本就是電影FBI的特勤戰術中心        T客邦

電影中的網路安全中心都是設立在某個大樓裡,然後有層層保護,出入都要指紋辨識…或許你想現實生活中有沒有這麼誇張?事實上如果是比較大型的網路安全中心,情況的確與電影中差不了多少,只是裡頭都是一堆工程師,缺少了俊男美女而已。

<回到新聞條列重點>

川普指責北京干涉期中選舉 臉書、推特:沒有發現證據      ETtoday新聞雲

美國總統川普指責中國大陸試圖透過社群媒體干預即將到來的期中選舉,不過,美國兩大社群媒體巨頭臉書和推特均表示,並沒有發現中國大陸干預今年選舉的證據,並且對川普先前的說法表示懷疑。

<回到新聞條列重點>

詐騙案層出不窮 電信業每年損失170億美元  工商時報

據國際電信週環球領袖論壇(ITW Global Leaders’Forum)與諮詢機構Delta Partners最新報告指出,電信詐騙案層出不窮,導致全球電信業每年損失高達170億美元,而這些詐騙所得大多用於資助組織犯罪或恐怖主義行動。

<回到新聞條列重點>

不只防電腦、手機病毒還幫你保護密碼!『 2019雲端版PC-cillin 』防毒軟體要給你最完整的安全防護        電獺少女

我們熟悉的防毒軟體『PC-cillin 』每年都會出新版,因為Linda也使用過他們之前的版本,總覺得PC-cillin好像想盡辦法要把跟安全防護有關的功能通通包給使用者啊A_A 功能又默默增加了。

<回到新聞條列重點>

貿易戰升級新冷戰 台商的下一步:雙邊攻略  天下雜誌網

中美建交40年,竟也是陷入貿易戰白熱化的時刻,當美國發動關稅戰、北京祭出「擴大開放」戰略,兩大強國之間的「新冷戰」,準備開打了?《天下》踏上戰火另一端中國,走訪深圳、昆山、上海、北京到杭州,直擊夾在兩隻巨象互鬥下的台商,第一手見解、動態與佈局,在中美競爭加劇的全球市場,「雙產業鏈」攻略已成新趨勢。

<回到新聞條列重點>

台灣擬跟民間分享陸駭客資料!簡宏偉:AI軍備競賽開打    MoneyDJ 理財網

台灣做為中國駭客的試煉場、網路安全問題日益嚴重。行政院資通安全處處長簡宏偉(Jyan Hong-wei)透露,將跟民營企業分享數以百萬計的中國駭入資料,協助業者訓練人工智慧(AI)軟體,防範日益狡詐的網路駭客。

<回到新聞條列重點>

東南亞醫療人力短缺 間接推動數位醫療產業發展  電子時報

The Asean Post報導,東南亞醫療保健產業正處在史上的一個重要關鍵時刻。當地的醫療保健需求從沒有比現在來的更大,預料未來還會進一步增加,其中一個原因是人口老化。根據亞洲開發銀行(ADB)的資料,到了2050年,65歲(含)以上人口佔東南亞人口的比重將達到15%,是2010年4.8%的3倍。

<回到新聞條列重點>

美政府醫療網站被駭,7.5萬筆個資被竊  iThome

美國健保局證實轄下的政府醫療網站HealthCare.gov的健保申報系統遭駭,10月13日發現專供保險業務人員登入的系統出現異常活動,約有7.5萬筆資料遭到非法存取,但並未說明被竊資料的詳細內容。

<回到新聞條列重點>

庫克首次放話!要求彭博社撤下中國惡意晶片報導:「根本就不是真的」  科技報橘網

一個科技公司被駭客入侵的消息只要一放出去,基本上就是對信用、品牌的一大打擊。尤其是蘋果、Google、微軟、臉書等巨人對此新聞更是緊張,因為他們手中掌握的幾乎是世界上所有人的資料;資料洩漏造成的損傷將是前所未有。

<回到新聞條列重點>

Facebook 拯救資安,傳聞年底前收購網路安全公司       科技新報網

Facebook 在 9 月底爆發公司成立以來最嚴重的駭客入侵事件,高達 5,000 萬用戶資料被駭客竊取,不過 10 月 12 日官方將受害人數降至 2,900 萬人,包括私人訊息、電話號碼、電子郵件信箱和搜尋紀錄都被外洩。Facebook 認為入侵者是偽裝成數位行銷公司的廣告詐騙集團,而非外國政府雇用的駭客,目前 Facebook 正與聯邦調查局(FBI)合作調查。

<回到新聞條列重點>

沙國投資論壇官網遭害 首頁變王儲處決卡修吉圖  台灣蘋果日報網

在沙烏地阿拉伯流亡異議記者卡修吉(Jamal Khashoggi)遇害案的陰影籠罩下,沙國一個大型投資論壇將於周二起舉行,但在論壇開始前,其官方網站卻被駭客入侵,論壇主持人、沙國王儲穆罕默德被描繪成殺卡修吉的劊子手。

<回到新聞條列重點>

連網裝置需要更安全的記憶體    電子工程專輯

隨著更多的新興應用案例出現,揭露了記憶體技術可能成為駭客製造破壞的一個威脅管道,無論他是透過竊取資料還是發送惡意指令等方式。

<回到新聞條列重點>

台灣面臨數位轉型 刻不容緩 朱雲鵬:以人的需求出發,串起裝置、系統、資訊,並重視應變與學習能力        工商時報

由余紀忠文教基金會與工商時報共同主辦的《工商40產業趨勢論壇》於昨(22)日在台北萬豪酒店隆重舉行。論壇的主題是「台灣的挑戰與布局:產業轉型、投資與資本市場」並分3場座談分別討論數位轉型、台灣的資本市場與投資、並檢視台灣當前的布局與面對的挑戰作為總結。

<回到新聞條列重點>

警政署力推智慧警政,打造大數據分析平臺以提高網路犯罪偵查率    iThome

從犯罪資料庫累積相關犯罪手法,透過警政大數據分析平臺,藉由人工智慧演算法,提高警察破案率,並傳承資深員警辦案經驗。

<回到新聞條列重點>

馬雲:VR結合實體經濟才有未來       世界日報

19日在其江西南昌召開的2018世界VR(虛擬實境)產業大會上,阿里巴巴集團董事局主席馬雲在演講時表示,VR產業要和實體經濟緊密結合才有未來。

<回到新聞條列重點>

Mozilla和ProtonVPN展開實驗性合作,為Firefox用戶提供VPN服務訂閱優惠  iThome

Mozilla與ProtonVPN合作提供使用者VPN服務優惠,除了提供更安全的網路環境外,也為了組織長期的發展,探索更多樣化的收入來源。

<回到新聞條列重點>

Android 9以硬體沙盒保護簽章金鑰確保交易安全,防止用戶被詐       iThome

受保護確認功能不只能被用來保護銀行交易,還能進一步提高諸如一次性密碼或是交易驗證號碼等其他形式身分驗證的安全性。

<回到新聞條列重點>

大陸藉由5G技術掌控全球網路骨幹 引發其他國家對資安隱憂    電子時報

大陸希望透過下一代5G網路成為全球行動通訊市場的領頭羊,電信設備商華為和中興通訊皆欲在技術基礎上搶佔一席之地,但許多國家礙於安全風險,試圖禁止華為和中興5G網路建設的計畫。

<回到新聞條列重點>

Windows 191H更新將採用Google修補工具以減少Spectre修補的效能影響       iThome

今年一月Google安全團隊揭露處理器的Spectre變種2漏洞,最初修補程式因關閉CPU推測執行和其他功能,導致安裝後電腦效能大幅降低,而Google開發修補工具Retpoline,強調幾乎不會影響效能。

<回到新聞條列重點>

jQuery知名外掛File Upload遭爆有存在超過8年的安全漏洞        iThome

研究人員指出jQuery File Upload的漏洞,可讓駭客上傳一個介殼程式到伺服器上執行,也影響其他jQuery File Upload為基礎的專案。

<回到新聞條列重點>

AWS修補IoT平台FreeRTOS的13個安全漏洞        iThome

Zimperium指出13個漏洞藏匿在FreeRTOS的TCP/IP元件與AWS的安全連結模組中,而同樣的漏洞也出現在由WHIS打造的商業版OpenRTOS與強調安全性的SafeRTOS版本的TCP/IP元件內,駭客開採漏洞可讓裝置當機、自裝置記憶體存取資訊或從遠端執行程式。

<回到新聞條列重點>

VMWare重大漏洞可讓Guest OS軟體在主機OS上執行 iThome

趨勢科技的ZDI Lab指出,發現的漏洞結合其他漏洞,可以Guest OS中的惡意程式在主機OS上執行,屬於重大風險漏洞。

<回到新聞條列重點>

研究人員公布D-Link路由器漏洞,牽涉8款產品,D-Link只修補2款        iThome

研究人員發現的3個漏洞,可讓駭客掌控入侵的路由器,共影響8款產品,由於6款產品已結束產品生命周期,D-Link僅承諾修補2款。研究人員揭露漏洞資訊外,也釋出概念性驗證攻擊程式。

<回到新聞條列重點>

駭客鎖定BTCP加密貨幣展開51%攻擊,還開直播告訴你有多簡單      iThome

一名白帽駭客鎖定BTCP展開51%攻擊,並成功掌握70%的採礦效能,還透過直播展示整個攻擊過程,為首位公開對外宣示鎖定加密貨幣攻擊的駭客。

<回到新聞條列重點>

「知彼知己」= 駭客角度 ?!       資安人

「知彼知己」幾近於從駭客的角度,以滲透測試或攻防演練等方式來來檢視是否存在安全漏洞。行政院國家資通安全會報技術服務中心副主任侯猷珉提到,政府施行網路攻防演練最早可推到民國92年開始,那時因為許多網站尚未有防護機制,常成為國際駭客攻擊炫耀的對象。

<回到新聞條列重點>

黨政人士:選戰最後關頭  防中國網軍狂轟     自由時報

年底選舉影響政局未來走向,調查局長呂文忠透露,中國確有金援特定候選人,再度引發中國介入政治活動的質疑。黨政人士進一步指出,選戰進入最後激烈時刻,中國很可能頻密發動網軍,攻擊特定政黨或候選人的言論或製造假消息。

<回到新聞條列重點>

零壹攜手羽昇國際 深耕雲端市場 以雲端架構師角色 扮演客戶第一線防護關卡 提供數位轉型全方位協助        經濟日報(臺灣)

零壹科技為延伸IT產品服務能量,去年成立專注雲端服務子公司-羽昇國際,未來將以「雲端架構師」角色,提供客戶數位轉型全方位協助;另針對急於跨入雲應用的中小企業,也提出雲地移轉、資安保護等基礎建議,進而後續協助導入分析雲等建置,讓企業主有感雲端服務的營運效益。

<回到新聞條列重點>

【資安危機衝擊製造業拉警報】正視工廠生產線上的資安威脅,徹底改變防護概念為當務之急    HiNet

今年8月,,因為新機臺上線時疏於防範,導致惡意軟體感染,進而造成產線停擺,生產線要恢復全線運作,已經是3天之後,這不僅讓全臺灣民眾,都關注到機臺安全的資安議題,同時也敲響了高科技製造業的警鐘,因為就連業界模範生台積電也不能倖免。

<回到新聞條列重點>

【聚焦應用程式白名單,生產內網管理也必須重視】惡意威脅無孔不入,機臺安全從4大防護面向做起        iThome

生產晶圓的高科技製造業,如果安全防護措施的不足,一不小心,就有可能導致病毒入侵並擴散,必須從管理面與技術面來強化防護,以避免同樣問題引起的資安事件再度發生。

<回到新聞條列重點>

【Yahoo論壇/林穎佑】數位國土的捍衛戰士 雅虎奇摩

2018年9月29日除了在高雄舉辦海事展之外,位於高雄蓮潭國際會議中心同樣也有一場與國防相關的盛宴同步舉行中,這就是已經邁入第三屆的TDOH Conf駭客地下城研討會。與一般認知中的學術研討會不太一樣,在類似資安社群的會議大多不需要太多的文字內容,而是側重在技術的探討、觀念的啟發、以及與資訊安全有關的相關議題。

 <回到新聞條列重點>

自動販賣機支援行動支付好方便,但研究人員竟能駭進app無限免費儲值 雅虎奇摩

一名安全研究人員透過解析自動販賣機的行動支付程式,發現該程式使用乾淨程式碼,未妥善保護程式安全,找出可無限免費儲值的漏洞。

 <回到新聞條列重點>