本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 18 歲了!分析 Shadow Brokers 駭客集團外流的長青惡意程式Tildeb
- 《防毒軟體 2019 》使用趨勢科技PC-cillin 「安心Pay」 確保網路交易安全
- 員工資安教育培訓的四個要點
- 廣告程式冒充成遊戲、電視、遙控器應用程式,造成 900 萬 Google Play 用戶遭到感染
媒體資安新聞精選:
全球最大線上票務系統漏洞可讓駭客變更用戶記錄,近半航空公司遭殃 iThome
小心!最新一波惡意 App 亂竄 Google Play Store 自由時報電子報
5個熱門網站代管平台皆含有安全漏洞 iThome
Google Play 發現 85 個假 App 含病毒狂彈廣告,900 萬人中招 科技新報網
遭中國駭客集團山寨CEO電郵 印度公司5億元飛了 自由時報電子報
詐騙集團最愛冒用網購平台 「瘋狂賣客」526件居首 自由時報電子報
國軍手機APP啟動後卻沒作用 專家憂心資安已有漏洞 自由時報電子報
APP,下載了方便?開始了夢魘! 台灣蘋果日報網
聊天對話恐成「間諜行動」證據!美國加州大學警告師生:人在中國不要使用微信、WhatsApp 風傳媒
國內首例 工研院禁用華為手機 防資安風險 禁止連線內部網路 同步控管相關設備 經濟日報(臺灣)
下一個華為? 美智庫指抖音可能收集情資 tvbs新聞網
中國APT10網攻竊密擴大 日本大量企業機密也受害 自由時報電子報
ForeScount :智慧建築含有諸多零時差漏洞 iThome
200萬筆真實顧客資料實測!玉山銀辦AI競賽 iThome電腦報周刊
買40元票退20萬遭法辦!「天才駭客」張啟元道歉吐心聲 自由時報電子報
研究:新勒索軟體Ryuk瞄準大企業 半年獲近400萬美元 新浪網(臺灣)
好用的 LINE 聊天機器人,讓通訊軟體轉變成多功能資訊站! 電腦王阿達
趨勢科技防詐達人 LINE 機器人 :讓你遠離釣魚網站、假免費貼圖好康詐騙 電腦王阿達
新年優惠陷阱多! 趨勢科技防詐達人一頁式詐騙警示功能守護您 加強即時警示保障個資與荷包 iThome
駭進SEC資料庫從事內線交易的烏克蘭駭客遭美國起訴 iThome
春節連假出遊自助旅行成首選!五大祕訣完美你的年節旅行 三立新聞網
思科修補可能產生永久服務阻斷的AsyncOS漏洞 iThome
密碼太多記不住 手機可變成數位世界中唯一鑰匙 台灣蘋果日報網
世界駭客大賽Pwn2Own,Tesla提供一台Model 3邀請駭客攻擊 INSIDE
特斯拉懸賞「黑掉Model 3 就送你一輛車」 世界新聞網
該跟Windows 7說再見了 微軟明年將終止支援 今日新聞新
不只工研院、資策會 國研院:主機未使用陸牌設備 聯合新聞網
政院:政府機關公務已禁用中國資通訊產品 中央通訊社
85個惡意APP肆虐全球,單款下載就超過500萬次 雅虎奇摩
飯店集團Hyatt也加入抓漏行列 iThome
Linux系統管理軟體Systemd爆3漏洞 iThome
MongoDB資料庫門戶大開,逾2億中國民眾履歷外洩 iThome
是正義之師,還是有理想的賊?德國CCC的萬人駭客年會 T客邦
南韓防衛事業廳遭駭 10台涉軍武採購電腦資料外洩 自由時報電子報
抵制國增加 捷克也示警 聯合報
排除華為再增一國 挪威考慮加入美英行列 中央廣播電臺
波蘭逮華為間諜 美中科技冷戰擴大 自由時報
「個資」保護難周全 外洩處理有步驟 世界新聞網
趨勢科技推IoT Security 2.0改善使用者防護,提升裝置製造商信譽 MSN台灣
AIoT推波助瀾 工控將是下個資安大市場 電子時報
DNS 真的安全嗎? 資安人
掌握行動支付新趨勢 經濟日報(臺灣)
對岸窺視台灣半導體商業機密 業者防堵洩密有一套 經濟日報網
經濟部水利署資訊室規劃資安藍圖 三大面向杜絕駭客入侵 iThome
Palo Alto提2019網路安全5大預測,電郵詐騙與供應鏈攻擊成焦點 iThome
全球最大線上票務系統漏洞可讓駭客變更用戶記錄,近半航空公司遭殃 iThome
全球國際航空訂票系統Amadeus遭爆存在漏洞,有心人士只要擁有旅客姓名及一組6位數組成的訂位紀錄PNR,就能登入航空公司入口網站,變更資料、兌換飛行,或更新個人資訊。
<回到新聞條列重點>
小心!最新一波惡意 App 亂竄 Google Play Store 自由時報電子報
Android手機用戶注意!資安業者趨勢科技釋出最新報告指出,近來偵測發現到有多達85個假冒偽裝成遊戲、電視頻道、遙控器等應用程式的形式,在 Google Play Store 平台上流竄。
<回到新聞條列重點>
5個熱門網站代管平台皆含有安全漏洞 iThome
安全業者針對5家網站代管平台進行研究,包括Bluehost、Dreamhost、HostGator、OVH及iPage,發現5個平台皆至少含有一個漏洞,可能導致資料外洩或是帳號被駭客接管。
<回到新聞條列重點>
Google Play 發現 85 個假 App 含病毒狂彈廣告,900 萬人中招 科技新報網
對經常使用手機應用程式的使用者而言,彈出式全螢幕廣告可說是最麻煩的功能。而在 Google Play,更有多達 85 個應用程式藏著廣告程式,會在使用者解鎖裝置時或隨時彈出全螢幕廣告,進而為開發人員取得大量廣告收入。
<回到新聞條列重點>
遭中國駭客集團山寨CEO電郵 印度公司5億元飛了 自由時報電子報
中國駭客犯下印度史上最大的網路詐騙劫案,他們鎖定義大利工程公司的印度分公司,偽造集團CEO的電子郵件帳戶向分公司發送電子郵件,安排一系列的網路語音會議,洽談中方有意收購的「極機密」事件,竟得手13億盧比(約台幣5億元)。
<回到新聞條列重點>
詐騙集團最愛冒用網購平台 「瘋狂賣客」526件居首 自由時報電子報
詐騙集團常利用資安防護不足的購物網站系統漏洞,疑入侵購物網站後台竊取客戶訂單資料,再冒充購物網站,以工作人員操作錯誤,導致訂單變成分期付款方式,誘騙消費者到ATM操作,遂行詐騙,經警政署「165」反詐專線統計,去年一整年詐騙集團最愛冒用的購物網站前3名依次為瘋狂賣客526件、讀冊生活374件、DEVILCASE 300件。
<回到新聞條列重點>
國軍手機APP啟動後卻沒作用 專家憂心資安已有漏洞 自由時報電子報
國軍為防止營內機敏資料外洩,官兵的智慧型手機需要安裝「國軍智慧型手機管理軟體(MDM)」APP,此程式會限制拍照、打卡、定位等功能,不過先前曾傳出MDM軟體無法限制iPhone的iOS系統,且該軟體需要官兵自主開啟。《亞太防務》雜誌總編輯鄭繼文指出,他有親戚在國防部電訊發展室受訓,手機安裝MDM軟體後還是能拍照打卡,強調該軟體需要持續更新,否則未來將衍生資安問題。
<回到新聞條列重點>
APP,下載了方便?開始了夢魘! 台灣蘋果日報網
APP是Application Program的簡稱,泛指一切為智慧型手機開發的軟體應用程式。APP實現了現代人大小事一指搞定的夢想。APP的應用範圍包山包海、數量鋪天蓋地,幾乎每個手機族都會使用APP,差別的只是使用類別不同而已。依據國發會委託行銷公司的報告資料顯示:台灣地區手機族每日用手機上網的平均時間為3.4小時。可說是除了上班、上學、睡覺以外的時間我們都給了手機APP。
<回到新聞條列重點>
聊天對話恐成「間諜行動」證據!美國加州大學警告師生:人在中國不要使用微信、WhatsApp 風傳媒
華為副董事長兼首席財務官孟晚舟去年在加拿大遭到拘捕,隨後傳出多位加拿大公民在中國境內遭到拘留。美國加州大學為了防止學生在中國旅遊時遭到「報復性」拘留,11日向10個校區的師生發布一項公告,警告學生在中國境內旅遊時不要使用微信、WhatsApp等通訊軟體,以免對話內容被當作間諜行為的證據,可能遭罰款或是禁止出境。
國內首例 工研院禁用華為手機 防資安風險 禁止連線內部網路 同步控管相關設備 經濟日報(臺灣)
<回到新聞條列重點>
工研院昨(14)日對近6,000名員工發出內部通知,考量維護資訊安全,今天中午起員工若使用華為手機,將無法使用工研院的無線內部網路,並控管院內與實驗有關的華為設備。這是國內資安管理上,禁止中國大陸手機的第一槍。
<回到新聞條列重點>
下一個華為? 美智庫指抖音可能收集情資 tvbs新聞網
全球每月活躍用戶,高達5億人的短影片APP抖音,現在也被美國智庫盯上,在彼得森國際經濟研究所最新的研究報告中,指出大陸可能利用抖音短片畫片,收集各種情報,尤其像是美國年輕士兵也很愛玩,穿著軍服就拍,甚至地點就在軍事設施裡,洩漏情資的可能性大增,對此,大陸官媒環球時報也反擊,表示這樣的指控,根本是大陸企業的原罪。
<回到新聞條列重點>
中國APT10網攻竊密擴大 日本大量企業機密也受害 自由時報電子報
繼美國司法部上月才指控2名中國男子替中國駭客團體「APT10」入侵12個國家竊取商業機密,近日日本網路安全保障機構也向媒體透露,日本經濟團體聯合會2年多前遭遇的網攻竊密恐也和APT10有關。
<回到新聞條列重點>
ForeScount :智慧建築含有諸多零時差漏洞 iThome
研究人員在智慧建築所使用的協定及元件中發現6個零時差漏洞,包含3個跨站指令碼攻擊漏洞,以及3個路徑跨越、緩衝區溢位、密碼硬編碼漏洞,可能外洩資訊、遠端攻擊或取得用戶權限。
<回到新聞條列重點>
200萬筆真實顧客資料實測!玉山銀辦AI競賽 iThome電腦報周刊
玉山銀行釋出自家去識別化顧客資料,在趨勢科技平臺T-Brain AI實戰吧上舉辦金融商品交易預測競賽,要箇中好手運用自家提供的顧客資料,來訓練機器學習模型,預測顧客會進行哪些金融商品的交易或申請。比賽時間從1月2日起,至3月14日止。
<回到新聞條列重點>
買40元票退20萬遭法辦!「天才駭客」張啟元道歉吐心聲 自由時報電子報
「天才駭客」張啟元上月到高鐵網站訂購40元車票後退票,並駭入系統將退款金額改成20萬元,遭台鐵告發後被檢調搜索約談,並以10萬元交保;沉寂數日後,張啟元今在臉書發表2000多字長文,除了對自己的行為道歉,也希望相關單位能立法或修法,透過法律保障企業和白帽駭客。
<回到新聞條列重點>
研究:新勒索軟體Ryuk瞄準大企業 半年獲近400萬美元 新浪網(臺灣)
據美國科技媒體ArsTechnica援引信息安全公司CrowdStrike和FireEye上周四發佈的兩項研究結果顯示,自去年8月以來,一家最近被發現的勒索軟體組織已經獲利近400萬美元。
<回到新聞條列重點>
好用的 LINE 聊天機器人,讓通訊軟體轉變成多功能資訊站! 電腦王阿達
現在越來越多LINE聊天機器人服務,也因為太多聊天機器人功能,讓大家可能沒有搞懂哪一些聊天機器人是好用的,不管是繳費、記帳、電影、生活還是教學,這次小編就來整理近期超實用的ㄧ些聊天機器人給大家吧!
<回到新聞條列重點>
趨勢科技防詐達人 LINE 機器人 :讓你遠離釣魚網站、假免費貼圖好康詐騙 電腦王阿達
隨著 LINE 的用戶普及度越來越高,不時也會在 LINE 上出現一些釣魚網站、假的免費貼圖情報等詐騙資訊。去年 LINE 官方也曾為此以 LINE 防詐神探 宣導如何辨識在平台上的一些不安全 LINE@帳號。
不過平時好友之間還是不時會有人分享些連結,當我們無法立即查證這連結是否有問題,今天介紹的這個 趨勢科技防詐達人 LINE 機器人 就可以馬上替你把關!
<回到新聞條列重點>
新年優惠陷阱多! 趨勢科技防詐達人一頁式詐騙警示功能守護您 加強即時警示保障個資與荷包 iThome
迎接2019年,各大品牌紛紛推出新年限定趣味貼圖與優惠活動,不肖份子趁勢利用社群通訊轉載分享的力量,除了假優惠圖以外,更建置「一頁式詐騙」廣告,透過假活動訊息誘使消費者輸入個人資料以進行竊資和詐騙,趨勢科技防詐達人強化一頁式詐騙警示提醒功能,新的一年持續為消費者的資訊安全把關。
<回到新聞條列重點>
駭進SEC資料庫從事內線交易的烏克蘭駭客遭美國起訴 iThome
SEC及司法部指控10名嫌犯駭入SEC旗下的EDGA系統,取得上市公司尚未公開的財報資訊,搶先購買股票,待財報公佈股價上漲後再出售獲利。
<回到新聞條列重點>
春節連假出遊自助旅行成首選!五大祕訣完美你的年節旅行 三立新聞網
根據交通部觀光局調查發現,近年來台灣民眾從事國內外旅遊,主要以「個人旅遊」的方式為主,更有高達近7成以上的民眾選擇「自行規劃行程」,希望依照自己的喜好彈性調整旅遊內容。如今,規劃一場旅行只需要透過網路就能輕鬆快速完成訂票、住宿、購物,大大降低了難度,只是科技帶來便利,卻也具備相當的風險,各種資料外洩遭盜用的詐騙事件不斷攀升。要完成一場令人回味的完美旅行實在需要面面俱到,除了交通與旅途上的安全,資訊安全亦非常重要!趨勢科技提供旅途上的資訊安全小叮嚀
<回到新聞條列重點>
密碼太多記不住 手機可變成數位世界中唯一鑰匙 台灣蘋果日報網
在現今數位生活中到處都需要登入密碼,而每一家登入密碼條件又不盡相同,所以要記住的密碼太多造成不便。致力推動基於FIDO架構免密碼體驗的台灣新創、美商動信安全 (GoTrust) 今日正式介紹旗艦級解決方案GoTrust ID,是市場上首款可直接將使用者手機轉化成FIDO U2F認證裝置的應用,讓手機可變成數位世界中唯一鑰匙。
<回到新聞條列重點>
世界駭客大賽Pwn2Own,Tesla提供一台Model 3邀請駭客攻擊 INSIDE
由趨勢科技 (Trend Micro) 的 ZDI (Zero Day Initiative) 運營,作為駭客界最高殿堂競賽的 Pwn2Own,春季大賽將於3月20日至22日的溫哥華舉行;其中將包含五個類別,分別為網路瀏覽器、虛擬化軟體、企業應用程式,伺服器軟體以及新增加的汽車類別。而ZDI選擇的目標包括 Apple、Google、Microsoft、Mozilla、Oracle 和 VMware,當然還有 Tesla。
<回到新聞條列重點>
特斯拉懸賞「黑掉Model 3 就送你一輛車」 世界新聞網
彭博社報導,特斯拉(Tesla)近日表示,如果網路安全研究人員可以侵入特斯拉汽車並找到漏洞,那麼公司可以給他們贈送一輛Model 3轎車。
<回到新聞條列重點>
該跟Windows 7說再見了 微軟明年將終止支援 今日新聞
支援終止後,仍在使用 Windows 7 的裝置將不再收到由微軟提供的技術支援、軟體更新及安全性更新。這也意味著裝置將面臨病毒入侵、網路攻擊、資料外洩等資安威脅。反之,使用 Windows 10 的裝置則具備高度安全防護,不需額外花費,便內建隨時維持更新的安全功能,能協助企業抵禦日趨多變的現代安全威脅手法。
<回到新聞條列重點>
不只工研院、資策會 國研院:主機未使用陸牌設備 聯合新聞網
近日接連傳出經濟部工研院、資策會等單位禁用中國大陸品牌的設備,國家實驗研究院今天表示,主機與核心骨幹網路設備,均未使用中國品牌設備。未來也會遵照政府指示,辦理相關設備採購。
<回到新聞條列重點>
政院:政府機關公務已禁用中國資通訊產品 中央通訊社
工研院因資安考量,明天中午起不支援華為手機和電腦使用內部網路。行政院發言人Kolas表示,中央政府機關多年前已全面禁止公務上使用中國品牌的資通訊產品,當然也包括華為。
<回到新聞條列重點>
85個惡意APP肆虐全球,單款下載就超過500萬次 雅虎奇摩
網絡安全公司趨勢科技(Trend Micro)在周末公佈的最新報告中曝光了在 Google Play Store 中有多款間諜軟件偽裝成為合法應用程式的情況,導致Android 用戶在沒有察覺的情況下被收集了隱私數據。
<回到新聞條列重點>
飯店集團Hyatt也加入抓漏行列 iThome
抓漏獎勵涵蓋了hyatt.com及world.hyatt.com等網站, 只要通報合格的安全漏洞,獎金從300到4000美元不等。
<回到新聞條列重點>
Linux系統管理軟體Systemd爆3漏洞 iThome
幾乎所有具備systemd的Linux發行版都會受影響,唯獨SUSE Linux Enterprise 15、OpenSUSE Leap 15.0和Fedora 28 和29例外,RedHat已修補好其中較嚴重的二個漏洞。
<回到新聞條列重點>
MongoDB資料庫門戶大開,逾2億中國民眾履歷外洩 iThome
Diachenko表示,此一資料庫位於美國的伺服器上,名稱為resumedb,總計存放了854.8GB的資料,它既不需要密碼也不要求登入認證程序就能存取,內含2.02億名中國民眾的履歷,履歷上除了個人的專長、工作經歷及自我介紹之外,也紀錄了這些民眾的電話號碼、電子郵件位址、婚姻狀態、子女數量、身高、體重、識字程度及期望薪水等。
<回到新聞條列重點>
是正義之師,還是有理想的賊?德國CCC的萬人駭客年會 T客邦
說到駭客,大多數人腦海裡閃現出的第一印象,大概是神出鬼沒、行蹤神祕、不善言語,也不愛參加聚會和戶外活動,常常一身黑色裝扮隱藏在電腦螢幕後,在鍵盤上狂爆手速破譯各種密碼,讓被攻擊者們不得安寧。
<回到新聞條列重點>
南韓防衛事業廳遭駭 10台涉軍武採購電腦資料外洩 自由時報電子報
根據南韓《東亞日報》報導,南韓自由韓國黨議員李鐘明透露,國家情報院去年10月26日在防衛事業廳網路IP上確認了可疑資訊,並通報防衛事業廳此事,調查結果顯示,有30台電腦被駭客攻擊,其中10台被入侵。
<回到新聞條列重點>
抵制國增加 捷克也示警 聯合報
華為主管在波蘭被捕後,升高歐洲對中國大陸電信設備的疑慮,也使以美國為首的反華為陣營找到新施力點,未來抵制華為的國家可能愈來愈多。
<回到新聞條列重點>
排除華為再增一國 挪威考慮加入美英行列 中央廣播電臺
挪威司法部長瓦拉(Tor Mikkel Wara)9日表示,挪威政府正在考慮是否加入美國和英國的行列,排除中國行動網路服務供應商華為(Huawei)參與挪威新的5G電信基礎建設。
<回到新聞條列重點>
波蘭逮華為間諜 美中科技冷戰擴大 自由時報
中國科技鉅子華為(Huawei)的波蘭主管王偉晶爆發涉及替中國情蒐的間諜案,引發國際震撼,對中國業者潛在網路間諜的擔憂升高;歐洲今年將有更多國家展開5G通訊頻譜拍賣,在美國川普政府力促封殺華為、中興通訊(ZTE)等業者設備下,歐盟擬強化檢查中國科技業者潛在的安全風險,反映歐洲已成為美中科技冷戰角力的測試場。
<回到新聞條列重點>
「個資」保護難周全 外洩處理有步驟 世界新聞網
家門前驚現包裹內疑似藏毒,讓華人林先生震驚之餘,更為個資洩露感到害怕。保護個資人人有責,在確認洩露後的正確處理方式,很重要。
<回到新聞條列重點>
趨勢科技推IoT Security 2.0改善使用者防護,提升裝置製造商信譽 MSN台灣
趨勢科技今天宣布推出「趨勢科技 IoT Security 2.0 (Trend Micro IoT Security , TMIS 2.0) ,協助裝置製造商與託管服務供應商 (MSP) 提升產品及整體物聯網 (IoT) 生態系資訊安全,同時亦為廠商帶來一項差異化競爭優勢。
<回到新聞條列重點>
AIoT推波助瀾 工控將是下個資安大市場 電子時報
工業4.0已被認定為大趨勢,如何達到智慧製造,導入AIoT,成為關鍵,然也導致工控系統安全性受到威脅。
<回到新聞條列重點>
DNS 真的安全嗎? 資安人
DNS是非常重要的網際網路基礎核心服務,每天你打開IG、FB、瀏覽新聞、收發電子郵件,或者是操作聯網的公司系統,如果沒有DNS,這一切都無法實現。
<回到新聞條列重點>
電子電機工程師學會(IEEE)旗下的電腦協會(IEEE-CS)發布年度科技未來預測,列出於2019年可望顛覆市場且被廣為採用的十大科技趨勢。
<回到新聞條列重點>
掌握行動支付新趨勢 經濟日報(臺灣)
根據全球支付報告(World Payments Report)顯示,全球邁入非現金交易(Non-cash transaction)社會的進程,成長率已達10.1%,其中以亞洲新興國家以25.2%成長率為最高。而全球公認推廣非現金交易的推廣大國,前五名分別為瑞典、美國、南韓、芬蘭、澳洲,如此成績主要的原因來自於政府政策的鼓勵與配套的支援。
<回到新聞條列重點>
思科修補可能產生永久服務阻斷的AsyncOS漏洞 iThome
駭客只要藉由目標裝置發送經S/MIME簽署的惡意電子郵件就能開採編號為CVE-2018-15453的安全漏洞,倘若配置了解密與驗證,或是公鑰收割,過濾程序即會因記憶體毀損而瓦解,並重新啟動,形成阻斷服務現象。
<回到新聞條列重點>
電子郵件對多數企業而言,仍是正式對外溝通或留存紀錄的工具,早期企業只需採購一套資安設備或軟體,透過定期的樣本更新,就可以把多數可疑的攻擊行為阻擋,但隨著電子郵件攻擊手法不斷演進,加上設備老舊汰換,企業勢必需重新評估現有資安設備與軟體的效能、功能或防禦政策,是否足以阻擋新形態的資安問題。
<回到新聞條列重點>
對岸窺視台灣半導體商業機密 業者防堵洩密有一套 經濟日報網
國內面板驅動IC大廠聯詠傳出前員工盜取公司商業機密,換取中國科技公司高薪職位,面對中國半導體業崛起頻頻向台灣半導體科技公司竊取商業機密,半導體企業除了在法律上築起一道智慧財產權圍牆,內部控管也有一套防機密外洩機制。
<回到新聞條列重點>
經濟部水利署資訊室規劃資安藍圖 三大面向杜絕駭客入侵 iThome
在資安等於國安的趨勢下,世界各國都著手制定各種資安法規,如行政院即將在2019年實施的資安法,即著重在強化公部門與關鍵基礎設施的資安防護上,避免重要設施因遭到駭客攻擊而停擺。因此,經濟部水利署在打造水資源物聯網計畫之外,也選擇與經驗豐富的鼎盛資科合作,從引進資安服務、更新防毒軟體與Windows 10作業系統、落實資安教育等三大面向著手,將駭客組織入侵機率達到最低,達到保護水利相關關鍵基礎設施安全。
<回到新聞條列重點>
Palo Alto提2019網路安全5大預測,電郵詐騙與供應鏈攻擊成焦點 iThome
Palo Alto提出2019年網路安全趨勢的五大預測,本周他們的資安長也在臺說明這次預測的重點,包括商業電郵詐騙的威脅、供應鏈的攻擊,以及資料保護立法,多雲應用的議題,並指出關鍵基礎設施保護的重要性。
<回到新聞條列重點>