本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- London Blue(倫敦藍)詐騙集團針對亞洲發動新的BEC郵件詐騙攻擊
- IE瀏覽器的XXE零時差注入漏洞,會讓駭客竊取檔案和系統資訊
- 利用機器學習(Machine learning)透過有限樣本來偵測病毒爆發
- Line 貼圖詐騙難以分辨,不小心點了連結會怎樣?
- 貌似空白的 excel 工作表,開啟前注意三件事,嚴防內嵌AutoHotkey惡意腳本攻擊
- [教學] 使用 趨勢科技安心 Pay 保護個資不被側錄 網路購物輕鬆買 ~ 敗家沒壓力
- 《資安漫畫》媽媽,上傳爆笑小孩照片,可能會讓孩子爆氣
- 網路風險指數(CRI) – 給資訊安全長和 IT 安全團隊的指南
- 還在使用老舊軟體和這 61 組弱密碼? 挖礦病毒利用多重攻擊手法自中國擴散至台灣、日本等亞洲企業
一周精選媒體資安新聞
美國氣象電視台也成勒索軟體受害者,導致節目無法準時開播 iThome
18歲女優遭駭客鎖定 「62分鐘無碼片」慘被外流 NOWnews
英國企業使用AI監控員工活動 雅虎奇摩
密碼還是1234嗎?小心了! 趨勢科技最新調查指出 弱密碼及系統漏洞成挖礦病毒攻擊企業利器 新偵測挖礦病毒利用多重感染手法,影響台灣、日本、香港企業安全 iThome
英國最差勁密碼「123456」、「123456789」分居第一、二名 INSIDE
2019創新商務獎公布:健保署成大贏家,金融業表現亮眼 Meet創業小聚
AI、戰情室、網紅學校——印尼政府5招打擊假新聞的啟示 報導者
知名熱點搜尋app可能曝露200萬用戶Wi-Fi密碼 iThome
資安英雄也曾是駭客,成功攔阻WannaCry的研究人員坦承打造及散布金融木馬 iThome
美國一名學生駭 SIM 卡竊「上億台幣」的密碼貨幣,花錢買直升機跑趴,法院判 10 年有期徒刑 BLOCKTEMPO
政院公布危害資通安全產品使用原則,3個月內將公布禁用產品清單 iThome
〈手機開後門1〉手機資料沒人要?傻子才這樣說【壹科技】 台灣壹週刊
〈手機開後門2〉後門程式怎麼防?電信防毒都沒用!【壹科技】 台灣壹週刊
〈手機開後門3〉政府推手機安全檢測!有跟沒有差不多【壹科技】 台灣壹週刊
〈手機開後門4〉手機資安靠自己!4個步驟保安全【壹科技】 台灣壹週刊
Android 平台 19款安全軟體測試結論:官方的 Google Play Protect 常漏抓又愛亂報、最不值得信任 T客邦
報稅季將開跑 中區國稅局說明注意事項 美麗島電子報
為2020年5G商轉做準備,中華電信今年將擴大5G實驗網 iThome
資安新法正式上路4個月,醫院如何落實醫療資安? iThome
【舊金山Next直擊】122項Google雲端最新發布大整理(上):混合雲、無伺服器、資安三大重點 iThome
【舊金山Next直擊】122項Google雲端最新發布大整理(下):AI、機器學習、生產力、生態系經營 iThome
【臺灣資安大會直擊】想買資安險,不能只靠資安成熟度詢問表,企業還要主動揭露資安健康才有利降保費 iThome
微軟4月安全更新與多款防毒軟體相衝 iThome
是德科技 Ixia 部門發佈 2019 年安全報告,清楚揭示安全漏洞和網路複雜度對安全風險的影響 CompoTech Asia 電子與電腦
香港警方助市民「掃毒」 39萬惡意手機App被移除 新浪網(臺灣)
不用鑰匙也能偷走整輛車!超過 100 輛賓士 CLA、GLA 在美遭竊 自由時報電子報
GCP一站式資安管理平臺Cloud SCC正式上線 iThome
鼓勵創新更要作好資安把關 新加坡網路安全聯盟管控物聯網風險 電子時報
法國打造政府機關專用傳訊程式Tchap,隔天就被找到漏洞 iThome
手持可信證據!美國 CIA 控訴華為接受「中國軍情單位」資助 報橘
印度有超過320萬張支付卡資訊流落在外,僅次於美、英 iThome
墨西哥大使館近5000份公民護照等文件遭駭客公佈於網路上 iThome
人工智慧推波助瀾 智慧家庭應用推向另一高潮 Pchome 新聞
台灣企業數位轉型 刻不容緩 迎棧科技副總王惠民:最困難的地方在於「企業文化的改變」,若再不轉型,恐在3?5年內被淘汰 工商時報
甲骨文每季修補又來了,這次補297個漏洞 iThome
刪節版通俄門報告 首度公開 司法部長巴維理認定川普未妨礙司法 川普推特發圖:遊戲結束 聯合報
樂天銀行資安專家佐伯和彥:經營純網銀逾18年 可為台做貢獻 工商時報
Broadcom Wi-Fi晶片組驅動程式含多種安全漏洞 iThome
美國氣象電視台也成勒索軟體受害者,導致節目無法準時開播 iThome
美國氣象電視台(The Weather Channel)每天早上開播的America’s Morning Headquarters(AMHQ)晨間新聞暨氣象節目在4月18日開了天窗,原因是遭到駭客植入了勒索軟體,讓節目延宕了一個半小時才開播。
<回到新聞條列重點>
18歲女優遭駭客鎖定 「62分鐘無碼片」慘被外流 NOWnews
日本無碼成人片外流事件層出不窮,去年AV片商「蚊香社」(Prestige)遭駭客攻擊,旗下多名女優如長谷川留衣、桃谷繪里香、彩美旬果的無碼母帶全部外洩,數量高達600G,引發女優們惶恐,沒想到,近日年僅18歲、有「神腰」封號的稚齡女優音梓(音あずさ)也受害,一段長達62分鐘的影片被瘋傳,引發討論。
<回到新聞條列重點>
英國企業使用AI監控員工活動 雅虎奇摩
數十間英國企業老闆正在使用AI人工智能監控系統來調查員工的行為,例如,發送電子郵件的時間與對象、哪些員工進入了檔案並且變更文件,訪客對象及會面時間等。位於英國境內和海外約130,000名員工的行為均被名為“Isaak”的AI監控系統即時嚴密觀察著,該系統甚至對員工的狀況進行排名。但英國工會已對企業主警告Isaak等系統可能會增加員工的壓力並導致勞資雙方的不信任。
<回到新聞條列重點>
密碼還是1234嗎?小心了! 趨勢科技最新調查指出 弱密碼及系統漏洞成挖礦病毒攻擊企業利器 新偵測挖礦病毒利用多重感染手法,影響台灣、日本、香港企業安全 iThome
使用強度不足的弱密碼以及老舊作業系統的企業們請注意, 全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)偵測到惡意病毒:Trojan.PS1.LUDICROUZ.A使用多重感染手法,透過弱密碼與pass-the-hash (傳遞雜湊)技術,經由Windows管理工具與公開原始碼進行暴力破解攻擊,將門羅幣挖礦程式擴散感染企業內系統和伺服器,受感染後可能導致企業生產線效能受影響,以及系統資訊外洩。而該病毒正以殭屍網路方式擴展到台灣、香港、越南、印度及澳洲等國家;在日本所發現案例更顯示出惡意軟體透過EternalBlue (永恆之藍) 漏洞攻擊及PowerShell入侵系統並躲避偵測,企業不可不慎!
<回到新聞條列重點>
英國最差勁密碼「123456」、「123456789」分居第一、二名 INSIDE
還記得之前曾讓外國人困惑的密碼「ji32k7au4a83」嗎?這可能是台灣許多人使用的密碼類型。英國政府國家網路安全中心(NCSC;National Cyber Security Center)也公布了他們國家的相關數據,顯示最糟糕的密碼。
<回到新聞條列重點>
2019創新商務獎公布:健保署成大贏家,金融業表現亮眼 Meet創業小聚
《數位時代》為鼓勵新科技的應用、創意與商業結合,期待發掘以消費者為核心、掌握社群特質、運用互動科技的商務模式創新典範,連續五屆舉辦創新商務獎。獎項分為最佳技術創新、最佳體驗創新、最佳產品創新、最佳商業模式、最佳管理創新共五大項,邀請橫跨零售業、顧問業、數位行銷業、網路業、研究機構及創新領域等專家評選,每項分別選出金獎1名、銀獎2名、銅獎3名和評審團大獎3名。
<回到新聞條列重點>
AI、戰情室、網紅學校——印尼政府5招打擊假新聞的啟示 報導者
全球民主國家都在問,作為資訊戰的一環,社交網站上颳起的假訊息風暴,政府能做什麼?在全球第三大民主國印尼,我們走進首都雅加達24小時打假的戰情室War Room、網紅學校,看由網紅總統佐科威(Joko Widodo)帶領的政府,2年如何祭出5招打假。作為Facebook全球前五大市場,印尼打擊假新聞的成與敗,不僅是民主國家的現代啟示錄,也是離下次大選不到一年的台灣,此刻最好的借鏡。
<回到新聞條列重點>
在資訊爆炸的社交網站時代,有群「創業家」,在網路平台之間、一張工作桌上,建立起跨國界的淘金生產鏈。他們來自北馬其頓共和國的小城韋萊斯(Veles),上千個青年從製造假新聞之中,淘出跑車、新房,和一場震驚全球的美國總統大選。
<回到新聞條列重點>
知名熱點搜尋app可能曝露200萬用戶Wi-Fi密碼 iThome
Wi-Fi Finder App開發商將用戶的Wi-Fi熱點資料儲存在未加密資料庫,近期更被安全研究人員在網路上發現這個資料庫內含Wi-Fi網路名稱、精確地點、基礎服務設定識別碼,以及明碼儲存的網路密碼。
<回到新聞條列重點>
資安英雄也曾是駭客,成功攔阻WannaCry的研究人員坦承打造及散布金融木馬 iThome
在資安社群名聲響亮、成功減緩WannaCry蠕蟲肆虐的安全研究人員Marcus Hutchins在上周坦承曾撰寫金融木馬程式Kronos,並協助進行散布,最多可能面臨10年的牢獄之災。
<回到新聞條列重點>
美國一名學生駭 SIM 卡竊「上億台幣」的密碼貨幣,花錢買直升機跑趴,法院判 10 年有期徒刑 BLOCKTEMPO
據於4月22日加州聖塔克拉拉郡的檢察官辦公室公告指出,名為喬爾.奧迪斯(Joel Ortiz)的學生透過俗稱「SIM Swap」的駭客攻擊手段,從約40名受害者的手機中偷了「價值 750 萬美金(約2.3億台幣)的密碼貨幣」。
<回到新聞條列重點>
政院公布危害資通安全產品使用原則,3個月內將公布禁用產品清單 iThome
行政院在4月19日公布「各機關對危害國家資通安全產品限制使用原則」行政命令,要求各機關盤點已經採購、來自危險地區的產品清單,3個月內送交行政院,未來將公布一份正面表列的禁用產品清單給受資安法規範的中央與地方政府以及關鍵基礎設施提供者等參考。
<回到新聞條列重點>
〈手機開後門1〉手機資料沒人要?傻子才這樣說【壹科技】 台灣壹週刊
前些日子手機資訊是否安全這件事鬧得沸沸揚揚,搞得很多資訊大咖都出來澄清,說手機資安是如何重要,要怎麼保護自己隱私等等。又有很多科技達人說小市民的資料不重要,誰要偷你的資料等等,老實說就連3C線記者自己也看得霧煞煞,為了讓讀者們更明白,壹週刊這次一條條梳理分析,來看手機安全問題到底有多複雜。
<回到新聞條列重點>
〈手機開後門2〉後門程式怎麼防?電信防毒都沒用!【壹科技】 台灣壹週刊
談到手機安全防護,很多人第一個念頭就是安裝一個保護或是防毒 APP,的確這類手機防護的 APP,對於惡意程式或是不安全的資料傳輸有一定的保護性,但目前的資安 APP,大多數是採用「黑名單」機制,資安廠商會固定時間對市面上的 APP 進行測試,有疑慮的部分就會放入黑名單內,而手機端的 APP 在接收到這個黑名單後,就會對已安裝或是正要安裝的 APP 進行比對。
<回到新聞條列重點>
〈手機開後門3〉政府推手機安全檢測!有跟沒有差不多【壹科技】 台灣壹週刊
為了民眾的手機個資安全,政府委託了中華民國資訊安全學會,建立了所謂「 智慧型手機系統內建軟體資通安全檢測」(簡稱 ESS 檢測),國內也有 5 家實驗室通過認證提供此項服務。
<回到新聞條列重點>
〈手機開後門4〉手機資安靠自己!4個步驟保安全【壹科技】 台灣壹週刊
除了手機內建軟體外,許多人都會安裝 APP 來增加手機功能,但並不是每個 APP 都安全,最基本的建議就是直接從 Google Play Store 或是 Apple App Store 下載安裝,不要直接從網頁上點連結安裝。因為上架到系統商店的 APP,通常都會經過審核,中招機率小很多。另外像是 Facebook、LINE 或是網頁上的不明連結也不要亂點,免得被植入木馬程式。
<回到新聞條列重點>
Android 平台 19款安全軟體測試結論:官方的 Google Play Protect 常漏抓又愛亂報、最不值得信任 T客邦
Android平台上的安全要怎麼維護,依靠Android平台上的這些防毒工具有沒有用?或是單純依靠Android內建的安全機制又如何呢?這些相信是很多使用者都很好奇的問題。資安評測網站 AV-TEST 最近針對Android行動平台上的防毒方案進行了測試,我們來看看他們的評測結果吧!
<回到新聞條列重點>
今年四月,Gogolook宣布獲得新私募基金投資,再一次讓這家台灣新創的老兵獲得關注;在NAVER與新投資者的支持下,Gogolook要在今年搶進金融科技的新市場。
<回到新聞條列重點>
4月11日印度國會大選開跑,將選出人民院(Lok Sabha,等同下議院)543席議員並決定誰是下一任總理,由於幅員遼闊,合格選民高達9億,這場大選長達39天,直到5月23日才會公布開票結果,其規模之龐大堪稱「地表最強民主選舉」。
<回到新聞條列重點>
報稅季將開跑 中區國稅局說明注意事項 美麗島電子報
五月報稅,受惠於去年稅制優化改革,今年申報個人綜所稅,將出現五大變革:四大扣除額調高、最高稅率調降、基本生活費差額、健保費扣除放寬,以及攸關投資人權益的股利所得稅制新規。
<回到新聞條列重點>
為2020年5G商轉做準備,中華電信今年將擴大5G實驗網 iThome
中華電信今天在板橋的電信學院舉辦「台灣5G產業發展聯盟-中華電信領航隊」年度大會,聯合合作夥伴共同展示5G相關技術及產品服務,中華電信宣布今年將把5G實驗室測試擴大到臺北南港展覽2館、新北市林口新創園區等實際場域。
<回到新聞條列重點>
資安新法正式上路4個月,醫院如何落實醫療資安? iThome
今年元旦資安新法正式上路,面對更嚴謹的資安規範,醫院也採取不同作法來因應。臺大醫院認為,透過機器學習輔助,可從歷史活動中學習,自動揪出異常事件。中國附醫則從把關醫療儀器下手,盤點院內可連線的醫療儀器並完成風險評鑑。而北市聯醫從組織改造做起,特別設立資安管理中心和資安長,來把關全院的醫療資安。
<回到新聞條列重點>
【舊金山Next直擊】122項Google雲端最新發布大整理(上):混合雲、無伺服器、資安三大重點 iThome
Google今年在Next大會的發布涵蓋了基礎架構、混合雲、Serverless、DevOps、API管理、資料管理、網通、資安與驗證、聰明分析、Windows工作量上GCP、生產力與協作、顧客、夥伴關係。
<回到新聞條列重點>
【舊金山Next直擊】122項Google雲端最新發布大整理(下):AI、機器學習、生產力、生態系經營 iThome
Google今年在Next大會的發布涵蓋了基礎架構、混合雲、Serverless、DevOps、API管理、資料管理、網通、資安與驗證、聰明分析、Windows工作量上GCP、生產力與協作、顧客、夥伴關係,下半篇就從聰明分析、AI和機器學習新服務開始介紹起。
<回到新聞條列重點>
【臺灣資安大會直擊】想買資安險,不能只靠資安成熟度詢問表,企業還要主動揭露資安健康才有利降保費 iThome
保險公司在為企業轉移資安風險,得充分掌握企業剩餘風險的曝險程度,才能選擇或設計合適的資安保險產品。資誠(PwC)智能風險管理諮詢執行董事張晉睿建議,不只透過保險公司的詢問表,來評估企業的資安成熟度,企業還能主動揭露自家資安健康狀況給保險公司,讓資安投資的價值充分展現。
<回到新聞條列重點>
微軟4月安全更新與多款防毒軟體相衝 iThome
安裝McAfee、Avast、Sophos、Avira與ArcaBit防毒軟體的Windows用戶,在部署微軟的4月安全更新並重新開機之後,可能會發現系統效能變差、反應遲鈍或根本動彈不得。
<回到新聞條列重點>
是德科技 Ixia 部門發佈 2019 年安全報告,清楚揭示安全漏洞和網路複雜度對安全風險的影響 CompoTech Asia 電子與電腦
是德科技(Keysight Technologies Inc.)是推動全球企業、服務供應商和政府機構網路連接與安全創新的技術領導廠商,該公司 Ixia 部門日前發佈了第三份年度安全報告。2019 年的年度報告詳細分析了 Ixia 惡意程式與威脅情報(ATI)研究中心過去一年來發現的重大安全缺失,它們皆源於過往未修補的安全漏洞,以及不斷攀升的網路規模和應用程式複雜度。
<回到新聞條列重點>
香港警方助市民「掃毒」 39萬惡意手機App被移除 新浪網(臺灣)
據香港《明報》報導,手機App如雨後春筍,但使用手機安全意識不足,可能令黑客有機可乘。香港警方網路安全及科技罪案調查科2018年8月展開第二階段網路安全運動,至2019年3月底移除約39萬惡意手機程序。
<回到新聞條列重點>
不用鑰匙也能偷走整輛車!超過 100 輛賓士 CLA、GLA 在美遭竊 自由時報電子報
共享汽車這幾年是除了電動車、自動駕駛以外,車廠另一個正在規劃的方向。賓士母公司德國戴姆勒,也推出共享汽車 Car2go,提供賓士 CLA、GLA 以及 Smart 汽車,讓民眾透過 App 便可租用汽車。不過這項服務,近來遭到駭客攻擊,超過 100 輛 Car2go 的共享汽車遭竊。
<回到新聞條列重點>
GCP一站式資安管理平臺Cloud SCC正式上線 iThome
為幫助企業快速簡單地掌握GCP服務上的安全狀態,Google發布了雲端安全指揮中心(Cloud Security Command Center,Cloud SCC),現在該平臺已進入正式版本,加入了事件威脅偵測以及安全健康分析功能,提供用戶更多手段,可以在安全事件發生前,先行修補弱點。
<回到新聞條列重點>
鼓勵創新更要作好資安把關 新加坡網路安全聯盟管控物聯網風險 電子時報
為解決新加坡日益嚴重的網路安全問題,並落實數位轉型倡議,該國透過「國家研究基金會」(The National Research Foundation,NRF)於2016年在新加坡國立大學設立「新加坡網路安全聯盟」(Singapore Cybersecurity Consortium)。這個聯盟確保星國企業與個人在最安全的情況下,善用包括物聯網(IoT)等最新科技的創新。
<回到新聞條列重點>
法國打造政府機關專用傳訊程式Tchap,隔天就被找到漏洞 iThome
法國採用開源的端對端加密通訊協定Matrix所打造政府專用的傳訊程式,被安全研究人員成功註冊帳號,還潛入了多個公開聊天室。
<回到新聞條列重點>
手持可信證據!美國 CIA 控訴華為接受「中國軍情單位」資助 報橘
中國華為技術有限公司遭西方國家的指控再添一樁,英國「泰晤士報」(The Times)20 日報導,美國情報機關指控華為接受中國國安經費。
<回到新聞條列重點>
印度有超過320萬張支付卡資訊流落在外,僅次於美、英 iThome
專門分析網路犯罪並替受駭組織制定安全解決方案的Gemini Advisory指出,隨著印度經濟的崛起,該國也逐漸成為網路犯罪的目標,去年在暗網中銷售的支付卡資訊超過320萬張,躍升為全球第三大,僅次於美國及英國,且相信印度的支付卡詐騙規模會在今年超越英國。
<回到新聞條列重點>
墨西哥大使館近5000份公民護照等文件遭駭客公佈於網路上 iThome
涉案駭客聲稱他入侵了墨西哥大使館一台有漏洞的伺服器,官方雖然事先收到通知但並未理會,為了提醒大使館不要低估駭客能耐,所以公開使館內部機密文件以示警告。
<回到新聞條列重點>
人工智慧推波助瀾 智慧家庭應用推向另一高潮 Pchome 新聞
聯網概念進入家庭應用後,智慧家庭市場概念及需求逐漸明朗。谷歌與亞馬遜語音助理高調登場,持續受全球智慧家庭市場所矚目,人工智慧的推波助瀾帶動各項應用服務,經過各項應用技術的磨合,語音控制不再是產品差異化的重點,影像辨識搭載各家電強化智慧家庭的應用,而人工智慧進入智慧家庭產生的效應,將讓智慧家庭對整體物聯網市場擴大帶來貢獻。
<回到新聞條列重點>
台灣企業數位轉型 刻不容緩 迎棧科技副總王惠民:最困難的地方在於「企業文化的改變」,若再不轉型,恐在3?5年內被淘汰 工商時報
根據市場調查機構IDC的觀察,台灣企業數位轉型的腳步,遠不及亞太其他先進國家,屬於「中後段班」,迎棧科技副總王惠民表示,企業數位轉型最困難的地方在於「企業文化的改變」,企業執行長需體認到「再不轉型將來不及,恐在3-5年內被市場淘汰」。
<回到新聞條列重點>
甲骨文每季修補又來了,這次補297個漏洞 iThome
甲骨文(Oracle)釋出了每季一次的Critical Patch Update安全更新,總計修補了297個產品漏洞,當中有53個漏洞的CVSS(Common Vulnerability Scoring System)評分高達9或以上,被視為最應優先修補的對象。
<回到新聞條列重點>
刪節版通俄門報告 首度公開 司法部長巴維理認定川普未妨礙司法 川普推特發圖:遊戲結束 聯合報
美國司法部十八日公布特別檢察官穆勒調查川普陣營通俄門案報告刪節版,司法部長巴維理在公布前舉行記者會說,調查顯示俄羅斯政府試圖透過駭客等手法干預二○一六年美國大選,但川普陣營並未和俄國共謀。巴維理說,穆勒對川普本人是否妨礙司法調查提出一些疑義,但將最終判斷交給司法部,巴維理在研究相關內容後認定川普並未妨礙司法。
<回到新聞條列重點>
樂天銀行資安專家佐伯和彥:經營純網銀逾18年 可為台做貢獻 工商時報
日本第一大純網銀樂天銀行積極爭取來台當「純網銀鯰魚」。樂天銀行資安專家、樂天國際商業銀行預定總經理佐伯和彥18日來台分享樂天銀行635位員工如何管理年交易金額達12.9兆日圓、720萬個帳戶,如何用三招打造出零風險、高易用性的金融反洗錢、防詐騙系統。
<回到新聞條列重點>
Broadcom Wi-Fi晶片組驅動程式含多種安全漏洞 iThome
美國CERT/CC警告,Broadcom Wi-Fi晶片組採用的Wl及brcmfmac驅動程式含有安全漏洞,將允許駭客執行服務阻斷攻擊,甚至可遠端執行任意程式,影響蘋果、Synology等業者的產品。
<回到新聞條列重點>
自從前幾天的「搶佔註冊帳號」攻擊後,玩家反應資安問題越發激烈, Epic Games Store 官方在今(18)日發佈關於帳號資安內容的新公告,並承諾會改善資訊安全問題,確保超過兩億個帳號的安全。
<回到新聞條列重點>