本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- iLnkP2P 漏洞讓 200 多萬台 IoT 裝置暴露在遠端攻擊的風險中
- 《網路釣魚》9 名員工誤點網址,導致35 萬名客戶個資曝光
- 微調良性皮膚病變影像像素,竟誤導AI辨別為惡性病變!對抗式攻擊如何破壞機器學習?
- Instagram小密技!用3招教你如何設定IG隱私權限
- 加油站使用預設密碼,被偷走 12 萬公升汽油
一周精選媒體資安新聞
YouTube前工程師揭露秘辛:我們在十年前謀殺了IE 6 iThome
「蘋果支援」客服電話藏詐騙 密碼、iCloud資訊全被盜 ETtoday新聞雲
當心!網路病毒新變種 能入侵醫院竄改患者病歷導致醫生誤判 匯流新聞網
盜幣、搶錢、威脅…這個北韓駭客組織一年賺走6億美元 knowing
Alphine Linux Docker映像檔,爆出根帳號無密碼登入漏洞 iThome
信用卡側錄駭客已對北美 201 家校園商店進行了攻擊 雅虎奇摩
製造業步調慢 65%用過時OS Run! PC
微軟中槍,GitHub 數百程式碼被駭客移除用於勒索 科技新報網
為什麼改年號「令和」,竟然成了日本程式設計師的魔咒? 科技新報網
國際警方聯手破獲全球第二大暗網市集 iThome
臉書預告大改款! 強化社團功能「隱私」保護 新唐人電視台
隱私風暴襲捲全球!Google搶先臉書發新工具保護用戶資安 匯流新聞網
Wi-Fi黑科技報到!首款電力線Mesh路由器Deco P7正式登台 iThome
貫徹市場化 突破美國5G包圍網 中時電子報網
Samsung 內部數據不設防,涉及源代碼、密碼和員工資料 Engadget中文版
美司法部起訴2名中國駭客 涉嫌竊盜Anthem保險公司數據 鉅亨網
矽品精密/張美慧 號召員工當義工 中國時報電子報
勒索攻擊持續 資安、備份不可少 Run! PC
日本將開發首隻惡意程式以防衛網路攻擊 iThome
先出發不一定比較快!微軟、Google人工智慧都出包 歐盟搶時機推倫理準則 天下雜誌網
不收學費、不看文憑,教育部試辦超佛心程式教育,一學期之後如何了? 天下雜誌網
聯網汽車 未來發展與挑戰 工商時報
一周大事:Windows 桌機及Server版可望拿掉密碼過期政策。介接IT網路成常態,醫療院所也要有OT危安意識 iThome
日本樂天銀行來臺分享18年網銀經驗,怎麼在資安和行銷用AI iThome
日本樂天結合台灣AI 教戰純網銀資安 工商時報
中國網路盜竊談判 恐難有具體結果 自由時報
人臉辨識爆資安漏洞 北京使館區中鏢 自由時報
硬體漏洞 旁路攻擊 ECDSA 研究人員公布可用來竊取機密資訊的高通晶片旁路漏洞 iThome電腦報周刊
思科修補Nexus 9000網路交換器重大漏洞 iThome
鎖定SAP的惡意程式被公開,90萬家企業用戶曝險機率大增 iThome
【禁聞】美國防部:中共靠間諜手段獲軍事技術 新唐人電視台
FBI 聯手歐洲破獲全球最大網路黑市平台 「華爾街市場」擁逾百萬帳戶 世界新聞網
是德Ixia部門發布2019年安全報告揭示網路安全風險 新通訊元件雜誌
筆會百年文學視野講座歡迎參加 中華日報
5G網路安全政策 美呼籲歐盟協同審慎以對 中央通訊社
Moxa支持OPC基金會將TSN現場級通訊納入OPC UA 電子時報
美國為何不敢用華為?因為5G有這三大特性 天下雜誌網
解剖智慧工廠構成要素 EDN Taiwan
Garena 針對《LOL》MSI 賽前直播出現博弈頁面進行懲處 遊戲未來將不支援 XP 與 Vista 巴哈姆特
微軟 Outlook 現漏洞 導致用戶加密貨幣遭駭客竊取 區塊客
Dell電腦內建支援軟體含有遠端攻擊漏洞 iThome
Oracle WebLogic Server傳零時差漏洞,已遭開採植入勒索軟體、挖礦程式 iThome
資安一周40期:Docker Hub外洩19萬用戶個資、GitHub Page成駭客濫用目標 iThome
2019年第1季度,加密貨幣盜竊數額高達12億美元 knowing
平台出現XRP異常交易!幣託(BitoPro)祭出六項處理方案 knowing
研究人員揭露可長期蟄伏於微軟Exchange Server的後門程式 iThome
小米手機內建App暗藏安全漏洞 電子時報
YouTube前工程師揭露秘辛:我們在十年前謀殺了IE 6 iThome
一位工程師最近公開坦承,他和其他同事當年為了根除IE 6與YouTube相容性問題的惡夢,透過發布一個造假的終止支援廣告,讓當年IE 6用戶造訪YouTube的比例,在一個月內掉了一半。
<回到新聞條列重點>
「蘋果支援」客服電話藏詐騙 密碼、iCloud資訊全被盜 ETtoday新聞雲
iPhone用戶被警告不要接聽Apple 支援(Apple support)的客服電話,除非使用官方的Apple線上支援頁面,近期已有許多用戶收到假冒Apple支援的客服電話,並洩露了私人數據與iCloud帳戶。
<回到新聞條列重點>
當心!網路病毒新變種 能入侵醫院竄改患者病歷導致醫生誤判 匯流新聞網
自從世界進入了「e世代」後,人們因為網路生活越來越便利,刷卡、繳費、申辦資料等都可以藉此進行,但這也成為不法人士恣意妄為、竊取資料的溫床。近日,國外就有消息傳出,有駭客入侵醫院的電腦系統,並藉機勒索鉅額贖金,讓人相當氣憤。
<回到新聞條列重點>
盜幣、搶錢、威脅…這個北韓駭客組織一年賺走6億美元 knowing
曾經有人把幣圈形容為「駭客提款機」,這說法一點都不誇張:僅2018年,全球駭客組織一共竊取價值17億美元的數位貨幣。
<回到新聞條列重點>
Alphine Linux Docker映像檔,爆出根帳號無密碼登入漏洞 iThome
一項編號CVE-2019-5021的漏洞,會使Alpine Linux Docker部署的系統,在根帳號密碼欄位接受以空白(NULL值)登入,可能遭駭客劫持,其中又以面向Web的系統風險最高。
<回到新聞條列重點>
信用卡側錄駭客已對北美 201 家校園商店進行了攻擊 雅虎奇摩
看來近來一些美加地區的大學生們,或許已不幸成為 Magecart 這類駭客集團最新的受害者啦。趨勢科技發現,一個暱稱為 Mirrorthief 的駭客集團在 4 月 14 日時,企圖透過將腳本語言置入於都是由 PrismRBS 團隊負責創建的結帳頁面,從美國和加拿大地區 201 家校園線上商店中竊取信用卡數據,包括姓名、地址和電話號碼。目前該事件確切受害人數尚無法掌握。
<回到新聞條列重點>
製造業步調慢 65%用過時OS Run! PC
因應智慧製造議題,全球製造業正加緊推動數位轉型專案。然而根據趨勢科技 最新發布研究報告-「保護智慧工廠:工業 4.0 時代製造業環境所面臨的威脅」 指出,65% 製造環境仍在使用過時技術,因此製造業網路將面臨包括智慧財產與製造流程上的各項風險。
<回到新聞條列重點>
微軟中槍,GitHub 數百程式碼被駭客移除用於勒索 科技新報網
微軟已確認其開源平台 5 日也被駭客攻擊,並同樣被要求支付款項才能歸還竊取的 392 個開源程式碼碼,這些程式碼和提交的資訊均被名為「gitbackup」的帳號刪除。
<回到新聞條列重點>
為什麼改年號「令和」,竟然成了日本程式設計師的魔咒? 科技新報網
對於已到來的令和元年,也不是每個人都歡天喜地。因為伴隨著新元號的,是一系列煩死人的系統年號變更問題。
<回到新聞條列重點>
國際警方聯手破獲全球第二大暗網市集 iThome
歐洲刑警組織(Europol)及美國司法部(DOJ)宣布已聯同其它國家,共同破獲了全球第二大暗網市集Wall Street Market,已於德國逮捕負責經營Wall Street Market的3名嫌犯,也在美國逮捕了Wall Street Market的最大的兩名賣家,再次對外宣誓絕不縱容暗網上的非法交易。
<回到新聞條列重點>
臉書預告大改款! 強化社團功能「隱私」保護 新唐人電視台
臉書執行長 祖克柏:「隨著世界越來越大,聯繫越來越緊密,我們比過去更需要親密感,因此我相信未來趨勢是私密性。這是我們服務的下一篇章。」
<回到新聞條列重點>
隱私風暴襲捲全球!Google搶先臉書發新工具保護用戶資安 匯流新聞網
近年臉書飽受資安風暴影響,因此去年官方就在F8開發者大會上宣布將推出一個名為「Clear History」的工具來保護用戶們的隱私,只是時至今日,都遲遲不見蹤影。沒想到昨(2)日,Google竟比臉書提早發布相關功能,將能讓用戶自行刪除帳號內任何想刪除的資料。
<回到新聞條列重點>
去年底「五月天—人生無限公司跨年巡迴演唱會」一票難求,原來竟是有人駭入購票系統,竄改會員資料,再利用搶票程式假冒會員訂購551張門票,光台中場10場就賺逾400萬元,造成原有會員訂不了票,不斷客訴,警方破獲駭客搶票集團,逮捕在繪圖公司擔任工程師的李男等4嫌,依妨害電腦使用、詐欺等罪送辦。
<回到新聞條列重點>
Wi-Fi黑科技報到!首款電力線Mesh路由器Deco P7正式登台 iThome
近年來,Mesh Wi-Fi 網狀網路路由器相繼誕生,透過每個節點間的連線確保網路傳輸更穩定、訊號覆蓋範圍更廣泛。全球銷售量第一的網通設備領導品牌 TP-Link 再度領先群雄,推出全台首款 Wi-Fi 結合電力線(Power Line Communication,即 PLC)的混合式路由器 Deco P7,下半年也將推出同系列 Deco P9,針對連網條件更高、普通 Mesh 也無法全面覆蓋的空間所設計。
<回到新聞條列重點>
貫徹市場化 突破美國5G包圍網 中時電子報網
最近,一場攸關未來全球5G安全規範的會議在布拉格召開,30多國代表與會,會後提出一份針對中國的「布拉格提案」聲明。美國政府立即表態,不排除將此份聲明做為未來5G基礎建設的指導方針,也希望各國都能遵守聲明中的相關規範,呼籲各國政府在建置5G網路環境時,必須考量第三國可能對設備供應商造成的影響,特別是在雙方缺乏網路安全與資料保護的合作協議下,更要留意第三國的網路管理模式。
<回到新聞條列重點>
Samsung 內部數據不設防,涉及源代碼、密碼和員工資料 Engadget中文版
據 TechCrunch 報導,Samsung 以公司域名儲存於 GitLab 的多項供工程師使用的數據,被設成「公開」狀態而且沒有設置密碼保護。發現的安全調查員 Mossab Hussein 表示自己在 4 月 10 日向 Samsung 回報這問題,但該公司直到 4 月 30 日都沒有撤銷相關的 GitLab 登入碼和憑證。然而在另一邊廂,Samsung 卻稱已經處理問題。
<回到新聞條列重點>
美司法部起訴2名中國駭客 涉嫌竊盜Anthem保險公司數據 鉅亨網
美國第二大健康醫療保險業者 Anthem (ANTM-US) 2015 年遭到駭客入侵,駭客存取了 Anthem 客戶的姓名、生日、社交安全碼、地址、電話號碼、電子郵件地址、工作資訊與收入等 7880 萬筆資料,但尚無證據顯示客戶信用卡或金融資訊遭竊,也無醫療診斷或處方等資料外洩。
<回到新聞條列重點>
矽品精密/張美慧 號召員工當義工 中國時報電子報
半導體大廠矽品精密全球共2萬4千名員工,除了是樂活職場、友善職場、運動企業、平權職場外,如今再獲幸福企業肯定,深感榮幸。
<回到新聞條列重點>
勒索攻擊持續 資安、備份不可少 Run! PC
企業數位資產不斷增加,若缺乏全面性的安全防禦措施,一旦遭受勒索病毒的攻擊,將造成龐大損失。NTT Security 於 2018 年公布的全球威脅情報報告顯示,勒索病毒較 2017 年的影響規模大幅提升 350%,尤其 WannaCry 病毒曾創下一天肆虐 150 個國家、影響超過 40 萬台設備的紀錄。種種數據皆證實,企業應立即從實務層面,提前防禦惡意軟體的攻擊。
<回到新聞條列重點>
日本將開發首隻惡意程式以防衛網路攻擊 iThome
為了強化軍事國防,日本考慮研發國家級駭客工具,能在政府機關或軍方網路遭受網路攻擊當下予以反擊。
<回到新聞條列重點>
先出發不一定比較快!微軟、Google人工智慧都出包 歐盟搶時機推倫理準則 天下雜誌網
歐盟人工智慧技術已落後歐美,為何還要在這時推倫理準則?從微軟與Google近期引起的爭議來看,要發展技術,得先得過人性這一關。
<回到新聞條列重點>
不收學費、不看文憑,教育部試辦超佛心程式教育,一學期之後如何了? 天下雜誌網
法國億萬富翁資助成立的程式設計學院「École 42」,不看出身、不收學費,只要是想寫程式的青年全都收。同樣的模式搬來台灣,能奏效嗎?
<回到新聞條列重點>
聯網汽車 未來發展與挑戰 工商時報
隨著大眾對聯網熟悉度和依賴程度變高,車廠將朝向全面導入聯網功能邁進,例如豐田汽車在2018年「The Connected Day」中提出,於2022年前在日本和美國銷售的新車,將全面配備DCM車載通信設備,並呼籲其他產業攜手合作推動互聯汽車普及化。
<回到新聞條列重點>
一周大事:Windows 桌機及Server版可望拿掉密碼過期政策。介接IT網路成常態,醫療院所也要有OT危安意識 iThome
每三個月變更一次密碼的夢魘可望不再!微軟公佈Windows 10 桌機版及Windows Server 1903版Windows 10 1903(即19H1)及Windows Server 1903版安全基準設定草案,其中最值得注意是將拿掉要求定期變更密碼的密碼過期政策。
<回到新聞條列重點>
日本樂天銀行來臺分享18年網銀經驗,怎麼在資安和行銷用AI iThome
樂天銀行主要將AI應用於兩個層面,一是防範金融犯罪(Anti Financial Crime),二是應用於市場行銷(Marketing)。
<回到新聞條列重點>
日本樂天結合台灣AI 教戰純網銀資安 工商時報
中央研究院及台灣人工智慧學校主辦「純網銀鯰魚與資安技術漣漪─日本樂天術結合台灣AI人工智慧發表會」,日本樂天銀行資安專家佐伯和彥強調,金融科技目前最夯的是用人工智慧(AI)結合大數據來解析純網銀的資安系統,有助未來台灣純網銀發展與國際接軌。
<回到新聞條列重點>
中國網路盜竊談判 恐難有具體結果 自由時報
美國全國商會(USCC)執行副總裁布列恩(Myron Brilliant)週四表示,美中貿易談判在雲端運算領域取得進展,中國擴大開放雲端市場的門檻和條件可能優於預期;不過,對於網路盜竊及產業補貼問題,可能難以在談判桌上獲得解決。
<回到新聞條列重點>
人臉辨識爆資安漏洞 北京使館區中鏢 自由時報
中國政府為了牢牢掌控新疆維吾爾族自治區,在當地持續實施嚴密的人臉辨識及影像監控,並逐步普及至浙江、福建等十六個省市。美國科技新聞網站「TechCrunch」三日進一步披露,首都北京的民眾,如今也「逃不過法眼」,其中一個資料庫還疑似沒有安全防護措施,導致針對兩個住宅區居民的監控資料,被其他網路用戶隨意瀏覽,恐加劇人身安全問題。
<回到新聞條列重點>
硬體漏洞 旁路攻擊 ECDSA 研究人員公布可用來竊取機密資訊的高通晶片旁路漏洞 iThome電腦報周刊
這個安全漏洞牽涉到ECDSA簽章程式碼的加密問題,將會讓存放在安全世界的私鑰外洩,影響超過40款高通晶片,數十億台安卓裝置可能遭波及,高通表示已完成漏洞修補。
<回到新聞條列重點>
思科修補Nexus 9000網路交換器重大漏洞 iThome
思科網路交換器產品Nexus 9000含有一項重大漏洞,可導致遠端未授權的攻擊者,以系統管理員權限連上系統,用戶應儘快完成更新。
<回到新聞條列重點>
鎖定SAP的惡意程式被公開,90萬家企業用戶曝險機率大增 iThome
一隻瞄準SAP Gateway和Message Server弱點的惡意程式現身網路論壇,全球高達九成SAP用戶因未開啟NetWeaver Message Server的存取控制表(ACL),而陷入被駭風險。
<回到新聞條列重點>
【禁聞】美國防部:中共靠間諜手段獲軍事技術 新唐人電視台
最近美國國防部公布的中共軍力報告指出,近20年來中國在導彈開發、網路及太空等領域取得巨大進步,但中共仍然靠間諜手段竊取別國最新軍事技術,來實現2049年以前成為世界級軍隊的目標。
<回到新聞條列重點>
FBI 聯手歐洲破獲全球最大網路黑市平台 「華爾街市場」擁逾百萬帳戶 世界新聞網
美國和歐洲警方3日宣布聯手破獲一個名為「華爾街市場」(Wall Street Market)的全球最大網路黑市交易平台,登記的交易帳戶達115萬個,販賣商5400個,三名德國男子在執法行動中被捕;洛杉磯的聯邦檢方宣布,美國也將對三人提出起訴。
<回到新聞條列重點>
是德Ixia部門發布2019年安全報告揭示網路安全風險 新通訊元件雜誌
是德科技(Keysight) Ixia 部門日前發布了第三份年度安全報告。2019 年的年度報告詳細分析了 Ixia 惡意程式與威脅情報(ATI)研究中心過去一年來發現的重大安全缺失,它們皆源於過往未修補的安全漏洞,以及不斷攀升的網路規模和應用程式複雜度。
<回到新聞條列重點>
近年來自動駕駛與連網汽車技術如火如荼地發展,成為汽車科技的新趨勢,而自駕車的安全性和可靠性是大家關注的焦點,車聯網若遭到駭客攻擊後果不堪設想,不只造成資安問題還可能影響人身安全。
<回到新聞條列重點>
筆會百年文學視野講座歡迎參加 中華日報
五四運動開啟中國現代文學的蓬勃發展,現代文學也帶動台灣文學攀上新的高峰。這段歷史脈絡的成形和演進,中華民國筆會扮演了關鍵的角色。
<回到新聞條列重點>
針對中國假訊息心戰之因應對策,立法院外交及國防委員會今天(2日)邀請國家安全局、大陸委員會、國家通訊傳播等相關單位進行討論。根據國安局的報告指出,中共正複製俄羅斯併吞克里米亞的作戰模式,意圖散播爭議訊息,消耗政府與國安團隊能量。
<回到新聞條列重點>
5G網路安全政策 美呼籲歐盟協同審慎以對 中央通訊社
鑒於外界對中國電訊業巨擘華為提出的相關疑慮,美國今天敦促歐洲聯盟「想法一致政府」審慎以對,並協調彼此的5G網路安全相關政策。
<回到新聞條列重點>
Moxa支持OPC基金會將TSN現場級通訊納入OPC UA 電子時報
工業通訊及網路設備領導廠商Moxa日前宣布參與OPC基金會發起之現場級通訊(FLC)計劃,以實踐Moxa持續發展時效性網路(TSN)技術的承諾。因此,Moxa成為FLC指導委員會的初始支持者之一。
<回到新聞條列重點>
美國為何不敢用華為?因為5G有這三大特性 天下雜誌網
昨天,英國首相梅伊開除了英國國防大臣威廉森(Gavin Williamson)。表面原因是梅伊指威廉森「洩密」,事實上,是兩人對華為參與英國5G建設的態度不同調。5G能使所有服務快速上網且互相連結,各國躍躍欲試。然而,面對這麼強大的科技,該採用華為作為設備與營運商嗎?這個問題答案,將歐美撕裂成兩個陣營。
<回到新聞條列重點>
解剖智慧工廠構成要素 EDN Taiwan
隨著「工業4.0」概念和「中國製造2025」等策略的推進,智慧製造逐漸從概念宣傳發展到執行階段,而工業物聯網、人工智慧、巨量資料、機器人、雲端運算和擴增實境等先進技術也不斷出現,數位和實體領域的融合進一步促進了智慧製造的興起和發展。
<回到新聞條列重點>
Garena 針對《LOL》MSI 賽前直播出現博弈頁面進行懲處 遊戲未來將不支援 XP 與 Vista 巴哈姆特
《英雄聯盟》MSI 季中邀請賽昨(1)日在越南登場,台港澳直播頻道在比賽前開啟直播,讓玩家驚見顯示著非法博奕平台頁面、且上面有著 MSI 當日賽程,Garena 隨後正式懲處公告,將此名導播予以革職。
<回到新聞條列重點>
微軟 Outlook 現漏洞 導致用戶加密貨幣遭駭客竊取 區塊客
名受害者在科技論壇上宣稱,駭客在今年 3 月 31 日時,利用重置他的電子郵件帳戶密碼,並取得他 Kraken 交易所的帳戶,盜走了超過 1 枚以上的比特幣,在當時折合約 5400 美元。無獨有偶,許多 Reddit 的使用者也表示他們有相同的被駭經驗。
<回到新聞條列重點>
Dell電腦內建支援軟體含有遠端攻擊漏洞 iThome
可以自動幫人安裝驅動程式的軟體固然方便,但也有安全風險,Dell預裝在Windows PC與平板的支援軟體,近期被研究人員發現含有遠端程式攻擊漏洞,Dell已釋出修補。
<回到新聞條列重點>
Oracle WebLogic Server傳零時差漏洞,已遭開採植入勒索軟體、挖礦程式 iThome
甲骨文本周發佈關於一項位於Oracle WebLogic Server的零時差漏洞公告,網路上已經有攻擊開採這項漏洞,在伺服器內植入挖礦程式與勒索軟體,呼籲用戶儘速安裝修補程式。
<回到新聞條列重點>
資安一周40期:Docker Hub外洩19萬用戶個資、GitHub Page成駭客濫用目標 iThome
Docker容器映像檔的官方儲存庫Docker Hub遭到入侵,駭客於4月25日未經授權存取一個Docker Hub資料庫,該資料庫存放了19萬名用戶的憑證資料,包括使用者名稱與雜湊密碼,以及自動化部署(Automated Builds)工具中,用來驗證Github與Bitbucket的Token。
<回到新聞條列重點>
2019年第1季度,加密貨幣盜竊數額高達12億美元 knowing
根據網路安全公司Ciphertrace的數據,在今年第一季度,從比特幣交易所竊取和操作加密貨幣詐騙活動中產生的不良行為者,在今年第一季度達到了12億美元,正如路透社最初報導的那樣。
<回到新聞條列重點>
平台出現XRP異常交易!幣託(BitoPro)祭出六項處理方案 knowing
台灣知名數位貨幣交易所幣託(BitoPro),於05月01日16:46,發生部分用戶針對XRP資產轉移漏洞,進行不正常充值,進而產生大量假資產,平台內也出現拋售行為。
<回到新聞條列重點>
研究人員揭露可長期蟄伏於微軟Exchange Server的後門程式 iThome
鎖定Exchange Server的惡意程式LightNeuron,能喬裝成Exchange上的傳輸代理人(Transport Agent),藉此干擾使用者收發的郵件。
<回到新聞條列重點>
小米手機內建App暗藏安全漏洞 電子時報
<回到新聞條列重點>
Check Point Software Technologies Ltd.研究人員日前在小米手機內建的App「Guard Provider」中發現了一個漏洞;小米Guard Provider本意是透過檢測惡意軟體來保護手機,實際上卻讓使用者暴露在了威脅之中。根據Gartner統計,2018年小米市佔率近8%,在全球手機市場排名第四。