本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 什麼是「橫向網路釣魚」(lateral phishing)?
- 網路詐騙如何巧妙地讓你上鉤?網路詐騙的最新手段及6種對策
- 企業該如何部署工業物聯網(IIoT)安全解決方案?
- 線上付款怕信用卡被盜刷?手機、電腦都能用!趨勢科技PC-cillin 雲端版安心Pay網購時的保衛者
一周精選媒體資安新聞
趨勢科技指出:182個「免費遊戲」和「相機應用程式」夾帶廣告軟體 網管人
英特爾CPU漏洞再現推測執行漏洞 iThome
【插畫】作為晚輩,我們可以用更聰明的方式解決爸媽的3C問題 關鍵評論網
微軟:俄國駭客使用IoT裝置入侵企業網路 iThome
客製化T恤網站CafePress外洩2,300萬名用戶資料 iThome
資安研究人員成功繞過Visa感應式卡片支付的刷卡金額限制 iThome
荷蘭政府研究:Office Online與行動應用程式存在隱私威脅,政府部門應暫時停止使用 iThome
有100萬張南韓的支付卡資訊在黑市求售 iThome
線上球鞋交易市集StockX遭駭客入侵,逾600萬客戶資料外洩 iThome
直接整合威脅偵測與系統強化,趨勢推出預裝在IoT設備的SDK iThome
防隱私外洩!蘋果和Google暫停「分析語音助理錄音」 中央通訊社
臉書開源兒童性犯罪和恐怖主義的相片、影片辨識工具 iThome
新Mirai病毒變種利用Tor網路避免偵查 iThome
研究稱使用 AirDrop 有機會被駭客追蹤到電話號碼等個人資訊 電腦王阿達
3 千人死亡、交通癱瘓,遭駭客攻擊的聯網車可能帶來災難性後果 科技新報網
Anomali統合多種威脅情資與即時鑑識,兼具情報共享與分析 iThome
工廠資安事件頻傳 你的工業控制系統夠安全嗎? Ctimes
日本 7-ELEVEN 的 7pay 爆發盜用事件後,決定在九月底停止服務 癮科技
CLOUDSEC 2019 資訊保安論壇 協助企業機構描繪資訊保安藍圖 經濟日報網
台灣大獲資安管理卓越獎 拿到IT資訊治理年會最高評鑑 電信業唯一 將不斷提升防護水準 經濟日報(臺灣)
透過網通設備中的資安DNA維護OT網路安全 Ctimes
Openfind 攜手是方電訊、群環科技、關貿網路發表雲端資安生態圈聯盟 提供企業創新的全方位資安應用服務 網路資訊雜誌
微軟發表Azure Security Lab,讓研究人員在容器環境中測試Azure架構 iThome
美國血色週末釀29死,暗黑論壇8chan遭起底!網路商Cloudflare宣布中止服務 數位時代
全球產業瘋「數位轉型」 聯合新聞網
30年老牌網通數位轉型大挑戰,思科要靠3千人IT翻轉商業模式 iThome
如何擬定數位轉型KPI 提高成功率!? 聯合新聞網
漏洞多得補不完,微軟本月將關閉Windows 7、8上IE11的VBScript iThome
Google:Project Zero揭露的漏洞,96%可在90天修補完成 iThome
Nvidia修補Windows GPU重大漏洞 iThome
美國血色週末釀29死,暗黑論壇8chan遭起底!網路商Cloudflare宣布中止服務 數位時代
Proofpoint揭露新的代理惡意程式SystemBC iThome
打擊網路犯罪需全球合作,臺執法單位加入No More Ransom計畫 iThome
國防、資安都害怕!當量子位元發展到200個,密碼防線將全面崩潰 MSN台灣
〈解密〉量子電腦 數位時代
研究者警告:眾多Jira伺服器的錯誤配置,讓員工及專案資訊全曝光 iThome
本田汽車雲端資料庫未上鎖,洩露上億份全球員工電腦安全資料 iThome
中國駭客又出手 歐洲宗教自由論壇遭攻擊、影片惡意刪除 自由時報電子報
面對幣寶被駭事件,許毓仁建議應加強監督、恪守自律 INSIDE
Chrome 擴充商店如「鬼城」!50% 外掛安裝數少於 16 次 自由時報電子報
趨勢科技指出:182個「免費遊戲」和「相機應用程式」夾帶廣告軟體 網管人
趨勢科技在六月中旬觀察到一波「廣告軟體活動」(偵測為AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA)隱藏在182個免費下載的遊戲及相機應用程式背後,當使用者解鎖中毒手機螢幕,就會立刻彈跳出惱人的全螢幕廣告,最高每5分鐘跳出一次,即使想關閉,頁面上也只會出現開啟新視窗的選項,允許更多廣告從背景跳出,耗用中毒手機的電池和記憶體。值得注意的是,這182應用程式當中,有111個都能夠在Google Play上找到,並且也已經在全球被下載了數百萬次!
<回到新聞條列重點>
英特爾CPU漏洞再現推測執行漏洞 iThome
Bitdefender揭露英特爾CPU的推測執行漏洞,為Spectre的變種,允許駭客存取記憶體中的機密資訊,英特爾、微軟與紅帽對此也發出警告
<回到新聞條列重點>
【插畫】作為晚輩,我們可以用更聰明的方式解決爸媽的3C問題 關鍵評論網
作為晚輩的我們,平常總是一個不小心,就對父母親或其他長輩表露出不耐煩的口吻。其實那樣的不耐煩並非針對誰,而是有時候我們也忘了好好照顧自己、忘了長輩們也正在努力克服他們不擅長的,因此難免會有情緒遷怒到身邊的人,像是最愛我們的爸爸媽媽。
<回到新聞條列重點>
微軟:俄國駭客使用IoT裝置入侵企業網路 iThome
曾經攻擊過美國民主黨、奧林匹克委員會,以VPN Filter惡意程式大規模感染路由器的國家級駭客組織APT 28,近期被發現企圖利用VoIP電話、印表機及影片解碼裝置,駭入特定企業網路
<回到新聞條列重點>
客製化T恤網站CafePress外洩2,300萬名用戶資料 iThome
網路零售商CafePress是美國的股票上市公司,被Have I Been Pwned發現在今年2月發生資安事件,導致大量使用者個資外洩
<回到新聞條列重點>
資安研究人員成功繞過Visa感應式卡片支付的刷卡金額限制 iThome
Visa感應式卡片支付的漏洞,讓駭客能繞過感應式支付金額限制,連在行動支付中綁定Visa卡片都受影響
<回到新聞條列重點>
荷蘭政府研究:Office Online與行動應用程式存在隱私威脅,政府部門應暫時停止使用 iThome
荷蘭政府一項委外研究報告指出,微軟Office Online與Office行動應用程式存在隱私風險,建議官方暫時停用
<回到新聞條列重點>
有100萬張南韓的支付卡資訊在黑市求售 iThome
南韓成為亞太地區支付卡竊盜的最大受害國,Gemini Advisory觀察發現,過去2個月以來,在黑市出售的南韓實體支付卡資訊從4萬張飆升到100萬張
<回到新聞條列重點>
線上球鞋交易市集StockX遭駭客入侵,逾600萬客戶資料外洩 iThome
官方初步調查顯示,遭竊個資範圍包含姓名、電子郵件位址、寄送地址、使用者名稱、雜湊密碼,以及購買歷史紀錄,但不包括客戶的金融或支付資訊
<回到新聞條列重點>
直接整合威脅偵測與系統強化,趨勢推出預裝在IoT設備的SDK iThome
為了因應廠商提升物聯網設備安全的需求,趨勢科技年初發表Trend Micro IoT Security,可預先安裝在設備系統當中,提供威脅偵測阻擋及系統強化機制
<回到新聞條列重點>
防隱私外洩!蘋果和Google暫停「分析語音助理錄音」 中央通訊社
由於外界憂心隱私外洩,蘋果公司和Alphabet旗下谷歌公司(Google)已暫停評估全球使用者與語音助理互動的錄音。
<回到新聞條列重點>
臉書開源兒童性犯罪和恐怖主義的相片、影片辨識工具 iThome
臉書釋出二項影像辨識工具,可協助第三方單位更快偵測出色情、恐怖主義及暴力等各類影音內容
<回到新聞條列重點>
新Mirai病毒變種利用Tor網路避免偵查 iThome
趨勢科技發現某款Mirai病毒變種會利用Tor網路來隱匿行蹤,這種手法可能帶動其他物聯網惡意程式家族的演進,引發另一波網路威脅
<回到新聞條列重點>
研究稱使用 AirDrop 有機會被駭客追蹤到電話號碼等個人資訊 電腦王阿達
科技的便利,是否某種程度也代表著個人隱私資訊洩露的風險也更高?最近,有一則研究資訊揭露了,蘋果裝置進行 AirDrop 檔案分享 / Wi-Fi 密碼分享甚至是 AirPods 裝置資訊等功能,在進行藍牙資訊傳遞時,很可能被有心人士透過特定方式擷取到蘋果裝置的狀態(就是你手機目前在什麼畫面的「狀態」都會知道),以及敏感的資訊如手機的名稱甚至是電話號碼… 駭客甚至能夠透過這樣的 BLE 漏洞來反向模擬系統的訊號來廣播他想給你知道的訊息(大驚)。
<回到新聞條列重點>
3 千人死亡、交通癱瘓,遭駭客攻擊的聯網車可能帶來災難性後果 科技新報網
隨著自動駕駛迅速發展,越來越多人認為,真到了機器人時代,頗雞肋的「手動控制」模式很可能消失。但也不是沒人持反對意見,馬里蘭大學公用政策教授 Charles Harry 就認為,企業和監管機構需要認真對待聯網車的安全問題。
<回到新聞條列重點>
Anomali統合多種威脅情資與即時鑑識,兼具情報共享與分析 iThome
市面上的網路威脅情資服務五花八門,該如何統籌運用?Anomali Threat Platform提供了廣泛的收集、整合與分析機制,並且支援橫跨不同企業組織的情資共享應用
<回到新聞條列重點>
工廠資安事件頻傳 你的工業控制系統夠安全嗎? Ctimes
工業4.0掀起全球製造業智慧化趨勢,工業物聯網被視為製造領域未來的核心骨幹。工業物聯網的運作結合企業中IT與OT兩大系統,讓製造系統的資訊可被最大化應用,進而提升系統效能,不過四零四科技(Moxa)亞太區物聯網解決方案處產品行銷經理郭彥徵表示,這兩大系統各有高度專業,整合本來就不容易,而整合後也須面臨過去自動化時代未曾遇過的各種問題,工業資訊安全又是其中之重,系統一旦出現漏洞,所產生的傷害有可能遠高於現在的IT系統資安事件。
<回到新聞條列重點>
日本 7-ELEVEN 的 7pay 爆發盜用事件後,決定在九月底停止服務 癮科技
由日本 7-ELEVEN 所推出的行動支付服務 7pay 在七月初爆發大規模盜用事件,發生不久後日本 7-ELEVEN 旋即公布暫停服務與進行退款,在經過評估後,日本 7-ELEVEN 以”難以繼續提供服務”,決定在 9 月 30 日全面中止這項才上線不久的系統,同時既有使用者的 7pay 餘額也會在後續公布退款方式。而先前被盜用的消費者,將自 8 月 19 日起開始提供賠償程序的協助。
<回到新聞條列重點>
CLOUDSEC 2019 資訊保安論壇 協助企業機構描繪資訊保安藍圖 經濟日報網
香港,中國 – Media OutReach – 2019年8月5日 – 香港及澳門區的企業可在即將舉行的CLOUDSEC資訊保安論壇上了解如何以全新角度看待資訊科技保安需求,並學習掌握威脅、抵禦攻擊,即使面對事故也能迅速恢復的方法。
<回到新聞條列重點>
台灣大獲資安管理卓越獎 拿到IT資訊治理年會最高評鑑 電信業唯一 將不斷提升防護水準 經濟日報(臺灣)
台灣大哥大昨(1)日獲得IT資訊治理年會頒發IT最高資安評鑑的SGS「資安管理卓越獎」殊榮,領先同業展現資安管理卓越績效與成果,亦是國內電信業唯一獲此榮耀。台灣大表示,5G時代來臨,資安更顯重要,將持續提升資安防護水準。
<回到新聞條列重點>
透過網通設備中的資安DNA維護OT網路安全 Ctimes
工業物聯網的演進將製造業智慧生產的願景具體落地。不過當新技術導入的同時,廠域網路除了邁入新階段應用外,惡意攻擊或非法侵入的問題也伴隨著而來。
<回到新聞條列重點>
Openfind 攜手是方電訊、群環科技、關貿網路發表雲端資安生態圈聯盟 提供企業創新的全方位資安應用服務 網路資訊雜誌
MIC 2019 全球雲端產業報告指出,近年運用AI人工智慧、物聯網與區塊鏈等新興科技進行數位轉型的發展與日俱增,促使企業加速使用雲端運算服務,加上進階資安威脅挑戰日新月異,因此 Openfind 日前正式與合作夥伴是方電訊、群環科技、關貿網路共同提出了雲端資安生態圈聯盟 (CSEA,Cloud Security Ecosystem Alliance ) 的概念,宣示 Openfind 將從雲端智慧資安服務出發,透過軟體開發與 AI 應用,結合技術、維護與服務資源的全新價值主張,提供企業數位轉型與多雲整合的資安創新服務,打造最完整的雲端資安防護願景。
<回到新聞條列重點>
微軟發表Azure Security Lab,讓研究人員在容器環境中測試Azure架構 iThome
Azure Security Lab是專供安全研究人員使用的雲端代管服務,具備安全的測試空間,可用來模擬各類IaaS使用情境的攻擊
<回到新聞條列重點>
美國血色週末釀29死,暗黑論壇8chan遭起底!網路商Cloudflare宣布中止服務 數位時代
對美國人來說,八月的第一個週末,結束在血跡斑斑的大賣場內。短短13個小時內,德州及俄亥俄州各發生一起大型槍擊案,29人確定罹難,至少50人受傷。許多人將矛頭指向傳播極端言論的網路論壇「8chan」,而其網路服務供應商Cloudflare立刻宣布,將中止對8chan的服務。
<回到新聞條列重點>
全球產業瘋「數位轉型」 聯合新聞網
國際數據資訊(International Data Corporation, IDC)的研究報告指出,全球花費在數位轉型(Digital Transformation, DX)的相關科技與服務支出,在2017年至2022年的年複合成長率來到16.7%的高增速,2022年的金額更達到1.97兆美元。
<回到新聞條列重點>
30年老牌網通數位轉型大挑戰,思科要靠3千人IT翻轉商業模式 iThome
網通巨人思科不只在全球配置3,000人的超大IT團隊,負責全球450個營運據點的IT維運與管理重任,更要透過IT大改造加速公司數位轉型的推動腳步,翻轉舊有的商業模式
<回到新聞條列重點>
如何擬定數位轉型KPI 提高成功率!? 聯合新聞網
近1、2年來數位轉型成為企業不得不面對的挑戰。挑戰是:在高度資訊化時代,數位工具的應用占比攀升,如何在設備的可用性與支援成本之間取得平衡?如何確保數位工具連結顧客服務的環節,能夠健全的運轉?如何針對自身需求打造客製化的維護服務?如何預應外在環境的變化需求,即時反應在營運流程中?這些經營者每天面對的挑戰,在在顯示出企業主來到「不數位就淘汰」的懸崖。
<回到新聞條列重點>
漏洞多得補不完,微軟本月將關閉Windows 7、8上IE11的VBScript iThome
目前Windows 10更新已關閉IE11的VBScript支援,預訂8月13日針對Windows 7、8、8.1釋出的累積更新,也將完全關閉VBScript
<回到新聞條列重點>
Google:Project Zero揭露的漏洞,96%可在90天修補完成 iThome
Google安全研究團隊發現他們歷年揭發的漏洞中,高達九成六都能在他們規定的3個月大限內完成修補,他們也認為期限規則能讓廠商更積極處理自家產品漏洞
<回到新聞條列重點>
Nvidia修補Windows GPU重大漏洞 iThome
Nvidia針對存在於GPU顯示器驅動程式的漏洞釋出修補,包含GeForce、Quadro、NVS及Tesla等產品線
<回到新聞條列重點>
Proofpoint揭露新的代理惡意程式SystemBC iThome
這款惡意程式能在受害者的Windows系統上建立代理伺服器,以隱藏惡意流量並躲避防火牆的偵測,再用來與C&C伺服器連線並傳遞其它的惡意程式
<回到新聞條列重點>
打擊網路犯罪需全球合作,臺執法單位加入No More Ransom計畫 iThome
面對勒索軟體的危害,民眾除了自保,提供解密工具的No More Ransom計畫,專案網站已經支援正體中文,如今臺灣公家與執法單位也是計畫夥伴之一,將強化臺灣在打擊網路犯罪與勒索軟體的國際合作交流。
<回到新聞條列重點>
國防、資安都害怕!當量子位元發展到200個,密碼防線將全面崩潰 MSN台灣
量子電腦應用廣泛,從製藥、新材料開發到物流都有可能成為被革命的領域,其中對於密碼學的影響,由於和國家安全息息相關,特別受到各國政府重視,如美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)早在2012年就開始後量子加密專案(Post-quantum crypto project),希望全球專家集思廣益,設計出能夠抵抗量子電腦技術的後量子密碼(Post-quantum Cryptography或Quantum-resistant Cryptography)。
<回到新聞條列重點>
〈解密〉量子電腦 數位時代
量子電腦座落在2.3公尺高的玻璃框架內,看起來就像是一件藝術品。」媒體讚嘆著。2019年CES展中,IBM展示了全球第一台商用量子電腦IBM Q System One,讓外界對於IBM量子電腦的真實樣貌與美麗外型留下深刻印象。
<回到新聞條列重點>
研究者警告:眾多Jira伺服器的錯誤配置,讓員工及專案資訊全曝光 iThome
任務追蹤工具Jira的過濾器與儀表板的能見度設定,容易被管理員誤判而點選到公開分享的選項,導致用戶網站機密資訊曝光
<回到新聞條列重點>
本田汽車雲端資料庫未上鎖,洩露上億份全球員工電腦安全資料 iThome
安全研究人員在網路上發現本田汽車一個未設密碼的ElasticSearch資料庫,累積資料量高達40GB及約1.34億份文件,幾乎包括所有Honda電腦相關資料
<回到新聞條列重點>
中國駭客又出手 歐洲宗教自由論壇遭攻擊、影片惡意刪除 自由時報電子報
國際非政府組織「歐洲宗教自由論壇」去年發布多部影片,揭發中國政府對全能神教會流亡南韓難民的迫害而廣受國際關注,然而,這些影片隨後卻被中國駭客全數刪除。外媒披露,歐洲宗教自由論壇的YouTube頻道近日再度被中國駭客攻擊,多部影片慘遭刪除。
<回到新聞條列重點>
面對幣寶被駭事件,許毓仁建議應加強監督、恪守自律 INSIDE
日前BITPoint Japan(日本幣寶)遭駭客攻擊,而使用同樣核心交易系統的BITPoint Taiwan(台灣幣寶)也受到影響,導致交易系統全面暫停,立法委員許毓仁對此強調,幣寶日本遭駭客攻擊第一時間,即會同行政院洗錢防制辦公室、法務部調查局及金管會掌握第一手訊息,並要求幣寶台灣回報後續處理狀況,以利相關單位掌握處理進度,並提出三大要求,包括政府主管機關應加強監督力道、交易所應恪守自律規範,加強風險控管與資安防護以及交易所應信託用戶資金。
<回到新聞條列重點>
Chrome 擴充商店如「鬼城」!50% 外掛安裝數少於 16 次 自由時報電子報
Google Chrome 市佔率遙遙領先,是全球最普遍的網頁瀏覽器,作為周邊生態的線上應用程式商店,活躍程度卻宛如「鬼城」。一份最新報告指出,有高達 87% 的擴充套件,安裝次數少於 1000 次。
<回到新聞條列重點>