本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- MDR 找到埋伏某公司系統2年的MyKings變種
- 為何 65% 的 SOC 資安監控工程師,選擇轉換跑道?
- 趨勢科技2019年Capture The Flag (CTF)網路攻防搶旗賽起跑
- 「再玩一下下就好」給孩子手機前要做的幾件事
一周精選媒體資安新聞
Google Maps開始支援整合共乘與單車的導航功能 iThome
趨勢科技報告指出無檔案式威脅增長 265% 經濟日報網
玩10min賺1千!「尋找我的iPhone」遭詐騙鎖定 他重買新機認賠出場 ETtoday新聞雲
換發數位身分證——隱私換來的便利? 天下雜誌網
趨勢科技網路攻防搶旗賽 9月開跑預賽 中央通訊社
「國家機器」可不是鬧著玩的:數位老大哥的三個秘密 關鍵評論網
快更新!為修補安全漏洞,蘋果緊急釋出最新版本 iOS 12.4.1 INSIDE
智慧燈柱遭疑可監控 供應商稱受威脅將斷供 中央通訊社
美國連鎖超市Hy-Vee客戶的支付卡資料在黑市流竄 iThome
Siri人工評估計劃員工:自己每天要聽1000條錄音 新浪網(臺灣)
微軟承包商爆Xbox會錄下語音內容,大多數來自兒童 雅虎奇摩
微軟宣布停止監聽Xbox用戶,稱已經「不再必要」 新浪網(臺灣)
俄羅斯駭客組織攻擊全球30國銀行掠財,台灣為亞洲首要目標 iThome
大學染紅 澳洲提升為國安問題 自由時報
中國網軍人人喊打 YouTube封鎖210個造謠反送中頻道 新頭殼newtalk
臉書詐財 賭城婦人險被騙1250元 世界新聞網
長島學區遭駭資料被鎖 付8.8萬贖金 世界新聞網
美國警告駭客正假冒國稅局發動攻擊 iThome
「將中共定為恐怖組織」 白宮連署疑遭駭 新唐人電視台
借助雲端平台生態系 加速提升IoT安全性 電子時報
Imperva發生資料外洩意外,影響Cloud WAF雲端防火牆客戶 iThome
Windows 10 1703版將於10月終止所有支援 iThome
國際AI大師首度在台開講 揭企業AI轉型三攻略 聯合新聞網
2019 Openfind雲端方案日:數位轉型必備的敏捷資安策略 網路資訊雜誌
身份認證於企業用戶 安全與便利的拉鋸 電子時報
HITB GSEC新加坡大會將會揭示網路安全領域的最新趨勢和威脅 Content Party
荷蘭監管機構發現微軟Windows系統存在潛在隱私漏洞 新浪網(臺灣)
英國「5G下鄉」 高科技養魚 世界新聞網
網站代管業者Hostinger遭到駭客入侵,危及1,400萬名客戶 iThome
聯想電腦預裝管理軟體暗藏可被駭客接管系統的漏洞 iThome
TWCERT新推免費線上檔案掃毒Virus Check 政府惡意檔案檢測服務開放使用 結合靜態分析與沙箱動態分析 支援33種檔案格式 iThome電腦報周刊
VMware 48 億美元收購 Carbon Black 與 Pivotal,預計為 SaaS 增加超過 30 億美元營收 科技新報
HITCON社群場邁向第15屆,電路版解迷活動及適合IT人員的藍隊競賽最吸睛 iThome
Puppet釋出漏洞管理方案Puppet Remediate iThome
【INSIDE 5G 未來日】交通部科技顧問室主任王穆衡:自駕車讓交通服務再中心化! INSIDE
第二大 IT 高度安全隱患竟是「它」,Canon 全方位智慧商務解決方案 掌握全球六大關鍵趨勢,軟硬體解決方案完美整合 由內到外健全企業資安防護傘 電腦硬派月刊
LINE來LINE去出問題 臺中市政府全球資訊網
騙子轉戰Instagram,釣個魚唄親! 新浪網(臺灣)
趨勢科技率先推出涵蓋電子郵件、網路、端點、伺服器及雲端的XDR 雲端服務平台 iThome
掌握分析數據、迅速偵測威脅,趨勢科技推出XDR 雲端服務平台 T客邦
軟體公司Splunk斥10億美元併購同業SignalFx 工商時報電子報
Google、微軟、英特爾、IBM 等合組機密運算聯盟,推動TEE技術及標準 iThome
210名客戶帳密流出! 幣寶台灣告日本BITPoint索賠3億 自由時報電子報
npm撤下含有可竊取登入憑證的bb-builder套件 iThome
Google Maps開始支援整合共乘與單車的導航功能 iThome
未來幾周Google Maps的導航功能,將加入共乘服務及單車這二項新的交通工具,讓導航路線規劃更彈性多元。
<回到新聞條列重點>
趨勢科技報告指出無檔案式威脅增長 265% 經濟日報網
全球網絡資訊保安方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今日發表 2019 上半年資訊保安報告指出,透過無檔案方式來隱藏惡意活動的無檔案式攻擊數量突然暴增。單在此一類別的威脅偵測數量就較 2018 上半年增加 265%。
<回到新聞條列重點>
玩10min賺1千!「尋找我的iPhone」遭詐騙鎖定 他重買新機認賠出場 ETtoday新聞雲
蘋果iPhone手機使用iOS封閉系統,被認為安全性較高,但iPhone的尋找手機功能,卻隱藏被綁架的危機,民眾一不小心輸入有心人的Apple ID,即使手機沒離開身邊,也會被遠端控制。
<回到新聞條列重點>
換發數位身分證——隱私換來的便利? 天下雜誌網
行政院上週決議,將於 2020 年 10 月起換發「數位身分證」(New eID),將目前國民身分證與自然人憑證兩張卡合而為一。甚至未來能將數位身分證整合在手機內,出門免帶卡。
<回到新聞條列重點>
現今各產業都擁抱數位轉型,製造業也不例外,體現方式即是智慧製造,即是透過新科技的運用,藉此打造更新穎的商業模式、更具破壞性的產品、更敏捷的供應鏈,或提高運作效率;這也意謂工控環境不再封閉,進而導致資安風險隨之升高。
<回到新聞條列重點>
趨勢科技網路攻防搶旗賽 9月開跑預賽 中央通訊社
資安廠商趨勢科技今天公布第5屆全球CTF網路攻防搶旗賽時程,線上預賽將於9月7日至8日舉行,決賽時間為11月23日至24日,冠軍隊伍獎金100萬日圓(約新台幣30萬元)。
<回到新聞條列重點>
「國家機器」可不是鬧著玩的:數位老大哥的三個秘密 關鍵評論網
對於人民在路上、百貨公司、學校等等實體世界的活動,中國政府透過鋪天蓋地的監視器網路,漸漸臻至無孔不入、瞭若指掌的化境。中國的監視器密度早已是世界之冠,據稱2020年,監視器數量將達到每兩人就配備一支的驚人比例[2]。臉部、肢體動作辨識技術的高度發展,使政府得以在發現違規行為的同時,立刻辨識行為人的身分,做「適當的處置」。
<回到新聞條列重點>
快更新!為修補安全漏洞,蘋果緊急釋出最新版本 iOS 12.4.1 INSIDE
根據外媒 Vice 報導,蘋果在今年 7 月發佈 iOS 12.4,更新之前修補過的 bug;沒想到上週時,iPhone 駭客和翻牆團隊發現蘋果系統有重大安全漏洞,並利用這個漏洞發佈翻牆軟體工具,導致升級到 iOS 12.4 版本的 iPhone 使用者差點被攻擊。
<回到新聞條列重點>
智慧燈柱遭疑可監控 供應商稱受威脅將斷供 中央通訊社
香港24日觀塘遊行期間,示威者破壞該區智慧燈柱,質疑該裝置具監控功能。裝置的零件供應商則澄清燈柱無法監控,而鑑於員工及家人受安全威脅,將停止供應供貨。
<回到新聞條列重點>
美國連鎖超市Hy-Vee客戶的支付卡資料在黑市流竄 iThome
美國當地大型連鎖超市Hy-Vee的支付處理系統傳出資安事件,資安部落格透露該店已有500萬張顧客信用卡與簽帳卡資料遭駭客竊取。
<回到新聞條列重點>
微軟宣布停止監聽Xbox用戶,稱已經「不再必要」 新浪網(臺灣)
據外媒報導,此前有媒體爆料稱,微軟的承包商正在視頻遊戲機上監聽用戶對話。該消息傳出后,微軟宣布將停止收聽Xbox One遊戲玩家的音頻,並稱此舉已經「不再必要」。
<回到新聞條列重點>
微軟承包商爆Xbox會錄下語音內容,大多數來自兒童 雅虎奇摩
微軟旗下的 Kinect 感應器與 Cortana 助理,在 XboxOne 宣傳初期就大量展示了相關的語音命令等內容,可以要求關機、開機、查詢電影、打電話等瑣事。但在近日卻被外媒爆料出,其實玩家說話的內容通通都被微軟的承包商記錄了下來,且最早在 2014 年就已經開始了。
<回到新聞條列重點>
Siri人工評估計劃員工:自己每天要聽1000條錄音 新浪網(臺灣)
日,愛爾蘭媒體 Irish Examiner 報導了蘋果 Siri 人工評估計劃的更多細節。據其中一名承包商員工透露,他們每天都要整理和分析多達 1000 條的 Siri 錄音內容。
<回到新聞條列重點>
俄羅斯駭客組織攻擊全球30國銀行掠財,台灣為亞洲首要目標 iThome
今年有30多個國家金融機構的工作站,遭駭客組織Silence的惡意程式感染,這個組織也和今年6月一個跨洲感染遠端存取木馬程式有關。
<回到新聞條列重點>
大學染紅 澳洲提升為國安問題 自由時報
於中國政府和親中團體滲透學術界、騷擾多所大學校園支持民主活動,澳洲政府二十八日宣布成立防止外國干預大學專案小組,將此問題提升至國家安全層級,以加強維護澳洲言論自由、防範外國政府滲透學術界。對此,中國外交部發言人耿爽回應,中國滲透澳洲之說「純屬子虛烏有,別有用心」,「將教育合作政治化、人為設置障礙,對雙方都沒有好處,也不得人心」。
<回到新聞條列重點>
中國網軍人人喊打 YouTube封鎖210個造謠反送中頻道 新頭殼newtalk
社群媒體向中國網軍開戰!繼臉書(Facebook)與推特(Twitter)之後,Google也宣布,封閉旗下YouTube平台的210個頻道,因為發現這些帳號「使用VPN和其他方法,掩蓋帳戶的源頭」,並涉及針對香港反送中抗議活動,製造「協調性的影響行動」,但Google並沒有說明有哪些頻道遭到關閉。
<回到新聞條列重點>
臉書詐財 賭城婦人險被騙1250元 世界新聞網
社交媒體也是騙子利用的新手法,一名拉斯維加斯年長婦女,因為臉書上朋友的提議,誤當成真,差點蒙受金錢損失,幸而她打電話問朋友本人,才發現受騙上當。
<回到新聞條列重點>
長島學區遭駭資料被鎖 付8.8萬贖金 世界新聞網
駭客今年夏天入侵長島兩個學區的電腦系統,鎖住其中資料,迫使其中一個學區支付價值8萬8000元的加密貨幣,以便在新學年開始前,能夠查閱學生和員工的信息。
<回到新聞條列重點>
美國警告駭客正假冒國稅局發動攻擊 iThome
這些層出不窮的詐騙郵件,除了附有假冒為國稅局官網的連結之外,也包含了暫時性密碼或一次性密碼,宣稱讓納稅人能夠存取申請退稅的檔案,但其實是惡意程式,可用來側錄鍵盤,取得受害者的金融帳號密碼。
<回到新聞條列重點>
「將中共定為恐怖組織」 白宮連署疑遭駭 新唐人電視台
有民眾在美國白宮請願網站發起徵簽活動,「要求美國政府正式將中國共產黨定為恐怖組織。」根據網站說明,30天內,只要聯署人數超過10萬人,白宮將給予正式回覆。
<回到新聞條列重點>
借助雲端平台生態系 加速提升IoT安全性 電子時報
現已進入工業4.0時代,藉由實體物件與虛擬進程相互連結,以利企業能善用IIoT、機器學習、大數據分析、3D列印、機器人、擴增實境(AR)、雲端運算等眾多創新元素,加速實現數位轉型,靈活因應多變的客戶需求。
<回到新聞條列重點>
隨IIoT、智慧生產趨勢所形,讓OT環境從封閉走向開放,連帶使攻擊路徑愈趨多元;麻煩的是,雖有不少企業意識到工控系統安全議題,已開始推動相關專案,但實施成效不顯著。
<回到新聞條列重點>
Imperva發生資料外洩意外,影響Cloud WAF雲端防火牆客戶 iThome
Imperva表示,他們是在今年8月20日於第三方的通知下才得知此一資料外洩事件,該意外影響了在2017年9月15日以前擁有Cloud WAF帳號的客戶,外洩的資料包含客戶的電子郵件帳號與加盬的雜湊密碼,也有部份客戶的API金鑰及所提供的SSL憑證外洩
<回到新聞條列重點>
Windows 10 1703版將於10月終止所有支援 iThome
作為Windows訂閱更新的第一代,Windows 10 1703不會有延伸支援,代表從10月9日起,任何跑1703版的裝置,再也無法獲得安全及功能更新
<回到新聞條列重點>
國際AI大師首度在台開講 揭企業AI轉型三攻略 聯合新聞網
人工智慧大師吳恩達(Andrew Ng)今首度在台公開演講,講題為「Whats Next In AI」。他表示,企業若要有效執行AI專案,第一是題目要小,第二是要思考職場中那些任務可以自動化,而不是辯論AI會不會取代人的工作。第三是結合AI與各領域專業知識,找出兩者的交集並鑽研它。
<回到新聞條列重點>
2019 Openfind雲端方案日:數位轉型必備的敏捷資安策略 網路資訊雜誌
「以前的資安很簡單,只要安裝防毒軟體即可,而今已大不同,」Openfind執行長廖長健:「資訊遍佈在手機、雲端上,企業的數位資產放置於各處,過去企業抱持不使用雲就可以確保安全,而現在企業已不再是考慮評估上不上雲,而是要上哪個雲、哪幾個雲。」
<回到新聞條列重點>
身份認證於企業用戶 安全與便利的拉鋸 電子時報
與公部門相比,民間企業較少擔任核發信物的角色,因此對民間企業來說,多是信賴其他單位核發的信物,作為個體身分資格判讀的依據,在銀行開戶時必須出示身分證即是一例。在這個應用中,銀行之所以會信賴身分證,是因為身分證係由內政部核發,而內政部在台灣是被社會大眾、銀行信賴的單位。
<回到新聞條列重點>
HITB GSEC新加坡大會將會揭示網路安全領域的最新趨勢和威脅 Content Party
以其前沿技術談話會和電腦安全培訓而聞名的Hack In The Box (HITB),將會在新加坡舉行其第五屆年度GSEC安全大會。HITB GSEC新加坡大會將於8月26日至8月30日在洲際酒店(InterContinental)舉行,並將舉行一系列獨一無二、由觀眾投票選出話題的技術談話會,以及多種多樣的黑客比賽、展覽會和挑戰賽,包括HITB廣受歡迎的HITB Capture The Flag (CTF)比賽。在新加坡大會之後,HITB+CyberWeek大會將於今年10月在阿布扎比舉行,並將成為HITB今年最大的活動。
<回到新聞條列重點>
荷蘭監管機構發現微軟Windows系統存在潛在隱私漏洞 新浪網(臺灣)
荷蘭數據保護局(DPA)周二表示,微軟正在遠程收集Windows Home和Windows Pro用戶的數據,這可能違反了隱私規定。
<回到新聞條列重點>
英國「5G下鄉」 高科技養魚 世界新聞網
蘇格蘭奧克尼群島(Orkney)地處偏遠,網路覆蓋率在全英國敬陪末座,更別提行動網路。但現在透過產官學合作的「5G優先下鄉」計畫,這個北方群島不僅將有5G覆蓋,且可應用來協助養殖鮭魚業等各產業。
<回到新聞條列重點>
網站代管業者Hostinger遭到駭客入侵,危及1,400萬名客戶 iThome
Hostinger發現伺服器被第三方擅自存取,導致至少1千萬名客戶的郵件帳號、雜湊密碼及IP位址資料因此外流。
<回到新聞條列重點>
聯想電腦預裝管理軟體暗藏可被駭客接管系統的漏洞 iThome
聯想去年終止支援的裝置管理軟體Lenovo Solution Centre,被安全廠商揭露含有漏洞,可使駭客取得管理員權限執行程式,甚至接管裝置。
<回到新聞條列重點>
趨勢科技率先推出跨越電子郵件、網路、端點、伺服器與雲端的整合型雲端安全服務平台。宗旨是要為企業提供更全面的風險掌握能力,從而偵測原本未能發現的精密攻擊。
<回到新聞條列重點>
TWCERT新推免費線上檔案掃毒Virus Check 政府惡意檔案檢測服務開放使用 結合靜態分析與沙箱動態分析 支援33種檔案格式 iThome電腦報周刊
由TWCERT/CC設立的Virus Check,提供本土化的檔案檢測服務,供國內企業與民眾使用,特別的是,此服務還具有沙箱動態掃描能力。因此,在Google旗下的VirusTotal服務之外,民眾將多一免費線上檢測的管道。
<回到新聞條列重點>
VMware 48 億美元收購 Carbon Black 與 Pivotal,預計為 SaaS 增加超過 30 億美元營收 科技新報
VMware 22 日宣布收購網路安全公司 Carbon Black,業務為專注保護當代雲端原生工作負載,收購價格為 21 億美元。此外,VMware 以 27 億美元買下 Pivotal 公司,業務為專門協助企業在不同本地端或雲端基礎設施構建並部署軟體。這兩個交易預計將於 2020 年 1 月底完成。
<回到新聞條列重點>
HITCON社群場邁向第15屆,電路版解迷活動及適合IT人員的藍隊競賽最吸睛 iThome
在本月23日和24日舉辦的臺灣駭客年會社群場,現場不只進行多場議程與活動。本屆活動還設計了臺灣造型的電路板,並發起TrustZone挑戰,同時也引入Mini Hardening與VX Village的大型活動。
<回到新聞條列重點>
Puppet釋出漏洞管理方案Puppet Remediate iThome
Puppet Remediate以儀表板形式,展示企業基礎設施存在的漏洞,並提供IT營運團隊簡單安全的漏洞修補方法。
<回到新聞條列重點>
【INSIDE 5G 未來日】交通部科技顧問室主任王穆衡:自駕車讓交通服務再中心化! INSIDE
王穆衡提到,5G 技術應用到各專業領域可望帶來重大變革,而他所處的交通領域也不例外,尤其是在自駕車與車聯網兩大應用上,5G 將會跟這兩大應用互相結合,描繪出未來交通的藍圖。
<回到新聞條列重點>
第二大 IT 高度安全隱患竟是「它」,Canon 全方位智慧商務解決方案 掌握全球六大關鍵趨勢,軟硬體解決方案完美整合 由內到外健全企業資安防護傘 電腦硬派月刊
隨著物聯網及雲端科技興起,物聯網背後隱藏資安漏洞危機層出不窮,全球印刷調查研究機構《 Quocirca Global Print 2025 study 》調查指出,僅 25 % 企業受訪者確信內部系統完全被保護而不受內部或外駭客、惡意軟件破壞、未經授權即可獲取文件等問題,因此各企業必須積極面對這些重大資安隱憂。
<回到新聞條列重點>
LINE來LINE去出問題 臺中市政府全球資訊網
LINE 最常遇到的態樣, 當屬詐騙集團竊取個資及財務等問題。趨勢科技所屬「資安趨勢部落格」曾指出詐騙集團善於偽造「瘋傳7-11 限時發送100 元禮券」、「FamilyMart 送全家千元禮券」等等詐騙帳號,吸引民眾加入好友或點選釣魚網站連結。
<回到新聞條列重點>
騙子轉戰Instagram,釣個魚唄親! 新浪網(臺灣)
Instagram用戶目前成為新的網路釣魚活動的目標,該活動使用登錄嘗試警告以及類似雙因素身份驗證(2FA)代碼的內容,以使騙局更加可信。
<回到新聞條列重點>
趨勢科技率先推出涵蓋電子郵件、網路、端點、伺服器及雲端的XDR 雲端服務平台 iThome
全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)率先推出跨越電子郵件、網路、端點、伺服器與雲端工作負載等防護層面的整合型全方位偵測及回應雲端服務平台。宗旨是要為企業提供更全面的風險掌握能力,串聯來自各資安環節的微小事件,從而偵測原本未能發現的精密攻擊。
<回到新聞條列重點>
掌握分析數據、迅速偵測威脅,趨勢科技推出XDR 雲端服務平台 T客邦
根據 ESG 的研究,有 55% 的企業機構使用了 25 種以上的不同網路資安技術方案來進行防禦,但駭客的攻擊卻越來越能滲透或繞過企業的防線。根據 SC Media 2018年的調查,資安團隊每天都會收到超過 1 萬筆的資安警示通知。
<回到新聞條列重點>
軟體公司Splunk斥10億美元併購同業SignalFx 工商時報電子報
資安與數據分析軟體公司Splunk宣布以10.5億美元收購雲端監控新創公司SignalFx,藉此提升雲端運算領域實力。Splunk表示,與SignalFx原本就密切合作,雙方擁有許多共同客戶,此併購案將讓公司運作更具效率。
<回到新聞條列重點>
Google、微軟、英特爾、IBM 等合組機密運算聯盟,推動TEE技術及標準 iThome
Google、微軟、英特爾及IBM等多家雲端和硬體大廠周三宣佈合組機密運算聯盟(confidential computing consortium,CCC),以打造在資料中心、雲端及邊緣運算環境下,資料安全的信賴執行環境(TEE)工具及標準規範。
<回到新聞條列重點>
210名客戶帳密流出! 幣寶台灣告日本BITPoint索賠3億 自由時報電子報
日本加密貨幣交易所BITPoint(BPJ)上月發生疑似駭客攻擊事件,損失達35億日圓;日本《時事通訊社》22日引述消息報導,幣寶台灣BITPoint Taiwan(BPT)在東京地方法院控訴BPJ超收款項,且約有210名台灣客戶帳密及虛擬資產流出造成損害,要求賠償10.24億日圓(約台幣3.02億)。
<回到新聞條列重點>
npm撤下含有可竊取登入憑證的bb-builder套件 iThome
基於bb-builder套件含有可竊取登入資訊的惡意程式碼,對此Node.js套件管理工具npm官方提醒任何安裝這款套件的用戶,都必須更換電腦存放的機密與金鑰以策安全。
<回到新聞條列重點>