本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
一周精選媒體資安新聞
電力最強挖礦機?烏克蘭核電廠員工被查出上班時間偷接電挖礦 Technews
Gmail隱藏圖片功能延伸至App 用戶資安更添保障 ETtoday新聞雲
臉書app簽章金鑰被誤上傳網站,可能陷用戶於安全風險 iThome
Facebook不再預設人臉辨識功能 舊用戶可手動解除追蹤 新頭殼newtalk
Facebook坦承錯誤 兒童社群軟體 Messenger Kids 陷隱私危機 新頭殼newtalk
Android攻擊程式價格首度超過iOS iThome
iOS用戶竟然被秘密入侵兩年!Google發現駭客利用iOS漏洞進行大規模無差別攻擊iPhone用戶 網路資訊雜誌
Google:iPhone 被入侵事件,恐是中國針對維吾爾族穆斯林之舉 INSIDE
Google團隊揭露駭客史上最大攻擊iPhone事件!竊取文件和即時定位 蘋果獲報修復 ETtoday新聞雲
釣魚網站駭iPhone 維吾爾族難逃中共監視 台灣蘋果日報網
蘋果公開道歉,承諾不再外聘合約工聽取Siri錄音檔 數位時代
擔心電池過熱問題,有航空公司禁止托運所有MacBook iThome
詐騙集團以AI軟體偽裝成老板聲音指示匯錢 iThome
挖礦惡意軟體逐漸進逼英特爾伺服器 科技新報網
挖礦軟體感染目標擴及英特爾伺服器 iThome
中國迎向刷臉支付時代 暗藏資安隱私疑慮 中央通訊社
衛福部晚間公布臺灣醫療院所受勒索軟體攻擊現況,已有22家遇害 iThome
2019趨勢科技「暑假最強打工計劃」圓滿落幕 今年台灣暑假最幸福打工仔誕生! 打電動、拍短片 高額獎金帶回家! 台灣新論
新式身分證傳外包疑洩個資 內政部:集中製卡個資不外洩 中時電子報網
資安防護觀念轉變 唐鳳:如何反擊更重於防守 中央通訊社
大發種族歧視推文 推特執行長帳號遭駭 工商時報
美國數百家牙科診所仰賴的備份公司遭到勒索軟體攻擊 iThome
2018年的漏洞仍未徹底修復:駭客仍能幾秒內破解特斯拉Model S T客邦
資安好手看過來!趨勢科技 CTF 2019 搶旗賽開跑,冠軍 100 萬日圓帶回家 INSIDE
YouTube Kids網頁版來了!提供各年齡層兒童影音分級內容 新頭殼newtalk
你以為密碼用asdfgh很安全?教育部教你三招防駭客 聯合新聞網
新版火狐瀏覽器默認攔截 cookie 防止用戶被網站跟蹤 雅虎奇摩
2019年8月十大資安新聞 iThome
Google擴大Google Play抓蟲計劃,找到Bug就能領獎金 T客邦
Foxit資料外洩曝露用戶密碼 iThome
中國手機程式ZAO涉隱私風險 紅不過3天 中央通訊社
WordPress 10多個外掛遭駭,用以建立網站非法帳號 iThome
入侵Capital One的駭客以遭駭的伺服器來挖礦 iThome
北韓否認攻擊加密貨幣交易所 稱指控是「由美國竄起的謠言」 鉅亨網
挽救形象?Facebook開「快閃咖啡廳」 教用戶如何設定隱私 匯流新聞網
谷歌擴大Play Store漏洞懸賞 加入下載量過億應用 新浪網(臺灣)
Google緊急更新Chrome以修補重大安全漏洞 iThome
挖礦風暴襲捲企業 這次不是比特幣 自由時報電子報
第一資本個資外洩案女駭客被起訴 最重可判25年 中央通訊社
數位政府高峰會 NEC提倡「Safer Cities」打造安全安心數位政府 iThome
將來銀行揭露更多新戰略,不自建而要擁抱任何生態系,更公開4項AI應用與6大資安發展重點 iThome
如何將資安導入DevOps的開發流程?白帽觀點創辦人揭露心法 iThome
工業局檢測補助 助企業把關資安 經濟日報(臺灣)
經濟放緩 居企業損失風險之首 工商時報
921震後20年 集集公所舉辦防災包發表會 台灣好新聞報
電力最強挖礦機?烏克蘭核電廠員工被查出上班時間偷接電挖礦 Technews
雖然說利用虛擬機挖礦賺錢的熱潮已經過去,主要是越來越多人發現,光電費支出可能就高於挖礦成本。不過,如果電力不用錢,那麼基本上挖礦還是可考慮的賺錢方式。因此這兩年我們開始聽見有人「偷電挖礦」。不過最近在烏克蘭的新聞有點厲害,一樣是偷電挖礦,只是當事人直接偷烏克蘭核電廠的電,堪稱史上最強電力的挖礦機。
<回到新聞條列重點>
Gmail隱藏圖片功能延伸至App 用戶資安更添保障 ETtoday新聞雲
垃圾郵件充斥,廣告及病毒往往也會以此作為媒介在用戶間傳播。Google稍早針對iOS的Gmail應用程式進行更新,讓用戶進一步攔截不必要顯示的外部不明圖片。
<回到新聞條列重點>
臉書app簽章金鑰被誤上傳網站,可能陷用戶於安全風險 iThome
Android Police網站所有人Artem Russakovskii指出,過去幾個星期有多個Android版APK被上傳到其姐妹網站APK Mirror上。這些第三方業者開發的app使用的除錯簽章金鑰,竟然和臉書Free Basics Android版 app使用的簽章一樣。
<回到新聞條列重點>
Facebook不再預設人臉辨識功能 舊用戶可手動解除追蹤 新頭殼newtalk
今年7月,Facebook因隱私權問題,遭美國聯邦貿易委員會(FTC)開罰50億美元,隨後承諾將加強對用戶隱私的保護。因此,Facebook昨(3日)宣布已更新人臉辨識的運作方式,即刻起不再「自動啟用」新用戶的人臉辨識功能,而舊用戶則可以更改隱私設定,手動取消該功能。
<回到新聞條列重點>
Facebook坦承錯誤 兒童社群軟體 Messenger Kids 陷隱私危機 新頭殼newtalk
社群巨頭Facebook旗下的兒童通訊軟體「Messenger Kids」近期涉入隱私風波,Facebook日前首次承認,該軟體確實出現技術漏洞,並表示已向聯邦貿易委員會(FTC)提出說明。
<回到新聞條列重點>
Android攻擊程式價格首度超過iOS iThome
根據專賣駭客工具的Zerodium所公佈的最新價目表,Android攻擊程式首度比iOS攻擊程式更值錢,其中針對Android平台的零點擊、具長期滲透能力的完整攻擊鏈,喊價最高250萬美元,而類似的攻擊鏈在iOS最高則為200萬美元。
<回到新聞條列重點>
iOS用戶竟然被秘密入侵兩年!Google發現駭客利用iOS漏洞進行大規模無差別攻擊iPhone用戶 網路資訊雜誌
Google Project Zero研究人員發現,駭客利用10多項iOS漏洞-大部份未修補的零時差漏洞-駭入iPhone、iPad用戶以竊取相片、電子郵件、多個網站登入帳密,時間長達2年。
<回到新聞條列重點>
Google:iPhone 被入侵事件,恐是中國針對維吾爾族穆斯林之舉 INSIDE
Google 資安團隊 Project Zero 上週公佈,有不少惡意網站透過尚未公開的軟體漏洞悄悄入侵 iPhone,竊取使用者手機裡的照片和訊息、追蹤手機目前即時定位資訊,甚至獲取使用者在手機上儲存的各個密碼,時間至少長達兩年。
<回到新聞條列重點>
Google團隊揭露駭客史上最大攻擊iPhone事件!竊取文件和即時定位 蘋果獲報修復 ETtoday新聞雲
Google旗下安全團隊Project Zero研究人員發現一系列遭駭客入侵的網站,這些網站主要會針對iPhone用戶發送惡意軟體,每周可能多達數千次,且可以運行多年。據外媒報導,這「可能是有史以來針對iPhone用戶的最大一起攻擊事件之一」,不過目前蘋果已修復相關漏洞。
<回到新聞條列重點>
釣魚網站駭iPhone 維吾爾族難逃中共監視 台灣蘋果日報網
Google安全研究員本周揭露該釣魚網站消息,駭客將「魚餌」放在Google搜尋索引標籤中,導致用戶誤點,被導引到釣魚網頁。點開後,用戶手機訊息、密碼與即時位置都會被竊。Google指出,這些惡意網站在過去兩年來,每周都有2千多人上當洩露個資與位置,使用iPhone手機也難逃資料外洩。美國聯邦調查局(FBI)發現後,已經警示Google更正。
<回到新聞條列重點>
蘋果公開道歉,承諾不再外聘合約工聽取Siri錄音檔 數位時代
雖然這是訓練人工智慧AI的好方式,但是,卻被詬病暴露了用戶隱私。以蘋果舉例來說,過去每天共有1千個Siri使用錄音檔被他人聽取、再打成逐字稿,這對不斷強調用戶隱私的蘋果來說,無疑是個推翻承諾、重創品牌形象的事件。
<回到新聞條列重點>
擔心電池過熱問題,有航空公司禁止托運所有MacBook iThome
針對蘋果部分15吋MacBook Pro電池引發的安全疑慮,澳洲航空對外聲明表示,所有15吋的MacBook Pro都不得托運,只能隨身攜帶不得開機。而維珍澳洲航空,更全面要求攜帶任何MacBook家族產品的旅客,都不得托運或在飛行期間使用。
<回到新聞條列重點>
詐騙集團以AI軟體偽裝成老板聲音指示匯錢 iThome
網路釣魚(Phishing)的攻擊管道已逐漸從電子郵件擴大到人工智慧(AI)語音了。華爾街日報於上周報導,有一家英國能源公司的執行長誤以為接到德國總部執行長的電話,而被訛詐了22萬歐元(約24.3萬美元)。
<回到新聞條列重點>
挖礦惡意軟體逐漸進逼英特爾伺服器 科技新報網
惡意軟體層出不窮,其中有不少挖礦惡意軟體專門針對 ARM 的 IoT 物聯網裝置,雖然這些裝置運算力有限,但數量多起來仍可讓駭客獲得可觀的收入。不過最近有個新趨勢,就是這些惡意軟體開始入侵英特爾(Intel)伺服器。
<回到新聞條列重點>
挖礦軟體感染目標擴及英特爾伺服器 iThome
過去挖礦軟體XMRig主要以ARM-based伺服器為目標,但安全研究人員發現,它現在也開始感染Intel x86架構的系統,顯示企業也成為挖礦軟體的新目標。
<回到新聞條列重點>
中國迎向刷臉支付時代 暗藏資安隱私疑慮 中央通訊社
中國正迎向刷臉支付時代,愈來愈多中國消費者購物結帳時,只需面對鏡頭「刷」一下臉部就可付款,不必拿出現金、信用卡及智慧型手機。然而,這項技術仍存在資安隱私疑慮。
<回到新聞條列重點>
衛福部晚間公布臺灣醫療院所受勒索軟體攻擊現況,已有22家遇害 iThome
根據衛生福利部資訊室的說明,目前這些受到此次勒索病毒影響的醫院,在復原工作電腦主機後,已經陸續解除勒索軟體的威脅,因此不影響國內醫療業務的運作,同時表示沒有個資外洩的狀況。
<回到新聞條列重點>
2019趨勢科技「暑假最強打工計劃」圓滿落幕 今年台灣暑假最幸福打工仔誕生! 打電動、拍短片 高額獎金帶回家! 台灣新論
2019趨勢科技「暑假最強打工計劃」至8/30圓滿落幕,未來趨勢科技也將持續用創意行銷資安,以開放、適性的企業文化迎接年輕新世代!
<回到新聞條列重點>
新式身分證傳外包疑洩個資 內政部:集中製卡個資不外洩 中時電子報網
明年10月就要換發新式數位身分證New eID。外傳得標的中央印製又另發包本土以外的外商,引發個資外洩疑慮。內政部次長陳宗彥表示,未來中央印製廠怎麼做,就交由其處理,相信一定會基於國家安全的考量辦理。內政部也說,New eID以採集中製卡,封閉式作業,不可能讓國人個資外洩。
<回到新聞條列重點>
資安防護觀念轉變 唐鳳:如何反擊更重於防守 中央通訊社
唐鳳表示,過去的資安防護概念是築起高牆,防止外來的攻擊,但是大約從去年開始,國際上越來越多人重視、討論,當攻擊發生時要如何阻擋,並從中學習經驗,以避免下次相同的攻擊。
<回到新聞條列重點>
物聯網(IoT)的發展,帶動新一波的產業革命,也造就智慧城市的概念興起,而有關智慧城市的計畫在全世界各大城市如火如荼展開,結合雲端技術、感測器與智慧路燈等以收集和分析數據,改進公共基礎設施和服務,進一步改善市民生活。
<回到新聞條列重點>
大發種族歧視推文 推特執行長帳號遭駭 工商時報
推特執行長多爾西(Jack Dorsey)的推特帳號在30日下午遭到駭客入侵,駭客透過他的帳號發送一連串辱罵和種族歧視推文,並宣稱推特總部有炸彈。推特隨後證實多爾西的帳號遭駭。
<回到新聞條列重點>
美國數百家牙科診所仰賴的備份公司遭到勒索軟體攻擊 iThome
提供醫療診所線上備份服務的Digital Dental Record,因負責管理雲端平台的合作商,感染了全球第四大勒索軟體Sodinokibi,導致美國當地400家診所用戶無法存取病患X光片等資料。
<回到新聞條列重點>
2018年的漏洞仍未徹底修復:駭客仍能幾秒內破解特斯拉Model S T客邦
不過根據《連線》本週二發佈的一篇報導稱,特斯拉最新發佈的車鑰匙同樣非常脆弱。來自比利時大學的科研團隊發現新款車鑰匙中同樣存在原先的漏洞,不過破解過程需要更長的時間並且需要靠的更近才能完成。
<回到新聞條列重點>
資安好手看過來!趨勢科技 CTF 2019 搶旗賽開跑,冠軍 100 萬日圓帶回家 INSIDE
領導廠商趨勢科技公布第五屆 Capture the Flag (CTF) 網路攻防搶旗賽時程。「趨勢科技 Raimund Genes 盃 CTF 2019 網路攻防搶棋賽」 廣邀全球好手在今日最關鍵的網路資安領域彼此切磋較勁,作育網路資安英才。
<回到新聞條列重點>
YouTube Kids網頁版來了!提供各年齡層兒童影音分級內容 新頭殼newtalk
YouTube平台內容爭議不斷,近幾年Google遭批未妥善管理兒童不宜觀賞的影音內容,如今Google宣布將推出YouTube Kids網頁版,針對13歲以下兒童進行分級,專門提供兒童事宜觀賞的影片。
<回到新聞條列重點>
你以為密碼用asdfgh很安全?教育部教你三招防駭客 聯合新聞網
除了123456,簡單字元、身分證字號、英文名字、鍵盤順序組合等都是駭客會開心的懶人密碼。為了讓民眾能夠輕鬆設定自己記得住且駭客難破解的密碼,教育部提供非常實用的密碼設定小撇步,包括語文轉換法、有夢最美法及增強記憶法。
<回到新聞條列重點>
新版火狐瀏覽器默認攔截 cookie 防止用戶被網站跟蹤 雅虎奇摩
從今天開始,更新到最新版火狐的用戶將會發現,桌面端和 Android 端火狐瀏覽器將提供更多的隱私保護設置,而前提是他們尚未啟用防 cookie 跟蹤功能。
<回到新聞條列重點>
2019年8月十大資安新聞 iThome
在8月底發生的臺灣醫療院所受勒索軟體攻擊事件,暴露了重要醫療院所的資訊安全問題,同時也提醒大眾不能輕忽勒索軟體的持續危害。
<回到新聞條列重點>
Google擴大Google Play抓蟲計劃,找到Bug就能領獎金 T客邦
Google瞭解解開放平台和生態系統的優勢,認為最好的創意時常來自外部,因此在經營Android生態系統的過程始終秉持較為開放的態度,並透過漏洞獎勵計劃鼓勵社群成員,持續協助改進產品的安全性和隱私性。Google為了擴大計劃成效,對Google Play安全獎勵計劃作出重大改變,並推出新的開發人員資料保護獎勵計劃。
<回到新聞條列重點>
Foxit資料外洩曝露用戶密碼 iThome
知名的PDF工具軟體Foxit上周宣布遭到駭客入侵,駭客存取了用戶的帳號資料,包括電子郵件帳號、使用者名稱、密碼、電話號碼、公司名稱與IP位址等,Foxit已經緊急停用所有帳號密碼,並要求使用者重新設定密碼,不過,Foxit並未公布有多少用戶受到影響,亦未說明這些密碼是否有加密。
<回到新聞條列重點>
中國手機程式ZAO涉隱私風險 紅不過3天 中央通訊社
一款名為ZAO的中國換臉app在8月30日上線後迅速爆紅,卻因過程中需要民眾上傳自拍照與涉嫌過度要求授權,存在隱私風險,上線3天即走下神壇,微信分享連結已經被暫停訪問。s
<回到新聞條列重點>
WordPress 10多個外掛遭駭,用以建立網站非法帳號 iThome
研究人員發現一個代管在Rackspace伺服器的網站不斷對外發出攻擊,目標是網路上WordPress網站上特定一批公開漏洞,這波攻擊主要影響Bold Page Builder、Blog Designer、Live Chat with Facebook Messenger等WordPress外掛。
<回到新聞條列重點>
入侵Capital One的駭客以遭駭的伺服器來挖礦 iThome
FBI調查顯示,犯下美國Capital One銀行系統竊密案的駭客,也曾入侵三十幾家組織,除了盜取機密資料,也利用受害業者的伺服器來挖礦牟利。
<回到新聞條列重點>
北韓否認攻擊加密貨幣交易所 稱指控是「由美國竄起的謠言」 鉅亨網
區塊客先前報導,聯合國調查報告指出,北韓涉及向 17 國發起 35 宗網路攻擊,入侵多家金融機構及加密貨幣平台獲取 20 億美元鉅款。對此,北韓 9 月 1 日回應否認上述指控,並稱這是由美國帶頭而起的不實謠言。
<回到新聞條列重點>
挽救形象?Facebook開「快閃咖啡廳」 教用戶如何設定隱私 匯流新聞網
什麼!Facebook也要跨界開咖啡廳?沒錯,最近Facebook為了消除用戶對隱私權的憂心,預計從8月底到9月5日在英國倫敦等城市開設5間「快閃咖啡廳」,希望藉由提供免費咖啡來吸引顧客上門。
<回到新聞條列重點>
谷歌擴大Play Store漏洞懸賞 加入下載量過億應用 新浪網(臺灣)
安全研究人員可以將這些應用中的漏洞或是安全隱患報告給谷歌,後者會給有效的漏洞報告提供獎金。谷歌會將這些報告發送給應用開發商,如果開發商沒有解決問題,谷歌將會把應用從Play Store上移除。
<回到新聞條列重點>
Google緊急更新Chrome以修補重大安全漏洞 iThome
Google釋出了支援Windows、Mac與Linux的76.0.3809.132,以修補3個Chrome的安全漏洞,目前Google依然限制用戶存取這3個漏洞的細節,準備等到大多數使用者都更新之後才公布。
<回到新聞條列重點>
挖礦風暴襲捲企業 這次不是比特幣 自由時報電子報
隨著資安防護觀念普及,許多企業在內部建立伺服主機與網路防護網,但道高一尺魔高一丈,社交網路反而成為駭客入侵企業的入口,關貿網路(6183)今天指出,駭客透過社交工程釣魚,讓企業主機被植入門羅幣(Monero)挖礦腳本,透過企業內部Windows更新主機(WUSU)作為中繼站,大量散布至企業所有電腦,同步對外連線挖門羅幣(目前市價約70美元/枚)。
<回到新聞條列重點>
第一資本個資外洩案女駭客被起訴 最重可判25年 中央通訊社
美國司法部今天表示,聯邦大陪審團以電匯詐欺和竊取電腦資料罪名,起訴涉嫌竊取美國第一資本金融集團超過1億名客戶個資的女性軟體工程師,她最高面臨25年徒刑。
<回到新聞條列重點>
數位政府高峰會 NEC提倡「Safer Cities」打造安全安心數位政府 iThome
由iThome主辦的「2019數位政府高峰會」於8月28日舉辦,NEC台灣政府公共解決方案事業群張裕昌群總經理以「NEC Safer Cities~打造更為安全、友善的數位政府」為題,分享全球數位政府趨勢,以及NEC協助各國政府的實際案例,包括丹麥政府電子化進程、印度國民生物辨識資料庫、英國倫敦警察廳等。
<回到新聞條列重點>
將來銀行揭露更多新戰略,不自建而要擁抱任何生態系,更公開4項AI應用與6大資安發展重點 iThome
將來銀行定調生態系戰略,就是不自帶生態系,而是選擇加入任何生態系,更快速地走進消費場景。此外,將來銀行資訊長兼技術長周旺暾也揭露自家在資安與AI應用的最新布局。
<回到新聞條列重點>
如何將資安導入DevOps的開發流程?白帽觀點創辦人揭露心法 iThome
在企業導入敏捷開發流程之後,如何在這種快速開發的流程裡,納入資訊安全,成為企業的難題,白帽觀點創辦人YSc認為,做好相關的事件準備工作,並且界定各階段所需執行的檢驗工作,進而將資安融入到開發流程之中,做到DevSecOps 。
<回到新聞條列重點>
隨著亞太地區成為世界上最大的數位經濟體之一,可預見的是空前巨量的個人資料會在網路上進行傳輸交換。在亞太區就有大約20.07億的網際網路用戶,這幾乎是此區域一半的人口,如此快速的科技採納率也致使各種裝置使用的數量持續增長。而裝置及網路終端點(Endpoints)的增加,也就意謂著網路犯罪滲透的機會增加,尤其針對未採取防禦措施的用戶和組織,其風險更甚。
<回到新聞條列重點>
工業局檢測補助 助企業把關資安 經濟日報(臺灣)
因應全球資安事件頻傳,經濟部工業局委由中華民國資訊軟體協會遴選出資安團隊,提供企業資安檢測診斷服務,守護企業資訊安全,並提供50%以上高額費用補助,單一個案補助最高11萬。
<回到新聞條列重點>
經濟放緩 居企業損失風險之首 工商時報
根據怡安風險管理集團2019年調查,造成企業前十大風險報告中,「經濟放緩」是造成企業損失的前十大風險之首。此外,聲譽受損、市場因素加速變化、業務中斷以及競爭加大等等為前五大風險,幾乎都和經濟基本面變差有關。
<回到新聞條列重點>
921震後20年 集集公所舉辦防災包發表會 台灣好新聞報
今年適逢921集集大地震走過20年,為了提升民眾防災意識,集集鎮公所特別向民間企業募集,大家齊心齊力完成「防災物資積集包」。9月4日集集鎮公所於集集樟腦出張所舉辦「921震後二十,防災物資積集包記者發表會暨水資源宣導活動」,發表會上特別開箱「積集包」需要裝進那些防災物資。
<回到新聞條列重點>