《資安新聞周報》銀行木馬 Emotet 請你看愛德華·史諾登回憶錄!/Windows Server 2008 即將終止支援:您準備好了嗎?/美國前500大企業6成被駭客入侵

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

一周精選媒體資安新聞

手機充電放枕頭電池爆炸 14歲女睡夢中被炸死  TVBS新聞網

去年台灣遭盜刷22億 記住這9招可自保        聯合新聞網

SIM卡驚爆新漏洞,可讓駭客入侵手機!估千萬台裝置恐受影響 自由時報電子報

PDF 檔案規格資安漏洞,導致有心人能窺探加密文件    科技新報網

研究:美國前500大企業6成被駭客入侵        世界新聞網

今年美國有621個組織遭到勒索軟體攻擊,近8成為醫療服務供應商        iThome

雅虎工程師認罪  為蒐集色情圖片駭入6千用戶帳號     中時電子報網

食物外送服務DoorDash被駭,490萬會員與商家資料外洩   iThome

研究人員宣稱iPhone X及以前的晶片含有無法修補的Bootrom漏洞    iThome

防堵舊款 Apple Watch 漏洞!蘋果罕見釋出 watchOS 5.3.2 版更新    自由時報電子報

《科技》Mac用戶留意,防偽股票軟體竊個資        工商時報電子報

DEFCON Voting Village:上百款投票機器每台都被攻陷   iThome

雲端服務配置不當 隱私疑慮 2,400萬病患個資曝光,7億張醫療影像在網路公開        iThome電腦報周刊

趨勢科技點出最新開放銀行法規的資安風險    Pchome 新聞

IoT成網路攻擊新標的 業者須強化安全防護    電子時報

海角七億駭客攻擊,真的假的?        觀策站

攻破私人訊息最後一道防線?英美訂定「Facebook條約」要求配合犯罪調查    數位時代

加州消保法 衝擊50萬家企業 明年生效,若因駭客攻擊致個資外洩,用戶可向公司求償每人750美元    工商時報

美國通過可協助組織對抗網路攻擊的法案        iThome

金融資安資訊分享 立院建議改收費制      自由時報電子報

Exim再度修補遠端程式攻擊漏洞       iThome

諾貝爾獎得主看臉書Libra 有可行性與隱私疑慮     中央通訊社

白俄羅斯成首個強制ISP提供IPv6服務的國家       iThome電腦報周刊

【人工智慧 vs. 駭客智慧】駭客大賽冠軍霸氣分享:我如何讓 50 個惡意文件騙過 AI 安防系統?        報橘

微軟揭露新的Nodersok無檔案攻擊行動   iThome

北韓網軍勢力壯大 多年來北韓透過三大駭客組織,持續在全球各地發動網路攻擊,藉由入侵金融系統及加密通貨交易所來竊取資金。    工商時報

台大醫院被駭 教部︰升高為3級資安事件      自由時報電子報

物聯網裝置攻擊頻傳,戴夫寇爾揭露中華電信數據機設置不當的漏洞        iThome

CCleaner 被微軟正式納入不推薦的黑名單中,能不用就不用吧    電腦王阿達

爭議不斷!Google人工分析用戶語音宣布暫停 未來需經同意才能動工      匯流新聞網

建立台灣企業資安認知 立寶科技提出關鍵防禦機制      工商時報

【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標       iThome

【提升企業網路安全新利器】NIST網路安全框架崛起,成為企業資安共通標準        iThome

快速打造企業級資安防禦的新指南    iThome

「人臉辨識」進校園 人權團體憂個資外流:再多智慧都改不了監控本質  ETtoday新聞雲

神祕人士將vBulletin零時差漏洞公佈於網上    iThome

空巴供應商遭駭1年 疑中國發動竊密      自由時報電子報

資安一周第61期:面臨臺海局勢更加險峻,美國與臺灣擬11月進行紅隊演練        iThome

捷克去年遭網攻 元凶疑中共      青年日報

應用程式市集亂象 Cookie Stuffing 冒牌AdBlock擴充套件發動廣告詐欺牟利     iThome電腦報周刊


手機充電放枕頭電池爆炸 14歲女睡夢中被炸死  TVBS新聞網

現在人手機不離身,晚上睡覺時,也會讓手機充電恢復電力。日前哈薩克1名14歲的少女,她在睡覺時把手機放在枕頭旁邊充電,不料突然電池爆炸,少女在睡夢中被炸死。   

<回到新聞條列重點>

去年台灣遭盜刷22億 記住這9招可自保        聯合新聞網

隨著資訊科技發展網路交易盛行,線上刷卡成為民眾購物消費的管道,但國人在網路遭盜刷金額卻節節升高。根據聯卡中心統計,今年前6月在網路上遭盜刷通報金額每月高達1億,今年上半年已累積金額近7億元,去年整年更超過22億元、創下歷史新高。 

<回到新聞條列重點>

SIM卡驚爆新漏洞,可讓駭客入侵手機!估千萬台裝置恐受影響 自由時報電子報

近日發現一個存在於手機 SIM 卡名為「WIBattack」瀏覽器應用的安全漏洞,將讓駭客可透過該漏洞入侵,於遠端控制被入侵手機用戶的 SIM卡,並利用不同形式的特定惡意代碼傳送簡訊指令發動攻擊。       

<回到新聞條列重點>

PDF 檔案規格資安漏洞,導致有心人能窺探加密文件    科技新報網

不少傳統上會寄送紙本帳單的單位,如銀行、電信、水、電事業單位,隨著數位化時代提供電子帳單,並且用加密的 PDF 檔案保護用戶隱私。如今傳出資安學者發現新的攻擊手法,能截取並且偷出加密 PDF 上記載的內容,悄悄的進行不被使用者察覺。     

<回到新聞條列重點>

研究:美國前500大企業6成被駭客入侵        世界新聞網

研究人員在2019年前六個月期間,共約監測到超過1500萬次未經授權登錄、企圖進入美國財富前500大企業雲端運算網路,其中,有40萬次登錄成功。Proofpoint研究人員表示,儘管只有一個帳戶被入侵,就可能將在公司組織產生廣泛影響,企圖未授權登錄在各個行業普遍存在。   

<回到新聞條列重點>

今年美國有621個組織遭到勒索軟體攻擊,近8成為醫療服務供應商        iThome

當美國各州、城市或郡遭到勒索軟體攻擊時,很容易就會躍上新聞版面,但在今年遭到攻擊的621個組織中,只有68個為政府機關。例如佛州Lake City今年6月感染了Ryuk勒索軟體,支付了46萬美元的贖金;美國麻薩諸塞州新貝福市(New Bedford)今年7月也被勒索軟體攻擊,駭客獅子大開口要求530萬美元的贖金,該市拒絕了駭客的要求,且估計復原成本只要100萬美元。   

<回到新聞條列重點>

雅虎工程師認罪  為蒐集色情圖片駭入6千用戶帳號     中時電子報網

你曾經使用雅虎(Yahoo!)信箱,並且習慣在多個網站都採用一樣的登入帳號與密碼嗎?外媒報導,一位前雅虎工程師已認罪,承認自己曾經因為想要蒐集色情圖片與影片,駭入近 6000 個使用者帳戶。他預計將在 2020 年 2 月 3 日被判刑,最高面臨 5 年以上監禁,以及 25 萬美元以及其他的額外賠償。雅虎方面並未針對此事件對外回應。   

<回到新聞條列重點>

食物外送服務DoorDash被駭,490萬會員與商家資料外洩   iThome

類似Uber Eats與Food Panda的美國食物外送服務DoorDash本周揭露,該公司在本月初察覺有未經授權的第三方存取該公司的使用者資料,波及490萬名在去年4月5日及以前加入該平台的會員、外送員及商家。   

<回到新聞條列重點>

研究人員宣稱iPhone X及以前的晶片含有無法修補的Bootrom漏洞    iThome

一名代號為Axi0mX的安全研究人員上周對外宣布,他在蘋果所打造的晶片組上發現了Bootrom漏洞,將允許駭客取得iOS裝置的控制權,該漏洞波及A5到A11的晶片組,等於是從iPhone 4S到iPhone X都受到影響,且只有變更硬體才能修補,意謂著它將能形成永久的越獄行為

<回到新聞條列重點>

防堵舊款 Apple Watch 漏洞!蘋果罕見釋出 watchOS 5.3.2 版更新    自由時報電子報

Apple 在今日無預警釋出新版 WatchOS 5.3.2,主要是針對初代 Apple Watch Series 1 與 Series 2 提供重要的安全更新,並修復系統先前漏洞以防手錶遭受駭客攻擊。       

<回到新聞條列重點>

《科技》Mac用戶留意,防偽股票軟體竊個資        工商時報電子報

全球網路資安解決方案業者趨勢科技(4704.JP)表示,發現2隻偽裝成Mac合法交易軟體Stockfolio的木馬,雖在螢幕上出現真實的股票交易介面,卻會在背景執行惡意行為、竊取使用者個資,提醒蘋果Mac使用者留意。  

<回到新聞條列重點>

DEFCON Voting Village:上百款投票機器每台都被攻陷   iThome

聚集全球駭客的資安會議DEFCON今年8月再度舉辦了Voting Village活動,邀請與會者開採上百款美國正在使用的投票機器,發現每款機器都可被攻陷,並呼籲業者及美國政府應該在明年美國大選前,正視相關的安全問題。       

<回到新聞條列重點>

雲端服務配置不當 隱私疑慮 2,400萬病患個資曝光,7億張醫療影像在網路公開        iThome電腦報周刊

德國漏洞分析暨管理公司Greenbone Networks在本周公布一項研究報告,指出有大量的醫療影像儲存系統(Picture Archiving and Communication System,PACS)配置不當,而讓數億張的醫療影像在網路上曝光。       

<回到新聞條列重點>

趨勢科技點出最新開放銀行法規的資安風險    Pchome 新聞

趨勢科技發表研究指出歐盟「第二號支付服務指令」PSD2 所帶來的影響,很可能讓網路駭客對金融服務機構及客戶的攻擊大幅增加。日前發表一份研究指出,歐洲最新的銀行法規很可能讓網路駭客對金融服務機構及客戶的攻擊面因而大幅增加。       

<回到新聞條列重點>

IoT成網路攻擊新標的 業者須強化安全防護    電子時報

強調萬物聯網(IoE)的物聯網(IoT)產業,雖然替未來生活描繪便利快捷的生活形態,不過,在萬物聯網的龐大架構下,有關網路架構及數據資料等的安全防護問題。   

<回到新聞條列重點>

海角七億駭客攻擊,真的假的?        觀策站

首先必須提醒,若以秒計,一年總計三千餘萬,以軍醫局受攻擊最高數值來說,要辨識全年超過七億次,就是平均每秒辨識出有二十餘次駭客攻擊,就絕對不是透過人工鑑定,而是必須仰賴計算機程式,解讀網路通信內容加以自動鑑定判讀,因為國防部絕無足夠人力進行如此規模的駭客攻擊人工鑑定。       

<回到新聞條列重點>

攻破私人訊息最後一道防線?英美訂定「Facebook條約」要求配合犯罪調查    數位時代

屆時英國有權要求Facebook、WhatsApp等社群網路將其加密的消息交給英國執法單位,進行犯罪案件的調查。此外,條約內容也包括,美國和英國將不會對彼此的公民進行調查,以及從英國公司獲得的訊息也不會被美國用於死刑案件。       

<回到新聞條列重點>

加州消保法 衝擊50萬家企業 明年生效,若因駭客攻擊致個資外洩,用戶可向公司求償每人750美元    工商時報

2018年通過的「加州消費者隱私保護法」(CCPA)將於2020年1月1日生效,實際受影響的美國企業估計達50萬家,從金融和專業服務公司,再到小型線上零售商。新法規定,若是因為駭客攻擊導致用戶個資外洩,即便沒有造成實際損害,用戶可仍向公司要求每人750美元的賠償金。   

<回到新聞條列重點>

美國通過可協助組織對抗網路攻擊的法案        iThome

美國參議院在上周通過了由Rob Portman與Maggie Hassan兩名參議員在今年初所提出的《國土安全部網路狩獵與資安事件應變法案》(Department of Homeland Security (DHS) Cyber Hunt and Incident Response Teams Act),將要求DHS的資安團隊協助政府及其它私人企業避免網路攻擊,也應在這些組織遭到攻擊時協助緩解。   

<回到新聞條列重點>

金融資安資訊分享 立院建議改收費制      自由時報電子報

金管會為提升金融體系整體資安應變能力,2017年底建置「金融資安資訊分享與分析中心」;不過,立院預算中心指出,近年來金融機構遭資安攻擊事件頻傳,未來運用度可能逐年升高,建議金管會研議「會員收費機制」,以利後續營運及減輕國庫財政負擔。 

<回到新聞條列重點>

Exim再度修補遠端程式攻擊漏洞       iThome

Exim為一開源的郵件傳輸代理程式(Mail Transfer Agent,MTA),主要被應用在Unix類型的作業系統上,根據E-Soft今年8月的估計,全球可公開存取的郵件伺服器中,約有57%採用Exim,數量大約是50萬台。      

<回到新聞條列重點>

諾貝爾獎得主看臉書Libra 有可行性與隱私疑慮     中央通訊社

臉書推出Libra加密貨幣計畫,預計2020年發行,對此,今天受邀來台的諾貝爾經濟學獎得主羅伯莫頓(Robert C. Merton)認為,基於可行性及隱私疑慮,Libra雖帶來許多機會,但也將面臨諸多挑戰。       

<回到新聞條列重點>

白俄羅斯成首個強制ISP提供IPv6服務的國家       iThome電腦報周刊

白俄羅斯總統發布行政命令,要求ISP業者自明年起完整支援IPv6裝置,此外,所有用戶都會配給IPv4和IPv6兩種IP位址。  

<回到新聞條列重點>

【人工智慧 vs. 駭客智慧】駭客大賽冠軍霸氣分享:我如何讓 50 個惡意文件騙過 AI 安防系統?        報橘

近期網絡安全平台 Endgame、MRG-Effitas 和 VM-Ray 舉辦一場駭客大賽,邀請工程師來破解他們的安防系統。有個工程師成功破解他們的 AI 系統,讓 50 個惡意程式成功運作。他是怎麼做到的?這對資安產業帶來什麼啟示?       

<回到新聞條列重點>

微軟揭露新的Nodersok無檔案攻擊行動   iThome

Nodersok作者採用狡猾的無檔案攻擊手法,藉由合法工具展開一連串的感染行動,將受害系統變成代理人以執行點擊詐騙,估計已有數千台Windows電腦被纏上。  

<回到新聞條列重點>

北韓網軍勢力壯大 多年來北韓透過三大駭客組織,持續在全球各地發動網路攻擊,藉由入侵金融系統及加密通貨交易所來竊取資金。    工商時報

當時美國聯邦調查局(FBI)調查發現整起駭客攻擊疑似是北韓政府幕後主導,於是美國財政部在當時便對北韓頭號情報單位偵察總局(RGB)實施制裁,以為能從此壓制北韓駭客勢力,沒想到多年後的今日,北韓網軍勢力有增無減,甚至成為北韓的主要生財管道。   

<回到新聞條列重點>

台大醫院被駭 教部︰升高為3級資安事件      自由時報電子報

台大醫院系統傳遭駭客入侵,經證實已升級為三級資安事件,台大醫院雖稱國家元首病歷都有特別加密,應不致外流,但據悉,台大醫院資安危機升高,調查局已介入接手調查。       

<回到新聞條列重點>

物聯網裝置攻擊頻傳,戴夫寇爾揭露中華電信數據機設置不當的漏洞        iThome

網路數據機可說是許多人家中必備的網路設備,攻擊者若是能藉此滲透到內部網路,就能進一步朝環境裡的其他設備下手。戴夫寇爾資安研究員Orange Tsai(蔡政達)於DEVCORE Conference大會上,講述他們發現中華電信網路數據機漏洞的過程,通報之後漏洞也迅速獲得修補。   

<回到新聞條列重點>

CCleaner 被微軟正式納入不推薦的黑名單中,能不用就不用吧    電腦王阿達

根據外媒 techlapse 的報導,稍早在微軟的官方支援論壇中,已經把 CCleaner.com 加入到網域黑名單中,不過微軟並沒有特別說明為什麼,而 techlapse 猜測,這可能跟 2017 出現的被植入惡意程式碼有很大關係,雖然隨後就趕緊推出乾淨版的安裝程式,但傷害已經造成。   

<回到新聞條列重點>

爭議不斷!Google人工分析用戶語音宣布暫停 未來需經同意才能動工      匯流新聞網

近期,Apple、Google、Amazon接連遭爆料,指出他們外聘或請自家員工,在使用者未知的情況下,側錄語音助理的錄音,藉以提高語音辨識準確度。但外界輿論壓力下,三間公司暫時停止人工分析計畫,並讓用戶自行決定是否加入語音辨識改善計畫。   

<回到新聞條列重點>

建立台灣企業資安認知 立寶科技提出關鍵防禦機制      工商時報

隨著數位化、雲端、物聯網等科技迅速普及,導致企業的資安漏洞更多、防護機制也越顯困難。據統計台灣資安產業雖然有11.9%的預估成長,但相較之下整體產值並不高,由此可見台灣資安產業仍然有很大的成長空間。   

<回到新聞條列重點>

【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標       iThome

由NIST推出的網路安全框架,已經受到全球多國組織與企業的認可,臺灣企業也能夠利用,可從五大防護構面快速找到方向,將內部有限的資源,能充分運用在需要優先強化的地方。   

<回到新聞條列重點>

【提升企業網路安全新利器】NIST網路安全框架崛起,成為企業資安共通標準        iThome

不論企業規模大小,資安都已經成為重要的工作,但如何管理與執行,卻仍苦惱著大多數企業。而NIST推出的網路安全框架,不僅具有通用性,並是實務上容易執行的一套策略。   

<回到新聞條列重點>

快速打造企業級資安防禦的新指南    iThome

NIST框架從網路安全風險生命周期各階段,設計了一套資安工作檢核表架構,去年大改版增加了新興資安議題,如供應鏈網路安全、弱點察覺等,可以讓企業或組織來評估自己的資安成熟度,甚至作為改善和強化的參考方向。   

<回到新聞條列重點>

「人臉辨識」進校園 人權團體憂個資外流:再多智慧都改不了監控本質  ETtoday新聞雲

近年來,許多校園為打造智慧校園,開始引入人臉辨識技術。台灣人權促進會、人本教育基金會、台灣學生聯合會等團體今(26日)指出,人臉辨識技術作為一種監控技術,倘若裝設於師生皆會活動或停留的場域,除了是否符合個資法的爭議外,對於長時間生活在校園內的師生來說,後續更可能會因資料管理不當,導致生物特徵外洩

<回到新聞條列重點>

神祕人士將vBulletin零時差漏洞公佈於網上    iThome

知名網路論壇平台軟體vBulletin一個尚未修補的零時差攻擊漏洞,能讓攻擊者無需具備帳號,只要發出一個HTTP POST呼叫,就可以在vBulletin伺服器上執行指令,劫持跑論壇的網頁伺服器、竊取或刪改資料,或是對其他系統發動攻擊。       

<回到新聞條列重點>

空巴供應商遭駭1年 疑中國發動竊密      自由時報電子報

七名不具名的安全與航太業消息人士透露,歐洲航太巨擘「空中巴士」(Airbus)的供應商,近一年來遭逢一連串駭客攻擊,其中包括四起重大攻擊;這些發動攻擊的駭客,疑似與中國有關,目的在於竊取商業機密。       

<回到新聞條列重點>

資安一周第61期:面臨臺海局勢更加險峻,美國與臺灣擬11月進行紅隊演練        iThome

隨著中國帶來的資安威脅日益加劇,相關的攻防演練變得更為重要。於9月17日舉辦的「好好駭:AI與資訊安全論壇」的活動上,美國在臺協會處長酈英傑致詞時,不只提到與臺灣政府合作,要讓我國加入美國國土安全部的情資共享體系,同時更提到要於11月舉辦大規模網路攻防演練一事。 

<回到新聞條列重點>

捷克去年遭網攻 元凶疑中共      青年日報

捷克「國家網路及訊息安全局」(NUKIB)25日發表報告,宣稱布拉格當局2018年遭遇大規模網路攻擊,其幕後黑手「極有可能」是中共。無獨有偶,空中巴士過去1年遭遇4次駭客攻擊,調查人員也將矛頭指向中共。       

<回到新聞條列重點>

應用程式市集亂象 Cookie Stuffing 冒牌AdBlock擴充套件發動廣告詐欺牟利     iThome電腦報周刊

Google周四移除Chrome Web Store上,冒充知名廣告封鎖軟體AdBlock及uBlock的惡意Chrome外掛。至少300個網站遭這2個惡意程式進行廣告詐欺。       

<回到新聞條列重點>