本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞
小米監視器爆漏洞 竟能看陌生人睡覺 台灣蘋果日報網
Travelex遭駭客勒索300萬美元 iThome
被駭超過20次卻不知不覺的InfoTrax與FTC和解 iThome
揭開瑞士政府的「護民主」藍圖;教4歲小孩資訊安全與隱私 報導者
WhatsApp 通知恐怖份子帳號被駭,使歐洲政府調查受阻 INSIDE
趨勢2020資安預測報告 縱深防禦乃雲端最有效防護 Ctimes
招搖的Maze勒索軟體駭客集團被告上法院了 iThome
亞馬遜申請手掌辨識專利,顧客掃描手掌就可在超市結帳 科技新報網
【駭!公民專欄】港府利用eID追蹤遊行者,你敢換數位身分證? 天下雜誌網
星巴克因員工重大疏失,導致內部系統API金鑰置於GitHub公開資料夾 iThome
微軟:RDP暴力破解平均持續2-3天,成功率不低 iThome
微軟Access資料庫出現漏洞 或致8.5萬家企業面臨風險 新浪網(臺灣)
美國社區醫院郵件帳號外洩波及近5萬名病患個資 iThome
【踢爆】[email protected] 出現山寨貨?神秘 LINECAST 企圖混淆非官方服務! INSIDE
【葉怡君陪你打造智慧工廠】戰術篇:你真的有善用數據嗎? 科技報橘網
三大步驟加速推動數位轉型,微軟要讓中小企業跳躍式成長! 天下雜誌網
紐時:中國影響台灣選舉 取道社群媒體手法細膩 中央通訊社
網路攻擊事件頻傳 資安已成嵌入式系統重大挑戰 Ctimes
思科修補可繞過身分認證並執行任意行動的安全漏洞 iThome
美國土安全部警告企業,伊朗可能發動網路攻擊 iThome
2020年智慧城市發展的焦點與趨勢 電子時報網
Citrix Virtual Apps and Desktops 打造智慧辦公環境 網管人
VMware 企業多雲管理最佳夥伴 經濟日報網
Nexusguard研究表示,DNS放大攻擊年增近4,800% , SYN洪水攻擊急增惹關注 CompoTech Asia 電子與電腦網
2019年12月十大資安新聞 iThome
資安一周第75期:勒索軟體攻擊要贖金新招,恐嚇不付錢就把資料公開 iThome
訂閱資安趨勢電子報
小米監視器爆漏洞 竟能看陌生人睡覺 台灣蘋果日報網
小米米家智慧監視機出現資安漏洞,據外媒Android Police報導,一名Reddit用戶將小米米家智慧監視機即時影像串流到Google Nest Hub智慧顯示器時,意外出現其他人家中的靜止影像,包括在椅子上睡覺的人及嬰兒在床上睡覺的影像,在社群網站引起網友熱烈討論小米攝影機容易被駭的問題。台灣Google認為問題嚴重,昨(1/3)已停止所有裝置與小米服務的連結。
<回到新聞條列重點>
Travelex遭駭客勒索300萬美元 iThome
許多報導聲稱這家倫敦外匯交易公司的資安事件,是遭到全球第五大勒索軟體Sodinokibi的攻擊,此外,有資安業者曾警告Travelex使用的Pulse Secure VPN有漏洞未修補,這也許就是駭客入侵Travelex的管道。
<回到新聞條列重點>
被駭超過20次卻不知不覺的InfoTrax與FTC和解 iThome
專門提供直銷後端操作解決方案的InfoTrax,在兩年內曾被駭客入侵超過20次卻不知不覺,因而在本周與美國聯邦交易委員會(Federal Trade Commission,FTC)達成和解,承諾將採取必要的安全措施,同時接受第三方的評估,若再犯則每次最高可被判罰4.2萬美元。
<回到新聞條列重點>
揭開瑞士政府的「護民主」藍圖;教4歲小孩資訊安全與隱私 報導者
在蘇黎世專訪教材的研發團隊與政策推手,談數據時代中政府應該扮演的角色,以及為什麼隱私教育,是守護民主的第一步。
<回到新聞條列重點>
WhatsApp 通知恐怖份子帳號被駭,使歐洲政府調查受阻 INSIDE
「五月時,一個高級駭客利用我們的影像通話功能安裝惡意軟體,我們已經阻止了該攻擊。您的電話號碼可能受到了影響⋯⋯」2019 年 10 月 WhatsApp 主動通知了 1,400 名使用者,其中包括一名歐洲執法者正在追查的恐怖份子。
<回到新聞條列重點>
趨勢2020資安預測報告 縱深防禦乃雲端最有效防護 Ctimes
面對工業4.0驅動全球企業數位轉型浪潮,網路資安解決方案業者趨勢科技也在日前發表2020年資安年度預測報告,針對網路安全威脅提出3大重點警示,包含:企業雲端風險加劇、AI偽冒詐騙數量攀升、以及家中物聯網擴大資安風險。
<回到新聞條列重點>
招搖的Maze勒索軟體駭客集團被告上法院了 iThome
在遭到駭客集團以Maze勒索軟體發動攻擊後,美國纜線製造業者Southwire因拒絕支付贖金,而遭駭客公布內部機密,Southwire因此向法院提出告訴。
<回到新聞條列重點>
亞馬遜申請手掌辨識專利,顧客掃描手掌就可在超市結帳 科技新報網
據 USAToday 報導,這套系統會在掃描時取得兩張圖,一張是單純記錄手掌表面的紋路,另一張則是更細微的特徵,如靜脈血管結構、皮下軟組織等,最後系統會與後台資料庫配對,即可確認身分。
<回到新聞條列重點>
【駭!公民專欄】港府利用eID追蹤遊行者,你敢換數位身分證? 天下雜誌網
邁向智慧政府的台灣,在使用數位身分證上卻引發公民團體一致反彈。當政府致力學習愛沙尼亞,轉型為數位國家之際,公民團體為何有不同聲音?個人的隱私,或許是最關鍵的考量。
<回到新聞條列重點>
星巴克因員工重大疏失,導致內部系統API金鑰置於GitHub公開資料夾 iThome
星巴克內部網站的API金鑰因人為疏失被放在GitHub公開資料夾,一旦落入有心人士手中,便能藉此更動星巴克內部系統的授權使用者,或接管星巴克的AWS帳號,所幸一名安全研究人員及時發現透過HackerOne通報,星巴克為此提供抓漏獎金給舉發的研究人員。
<回到新聞條列重點>
微軟:RDP暴力破解平均持續2-3天,成功率不低 iThome
駭客經常鎖定使用弱密碼或未加強安全防護的RDP伺服器,以暴力破解方式成功駭入受害組織,企業必須留意是否有可疑連線,或不尋常的簽入失敗情形。
<回到新聞條列重點>
微軟Access資料庫出現漏洞 或致8.5萬家企業面臨風險 新浪網(臺灣)
據外媒報導,研究人員發現,微軟的Access資料庫應用程序存在一個漏洞,如果不進行修補,可能會對數千家美國企業產生不良影響。
<回到新聞條列重點>
美國社區醫院郵件帳號外洩波及近5萬名病患個資 iThome
美國明尼蘇達州的非營利社區醫院Alomere Health,本周開始通知該院的近5萬名病患,表示他們的個人資訊可能已被第三方存取。
<回到新聞條列重點>
【踢爆】[email protected] 出現山寨貨?神秘 LINECAST 企圖混淆非官方服務! INSIDE
現有 LINE@ 生活圈帳號即將在 1 月 14 號陸續升級, 自從 LINE 去年宣布推出官方帳號 2.0 計畫以來,不少網路、中小企業或是團體紛紛對新的「以量計價」感到苦惱,不少經營者甚至試計算後,有退出 LINE@ 的計畫。
<回到新聞條列重點>
【葉怡君陪你打造智慧工廠】戰術篇:你真的有善用數據嗎? 科技報橘網
全球掀起智慧製造浪潮, AI 人工智慧加上工業物聯網被視為智慧產線核心。其中數據的運用與管理就是至關重要的第一步。微軟亞太物聯網創新中心總經理葉怡君與科技報橘總主筆張育寧以此為題做深度探討,葉怡君說:「 多數製造業的問題不在 AI,先建立完整而精確的數據科技,就可以解開眼下絕大多數問題。」
<回到新聞條列重點>
隨著數位化應用逐步落實,內建連網功能的裝置數量逐年增長,已是不可逆的事實。根據IDC於2019年發布的調查報告預測,到了2025年物聯網場域中的裝置或物件總計將高達416億台,產生將近80ZB的資料量。
<回到新聞條列重點>
三大步驟加速推動數位轉型,微軟要讓中小企業跳躍式成長! 天下雜誌網
新興科技的出現,推動全球跨進數位經濟時代,所有產業都將受影響,數位轉型勢在必行,美國中小企業已積極跟上數位浪潮,台灣中小企業也得積極跟上腳步,運用現代化工具跳躍式成長。
<回到新聞條列重點>
紐時:中國影響台灣選舉 取道社群媒體手法細膩 中央通訊社
總統大選將於11日投票,「紐約時報」報導,官員與專家憂心,中國正在實驗操弄社群媒體影響選民。在台灣民主又充斥假消息的環境中,這種細膩的分化手法更容易操作。
<回到新聞條列重點>
網路攻擊事件頻傳 資安已成嵌入式系統重大挑戰 Ctimes
在物聯網概念的帶動下,連網逐漸成為嵌入式系統的重要功能,尤其是製造、交通等過去較為封閉的場域,現在都需要與IT系統整合,讓資訊可以被進一步利用,創造出更多價值,不過這也讓OT系統產生以往少有的資安問題,因此在智慧化時代,讓嵌入式系統的效能與安全得以兼具,就成為系統設計者必須嚴正面對的問題。
<回到新聞條列重點>
思科修補可繞過身分認證並執行任意行動的安全漏洞 iThome
思科上周修補了Cisco Data Center Network Manager(DCNM)的3個重大安全漏洞,成功的開採將允許駭客繞過身分認證,並以管理權限執行任意行動,由於它是所有基於NX-OS作業系統的網路管理平台,代表相關漏洞間接波及了Nexus系列的乙太網路交換器與MDS系列的光纖通道儲存區域網路交換器。
<回到新聞條列重點>
美國土安全部警告企業,伊朗可能發動網路攻擊 iThome
美國伊朗近年情勢緊張,美國上周進一步發動無人機空襲伊拉克巴格達機場,炸死伊朗二號軍事將領蘇里曼尼(Qasem Soleimani),伊朗方面揚言報復。美國國土安全部網路安全及基礎架構安全署(CISA)主任Chris Kreb重申去年6月的警告,再次呼籲美國能源及電廠等基礎架構產業要整備好,提防伊朗的精準攻擊,特別注意像是工控電腦等關鍵系統。此外,也要留心第三方單位存取網路的行為。
<回到新聞條列重點>
2020年智慧城市發展的焦點與趨勢 電子時報網
根據Smart Cities Dive報導,2020年智慧城市的7個趨勢為更多資金投入飛行車、共享摩托車營運商數量因整併而減少、建築物電氣化、資料隱私意識高漲、強化網路安全、減少車輛使用、擴大綠色投資。
<回到新聞條列重點>
Citrix Virtual Apps and Desktops 打造智慧辦公環境 網管人
2019年8月底台灣醫療產業即遭到勒索軟體攻擊,根據衛生福利部統計約有22家醫院受害,雖然在復原工作電腦主機後,並沒有影響醫療業務的運作,但也凸顯現今資安防護機制的不足之處。因此,企業若能打造雙網隔離機制,自然能減少惡意程式入侵、個資或商業機密外洩的事件。
<回到新聞條列重點>
VMware 企業多雲管理最佳夥伴 經濟日報網
IT產業變化逐年加速,已不可同日而語,隨著時序進入2020年,調研機構IDC日前發布「2020年全球IT預測」(2020 Worldwide IT forecast)報告對未來5年IT產業的預測,顯示數位轉型在企業中將逐漸被實踐,預期在2023年已完成數位化轉型的企業將占有「數位霸權(digital supremacy)」的地位,生產全球GDP過半的份額。
<回到新聞條列重點>
Nexusguard研究表示,DNS放大攻擊年增近4,800% , SYN洪水攻擊急增惹關注 CompoTech Asia 電子與電腦網
長期以來,網絡攻擊者一直喜愛使用反射放大型攻擊,祈以「四兩之力,撥千斤重量」,以有限資源將破壞擴到最大。可是,適合用作反射或放大的網絡資源,如DNS及Memcached 伺服器等,並不十分廣泛。相反,任何設有TCP端口並開放服務的伺服器,都是理想的反射及放大工具,而支援TCP 協定的伺服器比比皆是,為攻擊者提供大量彈藥。
<回到新聞條列重點>
2019年12月十大資安新聞 iThome
在12月受關注的資安新聞焦點中,以勒索軟體演化出可在Windows電腦安全模式下運作的能力,以及美國FBI提醒家中的各類IoT裝置不要與筆電連在同一Wi-Fi網路最受注目。
<回到新聞條列重點>
資安一周第75期:勒索軟體攻擊要贖金新招,恐嚇不付錢就把資料公開 iThome
隨著各界開始對勒索軟體提高警覺而備份資料,駭客便恐嚇要公布機密資料來脅迫受害者付贖金。例如,在2019年12月初,美國彭薩科拉市(Pensacola)遭到Maze勒索軟體的攻擊,造成電子郵件、電話、電腦、線上支付,以及其它網路服務中斷,駭客向該市要求100萬美元的贖金。
<回到新聞條列重點>