本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選
iThome 2020 資安大調查】企業為何防不了資安攻擊和威脅? iThome
【2020 資安大會】Moxa:智慧電網恐成破口,大型工業與民生用電成駭客目標 科技報橘網
Trend Micro與No More Ransom共同對抗勒索病毒,解密超過7,700萬份檔案 T客邦
趨勢科技雲端偵測及回應(XDR)服務可加快偵測威脅的速度 電子時報網
趨勢科技與AWS合作 推出原生資安防護服務 經濟日報網
調查局首度揭露國內政府委外廠商成資安破口的現況,近期至少10個公家單位與4家資訊服務供應商遇害 iThome
新版 TeamTNT 挖礦蠕蟲會竊取AWS憑證 iThome
Citrix產品重大漏洞沒修補讓駭客有機可趁,全球最大遊輪業者Carnival遭勒索軟體攻擊 iThome
資安人才成當紅炸子雞,金融物流科技 3 產業需求熱 中央通訊社
【生命就該浪費在美好的工作上】IDC 預測:未來五成例行工作由 RPA 機器人幫你代勞 科技報橘網
玩遊戲過頭? 國衛院首創4問題評估手遊成癮風險 聯合新聞網
沉迷變問題!國衛院報告有14%學生手遊成癮 Yahoo/新頭殼
Mac惡意程式透過Xcode專案散布,鎖定蘋果零時差漏洞 iThome
Check Point研究發現Alexa存在洩漏使用者資料的漏洞 iThome
陳雅琳險失明再遇災難!心血被盜…悲痛急報警 自由時報電子報
Have I been pwned?檢查你的E-mail、信用卡等個資是否已被駭客竊取 聯合新聞網
【資安】我不敢相信是你?假YouTube連結!學著保護臉書帳密 雅虎奇摩
「TAAZE讀冊生活」疑個資外洩 230人受騙逾2千萬 中央通訊社
駭客想偷總統病歷 健保署:三卡認證防護 自由時報電子報
上億用戶個資外洩 萬豪酒店在英國遭提告 自由時報電子報
Microsoft 365明年不再接受IE11存取、舊Edge 3月終止支援 iThome
Konica Minolta傳遭勒索軟體攻擊,系統斷線數日 iThome
【資安關鍵字:資安威脅|Web Skimming】透過常用網頁元件與分析工具來攻擊,手法更隱密 iThome
武漢肺炎疫情導致美國選舉相關網站被攻擊次數大幅增加 iThome
萬物聯網時代加速數位轉型 潛在資安威脅不可忽視 趨勢科技呼籲企業善用情資 將資訊化為防護行動的助力 掌握良機快速反應 iThome
LINE Class以資安主題打頭陣,透過線上學習及實作提升防禦力 iThome
【臺灣資安大會直擊】製造商想要做好連網家電資安,需要更快分析大量威脅!Panasonic建立情資平臺來改善分析工作 iThome
【臺灣資安大會直擊】解決攻防團隊各司其職卻目標衝突的現象,紅隊演練需要透過紫隊來居間協調 iThome
【詐騙】線上娛樂城?跟著老師操作就賺翻入金?錢拿不回來的 雅虎奇摩
【詐騙】聽歌賺錢?貼文小幫手?日領現金賺很大?別讓自己成為犯罪工具 雅虎奇摩
Google:微軟LSASS漏洞修補不全 iThome
傳全台屋主個資外洩 內政部「配合調查」:採A級資安請民眾放心 ETtoday新聞雲
被詐騙集團盯上!演員謝毅宏臉書被挖空…爆氣喊:太奸詐了 三立新聞網
NSA、FBI警告俄羅斯發動Linux惡意程式Drovorub攻擊政府及國防單位 iThome
加拿大政府網路服務遭攻擊 成千上萬帳戶遇駭 中央通訊社
面對資安新挑戰 微軟:導入AI可減少90%資安警示 經濟日報網
Moxa 四零四科技直指電網潛在資安危機刻不容緩,應及早掌握電力通訊樞紐網路安全 iThome
GCP要成為數位轉型協助者,靠資料保護新戰略搶上雲跨雲需求 iThome
F5 調查:75% 的消費者認為不需為自我的資訊安全負責 網管人
【iThome 2020 資安大調查】企業為何防不了資安攻擊和威脅? iThome
在2019年,近2成企業遭遇了超過50次以上的資安事件,幾乎是每一周都會發生一次。若從資安攻擊源頭來看,6成資安事件的來源是駭客(60.3%),但也有3成多資安事件的觸發來源是內部員工(35.7%)。外部駭客是惡意發動的攻擊,但內部員工為何也是名列第二個攻擊來源?並非這些員工都想惡意破壞,而是因為員工的資安意識不足,而成了外部攻擊者發動社交工程的覬覦目標。
<回到新聞條列重點>
【2020 資安大會】Moxa:智慧電網恐成破口,大型工業與民生用電成駭客目標 科技報橘網
CYBERSEC 2020 台灣資安大會於本月 12 日落幕,現場聚集超過 250 個參展品牌以及超過 6,000 名的參加人數。其中,工業通訊及網路設備領導廠商 Moxa 四零四科技獲邀,以「智慧化浪潮下的電網安全防護」為主題,與大會合作於台灣資安館展出,展示電力關鍵設備的資安方案,確保監控系統正常運作、正確掌握發電與相關設備營運狀態,避免駭客攻擊癱瘓系統而造成大規模工業或民用電力斷電災情。
<回到新聞條列重點>
Trend Micro與No More Ransom共同對抗勒索病毒,解密超過7,700萬份檔案 T客邦
根據Ed Cabrera的說明,勒索病毒在過去幾年持續構成資安威脅,並透過越來越複雜的工具和策略針對組織發動攻擊,而攻擊活動在武漢肺炎疫情爆發期間更加活躍,除了美國各市政府、學校和醫院面臨了越來越多的攻擊,甚至消費性運動手環與飛航系統也都受到波及,對受害組織造成財務與商譽的重大損失。
<回到新聞條列重點>
趨勢科技雲端偵測及回應(XDR)服務可加快偵測威脅的速度 電子時報網
全球網路資安解決方案領導廠商趨勢科技日前指出,其雲端偵測及回應(XDR)與託管式偵測及回應(Managed XDR)服務能提供涵蓋所有重要管道的最佳化威脅偵測及回應,為企業帶來龐大效益。在一項由趨勢科技委託ESG執行的調查當中,受訪企業表示在有效運用所有防護層(端點、電子郵件、伺服器、雲端工作負載、網路)所蒐集到的資料之後,不僅偵測威脅的速度加快,而且也減少了警示疲乏的現象。
<回到新聞條列重點>
趨勢科技與AWS合作 推出原生資安防護服務 經濟日報網
全球網路資安解決方案業者趨勢科技今(17)日宣布, 旗下最新產品已與Amazon Web Services(AWS)整合,讓採用AWS的資安、雲端及 DevOps 團隊可以立即使用,自動在帳號和資源配置流程前期強制落實資安控管,並協助DevOps工程師在移轉至雲端時,能安全地從事軟體開發與創新。
<回到新聞條列重點>
調查局首度揭露國內政府委外廠商成資安破口的現況,近期至少10個公家單位與4家資訊服務供應商遇害 iThome
對於國內政府組織內資訊委外的安全問題,今日(19日)法務部調查局資安工作站發出警示,指出近來他們偵辦數起政府機關遭駭案件中,發現政府單位及其資訊服務供應商遭中國駭客組織滲透的問題嚴重,最新發現至少有10個政府單位,以及4家資訊服務供應商都已經受到攻擊。
<回到新聞條列重點>
新版TeamTNT挖礦蠕蟲會竊取AWS憑證 iThome
資安業者Cado Security近日揭露,他們發現TeamTNT駭客集團所打造的新一代挖礦蠕蟲,多了一項用來竊取存放在Docker及Kubernetes系統上AWS憑證的功能,這些Docker及Kubernetes系統可能因為缺乏密碼保護,或是配置錯誤,而成為TeamTNT蠕蟲的目標。
<回到新聞條列重點>
Citrix產品重大漏洞沒修補讓駭客有機可趁,全球最大遊輪業者Carnival遭勒索軟體攻擊 iThome
全球最大遊輪業者Carnival本周坦承,該集團旗下某一品牌的資訊系統在8月15日遭到勒索軟體攻擊,駭客下載並加密了特定的資料,包含客戶與員工資料,目前Carnival仍與執法機關及鑑識機構合作進行調查。
<回到新聞條列重點>
資安人才成當紅炸子雞,金融物流科技 3 產業需求熱 中央通訊社
近年企業資安防護意識提高帶動相關職缺水漲船高,人力銀行統計,去年平均每月釋出910個資安工程師職缺,成長速度相當快;另有人力銀行業者觀察,金融、物流與科技3大產業類別,對資安人才需求最為熱切。
<回到新聞條列重點>
【生命就該浪費在美好的工作上】IDC 預測:未來五成例行工作由 RPA 機器人幫你代勞 科技報橘網
知名研究調查公司 IDC 先前公布了 2020 年台灣市場的十大 ICT 趨勢預測 ,發表了 2020 年將影響台灣市場的十項趨勢,其中包含了融合式 AI(Fusion AI)世代的來臨、AI 運算走向端雲共生 、混和/多雲架構將成企業創新關鍵、RPA 將朝向與 AI 結合的趨勢、5G 將改變市場競爭規則等內容,這些趨勢都預示了數位轉型即將走向下個新階段,企業必須加快技術的提升與及開發新營運模式,才能邁向新的數位經濟時代。
<回到新聞條列重點>
玩遊戲過頭? 國衛院首創4問題評估手遊成癮風險 聯合新聞網
為協助國人理解自己的遊戲成癮情況,國家衛生研究院今舉行記者會,發表全球第一套「手機遊戲成癮」的評估量表,包含「過度沉迷,產生負面影響」、「耐受性」及「戒斷症狀」等3大面向,只需回答4題,就能有等同專業醫師的初步評估,若得分超過10分以上,就需要注意成癮風險。
<回到新聞條列重點>
Mac惡意程式透過Xcode專案散布,鎖定蘋果零時差漏洞 iThome
名為XCSSET的木馬程式藉由於Xcode專案感染Mac電腦。它有兩點很特殊。首先,它的攻擊途徑很特殊:惡意程式碼是被注入本機Xcode專案,它一開始怎麼注入的不得而知,但因為這些Xcode專案已被修改,因此從一開始便執行惡意程式碼,結果就是在執行的系統上植入木馬程式XCSSET。趨勢科技指出,這相當嚴重,因為他們發現到有些開發人員已將問題Xcode專案經由GitHub分享其專案,對仰賴GitHub的開發人員可能導致類似供應鏈攻擊的風險。他們也在VirusTotal上發現這個惡意程式。
<回到新聞條列重點>
Check Point研究發現Alexa存在洩漏使用者資料的漏洞 iThome
Check Point資安研究人員發現語音助理Amazon Alexa存在漏洞,可讓惡意人士操縱Alexa中的技能,或是存取使用者個人資料。資安研究人員提到,這個漏洞與Alexa網頁服務的幾個子網域有關,這些網域容易受到跨站腳本攻擊或是跨域請求攻擊。
<回到新聞條列重點>
陳雅琳險失明再遇災難!心血被盜…悲痛急報警 自由時報電子報
壹電視資深主播陳雅琳,在媒體圈一直有「阿信主播」的稱號,她經常透過臉書分享生活點滴,以及時事的看法,吸引4萬多粉絲關注。日前她因為連續工作用眼過度,造成視網膜剝離,開完刀後在家休養,沒想到在這期間,她累積多年的粉絲專頁卻一夕之間被盜走,名人臉書受害事件再添一樁。
<回到新聞條列重點>
Have I been pwned?檢查你的E-mail、信用卡等個資是否已被駭客竊取 聯合新聞網
近年來大型網路服務被駭客入侵,竊取用戶個資的新聞層出不窮,只要一不小心,可能就是數十萬,甚至數百萬筆使用者資料被公佈在網路上,這些資料包含帳戶名稱、E-mail 、密碼,信用卡資料等等,雖然大部分的服務都會以加密方式來處理使用者的密碼,但要是密碼組合太過簡單,也是有可能遭到破解的。
<回到新聞條列重點>
【資安】我不敢相信是你?假YouTube連結!學著保護臉書帳密 雅虎奇摩
用假的 Facebook 登入頁面來騙取用戶帳號密碼的個資詐騙手法已出現多年,但有心人士仍持續以不同方法向用戶「釣魚」,引導大家到假的 Facebook 登入頁面。近期民眾回報這類詐騙手法,主要是以臉書私訊發送假的 YouTube 連結與「我不敢相信是你」的文字,誘使使用者點擊至假的 Facebook 登入畫面,進而騙取臉書的帳號密碼,真的要多方小心,有些辨識方式和補救方法也可以學起來唷!
<回到新聞條列重點>
「TAAZE讀冊生活」疑個資外洩 230人受騙逾2千萬 中央通訊社
「解除分期付款」詐騙老招不斷,刑事局今天表示,網路書店「TAAZE讀冊生活」疑因會員個資外洩,1月至8月9日止達230人受騙,財損逾新台幣2200萬元,提醒民眾多加留意。
<回到新聞條列重點>
駭客想偷總統病歷 健保署:三卡認證防護 自由時報電子報
曾任立委助理的李易諴、陳惟仁及林雍達被中國吸收為共諜遭起訴,起訴書更揭露,三人曾試圖取得總統蔡英文的就醫病歷;衛福部健保署昨強調,健保系統幾乎每天都有駭客惡意嘗試入侵被擋下來,採取最高資安等級、個資均實體加密,查閱病歷也需要「三卡」插入,確保就醫資訊的安全。
<回到新聞條列重點>
沉迷變問題!國衛院報告有14%學生手遊成癮 Yahoo/新頭殼
整天手機滑不停,你也成癮了嗎?今(17)日國家衛生研究院發布了全球第一套智慧型手機遊戲成癮評估量表(Problematic Mobile Gaming Questionnaire, PMGQ),運用這套評估量表,民眾可以提早發現手機遊戲成癮的問題,進而進行改善。
<回到新聞條列重點>
上億用戶個資外洩 萬豪酒店在英國遭提告 自由時報電子報
跨國酒店集團萬豪國際(Marriott)在2年內爆發2次大規模個資外洩事件,至少洩漏近4億名客人的個人資料,其中英國約7百萬名民眾受影響,已有人向高等法院提起訴訟、要求賠償。
<回到新聞條列重點>
Microsoft 365明年不再接受IE11存取、舊Edge 3月終止支援 iThome
為全面推動Chromium-based Edge,微軟昨(17)日公布以IE11存取Microsoft 365及微軟對舊版Edge的支援期限,預定明年不再支援兩個舊版瀏覽器。
<回到新聞條列重點>
Konica Minolta傳遭勒索軟體攻擊,系統斷線數日 iThome
事情起於7月30日,有用戶反映Konica Minolta的耗材下單網站及下載頁皆出現錯誤訊息,而自動電話訂貨系統也無法運作。一名Konica Minolta業務人員對用戶表示公司資料中心斷線,而且這情形已經持續了將近一周。
<回到新聞條列重點>
【資安關鍵字:資安威脅|Web Skimming】透過常用網頁元件與分析工具來攻擊,手法更隱密 iThome
在各式各樣的網路威脅裡,最常見的攻擊型態,有釣魚郵件、偷渡式下載(Drive-by Download)、殭屍網路攻擊等等,而隨著近年來網路購物變得相當普遍,駭客也暗中側錄使用者輸入的交易資料,來盜賣個資或是用來發動其他攻擊。尤其是今年的武漢肺炎疫情,導致許多人因居家隔離,必須透過電子商城,來取得生活所需的日用品,使得許多較為小型的電子商城,也成為駭客的攻擊目標。
<回到新聞條列重點>
武漢肺炎疫情導致美國選舉相關網站被攻擊次數大幅增加 iThome
Cloudflare發現即將到來的美國總統大選,因為武漢肺炎(COVID-19)疫情,使得州與地方政府的選舉網站,遭遇到的網路攻擊量大幅增加,平均每天會受到約12萬次網路攻擊,並且有199次的SQL注入攻擊嘗試,對一般競選活動網站來說,平均每天需要面對約5,000次攻擊,而大型的活動則會面臨更大規模的攻擊。
<回到新聞條列重點>
萬物聯網時代加速數位轉型 潛在資安威脅不可忽視 趨勢科技呼籲企業善用情資 將資訊化為防護行動的助力 掌握良機快速反應 iThome
面對數位轉型浪潮,台灣企業為取得領先與強化競爭力,更仰賴雲端技術、進化開發流程與OT聯網,以追求營運效率及更高的生產力。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 觀察,今年因疫情衝擊,加速台灣企業在數位轉型的進程,越來越多企業將重要營運基礎轉向雲端,或是在OT環境中推動自動化智慧製造,同時5G的發展也串連物聯網創新應用的更多可能性。在數位轉型的過程中,IT架構環境將從封閉到開放,伴隨而來的資安疑慮將更為複雜,也會成為企業的資安隱憂。
<回到新聞條列重點>
LINE Class以資安主題打頭陣,透過線上學習及實作提升防禦力 iThome
LINE的服務持續推陳出新,為用戶帶來生活便利和使用樂趣,各項服務自開發到上線的過程,透過開發與資訊安全團隊的密切合作,確保服務安全無虞後才會正式對外上線。
<回到新聞條列重點>
【臺灣資安大會直擊】製造商想要做好連網家電資安,需要更快分析大量威脅!Panasonic建立情資平臺來改善分析工作 iThome
家電連上網路,也衍生許多資安風險。對此,Panasonic主要2大層面著手,包含從開發流程來降低裝置可能存在的風險,以及透過建立產品資安事件因應小組(PSIRT)等措施因應漏洞通報。其中,該公司對於漏洞的因應,他們特別建置了威脅情資平臺,來自動化分析漏洞,進而增加他們處理的速度。
<回到新聞條列重點>
【詐騙】線上娛樂城?跟著老師操作就賺翻入金?錢拿不回來的 雅虎奇摩
對於線上娛樂城詐騙的案例,近期有愈來愈多民眾回報,主要利用人性弱點(急用錢或貪小便宜)引導你步入陷阱,抓住一開始認為「小額投資不吃虧」、「網路下注簡單」的心態,安插謊稱投資體驗豐富的「老師」、「分析師」、「總監」協助投注代操,民眾獲利後便引誘民眾投注更多金錢,最後以各式理由拒絕民眾提領獲利金,讓你抱持著「投入一筆總要賺回來」的心態,深陷詐騙集團設下的陷阱,而且錢也再也拿不回來。根據 165 反詐騙宣導公佈 109/7/23 – 7/29 期間,接獲民眾通報假投資(博奕)之詐騙網站,就高達 30 個以上。
<回到新聞條列重點>
【詐騙】聽歌賺錢?貼文小幫手?日領現金賺很大?別讓自己成為犯罪工具 雅虎奇摩
聽歌賺錢?貼文小幫手、打字員手法持續詐騙!民眾缺乏現金來用於支出、週轉,也正值暑假,學子紛紛想打工賺錢,因此常誤入各種詐騙陷阱,近期回報詐騙狀況也有升高趨勢。這些招募工作都以低門檻、日領上千元、工作輕鬆簡單、在家裡就可以賺錢等各種誘因吸引民眾加入,常見者有招攬打字員、聽歌就能賺錢等看似「正當」的工作,實際上為詐騙集團「騙錢」、「搜集人頭帳戶」的手段,最後不但賺不到錢、還會被騙走血汗錢,甚至變成詐騙幫凶,因此惹禍上身。
<回到新聞條列重點>
Google:微軟LSASS漏洞修補不全 iThome
微軟本周二在Patch Tuesday修補了近120項漏洞,但Google Project Zero研究人員昨(13)日指出,至少Project Zero發現的一項Windows認證漏洞並未修補完全。
<回到新聞條列重點>
傳全台屋主個資外洩 內政部「配合調查」:採A級資安請民眾放心 ETtoday新聞雲
日前有媒體報導,有一套建置於海外的系統可查詢全台不動產所有權人的個資,房仲只需付費便可快速查到目標建物的屋主及其家人的資料,再度掀起外界對資安疑慮的討論。對此,內政部15日指出,目前檢調單位已立案調查,強調我國地政及戶役政系統均依「資安管理法」,採資通安全責任等級A級之標準,導入資訊安全管理制度、資安監控中心等,對於資料存取均有紀錄,並嚴密管控,請民眾放心。
<回到新聞條列重點>
被詐騙集團盯上!演員謝毅宏臉書被挖空…爆氣喊:太奸詐了 三立新聞網
近來多位名人臉書帳號遭駭入,演員謝毅宏的粉絲專頁也被駭客盯上綁架,他和經紀公司同事的帳號權限都被刪除。謝毅宏平時勤於發文注重社群平台的經營,如今本尊無法在粉專上發文,就算換密碼也來不及挽救,目前只能以觀看者身份瀏覽自己的頁面,他痛斥:「駭客太狡猾奸詐了。」
<回到新聞條列重點>
NSA、FBI警告俄羅斯發動Linux惡意程式Drovorub攻擊政府及國防單位 iThome
發動攻擊的是隷屬於俄羅斯情報總局(GRU)85主要特勤中心(GTsSS)的軍事單位26165,一般又被稱為Fancy Bear、Strontium以及APT 28。Fancy Bear被指控曾在2016年入侵美國民主黨伺服器竊取川普陣營資料、以釣魚網站干擾2018年期中選舉、及攻擊運動及反禁藥組織。
<回到新聞條列重點>
加拿大政府網路服務遭攻擊 成千上萬帳戶遇駭 中央通訊社
法新社報導,加拿大國庫委員會秘書處(Treasury Board of Canada Secretariat)發布新聞稿表示,網路攻擊鎖定約30個聯邦機構使用的GCKey服務,以及加拿大稅務局(Canada Revenue Agency)帳戶。
<回到新聞條列重點>
面對資安新挑戰 微軟:導入AI可減少90%資安警示 經濟日報網
後疫情混合工作模式(Hybrid of Work)已成為「新常態」,企業面臨的資安挑戰除了辦公室內發生的資安威脅風險外,更將面臨員工在家中或是遠端工作時裝置端的資安風險。台灣微軟在今年「iThome CYBERSEC資安大會」期間舉辦媒體團訪,指出面對現今多樣且防不勝防的資安威脅,微軟利用AI技術學習判讀事件,有效降低資安防護系統誤判的可能性;對於內部人員惡意洩密或疏忽流出機敏資料,也能將資料事先做好分類加密,以身分、裝置等多因素身分驗證,讓外部人員無法存取檔案。
<回到新聞條列重點>
Moxa 四零四科技直指電網潛在資安危機刻不容緩,應及早掌握電力通訊樞紐網路安全 iThome
工業通訊及網路設備領導廠商 Moxa 四零四科技獲邀,以「智慧化浪潮下的電網安全防護」為主題參加CYBERSEC 2020台灣資安大會,在台灣資安館藉由模擬駭客攻擊潛在安全漏洞,展示為電力關鍵設備所打造的資安方案,確保監控系統正常運作、正確掌握發電與相關設備營運狀態,避免駭客攻擊癱瘓系統而造成大規模工業或民用電力斷電災情。
<回到新聞條列重點>
<回到新聞條列重點>
GCP要成為數位轉型協助者,靠資料保護新戰略搶上雲跨雲需求 iThome
去年Google Cloud執行長Thomas Kurian就揭露了GCP的下一個階段,要成為企業數位轉型的協助者,今年更進一步定義了新願景是,透過資料強化的創新,來提高企業數位轉型和重新想像業務的能力,這也讓GCP今年產品戰略有了截然不同的新布局。
<回到新聞條列重點>
F5 調查:75% 的消費者認為不需為自我的資訊安全負責 網管人
F5發表最新Curve of Convenience 2020 Report:The Privacy-Convenience Paradox隱私與便利悖論報告。調查顯示,43%亞太消費者期望業者保護個人資料,而另外32%相信資安責任在於政府。同時,接近全部(96%)消費者表示對於便利與零摩擦應用體驗的重視超過安全性。報告也顯示,企業與政府對於如何取得均衡的安全與便利方面有著不同的做法。
<回到新聞條列重點>