《資安新聞周報》Google「雲端硬碟」成網路釣魚新招/勒索病毒攻擊芭比娃娃製造商/LINE 和 IG 被點名!接收連結恐使資料外洩、增加手機耗電/FBI警告:駭客藉由配置錯誤的SonarQube實例竊取原始碼

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選

芭比娃娃製造商Mattel遭到勒索軟體攻擊 IT Home

Oracle Solaris重大零時差漏洞遭駭客開採,曾潛伏企業內長達2年     iThome

Google再修補10個Chrome安全漏洞,當中一個已被開採   iThome
被勒索軟體攻擊的雲端軟體業者Blackbaud面臨23起集體訴訟案       iThome
雙11年度大戲 電商繃緊神經催買氣                                   雅虎奇摩

Google發現Win7到Win10零日漏洞 微軟將盡速釋出安全修補   ETtoday新聞雲
Google「雲端硬碟」成駭客網路釣魚新招!外媒揭露詐騙手法   自由時報電子報
    自由時報電子報
智慧農業也要留意資安!逾百個智慧灌溉系統未被密碼保護,但通報後仍有近80個可任人竄改設定    iThome
駭客趁疫情作亂 英美400醫療院所遭勒贖軟體攻擊  中央通訊社
暗網搶手貨?駭客熱衷兜售Robinhood相關個資 本周近萬筆電郵資料遭洩  台灣蘋果日報網
台虎被消失!官方臉書不見 業者證實遭駭客入侵 台灣蘋果日報網
23萬網站被駭客挾持,因管理者未修補的RCE與任意檔案上傳漏洞惹禍!使用WordPress、Joomla、Drupal的網站都要注意 iThome
CISA與FBI聯手警告:駭客正鎖定醫療院所展開Ryuk勒索軟體攻擊  iThome

FBI警告:駭客藉由配置錯誤的SonarQube實例竊取政府機構與私人企業的原始碼 iThome
Maze勒索軟體也宣布退出江湖,Egregor接手資產                         iThome

趨勢科技、遠傳電信與亞洲大學簽署合作備忘錄    電子時報網
微軟更新VS Code Python擴充套件除錯器Debugpy至1.0版本     iThome
聯醫率先設置獨立資安中心,自建資安IT還兼顧OT法遵    iThome
避免漏洞命名製造恐慌,ERT/CC將自己為漏洞起名字   iThome
學界質疑數位身分證有3大問題 內政部回應了  自由時報                                         

甲骨文WebLogic RCE漏洞疑似遭積極鎖定                              iThome
民主黨帳戶遭俄駭客攻擊…華府智庫也遭殃! 可能重演電郵門事件         ETtoday新聞雲
AI智慧學習 防毒防詐再升級 趨勢科技 PC-cillin 2021 雲端版 全面保護您的裝置安全   點子生活
微軟首個產業專屬雲上線                                             iThome
《科技》MIC點名2021智慧科技關鍵4大趨勢                            中時電子報網
2020國際半導體展SECPAAS資安館現場直擊!資安廠商參展、資安講座活動,帶來滿滿資安能量
澳研究:中國網軍嚴重干預外國選舉 台灣受害深                         中央社


芭比娃娃製造商Mattel遭到勒索軟體攻擊 IT home

旗下擁有包括芭比娃娃、獅子王、蝙蝠俠與辛普森家庭等眾多玩具品牌的美國玩具製造商Mattel,在本周提交給美國證券交易委員會(SEC)的第二季財報文件中揭露,該公司在今年的7月28日遭到勒索軟體攻擊,雖然駭客加密了部份系統,但因立即展開回應,最終得以控制災情,並無造成重大損失。

<回到新聞條列重點>

Oracle Solaris重大零時差漏洞遭駭客開採,曾潛伏企業內長達2年     iThome
Oracle Solaris Server一個風險10.0的零時差漏洞,在2年前便有駭客組織開採並駭入企業網路,直到最近才被發現及修補 <>

<回到新聞條列重點>

Google再修補10個Chrome安全漏洞,當中一個已被開採   iThome
繼10月6日發表Chrome 86以來,Google第二度緊急更新Chrome,以修補重大的安全漏洞,並警告當中的CVE-2020-16009漏洞攻擊程式已經現身

<回到新聞條列重點>

被勒索軟體攻擊的雲端軟體業者Blackbaud面臨23起集體訴訟案       iThome
Blackbaud系統在今年5月遭駭客入侵並盜走資料,使得這家雲端軟體業者面臨客戶提出的多起訴訟以及索賠請求

<回到新聞條列重點>


雙11年度大戲 電商繃緊神經催買氣                                   雅虎奇摩
網路零售交易額持續成長,雙11已成為全年關鍵的網購旺季。Yahoo奇摩電商已舉行8年的雙11活動,去年完成物流與大型倉庫布建,今年升級金流服務,在暖身慶活動推出聯名卡6%回饋無上限、無卡分期,預估暖身慶整體業績至少將年增3成。

<回到新聞條列重點>

【錯誤】網傳「中華電信現在在做網路地址電話定位 … – 奇摩新聞
【錯誤】網傳「中華電信現在在做網路地址電話定位…唸地址給你聽,是就按1不是就按2,
經查:
一、中華電信不會以電話跟民眾確認地址。
二、中華電信轉投資的勤崴國際科技,會撥打電話跟店家確認地址,但不是針對一般民眾,也不會有「點進去花3000元」的情況。
三、資安專家提醒,若民眾接獲要求確認地址等個人資料,會有資安風險,提醒民眾勿隨意跟著不明電話的指令動作。

<回到新聞條列重點>



扯爆! 人口普查首日就當機 恐洩個資                                 自由時報
我國人口及住宅普查每十年辦理一次,昨日啟動第七次,但一早就發生網路填報系統大當機,甚至傳出個資外洩疑慮,網站緊急關閉。行政院主計總處主計長朱澤民表示,疑因同時有萬人湧入上線,導致系統負荷不了;但資安學者指出,先前戶政系統多次當機,如今人口普查系統又凸槌,可見政府官員全無掌控國人個資資訊系統的能力,更遑論委外設計要作監督,讓人憂心。

<回到新聞條列重點>

Google發現Win7到Win10零日漏洞 微軟將盡速釋出安全修補              ETtoday新聞雲
Google 資安精英隊Project Zero近日發現了存在Windows 作業系統的一項零日漏洞,恐被駭客利用攻擊,受影響系統包含Windows 7 到Windows10等版本。Project Zero 資安團隊在上週發現漏洞後,立刻向微軟通報,但微軟並沒在7天內釋出安全修補。Google今(1)日把該漏洞詳細內容公布在官方網誌上;而微軟官方已發布最新聲明,表示將在最短時間內釋出安全修補程式。

<回到新聞條列重點>



Google「雲端硬碟」成駭客網路釣魚新招!外媒揭露詐騙手法              自由時報電子報

手機最近經常莫名收到來自 Google 雲端硬碟共用檔案協作合作邀請的通知訊息嗎?千萬務必要多加提高警覺,別輕易上了新型網路釣魚詐騙攻擊的陷阱。

<回到新聞條列重點>

LINE 和 IG 被點名!接收連結恐使資料外洩、增加手機耗電               自由時報電子報
透過通訊軟體分享連結,已成為我們日常非常習慣的事情,App 會替使用者預覽連結內容,顯示相關縮圖與網頁標題,方便用戶知道內容,這小小的舉動,若處理不當可會有資料外洩、增加手機耗電的危機。最新一份研究報告指出,LINE 與 IG 等等都有相似的問題。

<回到新聞條列重點>

智慧農業也要留意資安!逾百個智慧灌溉系統未被密碼保護,但通報後仍有近80個可任人竄改設定   iThome
全球有上百個採用相同廠牌的智慧灌溉系統,管理者帳號採用了預設的空白密碼,而使得這些系統曝露於網際網路,可被任何人竄改設定。然而,在該公司通報各國CERT的一個月後,還有78個系統仍然沒有設置密碼保護

<回到新聞條列重點>

駭客趁疫情作亂 英美400醫療院所遭勒贖軟體攻擊                       中央通訊社
駭客正以勒索軟體攻擊美國等國的醫療照護系統,在全球2019冠狀病毒疾病(COVID-19, 武漢肺炎)疫情方熾之際,讓醫護面臨更多風險。

<回到新聞條列重點>

暗網搶手貨?駭客熱衷兜售Robinhood相關個資 本周近萬筆電郵資料遭洩    台灣蘋果日報網
美國財經媒體《彭博》報導,暗網(dark web)—-網路犯罪者購買毒品、勒索贖金、從事非法交易的法外之地—-如今也成為駭客買賣可登入Robinhood帳戶的使用者電郵帳密的地方。

<回到新聞條列重點>

台虎被消失!官方臉書不見 業者證實遭駭客入侵                         台灣蘋果日報網

台灣虎航臉書粉絲專頁今(10/29)早突然消失!搜尋台灣虎航官方臉書時,頁面僅呈現「目前無法提供此內容,會發生此情況,通常是因為擁有者僅與一小群用戶分享內容、變更了分享對象,或是刪除了內容」。台虎發言人許致遠今表示,昨日因遭駭客入侵,已緊急處理,並查出來源。不過《蘋果新聞網》再向許反映,今天至傍晚搜尋時仍未出現粉絲團頁面,並未恢復正常。許則說,會再追蹤。

<回到新聞條列重點>

23萬網站被駭客挾持,因管理者未修補的RCE與任意檔案上傳漏洞惹禍!使用WordPress、Joomla、Drupal的網站都要注意                                                               iThome

網頁應用程式防火牆業者Imperva發現一個自去年底出現的殭屍網路KashmirBlack,駭客鎖定常見網站內容管理平臺(CMS),如WordPress、Joomla,以及Drupal等,藉由網站管理者尚未修補的已知漏洞,來控制這些網站

<回到新聞條列重點>

CISA與FBI聯手警告:駭客正鎖定醫療院所展開Ryuk勒索軟體攻擊          iThome
美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)、美國聯邦調查局(FBI),以及美國衛生與公共服務部(HHS)在本周三(10/28)連袂警告,Ryuk勒索軟體駭客鎖定醫療及公共衛生部門展開攻擊,顯示對美國醫院及醫療保健供應商的網路犯罪威脅正與日俱增,而且迫在眉睫。

<回到新聞條列重點>

FBI警告:駭客藉由配置錯誤的SonarQube實例竊取政府機構與私人企業的原始碼 iThome
有駭客鎖定配置錯誤的SonarQube實例,竊取美國政府機構與企業的原始碼

<回到新聞條列重點>

Maze勒索軟體也宣布退出江湖,Egregor接手資產                         iThome

Maze犯罪組織曾經攻擊Canon、全錄及IT服務商Cognizant

<回到新聞條列重點>

趨勢科技、遠傳電信與亞洲大學簽署合作備忘錄    電子時報網
遠傳電信(4904)、亞洲大學趨勢科技昨(3)日宣示,共同 … 亞洲大學校長蔡進發、趨勢總經理洪偉淦昨天簽署合作備忘(MOU)

<回到新聞條列重點>

微軟更新VS Code Python擴充套件除錯器Debugpy至1.0版本     iThome
VS Code Python擴充套件內建的除錯器Debugpy進入正式版本,供開發者對本地端和遠端應用程式進行除錯

<回到新聞條列重點>

聯醫率先設置獨立資安中心,自建資安IT還兼顧OT法遵    iThome
臺北市立聯合醫院是臺灣少數獨立設置資安中心的醫院,為把關全院資安,還自行開發六套系統,來執行資產盤點、資安風險評鑑和處理等業務。不只如此,他們也瞄準醫療OT,要將這些設備也納入ISMS驗

<回到新聞條列重點>

避免漏洞命名製造恐慌,ERT/CC將自己為漏洞起名字   iThome
CERT/CC計畫使用wiktionary及動、植物、天文物體等為基礎,以「形容詞」+「名詞」組成的詞組來為漏洞命名,確保漏洞名稱不過於聳動或造成其他負面效應

<回到新聞條列重點>

學界質疑數位身分證有3大問題 內政部回應了      自由時報電子報
中研院法律學研究所資訊中心在本月初公布政策建議書,直指內政部換發數位身分證的政策存在資訊安全、法制基礎等3大問題,呼籲暫緩換發。對此,內政部組成的產官學研團隊今做出完整說明,並強調政府對於各項資安問題均有對應的風險控管作為,亦已向專業法律事務所諮詢,釐清法源依據沒有問題,籲請國人放心。

                                                            <回到新聞條列重點>

甲骨文WebLogic RCE漏洞疑似遭積極鎖定                              iThome
上周企業軟體大廠甲骨文修補的400多個漏洞,創下該公司史上第二多。用戶最好儘速修補,因為安全研究人員發現,網路上已經有不明人士對WebLogic一項遠端程式碼執行的高風險漏洞展開掃瞄、準備攻擊。

<回到新聞條列重點>

民主黨帳戶遭俄駭客攻擊…華府智庫也遭殃! 可能重演電郵門事件         ETtoday新聞雲

美國國土安全部曾指控,俄羅斯駭客2016年曾試圖干預總統大選。根據《路透社》獨家報導,網路間諜組織「花式熊」(Fancy Bear)最近又攻擊民主黨在加州與印第安納州的帳戶,就連華府智庫「戰略與國際研究中心」(Center for Strategic and International Studies)也遭到攻擊,企圖再介入下星期的美國總統大選。


<回到新聞條列重點>

AI智慧學習 防毒防詐再升級 趨勢科技 PC-cillin 2021 雲端版 全面保護您的裝置安全   點子生活

一場突如其來的COVID-19 肺炎,改變了整個世界,居家連網工作,出門活動的機會也減少,像小米一家子每週都會去電影院報到或是去商圈去郊外走走逛逛,也受疫情影響少了很多呀!在家總不能一直坐著發呆,當然就開始透過電腦、手機上網啦,尤其是網購的機會也增加了不少。

<回到新聞條列重點>

微軟首個產業專屬雲上線                                             iThome
Microsoft Cloud for Healthcare結合Power Platform,可讓醫療院所開發聊天機器人應用並整合到照護流

《科技》MIC點名2021智慧科技關鍵4大趨勢                            中時電子報網
資策會產業情報研究所(MIC)根據智慧科技新興應用與產品發展趨勢,點出未來將有四大趨勢值得關注,特別是「AR/MR即將起飛」、「PC產業局勢變化」、「雲端應用帶動資料中心發展」與「Edge AI於智慧影像辨識應用」。

<回到新聞條列重點>

2020國際半導體展SECPAAS資安館現場直擊!資安廠商參展、資安講座活動,帶來滿滿資安能量
對於國內半導體與相關製造產業而言,每年第四季的「SEMCON TAIWAN 國際半導體展」可說是年度盛事,致力於資安服務的SECPAAS平台也在今年的展期(9月23日到9月25日)於南港展覽館一館設置資安主題館(攤位編號:K3168),規劃了一系列的豐富講座與活動,邀集SECPAAS平台上的資安廠商到現場展出自家服務,並透過 Pitch Show、資安小聚…等講座論壇,為現場業者與參觀者帶來第一手的資安趨勢與不可不知的資安防護解決方案。     T客

<回到新聞條列重點>

澳研究:中國網軍嚴重干預外國選舉 台灣受害深                         中央社

澳洲戰略政策研究所就全球各地選舉和公投遭受外國網軍干預情形進行研究,發現出征規模最大的網軍來源國是俄羅斯和中國。台灣是受害最深的國家之一,總統蔡英文和民進黨是中國網軍最主要的攻擊對象。

<回到新聞條列重點>