本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
《疫起防詐》最潮防護面罩為台灣加油,血氧機特賣,只要佛心價? 網購防疫物資,小心詐騙!
- 美國最大燃油工業業者Colonial Pipeline 勒索病毒攻擊事件只是開端,如何避免新一波攻擊?
- 你的家用電玩遊戲主機安全嗎?家庭娛樂物聯網裝置的四個資安隱憂
- 趨勢科技 Zero Day Initiative 漏洞懸賞計畫穩居全球最大漏洞揭露機構地位
- 如何預防停課不停學的孩子用眼過度?
- 勒索病毒為何愈來愈難纏?「以合法掩護非法」!
資安新聞精選
趨勢科技 Zero Day Initiative 漏洞懸賞計畫揭露全球 60.5% 的漏洞 資安人
趨勢科技榮獲端點資安防護服務「領導者」評價 工商時報電子報
數位防疫超輕鬆!6款懶人工具在這 今日新聞
微軟呼籲別點擊來路不明 PDF 文件,小心 STRRAT 惡意軟體入侵 科技新報網
張雅琴被詐騙集團盜帳號!怒衝警局「視訊報案」:好膽嘜走 三立新聞網
macOS 零時差漏洞連續技!新 XCSSET 惡意軟體變種會偷抓使用者螢幕畫面 科技新報網
臺灣入口網站蕃薯藤在2013年的被駭資料流入駭客論壇 iThome
日本熱門約會軟體遇駭 逾170萬用戶個資受影響 中央通訊社
居家工作一週 微軟揭實情「比去上班更累」 ETtoday新聞雲
交給專家討價還價,勒索攻擊猖狂催生贖金談判生意 科技新報網
Chrome 用戶注意!假冒微軟官方版擴充套件竊個資 自由時報電子報
居家上班 小心資安風險 聯合新聞網
臺灣企業常見的前五大資安漏洞,都與遠端程式碼執行及權限提升有關 iThome電腦報周刊
攻擊愛爾蘭健康服務管理署的駭客耍詐,給解密金鑰後仍威脅出售民眾個資 iThome
遠距學習如何確保學童網路安全?從這六招做起 科技新報網
在家上課、工作買不到視訊鏡頭?兩款手機 App 可以救急「變鏡頭」 自由時報電子報
指揮中心澄清3則假訊息 籲民眾切勿轉傳以免觸法 中央廣播電臺
網傳「政府購買疫苗有價差」?指揮中心:假訊息勿再轉傳 三立新聞網
偽教育部網站散布?停課至6月18日?假訊息 刑事局成立專案小組追查 LineToday
網傳假訊息稱台灣一天燒100多具屍體 指揮中心:來自境外IP 自由時報電子報
付完贖金解密才發現又一層!網路驚現採取「雙重加密」新手法的勒索軟體 科技新報網
大方!趨勢供PC-cillin家長守護版免費下載 經濟日報網
趨勢科技發表業界首創且唯一的資安營運 (SecOps) 解決方案 消彌開放原始碼漏洞 iThome
協助MITRE ATT&CK for Containers架構 共創雲端資安未來 電子時報網
簡訊實聯制上路 行政院政務顧問鄭宏輝籲首要顧資安保護個資 勁報
居家線上教學 5大電信提供9.8萬個免費門號 中央通訊社
疫情爆發首週的App熱門榜!這支冠軍程式你也下載了? 遠見雜誌網
簡訊實聯制會造成個資外洩嗎?為何不用基地台定位就好? 硬是要學
堅持開放精神!Android 12 將原生支援第三方 App 商店 自由時報電子報
微軟5月Patch Tuesday修補55個安全漏洞 iThome電腦報周刊
資安人員在臺灣資安大會首度揭露Slack新漏洞 Slack漏洞恐造成SSRF攻擊 iThome電腦報周刊
Android的5月安全更新已有4個漏洞遭到開採 iThome
Check Point Research:23款Android程式因雲端配置錯誤,讓1億用戶的資料曝險 iThome
TOYOTA 子公司也成受「駭」者,財務、客戶資料被公開 科技新報網
美國再傳網攻事件 傳保險公司向駭客支付4000萬美元贖金 自由時報電子報
駭客盯上印度航空 450萬筆個資全洩漏 自由時報電子報
防疫升級 中華電信推企業遠端辦公安心包 經濟日報網
網傳「每人補助萬元疫情援助金」 指揮中心:假消息勿轉傳 新頭殼
PyTorch推出企業支援計畫,服務供應商所開發的修補程式需回饋社群 iThome
歷經快6年醞釀,微軟CEO預告:下一代Windows產品即將問世,將迎來重大更新 iThome
打擊假訊息 歐盟對科技大廠提新準則 中央廣播電臺
電信業推專案 搶遠端商機 經濟日報網
Google Cloud推3項新服務 提供整合式資料平台 中央通訊社
快訊/威剛遭駭客病毒攻擊!公司拒絕勒索 出貨些微延誤 ETtoday新聞雲
我們在手機中安裝的應用程式,不少本身都提供網頁版本,只要通過瀏覽器就能登入使用;但換成程式版後,不但耗用了手機的珍貴空間,更相當耗電。最近雲端儲存公司 pCloud 分析了美國最受歡迎的 100 款手機程式,並找出哪些使用最多空間和耗電的程式。
趨勢科技 Zero Day Initiative 漏洞懸賞計畫揭露全球 60.5% 的漏洞 資安人
趨勢科技表示,根據獨立研究機構 Omdia 最新一份研究調查,趨勢科技的 Zero Day Initiative (ZDI,零日漏洞) 懸賞計畫揭露了全球 60.5% 的漏洞。ZDI 連續 13 年維持全球最大非限定廠商獨立漏洞懸賞計畫的地位,不論在任何嚴重等級的漏洞當中,ZDI 皆擁有最多通報數量,而重大或高嚴重性漏洞的通報數量則占 77%。
趨勢科技榮獲端點資安防護服務「領導者」評價 工商時報電子報
Forrester在報告當中給予趨勢科技Apex One高度評價,認為該產品「藉由一套更廣泛的防護產品與服務來提供全方位的端點威脅防護、威脅偵測、組態設定防護、攻擊回應以及資料防護等功能」。
數位防疫超輕鬆!6款懶人工具在這 今日新聞
台灣本土新冠疫情升溫快速,今(21)日已達國內連續七日本土個案破百例,全台更是停課不停學,將防疫警戒提升至三級。不過對國人來說,除了減少對外接觸風險,勤戴口罩常洗手,也希望能夠有更多防疫措施能協助疫調,盡快恢復日常生活。《NOWnews今日新聞》也一口氣整理了6項抗疫期間便利的小工具和技巧,陪伴你度過防疫新生活。
隨著越來越多開發人員在企業及雲端服務內部署容器,關鍵資料一不小心就可能因為資安控管不良而暴露在外,成為歹徒覬覦的目標。目前已發現有駭客精心製作了專門用來跳脫特權容器的惡意程式,若跳脫成功就能取得主機電腦的所有系統管理權限,危害很大。
微軟呼籲別點擊來路不明 PDF 文件,小心 STRRAT 惡意軟體入侵 科技新報網
惡意軟體常常透過偽裝誘使用戶下載,而微軟最近發現,一個名為 STRRAT 的新型惡意軟體會以 PDF 文件為媒介,偽裝成 PDF 形式,一但用戶點擊下載之後,此一惡意軟體就會入侵使用者的電腦,竊取機密資料和進行遠端操控,呼籲使用者不要開始來路不明的文件。
張雅琴被詐騙集團盜帳號!怒衝警局「視訊報案」:好膽嘜走 三立新聞網
主播張雅琴透露,她的私人臉書在日前遭到駭客入侵,對方還貼文想要利用她帳號詐騙。張雅琴發現後趕緊在公開粉絲團請網友提高警覺、不要上當。接著就氣憤到警局報案,還因此見識到警方為了因應疫情,而採取的雙視訊報案方式。
macOS 零時差漏洞連續技!新 XCSSET 惡意軟體變種會偷抓使用者螢幕畫面 科技新報網
差不多 1 個月前,研究人員揭露一隻惡名昭彰的惡意軟體家族正在利用一個從未見過的漏洞,讓該惡意軟體得以規避 macOS 的安全防禦機制,並暢通無阻地運行。如今,同一群研究人員表示,拜另一個漏洞所賜,另一隻惡意軟體能潛入 macOS 系統。
自2020年至今發生多起勒索病毒攻擊事件後,迫使勒索病毒成為各家需要正視的問題,除以製造業、醫療業為大宗之外,美國本土燃油輸送業者Colonial Pipeline遭到攻擊的事。
臺灣入口網站蕃薯藤在2013年的被駭資料流入駭客論壇 iThome
來自臺灣的威脅情報研究人員StillAzureH近日向Have I Been Pwned(HIBP)舉報,已於駭客論壇上發現來自臺灣入口網站蕃薯藤的外洩資料,而HIBP則說,該資料庫內含超過1,300萬用戶的資料。
日本熱門約會軟體遇駭 逾170萬用戶個資受影響 中央通訊社
法新社報導,Omiai營運商Net Marketing Co.表示,公司偵測到儲存會員資訊的伺服器4月時遭到未獲授權存取。
五月七日美國殖民油管公司(Colonial Pipeline,負責美國東岸四五%的燃油運輸)被駭客組織黑暗面(DarkSide)攻擊,造成美國從德州到紐澤西州共八八五一公里油管癱瘓,減少二五○萬桶汽油供給,以五百萬美元勒索金威脅整體國家安全,美國總統拜登因此宣布美國進入緊急狀態。這事件提點企業仰賴網路經營事業時的脆弱性,在後疫情時代更凸顯其關鍵,資訊安全的防護網,將是企業穩定、永續經營的必備條件。
居家工作一週 微軟揭實情「比去上班更累」 ETtoday新聞雲
疫情急速升溫,各級學校、辦公改採遠距工作、遠距教學,大部分人居家辦公近一週,而已率先執行居家辦公的微軟說,其實在家上班,比想像中累,反而更容易讓人過勞。如果平常一個人住,居家工作會缺乏人際互動,會議一個接一個開,剛開始會覺得「效率真高!」,但3~4天後就會疲憊不堪;而家有幼兒者,則是分心打擾不斷,最好夫妻在家也AB班輪流顧小孩,才能專心開會。
交給專家討價還價,勒索攻擊猖狂催生贖金談判生意 科技新報網
華爾街日報報導,駭客勒索攻擊愈來愈普遍,使贖金談判需求增加;新創公司 GroupSense 去年就這麼陰錯陽差做起與駭客談判的生意。GroupSense 創辦人 Kurtis Minde 表示,原本業務是負責監測暗網論壇和社群,觀察駭客何時出售或是洩露從企業盜取的權限或資料。
Chrome 用戶注意!假冒微軟官方版擴充套件竊個資 自由時報電子報
習慣在 Google Chrome 瀏覽器上,安裝外掛擴充應用程式的愛用者,近來要特別留意了!外媒《Windows Cencrtal》報導指出,近日在 Chrome 線上應用程式商店,出現一款假冒為微軟官方上架的「Microsoft Authenticator」擴充套件,內容描述提到安裝該外掛應用後,可用來作為微軟Microsoft 帳號身份在進行驗證(如指紋、Face ID或PIN)程序時的安全性防護,以快速存取微軟的各項應用產品與服務。
居家上班 小心資安風險 聯合新聞網
隨著國內染疫人數居高不下,不少企業員工傳出確診案例,經濟部長王美花日前也呼籲企業盡量讓員工在家上班,在家辦公比例從三分之一擴大到二分之一,但隨著在家上班的民眾愈來愈多,衍生的資安風險也不能不提防。
臺灣企業常見的前五大資安漏洞,都與遠端程式碼執行及權限提升有關 iThome電腦報周刊
臺灣多達四分之一比例的大型企業,在漏洞修補管理檢測項目拿零分,獲得滿分者不到一成;其他像是品牌監控、加密連線強度,以及不當資訊揭露,也是企業在20項技術檢測項目中,分數最低的四個項目。
攻擊愛爾蘭健康服務管理署的駭客耍詐,給解密金鑰後仍威脅出售民眾個資 iThome
遭到勒索軟體攻擊的愛爾蘭健康服務管理署(HSE)雖然獲得解密金鑰,但狡猾的駭客仍然以盜走內部資料為要脅,試圖迫使HSE付錢以贖回病患與員工個資。
遠距學習如何確保學童網路安全?從這六招做起 科技新報網
Fortinet 北亞區總經理陳鴻翔指出,遠距學習代表著孩子們在家多數的時間都保持「連線」狀態,而「線上放學」後,孩子們可能繼續收看網路節目、與同學電玩連線、或是瀏覽社群媒體。根據 Fortinet 觀察,隨著家用網路連線的設備數量增加,網路犯罪分子已經發現並利用公開的機會進行勒索軟體攻擊、竊取特定裝置中的機敏資訊並破壞學校的網路安全防護,甚至是散播危險內容、竊取相關個資或詐騙,家長需要特別注意。
在家上課、工作買不到視訊鏡頭?兩款手機 App 可以救急「變鏡頭」 自由時報電子報
行政院宣佈各級學校停課至 5/28,加上居家工作因本土疫情升溫開始盛行,全台筆電和視訊鏡頭也因此需求大增並缺貨,也讓不少家中以傳統桌電為主,或者有多位學生、家長需要同時連線遠距上課辦公的家庭感到困擾。
指揮中心澄清3則假訊息 籲民眾切勿轉傳以免觸法 中央廣播電臺
中央流行疫情指揮中心今天(21日)在全國防疫會議後,再度對外澄清3則錯誤不實訊息,包括網傳「政府購買某廠牌COVID-19疫苗有10餘美元價差」、以及「溪湖確診個案的足跡」、還有「每人補助疫情援助金1萬元」,都是假訊息,呼籲民眾千萬不要再轉傳,否則恐將依法重處新台幣300萬元或3年以下有期徒刑。
網傳「政府購買疫苗有價差」?指揮中心:假訊息勿再轉傳 三立新聞網
中央流行疫情指揮中心今(21)日嚴正澄清,疫苗採購合約及疫苗價格係屬雙方保密協議事項,疫苗價格除「疫苗成本」外,需含國外自原廠運抵臺灣之冷儲物流、國內冷儲物流及相關稅務、保險等費用,近日網路流傳「政府購買某廠牌COVID-19疫苗有10餘美元價差」等訊息均為錯誤不實訊息,請民眾勿再轉傳與散布,以免觸法遭罰。
偽教育部網站散布?停課至6月18日?假訊息 刑事局成立專案小組追查 LineToday
全台武漢肺炎疫情目前提升到三級警戒,疫情指揮中心日前宣布,因應疫情各級學校停課至5月28日止,沒想到網路上出現偽冒教育部的網站,張貼「各級學校停課至6月18日(五)止」的不實訊息,事實查核中心對此進行查核,確認為「錯誤」訊息。刑事局也查出有是由不明人士架設境外網站,偵九大隊已成立專案小組偵辦,提醒民眾不要誤信。
網傳假訊息稱台灣一天燒100多具屍體 指揮中心:來自境外IP 自由時報電子報
中央流行疫情指揮中心今天嚴正澄清,網路流傳「台灣疫情嚴重時,一天燒掉100多具屍體」,此為境外的不實訊息,請民眾勿再轉傳與散布,以免觸法遭罰,最高面臨300萬罰金,副指揮官陳宗彥表示,近日發現有多則假訊息都是境外IP,多為中國用語和簡
付完贖金解密才發現又一層!網路驚現採取「雙重加密」新手法的勒索軟體 科技新報網
勒索軟體攻擊團體始終採取「多多益善」(more-is-more)的方法。如果受害者支付贖金,然後照常營運,攻擊者之後可再度攻擊。再不然,不只是加密目標系統,而是先竊取資料,即使不付錢了事,也可以威脅若不付贖金,就會將機密資料洩漏光光。最近是否有什麼最新勒索威脅的升級手法嗎?的確有,那就是勒索軟體駭客會同時對受害者資料雙重加密。
大方!趨勢供PC-cillin家長守護版免費下載 經濟日報網
面對無疆界的網路環境,想要保護孩子遠離危險變得比過去更加困難,家長們更需要有方法,善用專業的網路安全工具,聰明應對各樣潛藏危機!趨勢科技與教育部合作的免費網路守護天使2.0「PC-cillin家長守護版」能佈建完善安全的上網環境。
趨勢科技發表業界首創且唯一的資安營運 (SecOps) 解決方案 消彌開放原始碼漏洞 iThome
Trend Micro Cloud One – Open Source Security by Snyk 是 Cloud One 服務陣容的最新成員,也是第一個加入該平台的合作夥伴服務,同樣在 AWS Marketplace 上架。
協助MITRE ATT&CK for Containers架構 共創雲端資安未來 電子時報網
ITRE首席網路資安工程師Jen Burns表示:「趨勢科技是我們在透過Center for Threat-Informed Defense開發ATT&CK for Containers架構之初,響應我們號召的業界廠商之一,和我們共同努力協助企業防範攻擊,讓ATT&CK知識庫成為一種共通語言。藉由像趨勢科技這樣的貢獻者,以他們對真實世界攻擊的專業知識和經驗,能協助我們支援資安界來達成這項目標。」
簡訊實聯制上路 行政院政務顧問鄭宏輝籲首要顧資安保護個資 勁報
因應疫情警戒升級,全國採取實聯制防疫措施上路,民眾在留下聯絡資訊,目前會遇到使用紙筆記錄,或者是使用自製QR Code供民眾填寫資料的店家,對此,行政院政務顧問鄭宏輝指出,這兩種方式都存有間接感染風險與洩漏個資之疑慮,因此行政院提出簡訊實聯制,希望解決相關問題,且各縣市的APP也將進行整合;鄭宏輝強調,實聯制操作下要避免形成資安的漏洞,或是資料庫成為駭客目標,這些是格外需要重視的。
居家線上教學 5大電信提供9.8萬個免費門號 中央通訊社
全國各級學校停止到校上課,改採線上教學,但偏鄉不見得有穩定的網路,政府協調5大電信業者,一共提供9.8萬個免費門號,將由教育部統籌分配給弱勢學使用。
疫情爆發首週的App熱門榜!這支冠軍程式你也下載了? 遠見雜誌網
《遠見》此次特別與行動數據專家-新創企業「威朋」合作,透過「Vpon威朋 AppVois平台」觀測台灣整體App市場趨勢,針對近期COVID-19疫情升溫第三級警戒,觀察台灣人民於疫情爆發前後的App使用趨勢變化。
簡訊實聯制會造成個資外洩嗎?為何不用基地台定位就好? 硬是要學
行政院版本 (國家版) 簡訊實聯制上線後,雖然不用再填寫紙本或線上表單,但還是有許多人認為有資安疑慮,會被電信商、政府追蹤;也有人認為既然要配合電信商追蹤,那直接使用定位技術就好了,不須要這麼大費周章。我們就針對這兩大議題來做探討吧!
堅持開放精神!Android 12 將原生支援第三方 App 商店 自由時報電子報
對比蘋果 iOS 堅持平台上只能有其獨家的 App Store,作為 iOS 用戶下載第三方來源的管道,Android 手機則有相對更多的選擇,除了許多品牌都有自己的應用商店,用戶也可以自行從各方來源安裝 APK 檔。
微軟5月Patch Tuesday修補55個安全漏洞 iThome電腦報周刊
趨勢科技旗下ZDI建議Visual Studio用戶優先修補CVE-2021-27068,這是一個無需任何使用者互動,就能執行遠端程式攻擊的罕見漏洞。
資安人員在臺灣資安大會首度揭露Slack新漏洞 Slack漏洞恐造成SSRF攻擊 iThome電腦報周刊
用戶端提供應用系統的使用者來源、存取的目的應用程式伺服器位置資訊,有可能在提供服務的網站應用程式沒有做好防備的情況下,成為攻擊者可濫用的弱點。在2021臺灣資安大會上,IBM軟體工程師陳孝勇首度揭露的協作平臺Slack漏洞,就與這類資訊的處理有關。
Android的5月安全更新已有4個漏洞遭到開採 iThome
本月初修補的Android漏洞中,Google證實源自高通GPU以及Arm Mali GPU的漏洞已遭濫用。
Check Point Research:23款Android程式因雲端配置錯誤,讓1億用戶的資料曝險 iThome
程式開發商使用的雲端儲存服務配置錯誤,連帶讓存放在雲端的Android用戶個資曝險。
TOYOTA 子公司也成受「駭」者,財務、客戶資料被公開 科技新報網
企業被駭消息不斷,在日前美國最大燃油運輸公司 Colonial Pipeline 遭駭,近日知名汽車品牌豐田(TOYOTA)的子公司,負責汽車組裝的豐田車體(Toyota Auto Body)也遭到駭客集團攻擊,位於美國的子公司 Auto Parts Manufacturing Mississippi(APMM)財務及顧客相關資料疑似外流。
美國再傳網攻事件 傳保險公司向駭客支付4000萬美元贖金 自由時報電子報
綜合外媒報導,這家位於芝加哥的保險巨頭在5月12日發佈了安全事件更新,通知客戶在3月21日遭斷網攻擊後已採取「立即行動」,而CNA未發現有跡象顯示外部客戶受到事件影響。
駭客盯上印度航空 450萬筆個資全洩漏 自由時報電子報
繼美國最大輸油管線營運商「殖民輸油管」(Colonial Pipeline)日前遭駭客組織攻擊,還向駭客支付440萬美元(約新台幣1.23億元)贖金之後,印度也傳出駭客攻擊事件,印度航空遭到盯梢,估計從2011年8月到2021年2月的10年期間,約450萬筆消費者個資已經洩漏。
在IE瀏覽器正式退役以前,微軟建議用戶盡快下載最新的Edge瀏覽器,因為內建功能較多,使用起來會更方便,瀏覽速度也比較快。由於Edge也支援IE網頁的瀏覽功能,所以用戶不需擔心無法進入舊版的IE網頁。
防疫升級 中華電信推企業遠端辦公安心包 經濟日報網
因應防疫升級,中華電信(2412)今天(20日)宣布,推出企業遠端辦公安心包優惠方案,提供企業於防疫期間正常營運優惠服務,包含「Amazon WorkSpaces遠端虛擬桌面」及「SSL VPN遠端安全連線」。
網傳「每人補助萬元疫情援助金」 指揮中心:假消息勿轉傳 新頭殼
近期有關疫情的許多假訊息在社群媒體廣為流傳,如關於疫情援助金1萬元、疫苗價差、溪頭確診者足跡等,疫情指揮中心今(21)天澄清,這些都是錯誤不實訊息,民眾若任意轉傳,最高可罰300萬或3年以下有期徒刑、拘役。
PyTorch推出企業支援計畫,服務供應商所開發的修補程式需回饋社群 iThome
深度學習函式庫PyTorch企業支援計畫,由各服務供應商對自家用戶提供支援服務,而這些修補程式將會在經過測試後,貢獻到之後的PyTorch版本中。
歷經快6年醞釀,微軟CEO預告:下一代Windows產品即將問世,將迎來重大更新 iThome
就在IE瀏覽器即將退役的同時,使用快6年的Windows 10也即將迎來重大改版更新,在今日Build開發者大會上,微軟執行長Satya Nadella就預告不久即將推出下一代Windows產品,他指出,這將是十年來最重要Windows的改版更新之一。
打擊假訊息 歐盟對科技大廠提新準則 中央廣播電臺
歐洲聯盟執行委員會今天(26日)證實路透社19日的報導指出,歐盟將發布更嚴格但不具約束力的新準則,敦促臉書、谷歌(Google)以及其他科技大廠作出承諾,不透過與假訊息有關的廣告獲取利益。
電信業推專案 搶遠端商機 經濟日報網
本土新冠肺炎疫情加劇,各大企業陸續啟動遠距上班及分流上班,中華電信(2412)、台灣大、遠傳及互盛都推企業遠端專案搶商機,加速台灣企業數位轉型腳步。
Google Cloud推3項新服務 提供整合式資料平台 中央通訊社
雲端運算服務Google Cloud今天宣布推出3項全新解決方案,涵蓋旗下資料庫和資料分析產品組合,為企業提供整合式資料平台。
快訊/威剛遭駭客病毒攻擊!公司拒絕勒索 出貨些微延誤 ETtoday新聞雲
記憶體模組廠威剛科技26日表示,公司5/23偵測到部分資通系統遭病毒攻擊和勒索,不過公司資安團隊立刻啟動防禦機制,也和資安專業人員合作清除病毒,並未對公司造成重大影響。