《資安新聞周報》FTC對無視Log4j漏洞的企業示警,若發生個資外洩將裁罰?/天才少年駭進全球25輛特斯拉 /由上而下打造零信任網路架構 工業電腦整合OT+IT資安解決方案

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

媒體資安重點新聞:

佈建端到端自動學習與檢查機制 實現OT零信任防禦    電子時報

數百萬台 Wi-Fi 分享器爆漏洞!連上可能被接管「佈署惡意軟體」          自由時報電子報

Tesla 出現重大漏洞?德國 19 歲駭客稱可跨國遠端控制車輛       自由時報電子報

15歲就成立資安公司!天才少年駭進全球25輛特斯拉,如何揭發巨頭漏洞?   數位時代

研究人員可遠端控制25臺Tesla,但說並非出於系統安全漏洞          iThome

趨勢科技獲 Gartner Peer Insights™ 評為「客戶首選」  經濟日報網

SONY搶攻電動車,現代打造無人送貨模組!從CES 2022一窺未來移動樣貌          數位時代

寒假春節孩童瘋上網,趨勢科技網安學堂線上登場          CompoTech Asia 電子與電腦

【一支手機毀人生】五招防駭大絕 不當駭客肥羊關鍵在「密碼新鮮度」          聯合新聞網

【資安日報】2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動    iThome

從保護消費者資料權益出發,美FTC對無視Log4j漏洞的企業示警,若因此發生個資外洩將採取法律行動提出裁罰          iThome

趨勢科技開發了一個評估工來協助您找出可能受到 Log4j 漏洞影響的應用程式和端點裝置。此工具也提供了有關漏洞攻擊面的完整檢視以及後續的防範步驟。

iPhone 與 Mac 上 Safari 爆出超危險漏洞 Bug!瀏覽過的網站都能被追蹤     蘋果仁

微軟 Windows 更新爆 Bug!「不斷重開機」虛擬機 VPN 都掛點          自由時報電子報

創新仿生學 驅動台灣智慧醫護發展新應用       iThome

【資安日報】2022年1月19日,再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器         iThome

由上而下打造零信任網路架構 工業電腦整合OT+IT資安解決方案          Smart Auto 智動化

Microsoft Defender漏洞讓惡意程式得以躲避偵測,至少存在1年          iThome

網路犯罪黑市存取服務交易攀升,助長勒索病毒攻擊事件     T客邦

台積電變身資安盟主!想合作先填13道問題 拜登一紙公告逼你做 竹科「資安秘密客」現蹤     商業周刊

微軟2022年首個Patch Tuesday修補96個安全漏洞,當中有6個為零時差漏洞     iThome

微軟揭露能繞過macOS系統防護,存取用戶資料、App的powerdir漏洞          iThome

LINE布局元宇宙 今年首季將推NFT平台DOSI 中央通訊社

林百里看好元宇宙:了解使用者行為 是台灣科技業挑戰       經濟日報網

劉揚偉:鴻海在元宇宙不缺席,複製電動車模式朝平台化發展     中央通訊社

駭客攻擊頻傳 政院籲機關禁用簡單密碼  中央通訊社

看到3號碼千萬別接!Whoscall曝詐騙起手式|東森新聞     東森電視網

Crypto.com 部分帳戶遭駭客入侵!估損失 1,500 萬美元,14 小時暫停用戶提款          科技新報網

Zoom客戶端被發現存在零點擊漏洞          iThome

全球10國聯手關閉受駭客青睞的VPN服務VPNLab.net iThome

時尚|克蘭詩遭駭客入侵個資外洩 官方火速補漏洞建議會員改密碼          台灣蘋果日報網

工研院解析2022年科技發展5大主軸       自由時報電子報

簡沛恩疑「個資外洩」慘遭詐騙 傻眼曝「歹徒手法」:損失過千元          民視新聞台

「邀請你加入一個股票群組…」!從股市到防疫都能詐騙,還有哪些新趨勢?     數位時代

明基健康生活籲勿網購廉價口罩 慎防一頁式廣告詐騙  台灣好報

中職》出事了!中職官方頻道被盜 兄弟拋彩帶影片遭刪       自由時報電子報

聯發科今年研發支出看增2成 擬徵才2000餘人     中央通訊社

防駭!千萬證券戶限期改密碼        工商時報電子報

比特幣、加密貨幣投資入門:幣圈防詐騙、防盜基礎指南     數位時代

政府網站遭網攻癱瘓 烏克蘭:有證據顯示俄羅斯是元兇       自由時報電子報

提供更多輔助容器應用功能,紅帽8.5版企業級Linux OS出爐          iThome

美國網戰司令部聲稱駭客集團MuddyWater受伊朗情報暨安全局管轄     iThome

展望2022網路安全大勢 零信任與供應鏈風險居首         網管人

用戶自保 勤換密碼、聯徵註記  聯合報


寒假春節孩童瘋上網,趨勢科技網安學堂線上登場          CompoTech Asia 電子與電腦

長期致力推廣家庭與孩童網路安全教育的全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) ,特別針對7-10歲的學童製作寓教於樂的趨勢科技網安學堂,首波推出五支簡單易懂的小動畫,讓家長可從陪伴與引導中協助孩童了解上網必要的網路安全知識與技巧。

<回到新聞條列重點>          

創新仿生學 驅動台灣智慧醫護發展新應用       iThome

隨著科技與人工智慧演進,人類與機器結合的賽博格(Cyborg)仿生科技研究,將為全世界下一階段的智慧醫療發展帶來革命性變化!由智趨動股份有限公司主辦、全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)與國立陽明交通大學共同協辦的Cyborg賽博格 2022「仿生義肢、外骨骼與賽博格:打造人機合一的生物機電技術」線上講座活動,將於1月26日下午14:00至16:00透過線上形式舉辦,邀請師承MIT美國麻省理工學院媒體實驗室生物機械組領導人修·赫 (Hugh Herr) 教授的 MIT生物機電組博士生謝宗翰。         

<回到新聞條列重點>          

佈建端到端自動學習與檢查機制 實現OT零信任防禦    電子時報

隨著工控資安事件頻傳,OT資安的相關關議題也備受討論,其中趨勢科技副總裁暨TXOne Networks執行長劉榮太提到工控資安無論是從供給端或是需求端來看皆有不同的需求,亦須溝通協調。         

<回到新聞條列重點>          

用戶自保 勤換密碼、聯徵註記  聯合報

本篇報導提到在人手一「機」的年代,個人手機內含有大量重要個資,民眾應多加留意個資安全防護,其中趨勢科技全球消費市場開發暨行銷協理劉彥伯提出五招協助民眾自保,包含常更換密碼、安裝防毒軟體、不同網站使用不同密碼、使用個資保護APP檢查個資是否外洩以及重要交易採雙重驗證。         

<回到新聞條列重點>          

【資安日報】2022年1月19日,再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器         iThome

趨勢科近期揭露名為Earth Lusca的中國駭客組織,並指出該組織使用網路釣魚、水坑式攻擊、應用系統的漏洞,鎖定政府單位、教育機構、宗教組織,以及香港的人權組織、武漢肺炎研究機構等,其攻擊目標多半是對於中國政府具有戰略意義的組織。    

<回到新聞條列重點>          

【一支手機毀人生】五招防駭大絕 不當駭客肥羊關鍵在「密碼新鮮度」          聯合新聞網

在這個人手一「機」的年代,手機之中蘊藏太多用戶的個人資料、金融交易甚至是數位錢包,駭客入侵事件層出不窮,民眾要怎麼保護自己遠離駭客,不致淪為駭客眼中待宰的大肥羊?    

<回到新聞條列重點>          

由上而下打造零信任網路架構 工業電腦整合OT+IT資安解決方案          Smart Auto 智動化

延續自這兩年來疫情肆虐全球期間,推動基礎建設及產業數位轉型需求大增,工業電腦(IPC)應用也越來越普及,隨之造就營運技術(OT)資安領域的完美風暴。由於皆採用PC + Windows OS架構,讓駭客只須採用與資訊科技(IT)同一套「解決方案」,就能入侵OT產線設備,也促使資安軟體業者開始與IPC硬體業者積極整合以協同解決。    

<回到新聞條列重點>          

Microsoft Defender漏洞讓惡意程式得以躲避偵測,至少存在1年          iThome

安全研究人員發現微軟Microsoft Defender存在一項漏洞,能讓攻擊者用來躲避偵測植入惡意程式,此漏洞將使防毒產品掃瞄系統效能下降、甚至誤判而造成運作失常。    

<回到新聞條列重點>          

中職》出事了!中職官方頻道被盜 兄弟拋彩帶影片遭刪       自由時報電子報

本篇報導指出中華職棒官方YouTube頻道昨晚驚傳遭駭客入侵,除了簡介、頭像全都遭竄改之外,還出現外國人直播講解比特幣。         

<回到新聞條列重點>          

網路犯罪黑市存取服務交易攀升,助長勒索病毒攻擊事件     T客邦

趨勢科技日前發布最新研究報告,聚焦近期大量勒索病毒攻擊事件,深入分析背後錯綜複雜的網路犯罪供應鏈。過去兩年由於需求急速成長,許多網路犯罪市場甚至有自己的「存取服務」(Access-as-a-Service,AaaS) 交易專區。      

<回到新聞條列重點>          

台積電變身資安盟主!想合作先填13道問題 拜登一紙公告逼你做 竹科「資安秘密客」現蹤     商業周刊

本篇報導以台積電於2018年遭駭客攻擊為例,指出台灣半導體產業所面臨的資安威脅,除此之外,供應鏈資安也逐漸受到重視,越來越多台灣製造業者也開始被「打分數」,其中引用趨勢科技趨勢科技台灣區總經理洪偉淦分享,最常被企業詢問:要去哪找資安長?顯示台灣企業逐漸對於資訊安全重視。    

<回到新聞條列重點>          

微軟 Windows 更新爆 Bug!「不斷重開機」虛擬機 VPN 都掛點          自由時報電子報

在本週釋出的例行更新中,微軟修復了一項針對 Windows 8.1 及 Windows Server 2012 R2 的更新「KB5009624」,主要內容與 Windows Server 的安全問題有關,但隨後卻造成了不少 Bug,包括 Windows Server 伺服器可能會不斷重新開機,以及微軟自家的虛擬機「Hyper-V」無法啟用。  

<回到新聞條列重點>          

研究人員可遠端控制25臺Tesla,但說並非出於系統安全漏洞          iThome

青少年駭客David Colombo同時也是安全研究人員,本周偶然間發現他可以在多達13國25臺以上的特斯拉上遠端執行指令。他說能做的事很多,像是關閉遇可疑人士自動啟動監控攝影機的哨兵模式(Sentry Mode)、開啟車門車窗、控制車燈、在車上播放YouTube或啟動無鑰匙駕駛(keyless driving)。如果車主在車上的話,他還可以查詢汽車所在位置。    

<回到新聞條列重點>          

趨勢科技獲 Gartner Peer Insights™ 評為「客戶首選」  經濟日報網

趨勢科技產品行銷副總裁 Wendy Moore 表示:「用戶端是資訊保安威脅的戰略重點,但是面對種類繁多的方案,如何做出最佳決定成了資訊科技採購人員的挑戰,而這就是 Gartner 研究報告的價值所在。資訊保安平台防護的整體強度與優化,取決於客戶的支援與認同。對於客戶的大力支持與好評推薦,我們非常感謝。」    

<回到新聞條列重點>          

Tesla 出現重大漏洞?德國 19 歲駭客稱可跨國遠端控制車輛       自由時報電子報

年僅 19 歲德國駭客在網路社群表示,發現 Tesla 車款安全系統有漏洞,能透過遠端侵入系統進而操控車輛,該駭客宣稱已能控制全球 13 國 25 輛 Tesla 汽車,請原廠與車主提高警覺。        

<回到新聞條列重點>          

微軟2022年首個Patch Tuesday修補96個安全漏洞,當中有6個為零時差漏洞     iThome

微軟在今年1月的Patch Tuesday總計修補了96個安全漏洞,當中有9個被列為重大漏洞,還有6個為零時差漏洞,不過相關漏洞尚未遭到駭客開採。         

<回到新聞條列重點>          

微軟揭露能繞過macOS系統防護,存取用戶資料、App的powerdir漏洞          iThome

微軟Microsoft 365 Defender研究團隊指出,編號CVE-2021-30970、暱稱為powerdir的漏洞,可讓攻擊者繞過macOS的TCC技術,非授權存取使用者的檔案。    

<回到新聞條列重點>          

15歲就成立資安公司!天才少年駭進全球25輛特斯拉,如何揭發巨頭漏洞?   數位時代

年僅19歲的德國少年大衛.可倫坡(David Colombo)本週在資安領域成為了全球焦點,因為他聲稱發現的資安漏洞,讓他成功遠端駭進全球13個國家,超過25輛的特斯拉電動車。         

<回到新聞條列重點>          

LINE布局元宇宙 今年首季將推NFT平台DOSI 中央通訊社

通訊軟體LINE台灣於19日首度以線上直播形式舉辦開發者大會,公開全方位NFT(非同質化代幣)平台DOSI的開發計畫,並預告將於今年第1季上線,象徵LINE生態系進入元宇宙紀元。       

<回到新聞條列重點>          

「邀請你加入一個股票群組…」!從股市到防疫都能詐騙,還有哪些新趨勢?     數位時代

「您好,我們這邊成立了一個股票群組,想邀請你加入。」最近是否也曾接到類似的詐騙電話呢?詐騙形態越來越多元,陌生來電辨識軟體Whoscall,公布《 Whoscall 2021年度報告》,從數據解析,看懂全球到台灣的詐騙新趨勢。         

<回到新聞條列重點>          

劉揚偉:鴻海在元宇宙不缺席,複製電動車模式朝平台化發展     中央通訊社

鴻海董事長劉揚偉表示,鴻海在元宇宙領域不會缺席,和電動車一樣,將朝平台化方向布局;集團在伺服器年營收已達新台幣兆元規模,是元宇宙硬體端的最大受益者。         

<回到新聞條列重點>          

看到3號碼千萬別接!Whoscall曝詐騙起手式|東森新聞     東森電視網

每到過年過節,詐騙電話就會相當猖獗,近日識別軟體「Whoscall」就在臉書上分享,最常見的3種手機詐騙,更公開了3組開頭號碼,告誡大家千萬別接,不僅如此,還有利用釣魚簡訊來詐騙,呼籲千萬別亂點連結,以免損失財物。         

<回到新聞條列重點>          

Crypto.com 部分帳戶遭駭客入侵!估損失 1,500 萬美元,14 小時暫停用戶提款          科技新報網

加密貨幣交易平台 Crypto.com 17 日成為駭客攻擊目標,一些用戶報告疑似遭到駭客攻擊後,Crypto.com 官方 17 日 0 時 17 分在 Twitter 宣布暫停用戶提款,但強調所有資金都安全。  

<回到新聞條列重點>          

Zoom客戶端被發現存在零點擊漏洞          iThome

Project Zero研究者發現Zoom客戶端軟體存在零點擊攻擊漏洞,且攻擊者能夠破壞Zoom伺服器,監聽未啟用端到端加密保護的會議,目前官方已經修復這些漏洞。    

<回到新聞條列重點>          

全球10國聯手關閉受駭客青睞的VPN服務VPNLab.net iThome

打擊網路犯罪供應鏈,歐洲刑警組織Europol與10國執法機關合作,扣押專門代管VPNLab.net服務的伺服器,迫使這家VPN業者關閉非法服務。         

<回到新聞條列重點>          

時尚|克蘭詩遭駭客入侵個資外洩 官方火速補漏洞建議會員改密碼          台灣蘋果日報網

美妝品牌克蘭詩(CLARINS)因擅長天然植萃油保養,在台灣擁有不少死忠粉絲,不過近日卻有品牌會員收到官方信件指出,因品牌近日遭受駭客攻擊其中一個顧客資料伺服器,外洩資訊可能包括顧客個人資訊如姓名、地址、 email、電話等,但不涉及密碼、信用卡和付款資訊。雖主要是發生在新加坡,但台灣克蘭詩仍建議會員變更官網密碼,品牌官方也回應當前「已立即完成安全軟體更新,以補強此次漏洞並防範資料庫遭受此類的攻擊」。      

<回到新聞條列重點>          

工研院解析2022年科技發展5大主軸       自由時報電子報

工研院14日於線上舉辦「展望2022暨CES重點趨勢研討會」,解析2022年科技產業的總體觀察重點,包含AI人工智慧、數位永續、智慧移動及半導體等科技發展動向,期望提供多元思路,協助台灣產業洞察市場脈動。    

<回到新聞條列重點>          

簡沛恩疑「個資外洩」慘遭詐騙 傻眼曝「歹徒手法」:損失過千元          民視新聞台

女星簡沛恩近日遇上「包裹詐騙」損失過千元,甚至被好友提醒才警覺「個資外洩」被詐騙集團盯上,她也將這段經歷分享至個人社群,提醒大家收到取貨訊息前必須先確認。    

<回到新聞條列重點>          

明基健康生活籲勿網購廉價口罩 慎防一頁式廣告詐騙  台灣好報

Omicron傳播力強席捲全球,近期國外傳染病專家甘地(MonicaGandhi)警告一層醫療口罩擋不住病毒,讓密合度比一般平面口罩好的立體口罩、4D口罩詢問度暴增,但也讓詐騙集團有更多機會遂行詐騙,網路上開始出現盜用明基健康生活「幸福物語」冬季限定、和風寅年限定款商標圖片及肖像圖片,利用層出不窮的Facebook廣告,一頁式網站,實際到貨則是來路不明的口罩的詐騙手法,明基健康生活呼籲,購買前請認清官網網址或者授權之通路管道,若看見可疑FB廣告、粉絲專頁、一頁式網頁,請勿衝動下單!         

<回到新聞條列重點>          

聯發科今年研發支出看增2成 擬徵才2000餘人     中央通訊社

聯發科於14日表示,去年研發支出突破新台幣1000億元,預期今年將再增加10%至20%,並持續擴增人力,預計招募2000多名設計工程師。         

<回到新聞條列重點>          

防駭!千萬證券戶限期改密碼        工商時報電子報

駭客近一個月不斷放大攻擊券商頻率,證交所已下令,全體券商必須限期完成旗下全體電子下單客戶的密碼重新設定修改,並以1月21日為最後期限。       

<回到新聞條列重點>          

比特幣、加密貨幣投資入門:幣圈防詐騙、防盜基礎指南     數位時代

本篇報導說明加密資產的安全,並提出五大幣圈詐騙防盜指南,其中包括勿輕易點擊Google搜尋到的網站、將正確的網站加入書籤、交易所帳號登入設定兩階段驗證、提幣設定限制、避免將所有東西都在同一個裝置裡。    

<回到新聞條列重點>          

政府網站遭網攻癱瘓 烏克蘭:有證據顯示俄羅斯是元兇       自由時報電子報

烏克蘭政府於16日表示,證據顯示13日遭到大規模網路攻擊的幕後黑手是來自莫斯科攻擊,而微軟方面則指出,本次駭客攻擊造成的損害,可能比最初評估的要嚴重許多。         

<回到新聞條列重點>          

提供更多輔助容器應用功能,紅帽8.5版企業級Linux OS出爐          iThome

針對採用不同Linux發行版本的系統轉換至RHEL 8.5的需求,紅帽已經在近期RHEL當中提供Convert2RHEL的工具,可取代這些先前Linux版本當中所有的RPM套件,目前能轉換至RHEL 8.5的發行版本,包含CentOS Linux 8.5、Oracle Linux 8.5,可協助企業轉換執行在UEFI之上的其他類型Linux系統,遷移到RHEL。       

<回到新聞條列重點>          

駭客攻擊頻傳 政院籲機關禁用簡單密碼  中央通訊社

根據政院最新一期資安月報,去年12月事中資安事件通報數量較前年同期增加25.49%,主因是駭客竊取郵件帳號密碼有升溫跡象;月報也提醒,機關資通系統禁止使用生日、電話,等簡單規則的弱密碼。    

<回到新聞條列重點>          

iPhone 與 Mac 上 Safari 爆出超危險漏洞 Bug!瀏覽過的網站都能被追蹤     蘋果仁

蘋果在最新的 iOS 15 與 macOS 12 上推出了新版的 Safari,版本號為 Safari 15,搭配了全新的介面、手勢以及標籤頁群組功能,但今日一個相當嚴重的 Safari 漏洞 Bug 被國外資安團隊揭露,這個 Bug 可以導致使用者瀏覽過的網站、甚至個資通通被看光光。    

<回到新聞條列重點>          

美國網戰司令部聲稱駭客集團MuddyWater受伊朗情報暨安全局管轄     iThome

資安業者早就將MuddyWater歸類為伊朗國家級駭客,現在美國網戰司令部更直指MuddyWater受伊朗情報暨安全局指揮,並揭露MuddyWater慣用的攻擊手法。

<回到新聞條列重點>         

【資安日報】2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動    iThome

本篇報導指出,針對微軟11日發布的每月例行修補情況,趨勢科技旗下漏洞懸賞專案Zero Day Initiative表示,今年修補漏洞的數量,為過往一月份的2倍,2022年其他月份是否會持續這樣的漏洞數量成長,值得觀察。         

<回到新聞條列重點>          

林百里看好元宇宙:了解使用者行為 是台灣科技業挑戰       經濟日報網

廣達(2382)董事長林百里今(12)日表示,他看好元宇宙未來的商機,並且最看好臉書與微軟兩大平台,這將開啟台灣科技產業的新商機,但是如何了解消費者行為,將是台灣科技業進入元宇宙商機中,最大挑戰。         

<回到新聞條列重點>          

SONY搶攻電動車,現代打造無人送貨模組!從CES 2022一窺未來移動樣貌          數位時代

汽車科技依舊是CES 2022的一大重點,相較於往年將汽車品牌分散在各展區,今年的CES特別替汽車移動科技,規劃了一大片獨立展館,可見此趨勢的重要性。         

<回到新聞條列重點>          

從保護消費者資料權益出發,美FTC對無視Log4j漏洞的企業示警,若因此發生個資外洩將採取法律行動提出裁罰          iThome

美國聯邦交易委員會(FTC)在1月初警告,若因未能修補log4j漏洞而致客戶個資外洩或財務損失,FTC將採法律行動提告求償。FTC指出之前Equifax資料外洩就是一例,後續該公司即遭FTC控告,最終以7億美元和解。    

<回到新聞條列重點>          

數百萬台 Wi-Fi 分享器爆漏洞!連上可能被接管「佈署惡意軟體」          自由時報電子報

資安機構「Sentinel Labs」發布報告,指出由 Edimax、D-Link、Tenda、TP-Link 和Western Digital、Netgear 等廠商推出的特定型號 Wi-Fi 路由器,可能有嚴重的資安漏洞,容易被惡意駭客攻擊並接管,預估影響了全球數百萬個家庭。         

<回到新聞條列重點>          

展望2022網路安全大勢 零信任與供應鏈風險居首         網管人

過去一年,全球依然籠罩在疫情威脅下,企業加速數位轉型的腳步,遠距協作與溝通的場景也將成為新的常態,然而,在企業致力數位化的同時,也伴隨許多潛在的資安危機。         

<回到新聞條列重點>