《資安新聞周報》俄羅斯國家級駭客透過老舊帳號,成功規避雙因素認證/雲端組態設錯成資安破口 最常見失誤排行大公開/全球第一輛娛樂電動車來了?    

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

「老舊帳號」劫持+「PrintNightmare」漏洞入侵!俄羅斯國家級駭客讓雙因素認證破功     科技新報網

駭客入侵俄國網路攝影機、國有油管業者          iThome

Linux後門程式經由Log4j漏洞散布    iThome

不只號召IT大軍對抗實體坦克 更撼動全球科技圈紛紛出手制裁 烏克蘭戰爭的科技衝擊     iThome電腦報周刊

Google帳號被盜!實況主黑羽:兩段式驗證都也沒用    新頭殼

國際駭客組織「匿名」入侵 雀巢縮減在俄羅斯產品       中央通訊社

Meta封鎖不配合啟用雙因素驗證的臉書用戶   iThome

可用來竊取臉書憑證的Android程式已被安裝在逾10萬臺裝置上          iThome

密碼長度與強度怎樣設最不易被駭客破解?一張圖秒懂          自由時報電子報

微軟再示警IE11將在6月停用,企業用戶應及早汰換    iThome

金融惡意軟體 SharkBot 在 Google Play Store 中假扮為防毒工具誘騙安裝     資安人

網路空間搜尋引擎發威 連網裝置資訊全都露  網管人

雲端組態設錯成資安破口 最常見失誤排行大公開  網管人

AI 分辨木瓜熟度、策展虛實整合,LINE 官方帳號玩出跨界創意無限可能     科技新報網

白宮呼籲美國組織強化資安以對抗來自俄羅斯的潛在網路威脅          iThome

俄國殭屍網路程式Cyclops Blink瞄準華碩路由器      iThome

隨著台灣資安產業轉向雲端應用,防禦惡意攻擊應多管齊下          CIO IT經理人

美國、歐盟警告衛星通訊的網路攻擊風險          iThome

抗衡特斯拉、蘋果的新武器,三年後可望誕生 本田攜手索尼要年輕人出門 全球第一輛娛樂電動車來了?     商業周刊

拉高電動車占比 將祭補貼誘因  工商時報電子報

鴻海電動車 10月訂得到      經濟日報網

ARTC 攜義隆、友達、奇美,成立車用 AI 電子聯盟       INSIDE

微軟公布駭客集團Lapsus$的操作手法:收購憑證、竊取機密文件並向受害企業勒索     iThome

微軟與Okta都坦承遭到駭客集團Lapsus$入侵         iThome

【資安日報】2022年3月23日,研究人員揭露駭客組織Lapsus$的攻擊手法、蘇格蘭心理諮商機構SAMH驚傳遭勒索軟體攻擊          iThome

【資安日報】2022年3月22日,勒索軟體駭客Lapsus$聲稱竊得微軟部分原始碼、軟體管理系統Chocolatey被用於攻擊法國組織          iThome

Lapsus$宣稱成功駭入微軟Azure DevOps程式庫        iThome

網路釣魚詐騙最愛冒用的十大品牌揭曉!資安揭露駭客發動攻擊最常見時間點     自由時報電子報

微軟深度學習函式庫DeepSpeed開始支援ROCm平臺,在相容GPU上大幅加速大型模型訓練     iThome

Windows防毒Defender將自家Office標記為病毒太糗,微軟開始認真修復誤報問題     T客邦

微軟2022工作趨勢報告揭露,數位過載風險持續上升  iThome

微軟Azure API管理服務開始支援私有連結,增加API安全防護能力          iThome

8大關鍵層面讓產線安全亮紅燈 製造業資安韌性提升迫在眉睫    電子時報網

Java on VS Code增加快捷生成程式碼片段的新選擇         iThome

0patch再度出手修補微軟修補不全的Windows權限擴張漏洞CVE-2021-34484      iThome

Google揭露駭客前鋒Exotic Lily   iThome

公有雲應對網路威脅 Google分享6大趨勢      中央通訊社

Meta發表Q1調查報告 台灣小型企業有信心再撐一年以上!       太報

客戶關係管理服務供應商HubSpot遭駭,近30家加密貨幣交易平臺用戶資料因此外洩     iThome

勒索軟體Conti新版本再遭公開  iThome

OneRing Finance遇閃電貸攻擊、損失200萬美元;RING代幣急挫超20% BLOCKTEMPO

歐盟數位市場法 重罰規範科技巨頭  自由時報電子報

惡意軟體 Cyclops Blink 瞄準多款華碩路由器,官方發布緩解措施          科技新報網

Western Digital修補App允許非授權存取檔案的重大漏洞      iThome

義大利公部門擬禁用卡巴斯基,並調查用戶個資處理相關風險          iThome

加速企業雲端數位轉型,Google Cloud 擴大與 VMware 全球合作          科技新報網

中華電搶智慧應用,三大業務營收要衝百億     科技新報網

台灣網路族每週上網6.7天 20至29歲沉迷比率逾1成          中央通訊社

SIEM解決方案Google Chronicle公開預覽上下文感測功能      iThome

ASUS 舊款路由器遭 Cyclops Blink 俄羅斯殭屍網路惡意軟體給盯上          Xfastest Media

【資安日報】2022年3月21日,消費者信用業者環聯疑因管理者使用弱密碼驚傳資料外洩、AvosLocker鎖定臺灣等多國關鍵基礎設施而來   iThome

玩家小心!外媒爆料:《艾爾登法環》PC版出現駭客漏洞、進入無限死亡循環     自由時報電子報

遇見網路釣魚詐騙怎麼辦? 專家給出六大要訣可避免被騙  ETtoday新聞雲

臉書刊登冒用名人背書的加密貨幣廣告,遭澳洲提告     iThome

【錯誤】網傳連結「懇請大家救濟 我是台灣人在烏經營音響店,因被毀店鋪,導致我們的音箱無法售出,無奈求助好心,回血價售出!免關稅費,我們承擔」?     台灣事實查核中心


Google帳號被盜!實況主黑羽:兩段式驗證都也沒用    新頭殼

近期YouTuber、實況主頻道遭人透過電子郵件被盜的事件頻傳,實況網紅「黑羽」昨(22)日在YouTube頻道上傳影片表示自己也遭到盜帳號,「我的Google帳號被盜了,我真的是傻爆眼」,讓他十分緊張地檢查自己頻道是否有被擅自刪除或上傳影片,所幸頻道沒事,最後黑羽也幸運救回帳號。        

<回到新聞條列重點>    

Meta封鎖不配合啟用雙因素驗證的臉書用戶   iThome

Meta要求帳號容易被駭的高風險用戶限時啟動雙因素驗證(2FA),如今這些用戶反映當初Meta寄發通知的郵件網域太像垃圾信而遭忽略,而且在他們未準時啟用2FA被封鎖後,即使依照官方後續指示還是無法用2FA重啟帳號。    

<回到新聞條列重點>    

「老舊帳號」劫持+「PrintNightmare」漏洞入侵!俄羅斯國家級駭客讓雙因素認證破功     科技新報網

根據美國 FBI 聯邦調查局與美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)最新報告指出,早在 2021 年 5 月,某間未被透露名稱的非政府組織(NGO),因旗下帳號遭到俄羅斯國家贊助駭客入侵,而導致敏感資料外洩。

<回到新聞條列重點>    

密碼長度與強度怎樣設最不易被駭客破解?一張圖秒懂          自由時報電子報

為防止帳號遭駭入侵的資安風險,目前多數的網站都會自動檢查用戶的密碼強度,如要求數字與符號混合、或數字符號搭配英文大小寫等組合,甚至有的會強烈要求密碼組合的字元至少需要超過八個以上。到底密碼要怎麼設立才安全呢?密碼長度越長,代表越不容易被駭客破解嗎?         

<回到新聞條列重點>    

【錯誤】網傳連結「懇請大家救濟 我是台灣人在烏經營音響店,因被毀店鋪,導致我們的音箱無法售出,無奈求助好心,回血價售出!免關稅費,我們承擔」?     台灣事實查核中心

社群平台在2022年3月間流傳一則廣告貼文連結,廣告貼文稱:「懇請大家救濟我🇹🇼我是台灣人在烏經營音響店。因被毀店鋪,導致我們的音箱無法售出,無奈求助好心,回血價售出!免關稅費,我們承擔!」。

<回到新聞條列重點>    

網路空間搜尋引擎發威 連網裝置資訊全都露  網管人

「網路空間搜尋引擎」可自我檢測連上網路的任何設備是否有可能成為駭客的眼中物,為此本文將說明Shodan、Censys及ZoomEye這三種常見的網路空間搜尋引擎,了解其背景知識、特點、常被比較的幾個項目以及降低安全風險的幾種方式。         

<回到新聞條列重點>    

國際駭客組織「匿名」入侵 雀巢縮減在俄羅斯產品       中央通訊社

在國際企業紛紛抵制俄羅斯之際,瑞士食品大廠雀巢集團(Nestle)未強力杯葛,引發烏克蘭總統澤倫斯基批評,就連國際駭客組織「匿名」也入侵該公司資料庫以示抗議。雀巢集團今天宣布,將進一步縮減在俄國銷售的產品。    

<回到新聞條列重點>    

雲端組態設錯成資安破口 最常見失誤排行大公開  網管人

組態設定錯誤的損失與成本,有時會像滾雪球一樣一發不可收拾。比方說,資料和記錄遭到外洩或企業基礎架構遭駭客入侵,很可能導致企業遭到罰款並損失業務及客戶等等。當這些成本全部加在一起,就會對企業造成災難性的影響。         

<回到新聞條列重點>    

微軟再示警IE11將在6月停用,企業用戶應及早汰換    iThome

上周微軟再次提醒,Windows平臺上未來將以Chromium-based Edge為主,在大部分版本Windows 10上,使用舊引擎的IE11桌機版本將在2022年6月15日除役,此日期後,微軟不再支援IE11、不提供更新,則在用戶試圖使用時會被導向Edge。        

<回到新聞條列重點>    

AI 分辨木瓜熟度、策展虛實整合,LINE 官方帳號玩出跨界創意無限可能     科技新報網

LINE 台灣日前舉辦第二屆的 LINE Creativity Day 2022 廣告創意論壇「跨界共生」,LINE 的官方帳號跨界應用不僅有具規模的品牌客製化創意,更因技術與操作門檻的親民特性,發展出更加日常、符合生活情境的應用,更公布官方帳號數量在 2021 年底已突破 210 萬。         

<回到新聞條列重點>    

可用來竊取臉書憑證的Android程式已被安裝在逾10萬臺裝置上          iThome

行動資安業者Pradeo本周指出,Google Play上陳列了一款專門用來竊取臉書憑證的惡意程式,該程式的名稱為Craftsart Cartoon Photo Tools,號稱可協助使用者將照片編輯成卡通人物,且已有超過10萬臺Android裝置安裝它。

<回到新聞條列重點>    

駭客入侵俄國網路攝影機、國有油管業者          iThome

繼駭入俄國克里姆林宮、政府網站、電視臺及衛星系統後,駭客行動組織Anonymous本周又駭入俄國境內數十處的網路攝影機,並透過即時網路播放畫面,打上控訴俄羅斯的戰爭罪行,包括「普丁殺害兒童」、「352名烏克蘭平民死亡」、「Slava Ukraini! Hacked by Anonymous」等訊息。

<回到新聞條列重點>    

Linux後門程式經由Log4j漏洞散布    iThome

自去年Log4j漏洞遭安全研究人員揭露後,已經被各種惡意程式用來發動攻擊,包括Elknot、Gafgyt、Mirai、Tsusnami/Muhstik等。今年2月,360 Netlab公司的誘捕系統又攔截到利用Log4j漏洞散布的惡意ELF檔案。根據該檔案的檔名,以及使用的XOR加密演算法及RC4演算法金鑰長度20bytes,安全廠商將之命名為B1txor20。   

<回到新聞條列重點>    

金融惡意軟體 SharkBot 在 Google Play Store 中假扮為防毒工具誘騙安裝     資安人

NCC Groups 在其發表的研究報告中指出,自去年(2021)以來該公司與全球資安研究人員,陸續發現愈來愈多的 Android 惡意軟體,特別是與金融相關的惡意軟體大量增加。         

<回到新聞條列重點>    

抗衡特斯拉、蘋果的新武器,三年後可望誕生 本田攜手索尼要年輕人出門 全球第一輛娛樂電動車來了?     商業周刊

只要再等三年,你的新車就將多出這些配備:後照鏡不再是鏡子,改用裝設感應器的電子螢幕取代;車子前後設置約四十個感應器,隨時用周遭數據與影像來提升安全;防震的懸吊技術運用主動降噪原理,讓你享受超大螢幕影音也不怕暈車⋯⋯。     

<回到新聞條列重點>    

拉高電動車占比 將祭補貼誘因  工商時報電子報

國發會21日邀商總、中小企業總會旗下會員廠商談2050年淨零目標方向與計畫,與會業者轉述指出,IEA建議2030年新售車輛60%為電動車、2050年達100%,在此目標下,我國電動車占比也要大幅提升,在電力供應將以汽電共生方式,擴大綠能比重,同時火力發電要有CCS(碳捕捉與封存技術)設計,否則需汰換。     

<回到新聞條列重點>    

微軟公布駭客集團Lapsus$的操作手法:收購憑證、竊取機密文件並向受害企業勒索     iThome

微軟被攻擊之後針對Lapsus$展開全面的調查與分析,揭露了該駭客組織的攻擊手法,指出Lapsus$透過廣告、網釣攻擊、賄賂等手法取得憑證以存取目標組織的網路服務,也會藉由期間令牌重播等手法通過多因素身分認證要求,開採組織內部伺服器上未修補的已知漏洞以搜尋盜走機密資料。    

<回到新聞條列重點>    

微軟與Okta都坦承遭到駭客集團Lapsus$入侵         iThome

曾成功入侵Nvidia與三星的駭客集團Lapsus$近日透過其Telegram頻道對外聲稱,已入侵微軟系統,並取得了37GB涉及微軟產品原始碼的檔案,另也握有身分暨存取管理業者Okta的管理員存取權限。微軟已證實Lapsus$的確藉由危害一名員工的身分而進入系統,而Okta則承認一名第三方支援工程師的帳號曾在今年1月被危害。         

<回到新聞條列重點>    

【資安日報】2022年3月23日,研究人員揭露駭客組織Lapsus$的攻擊手法、蘇格蘭心理諮商機構SAMH驚傳遭勒索軟體攻擊          iThome

針對近日勒索軟體駭客Lapsus$公布他們入侵了微軟、身分驗證管理業者Okta的情況,這兩家公司都表明有使用者的帳號遭駭,而遭到入侵,甚至是原始碼外洩的情況。而自3月初Lapsus$公布對於一連串IT業者下手的動作,微軟也公布這個駭客組織的攻擊手法,供大家防範。         

<回到新聞條列重點>    

【資安日報】2022年3月22日,勒索軟體駭客Lapsus$聲稱竊得微軟部分原始碼、軟體管理系統Chocolatey被用於攻擊法國組織          iThome

今天最受到關注的新聞,應該就是勒索軟體駭客Lapsus$的動態。該組織先是於週日(3月20日)聲稱入侵微軟的Azure DevOps伺服器,取得部分產品的原始碼,隔日就開始洩露有關資料,而且,他們也接著宣稱取得身分驗證管理平臺Okta的超級使用者帳號。這兩家企業也都著手進行調查。         

<回到新聞條列重點>    

Lapsus$宣稱成功駭入微軟Azure DevOps程式庫        iThome

先前駭入Nvidia、三星的駭客組織Lapsus$,本周透過其Telegram頻道公布Azure DevOps伺服器管理頁面的螢幕擷圖,內有多個軟體的資料夾,藉此證明成功駭入微軟內部系統。    

<回到新聞條列重點>    

網路釣魚詐騙最愛冒用的十大品牌揭曉!資安揭露駭客發動攻擊最常見時間點     自由時報電子報

網路安全公司 Vade Secure 發佈最新報告指出,調查2021年1月至12月期間,監測高達184,977萬筆的網路釣魚詐騙頁面,統計數據顯示,駭客最愛冒用的前 20 大品牌之中,社群媒體平台Facebook 為第一名,微軟則是排名第二LIS。第三至五名依序為:Crédit Agricole 法國農業信貸銀行、WhatsApp與La Banque Postale 法國郵政銀行。    

<回到新聞條列重點>    

微軟深度學習函式庫DeepSpeed開始支援ROCm平臺,在相容GPU上大幅加速大型模型訓練     iThome

微軟與AMD合作,使得深度學習最佳化函式庫DeepSpeed,能運用支援ROCm平臺的GPU加速運算,這也包含AMD自家的Instinct GPU。這項更新使得DeepSpeed得以獲得運算、記憶體和通訊最佳化技術加持,能夠用於訓練高達5,300億參數的語言生成Transformer模型,並在真實的使用場景中,加快訓練和推理速度達2倍到20倍。       

<回到新聞條列重點>    

Windows防毒Defender將自家Office標記為病毒太糗,微軟開始認真修復誤報問題     T客邦

最近,微軟出現了一個重大失誤,該公司的安全解決方案Defender將自家的Office更新標記為惡意軟體。該產品將「OfficeSvcMgr.exe」這個執行檔錯誤地識別為具有勒索軟體行為。         

<回到新聞條列重點>    

微軟2022工作趨勢報告揭露,數位過載風險持續上升  iThome

微軟三月中發布了2022全球工作趨勢指數報告,揭露全球進入疫情後「混和式工作」型態超過一年以來,工作場所中出現的趨勢與變化。其中因為工作彈性增加所帶來的數項「數位過載」指標,延續了去年的趨勢,持續上升。這也顯示,如何面對遠距工作時,員工感到自己必須「永遠上線」,仍是混和或完全遠距工作型態的一大挑戰。    

<回到新聞條列重點>    

微軟Azure API管理服務開始支援私有連結,增加API安全防護能力          iThome

Azure API管理服務是一項全託管的服務,可供用戶發布、保護、轉換、維護和監控API,其使用情境包括現代化老舊系統,藉由API來抽象老舊後端,使這些系統能夠連接到新的雲端服務和應用程式,或是用在API開發模型中,滿足以API為中心的應用程式整合需求,或是也可降低企業對企業的資料交換障礙,由於API消除點對點整合的多餘成本,因此已成為B2B整合的重要工具。        

<回到新聞條列重點>    

8大關鍵層面讓產線安全亮紅燈 製造業資安韌性提升迫在眉睫    電子時報網

相較於一般企業,製造業的運作體系的專業需求程度原本就較高,近幾年興起的智慧化概念,又強調須整合IT與OT的工業物聯網,再加上製造業本身數量繁複、關係緊密的供應鏈體系,這都讓往封閉的製造系統一時之間門戶大開,駭客可攻擊面向的變多,微軟指出,現在製造業無論是內外,都遭遇了前所未有的資安危機。    

<回到新聞條列重點>    

Java on VS Code增加快捷生成程式碼片段的新選擇         iThome

微軟發布VS Code的Java擴充套件2022年3月更新,這個版本提供開發者另一種程式碼片段快捷生成選擇,也改進了程式碼完成功能,同時也宣布開始提供Java擴充套件的預發布版本。        

<回到新聞條列重點>    

0patch再度出手修補微軟修補不全的Windows權限擴張漏洞CVE-2021-34484      iThome

微軟是在去年8月修補由安全研究人員Abdelhamid Naceri所揭露的CVE-2021-34484,11月時Naceri發現微軟修補不完全,於是釋出了一個概念性驗證程式來繞過該修補,使得微軟今年1月再度修補被繞過的CVE-2022-21919漏洞,但Naceri今年2月又繞過該修補,而讓0patch於本周釋出了非官方的修補程式。  

<回到新聞條列重點>    

Google揭露駭客前鋒Exotic Lily   iThome

Google本周揭露了一個駭客集團Exotic Lily,所扮演的角色為初始存取掮客(Initial Access Broker,IAB),它利用社交工程及開採微軟零時差漏洞CVE-2021-40444,取得特定組織的存取權之後,再交由俄羅斯駭客集團FIN12(或名Wizard Spider及DEV-0193)部署Conti與Diavol等勒索軟體。        

<回到新聞條列重點>    

公有雲應對網路威脅 Google分享6大趨勢      中央通訊社

Google舉行線上說明會,發布「選擇公有雲還是地端部署環境?推動技術革新的六大安全趨勢」,指出公有雲比地端部署基礎架構更加安全,但前提是機構所採用的雲端環境,必須跟得上雲端安全防護優勢。    

<回到新聞條列重點>    

Meta發表Q1調查報告 台灣小型企業有信心再撐一年以上!       太報

Meta今日(3/23)針對台灣市場公布《2022年第一季小型企業調查報告》。報告中指出,在疫情過後,全球小型企業或商家已轉向線上數位平台創造營收。台灣使用Facebook平台創造營收的中小企業比例高達92%,其中有37%受訪企業表示,過去一個月有25%銷售比例來自線上,此數據高於全球平均值。         

<回到新聞條列重點>    

客戶關係管理服務供應商HubSpot遭駭,近30家加密貨幣交易平臺用戶資料因此外洩     iThome

這幾天包括Circle、BlockFi、Pantera Capital及NYDIG等加密貨幣交易平臺紛紛警告用戶,其第三方供應商HubSpot的系統遭到駭客入侵,由於HubSpot主要提供客戶關係管理服務,造成相關平臺的用戶資料外洩。         

<回到新聞條列重點>    

勒索軟體Conti新版本再遭公開  iThome

Conti在俄烏戰爭中選擇支持俄羅斯後數天,就遭一名烏克蘭籍研究人員駭入內部系統,並以ContiLeaks為名公布資料。這是Conti組織第三度被公開機密。第一次研究人員公布了Conti成員今年1月到2月27日,在通訊軟體Jabber的對話記錄。第二次更公開了更多成員對話紀錄、內部系統控制臺程式碼、後門程式BazarBackdoor API、Emotet網址、以及Conti勒索軟體之前版本的加密、解密金鑰。         

<回到新聞條列重點>    

OneRing Finance遇閃電貸攻擊、損失200萬美元;RING代幣急挫超20% BLOCKTEMPO

公鏈 Fantom 生態穩定幣收益優化器 OneRing Finance 在今日稍早發布公告,證實已遭遇駭客攻擊,一名駭客在 UTC 時間 21 日下午 6 時 44 分(台灣時間 22 日凌晨 2 時 44 分)通過閃電貸攻擊成功竊取了1454672.244369 顆 USDC 。    

<回到新聞條列重點>    

白宮呼籲美國組織強化資安以對抗來自俄羅斯的潛在網路威脅          iThome

拜登表示,美國政府將會使用各種工具來阻止、破壞,以及於必要時回應針對關鍵基礎設施的網路攻擊,只是聯邦政府無法獨自對抗相關威脅,因為大多數的關鍵基礎設施的所有人都是私人機構,也是由私人機構負責經營,而這些私人機構必須儘快關閉其數位化入口,而美國國土安全部與美國網路安全暨基礎架構管理署(CISA)也都會積極協助這些機構保護其系統及網路。         

<回到新聞條列重點>    

歐盟數位市場法 重罰規範科技巨頭  自由時報電子報

根據英國金融時報報導,儘管Google等大型科技公司進行密集的遊說,在歐盟執委會、歐洲議會及各成員國就法案的諸多細節達成共識後,歐盟最快週四將公布指標性的「數位市場法」(DMA),Google等科技巨頭主導的數位市場力量將因此受到限制。   

<回到新聞條列重點>    

惡意軟體 Cyclops Blink 瞄準多款華碩路由器,官方發布緩解措施          科技新報網

台灣電腦網路危機處理暨協調中心指出,Cyclops Blink 的特性使駭客能遠端存取受感染的網路,這種惡意軟體與俄羅斯所支持的 Sandworm 駭客組織有關,該組織以往的目標都是 WatchGuard Firebox 以及其他 SOHO 網路設備。

<回到新聞條列重點>    

華碩針對Cyclops Blink惡意軟體攻擊發布緩解建議措施 資安人

華碩旗下多個路由器產品受到Cyclops Blink惡意軟體發動駭侵攻擊,根據趨勢科技說明,Cyclops Blink擁有專門針對多型號華碩路由器的模組,能夠讀取快閃記憶體,收集其中的文件、可執行檔案、數據及資料庫的重要資訊。對此,華碩發布產品公告說明緩解措施,指出近期會再提供新版韌體,建議相關產品用戶盡速保護產品免於遭受Cyclops Blink攻擊而造成損失。     

<回到新聞條列重點>    

Western Digital修補App允許非授權存取檔案的重大漏洞      iThome

這項漏洞最先是由安全研究人員Xavier Danest揭露的目錄遍歷(directory traversal)漏洞,編號CVE-2022-22988,它位於WD的檔案管理員App EdgeRover之中,允許本地權限的攻擊者提升權限,並且從基本的檔案系統沙箱逃逸出來。一旦遭成功開採,這項漏洞可導致敏感資訊外洩,或是阻斷服務攻擊(denial of service,DoS)。   

<回到新聞條列重點>    

義大利公部門擬禁用卡巴斯基,並調查用戶個資處理相關風險          iThome

義大利政府要求卡巴斯基說明該公司如何蒐集使用當地用戶個資、用戶資料在歐盟境外的處理流向,以及第三國政府是否曾索取其用戶資,以評估卡巴斯基處理義大利消費者個人資料產生的相關風險,同時義大利也計畫公部門禁用卡巴斯基防毒軟體。         

<回到新聞條列重點>    

加速企業雲端數位轉型,Google Cloud 擴大與 VMware 全球合作          科技新報網

Google Cloud 與 VMware 日前宣布擴大合作,協助企業加速雲端轉型與應用程式現代化進程。企業客戶可以透過 VMware Cloud Universal 訂閱服務使用 Google Cloud VMware Engine,不僅能獲得更高的財務彈性與更多選擇,還能加速轉移至雲端並在 Google Cloud 中將企業應用程式現代化。     

<回到新聞條列重點>    

中華電搶智慧應用,三大業務營收要衝百億     科技新報網

中華電指出,去年針對 5G 專網拜訪的企業超過百家,而成功簽約的企業大約有三十家,不過 5G 專網在這兩年間還算是新興行業,因此今年合作的企業家數有望再倍數成長。目前中華電 5G 企業專網所涵蓋的應用領域相當多元,包括智慧農業、智慧樓宇、智慧製造、智慧物流、智慧醫療、智慧教育、智慧交通等。    

<回到新聞條列重點>    

鴻海電動車 10月訂得到      經濟日報網

鴻海(2317)電動車再跨大步,董事長劉揚偉昨(22)日首度透露,百萬元以內的平價電動車款Model C,將在今年鴻海科技日(10月18日)之後開放預訂,「國內、國外品牌都有」,明年上半年交車;至於豪華版的電動車Model E,規劃在2024年量產。   

<回到新聞條列重點>    

台灣網路族每週上網6.7天 20至29歲沉迷比率逾1成          中央通訊社

國發會資訊管理處於委員會議提報「數位發展與資訊近用趨勢」報告,內容顯示,台灣網路使用相當普及,網路族幾乎天天上網,平均每週上網6.7天;各年齡層則以20至29歲族群沉迷傾向的比率最高,而民眾生活中最常接觸的前三項網路活動類型分別是即時通訊、網路影音娛樂及商品或服務資訊查詢,顯示民眾已普遍應用數位工具處理日常生活大小事。    

<回到新聞條列重點>    

SIEM解決方案Google Chronicle公開預覽上下文感測功能      iThome

Google雲端原生SIEM解決方案Chronicle,公開預覽新功能上下文感測(Context-aware Detections)功能,以提高用戶偵測和回應安全威脅的速度,讓用戶能夠快速理解安全事件上下文,減少事件平均回應時間,快速對安全威脅採取行動。         

<回到新聞條列重點>    

ASUS 舊款路由器遭 Cyclops Blink 俄羅斯殭屍網路惡意軟體給盯上          Xfastest Media

Cyclops Blink 已被趨勢科技檢測到,雖然它不會對這時感染的路由器背後網路造成傷害,但它會將自身寫入到路由器的 Flash 當中即便回復原廠設定也無法移除。    

<回到新聞條列重點>    

【資安日報】2022年3月21日,消費者信用業者環聯疑因管理者使用弱密碼驚傳資料外洩、AvosLocker鎖定臺灣等多國關鍵基礎設施而來   iThome

在今天的資安新聞中,消費者信用業者環聯(TransUnion)的南非分公司的資料外洩事故,原因很可能是管理者使用極為容易被猜到的弱密碼,而讓駭客輕易得手;再者,美國針對去年出現的勒索軟體AvosLocker提出警告,表示該勒索軟體大肆對於關鍵基礎設施出手。         

<回到新聞條列重點>    

玩家小心!外媒爆料:《艾爾登法環》PC版出現駭客漏洞、進入無限死亡循環     自由時報電子報

現在電玩界最紅的遊戲非《艾爾登法環》莫屬,由萬代南夢宮和FromSoftware合作開發,自2月25日發布以來,已在全球賣出1,200萬套,不過外媒現在警告PC玩家,遊戲似乎出現漏洞,會讓玩家陷入死亡無限循環。    

<回到新聞條列重點>    

遇見網路釣魚詐騙怎麼辦? 專家給出六大要訣可避免被騙  ETtoday新聞雲

趨勢科技指出,近日接獲網友回報,利用 Google 搜尋「金石堂」,點入第一條連結,竟被要求輸入帳號或信用卡號碼,仔細發現該網址與搜尋結果頁面其它金石堂書店網址不一樣,為山寨金石堂網路書店,提醒網友別輕易輸入個資。    

<回到新聞條列重點>    

ARTC 攜義隆、友達、奇美,成立車用 AI 電子聯盟       INSIDE

財團法人車輛研究測試中心(ARTC)今天宣布跟義隆電子、友達光電、奇美車電、中華汽車、華德動能、成運汽車、創奕能源、大聯大品佳等公司,組織成立「車用 AI 影像晶片與智慧座艙顯示模組產業聯盟」,面對全球汽車快速電動化,ARTC將會在車用晶片、車用 AI、相關感應器 AIoT 裝置、甚至到車用面板等領域建立聯盟,搶佔全球電動車三電中的電控領域。         

<回到新聞條列重點>    

俄國殭屍網路程式Cyclops Blink瞄準華碩路由器      iThome

趨勢科技近日發現俄羅斯殭屍網路程式Cyclops Blink鎖定並感染華碩的路由器,華碩表示正在製作修補程式,呼籲用戶將裝置重設到出廠設定、更新韌體、變更管理員密碼,以及關閉遠距管理功能。         

<回到新聞條列重點>    

隨著台灣資安產業轉向雲端應用,防禦惡意攻擊應多管齊下          CIO IT經理人

近來國際社會因為俄羅斯與烏克蘭的衝突,充滿了一股詭譎的氣氛,雖然戰爭結果尚未明朗,但隨著駭客的積極參與,戰場也轉移至虛擬的網路資安攻防,不少資安專家更示警此波危機恐殃及全球。台灣自總統蔡英文上任後,即全力推動「資安即國安」的國家發展藍圖,積極打造六大核心戰略產業,其中資安產業更是台灣必須把握的關鍵,預估相關產值將於2025 年達到800億元。

<回到新聞條列重點>    

不只號召IT大軍對抗實體坦克 更撼動全球科技圈紛紛出手制裁 烏克蘭戰爭的科技衝擊     iThome電腦報周刊

俄羅斯入侵烏克蘭的這場傳統區域戰爭,因為科技和網路,展現了截然不同的新打法,烏克蘭靠社群對全球即時發布第一線消息,上網號召駭客加入IT大軍,用IT對抗坦克和火箭,更將Twitter變成對全球發言的頻道,動員科技圈紛紛群起杯葛俄羅斯,不只衝擊多國外交政策,更影響了許多企業在全球的布局。    

<回到新聞條列重點>    

臉書刊登冒用名人背書的加密貨幣廣告,遭澳洲提告     iThome

澳洲競爭與消費者委員會(Australian Competition and Consumer Commission,ACCC)本周把臉書母公司Meta告上了聯邦法院,原因是ACCC認定臉書參與了用來誤導消費者的加密貨幣廣告,違反當地的消費者保護法令與證券法。    

<回到新聞條列重點>    

美國、歐盟警告衛星通訊的網路攻擊風險          iThome

在俄烏戰事爆發後,駭客利用衛星寬頻網路業者Viasat衛星通訊和數據機連線管理介面的組態不當漏洞發動攻擊,導致Viasat歐洲地區服務一度中斷,FBI和CISA發布安全公告要求衛星網路供應商提高警覺。         

<回到新聞條列重點>    

訂閱資安趨勢電子報