《資安新聞周報》 Alexa 再現已逝親人聲音/ 雇主注意: FBI發現有人用盜來個資與Deepfake技術線上求職/ VMWare產品Log4Shell漏洞持續被攻擊

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

FCC命蘋果、谷歌下架TikTok 工商時報電子報    

假冒語音留言通知的網釣郵件再興起,目標竊取美國軍方與大型企業的Office365帳密 iThome

Google發現駭客與ISP聯手以於iPhone上植入間諜程式  iThome 

中國駭客集團以勒索軟體攻擊來掩飾間諜行動  iThome 

駭客宣稱取得450Gb的AMD資料,AMD展開調查 網站 iThome

駭客利用Microsoft Edge WebView2來繞過雙因素認證機制     iThome

VMWare產品Log4Shell漏洞持續被攻擊,1受害者被竊取至少130GB資料  iThome

WFH風險?FBI發現有人用盜來的個資與Deepfake技術求職  iThome

TXOne Networks保護基礎架構 榮獲SC Awards Europe雙料大獎  智動化  

微軟停用臉部辨識功能,因 AI 和你想的不一樣  科技新報網

亞馬遜曝光語音科技新功能:1分鐘再現已逝親人聲音  人間福報網
◼延伸閱讀:讓阿湯哥真假難辨的 Deepfake 技術,是什麼?如何捍衛隱私? 資安趨勢部落格
AI 重建聲音,讓失聲的方基墨重建嗓音參與「捍衛戰士」演出;Alexa 新功能讓過世奶奶可以為孫子講故事

FB、IG廣告多到煩,Web 3.0將是淨土?調查:91%民眾看好,但技術門檻讓人卻步  風傳媒

五分之一的企業已經或將要為其被勒索的資料支付贖金  中央通訊社

勒索軟體也時興抓漏獎勵?LockBit 3.0創首例 ITHome

美、英、紐政府建議企業不要移除、關閉PowerShell  iThome

趨勢科技:更完善資安防護將帶動企業 5G 專網部署  科技新報網

臉書跳出Facebook Protect是什麼?雙重驗證保護「高風險用戶」不被駭  雅虎奇摩

Windows 8.1 明年1月10日終止支援  iThome

重磅披露:中國上百個重要信息系統被美國植入木馬程序  新浪網(臺灣)

Discord 引入「AI 內容審查」對抗詐騙釣魚, Chatsight:提供乾淨機器人帳號  BLOCKTEMPO

「您的個資已外洩」也是詐騙梗 輕熟女不察被轉帳2萬餘元  自由時報電子報

中國抖音潛藏風險 府院官員:各國都提醒中國APP有資安問題  自由時報電子報

Instagram將透過社交擔保、自拍影片確保使用者年齡符合13歲以上並且透過年齡劃分不同內容呈現  Mashdigi

「您的個資已外洩」成詐騙電話新手法!防詐拒當冤大頭用這2招識破  自由時報電子報

網購千元遭騙兩萬元 謊稱個資外洩重設定遭盜領盜刷  匯流新聞網

網購芒果收1元簡訊遭盜刷!手機、電腦防詐騙「這一招」學起來    自由時報電子報  

萬物聯網時代來臨 智慧城市資安躍升國安問題  電子時報網

研究人員破解雲端儲存服務MEGA的加密機制,恢復使用者的RSA私鑰  iThome 

Harmony跨鏈橋遇駭 價值1億美元的加密幣失竊  工商時報電子報

冷錢包是什麼?為何能夠避免NFT、加密貨幣遭竊,一張圖搞懂運作原理  經理人網

FIDO聯盟推IoT設備身分識別FDO標準,紅帽RHEL、Fedora開始支援  iThome

規模HTTPS流量DDoS攻擊鎖定Cloudflare用戶,每秒最高近2,600萬次HTTPS請求 iThome

【資安日報】2022年6月24日,中國駭客透過勒索軟體攻擊掩護間諜行動、駭客持續利用Log4Shell漏洞攻擊VMware遠距工作系統  iThome

讓大廠找上台灣 SEMI推「車用晶片指南  自由時報電子報

【資安日報】2022年6月27日,豐田汽車內裝材料供應商疑遭勒索軟體LockBit攻擊、美國研擬提供中小企業資安事故緊急通報專線  iThome

【不只電信業,未來更要搶攻汽車產業邊緣運算需求】發展2年多,紅帽混合雲產品已能全面支援邊緣    iThome

美資安公司警告 親中網絡鎖定西方採礦公司 中央通訊社

中俄搞鬼?立陶宛公私部門遭網攻 基礎建設恐淪下個目標  自由時報電子報

挪威多家公民營機構遭網路攻擊  中央廣播電臺

CIO Talk第755回 不畏疫情努力調整IT體質 桃園機場加速智慧化機場轉型  iThome

與病毒共存的COMPUTEX少了人潮多了看展樂趣!  站 Ctimes

最新版OpenSSL出現Intel AVX512指令集相關記憶體毁損臭蟲  iThome

【資安日報】2022年6月29日,駭客組織RansomHouse宣稱從AMD竊得機密、研究人員揭露比擬Heartbleed的OpenSSL漏洞  iThome

2008 年幣圈惡夢重現,大交易所紛紛倒地,雷曼式崩盤正上演  科技新報網

資安攻擊 公務機關去年通報696件  自由時報電子報

NFT借貸協議 XCarnival 遭駭損失 387 萬鎂,協商駭客 1500 ETH 賞金與免除刑責BLOCKTEMPO

美國百大醫院網站掛廣告,卻將用戶個資給Meta  iThome

知網遭網路安全審查 中國:握大量關鍵領域數據  新頭殼

Fintech周報第212期:金管會最快年底公布軟體供應鏈安全相關規範,新北市行動支付8月正式上線  iThome

Meta Pay 更名登場,為元宇宙的數位支付邁出第一步  科技新報網

大規模HTTPS流量DDoS攻擊鎖定Cloudflare用戶,每秒最高近2,600萬次HTTPS請求 iThome

CloudFlare當機各大網站動不了  Mlytics助知名電商2分鐘恢復營運  匯流新聞網

【資安日報】2022年6月23日,威聯通NAS設備恐受到PHP漏洞波及、Icefall漏洞恐導致10個廠牌的OT裝置曝險  iThome

發布緩解措施2週後終於迎來修補程式,微軟修補零時差漏洞Follina  iThome

微軟終於承認.NET框架在Win11上存在問題:將努力修復  Xfastest

微軟揭露俄羅斯駭客自開戰以來在全球的攻擊行動  iThome

電郵威脅暴增 100%:依然是首要攻擊途徑  MediaOutReach

北京稱美「酸狐狸」木馬攻擊全世界 這2編號專門針對中國、俄羅斯  新頭殼


FCC命蘋果、谷歌下架TikTok 工商時報電子報

資安研究人員mr.d0x警告,駭客將可利用Microsoft Edge WebView2來注入惡意的JavaScript,繞過雙因素認證機制,或是用來竊取Chrome所存放的Cookie,微軟則呼籲使用者應該維持良好的使用習慣,不要安裝與執行來路不明的應用程式。

本篇報導指出美國聯邦通訊委員會致函蘋果與谷歌,要求兩家公司的應用程式商店移除TikTok,原因是TikTok蒐集大量美國用戶的敏感數據,引發國安疑慮。其中,FCC委員卡爾也指出「TikTok並不像其表面所見,只是用來分享有趣的短片或迷因圖的應用程式而已,這僅僅是表象。TikTok的核心是精巧的監視工具,可蒐集大量個人與敏感數據。」

<回到新聞條列重點>   

亞馬遜曝光語音科技新功能:1分鐘再現已逝親人聲音  人間福報網

今天展示語音智慧助理Alexa一項研發中的新功能:「模擬逝者的聲音、語調」,團隊首席科學家普拉薩(Rohit Prasad)說,人工智慧無法消除疫情帶來的痛苦,卻能將回憶續存。

<回到新聞條列重點>   

達利思發現,五分之一的企業已經或將要為其被勒索的資料支付贖金  中央通訊社

巴黎拉德芳斯–(美國商業資訊)–達利思(Thales)的新研究發現,全球組織繼續受到惡意軟體、勒索軟體和網路釣魚的困擾。事實上,每五家受訪企業中就有一家(21%)在去年遭遇過勒索軟體攻擊;其中43%的企業表示營運受到嚴重影響。

<回到新聞條列重點>   

趨勢科技:更完善資安防護將帶動企業 5G 專網部署  科技新報網

網路資安廠商趨勢科技發表一份最新研究指出,提升 5G 專網在資安與隱私權方面的能力是企業推動 5G 專網計畫的主要動機。

<回到新聞條列重點>   

臉書跳出Facebook Protect是什麼?雙重驗證保護「高風險用戶」不被駭  雅虎奇摩

近期不少人收到臉書跳出「Facebook Protect」通知,這其實是一項為高風險帳號打造的保護機制,為避免社運人士、政府官員、粉絲專頁等高風險帳號遭有心駭客攻擊,官方設計一套雙重驗證措施,協助高知名度帳號採用更強大的安全防護,包括監控潛在的駭客威脅。

<回到新聞條列重點>   

Instagram將透過社交擔保、自拍影片確保使用者年齡符合13歲以上並且透過年齡劃分不同內容呈現  Mashdigi

Instagram提出兩種不同年齡驗證方式,藉此確保使用者年齡至少符合13歲以上,並且能依照青少年或成年人提供各自合適的內容。

<回到新聞條列重點>   

FB、IG廣告多到煩,Web 3.0將是淨土?調查:91%民眾看好,但技術門檻讓人卻步  風傳媒

根據Potato Media Web3.0研究室「數位自主權」民調結果顯示,有66.26%受訪者提到,對目前像是Facebook、Instagram這類Web2.0社群平台的使用感到「體驗越來越差」,其中,多達58.71%民眾都指出「廣告太多」是主要原因,另外25.78%的人則不滿「發文觸及人數越來越低」,僅15.51%是擔心「個資外洩」,可見在實務上,相較於隱私保護,民眾顯然更看重「使用感受」。

<回到新聞條列重點>   

駭客宣稱取得450Gb的AMD資料,AMD展開調查 網站 iThome

勒索軟體集團RansomHouse日前宣稱已成功入侵了AMD,並取得450 GB的AMD資料,RansomHouse為去年底現身的新興勒索軟體集團,有別於傳統的勒索軟體,它的攻擊行動並未包含加密受害者系統上的檔案,而只是入侵受害組織,竊取機密資料,再以外洩資料向受害者勒索,非洲最大連鎖超市Shoprite Group亦於本月出現在RansomHouse的受害名單上。而AMD則對外表示,正在針對此一事件展開調查。

<回到新聞條列重點>   

駭客利用Microsoft Edge WebView2來繞過雙因素認證機制     iThome

資安研究人員mr.d0x上周警告,駭客將可利用Microsoft Edge WebView2來注入惡意的JavaScript,繞過雙因素認證機制,或是用來竊取Chrome所存放的Cookie。

Microsoft Edge WebView2控制器可讓開發人員將HTML、CSS及JavaScript等網頁技術嵌入原生應用程式中,並利用Microsoft Edge作為渲染引擎,以於程式中呈現網頁內容,將可改善桌面應用程式與網頁應用的互動。

<回到新聞條列重點>   

微軟停用臉部辨識功能,因 AI 和你想的不一樣  科技新報網

一直努力開發臉部辨識技術的微軟發表指南「負責任構建人工智慧系統框架」(Microsoft′s framework for building AI systems responsibly),分享微軟負責任的人工智慧標準,也是指導員工如何構建人工智慧系統的框架。微軟決定停用臉部辨識功能──Azure 臉部辨識服務,因這些功能可嘗試推斷某人情緒和身分屬性,如果濫用,可能會使大眾被刻板印象、歧視或不公平對待而拒絕服務。

<回到新聞條列重點>   

Windows 8.1 明年1月10日終止支援  iThom

繼Windows 7之後,微軟本周提醒,微軟將在2023年1月10日終止對Windows 8.1的支援,也不會再銷售付費支援服務。

<回到新聞條列重點>   

VMWare產品Log4Shell漏洞持續被攻擊,1受害者被竊取至少130GB資料  iThome

本篇報導指出,針對尚未修補去年底爆發的Apache Log4j重大漏洞(CVE-2021-44228)的VMware產品用戶,美國網路安全暨基礎架構安全署(CISA)警告這類針對性攻擊仍持續活躍,且已有受害組織因此外洩至少130GB內部資料,VMware官方也呼籲政府及企業應實施多因素驗證,使用強密碼及最低權限以限制使用者存取。

<回到新聞條列重點>   

WFH風險?FBI發現有人用盜來的個資與Deepfake技術求職  iThome

美國聯邦調查局(FBI)的犯罪投訴中心(IC3)本周警告,有愈來愈多的雇主投訴,許多爭取在家工作或遠端工作職缺的求職者盜用他人的資訊,同時利用Deepfake技術來面試。提出投訴的許多職缺涉及資訊技術、電腦程式、資料庫與軟體相關領域,有些職缺甚至可以存取客戶的身分資料、金融資料、企業資料庫或私有資訊。

<回到新聞條列重點>   

TXOne Networks保護基礎架構 榮獲SC Awards Europe雙料大獎  智動化

資安領導廠商TXOne Networks(睿控網安)日前宣布榮獲SC Awards Europe 2022兩項大獎,其中TXOne的Stellar系列,被評選為「最佳端點防護」;而Trend Micro Portable Security 3 Pro,則被評選為「最佳合規控管工具與解決方案」。

<回到新聞條列重點>   

重磅披露:中國上百個重要信息系統被美國植入木馬程序  新浪網(臺灣)

28日,國家計算機病毒應急處理中心和360公司分別發佈專題研究報告,同日披露美國國家安全局(NSA)所屬的又一款網路攻擊武器「酸狐狸」漏洞攻擊武器平台(以下簡稱「酸狐狸平台」)。相關專家對《環球時報》記者表示,「酸狐狸平台」是NSA下屬計算機網路入侵行動隊的主戰裝備,攻擊範圍覆蓋全球,重點攻擊目標指向中國和俄Rose,美國的做法不能不讓人懷疑其正在積極為發動更大規模的網路戰做準備

<回到新聞條列重點>   

美、英、紐政府建議企業不要移除、關閉PowerShell  iThome

美國、英國及紐西蘭安全主管機關對企業及政府機關發布聯合公告,指出PowerShell多次涉入惡意程式攻擊,但官方建議應採取適當組態和監控,由於PowerShell作為Windows普及工具,卻被駭客用來發動攻擊,官方建議管理員將PowerShell升級到最新的7.2版,以獲得更好的安全管理功能。

<回到新聞條列重點>   

Discord 引入「AI 內容審查」對抗詐騙釣魚, Chatsight:提供乾淨機器人帳號      BLOCKTEMPO

據外媒 Decrypt 報導,Discord 將引入 Chatsight 資安公司的 AI 內容審查技術來減少相關的詐騙與釣魚行為, Chatsight 會使用空氣裂口技術來保證取得機器人權限的是乾淨帳號,並且能提供伺服器管理員相關控制權。並稱不會真的記錄審查言論,只會協助刪除不恰當的內容。

<回到新聞條列重點>   

「您的個資已外洩」也是詐騙梗 輕熟女不察被轉帳2萬餘元  自由時報電子報

歹徒竟透過「反詐」來進行詐騙!台北市30多歲的林姓女子,日前接獲詐騙集團來電,表示「因電商業者個資外洩,導致您的訂單錯誤」,要求她提供銀行帳號及操作網路電子支付轉帳,林女一時不察依照對方指示操作,最後等到銀行帳戶金額遭轉出2萬餘元,才知遭詐。

<回到新聞條列重點>   

「您的個資已外洩」成詐騙電話新手法!防詐拒當冤大頭用這2招識破  自由時報電子報

詐騙集團話術花招百出且不斷推陳出新。網購消費潛藏個資外洩危機,讓經常手滑網購的消費者,不免會擔心個資或付款資訊外洩,相對地,也讓不肖詐騙集團抓準消費者的心理弱點,最近開始利用「您的個資已外洩」,這句話作為詐騙話術誘餌的新梗,且已有民眾不慎誤信上當受騙,導致銀行戶頭錢財平白無故損失。

<回到新聞條列重點>   

網購千元遭騙兩萬元 謊稱個資外洩重設定遭盜領盜刷  匯流新聞網

刑事警察局觀察,近來解除分期付款詐騙手法,已演變為「因電商業者個資外洩,訂單錯誤需核對基本資料。請提供個人銀行帳號、信用卡資訊並接收簡訊驗證碼,以協助取消錯誤設定」的新話術。警方表示,1名30餘歲女子,網購千元化妝品,就被這種詐騙模式,銀行帳戶被盜領了兩萬餘元。

<回到新聞條列重點>   

網購芒果收1元簡訊遭盜刷!手機、電腦防詐騙「這一招」學起來    自由時報電子報

夏天是台灣水果盛產的旺季,許多果農都會透過臉書社群平台,提供網友們在果農自家的粉絲團頁面上,下單訂購水果「產地直送」的網購服務。然而,卻有不少熱心力挺果農的網友,不慎誤入詐騙新型態的釣魚陷阱手法,導致個資外洩且信用卡遭盜刷事件頻傳。

<回到新聞條列重點>   

萬物聯網時代來臨 智慧城市資安躍升國安問題   電子時報網

智慧時代來臨,同時5G的發展也串連物聯網創新應用帶來更多可能性。不過市場商機雖誘人,但由於智慧應用生態系多半是跨域整合,IT架構環境從封閉走向開放,伴隨而來的資安疑慮將更為複雜,甚至可能上升為國安問題。尤其智慧城市的發展以城市基礎建設為主,一旦出現資安漏洞,從城市乃至整個國家都會陷入大麻煩。

<回到新聞條列重點>   

假冒語音留言通知的網釣郵件再興起,目標竊取美國軍方與大型企業的Office365帳密  iThome

雲端安全服務商Zscaler發現新一波網釣郵件是假冒語音留言的通知信,信中附檔內的URL分兩階段將用戶重導至釣魚網站,攻擊目標廣泛且針對特定產業,包括美國軍方、醫療保健及製藥廠,以及製造業的供應鏈,還有軟體安全廠商,甚至有假冒成公司語音留言的通知信,企圖讓員工以為是公司寄來的通知信,實際上,則是被引導至釣魚網站,騙取自身所用的微軟帳號。

<回到新聞條列重點>   

Google發現駭客與ISP聯手以於iPhone上植入間諜程式  iThome

Google本周揭露了由義大利商業駭客公司RCS Labs所支援的駭客行動,鎖定義大利與哈薩克的Android裝置及iPhone用戶展開攻擊,藉由側載手法入侵使用者裝置,在針對iPhone的攻擊中,ISP甚至與駭客聯手,促使受害者下載了由駭客所提供的偽造電信程式。

<回到新聞條列重點>   

中國駭客集團以勒索軟體攻擊來掩飾間諜行動  iThome

從勒索軟體特性、受害單位屬性,再加上使用的工具與基礎設施,都與中國政府贊助的網路攻擊行動有所牽連,讓研究人員強烈懷疑中國駭客集團Bronze Starlight其實是利用勒索軟體來隱藏真實間諜行動

<回到新聞條列重點>   

研究人員破解雲端儲存服務MEGA的加密機制,恢復使用者的RSA私鑰  iThome

蘇黎世聯邦理工學院(ETH Zurich)電腦科學系應用密碼組的3 名研究人員在本周,揭露了知名雲端儲存服務MEGA的安全漏洞,只要利用儲存使用者加密金鑰的MEGA伺服器上缺乏完整性保護的瑕疵,就能允許駭客恢復使用者的RSA私鑰,並解密屬於使用者的密文。MEGA在今年3月收到研究人員的通知,並於本周修補了主要的漏洞。

<回到新聞條列重點>   

Harmony跨鏈橋遇駭 價值1億美元的加密幣失竊  工商時報電子報

加密貨幣新創公司Harmony開發的跨鏈橋Horizon遭受駭客攻擊,估計價值1億美元的加密貨幣失竊,成為跨鏈橋最新受害案例。

<回到新聞條列重點>   

冷錢包是什麼?為何能夠避免NFT、加密貨幣遭竊,一張圖搞懂運作原理  經理人網

密貨幣的興起,除了帶來新商機,也帶來新的犯罪機會。據區塊鏈數據平台 Chainalysis 統計,2021 年有價值約 32 億美元的加密貨幣遭竊,與 2020 年相比增長了 516%。近來,主要以加密貨幣進行交易的 NFT,相關的偷竊、詐騙事件也層出不窮。

<回到新聞條列重點>   

FIDO聯盟推IoT設備身分識別FDO標準,紅帽RHEL、Fedora開始支援  iThome

     去年底發布的FIDO標準規範,在2022年上半年,已逐漸成為一大新趨勢,近期紅帽釋出的RHEL 8.6與9.0版,當中強調將聚焦邊緣管理,及新增支援FIDO安全標準規範,以減少現場或遠端集中部署的管理負擔,充分反映整個出IT產業對於FIDO標準的積極程度,值得國內企業及產業關注。

<回到新聞條列重點>   

大規模HTTPS流量DDoS攻擊鎖定Cloudflare用戶,每秒最高近2,600萬次HTTPS請求 iThome

雲端服務業者Cloudflare揭露發出大量請求的DDoS攻擊事故,駭客透過雲端伺服器與VM產生HTTPS流量,發出的請求次數為每秒近2,600萬次,由於駭客利用了流量成本及濫用雲端服環境的VM以及伺服器主機來發動攻擊,較沒有加密的流量高出許多,因此代表駭客可能隱匿攻擊的來源。

<回到新聞條列重點>   

勒索軟體也時興抓漏獎勵?LockBit 3.0創首例 IT Home

號稱全球最大惡意程式原始碼、樣本及研究報告資源庫的vx-underground,發現Lockbit幕後組織針對自家勒索軟體新版本發布抓漏獎勵專案

<回到新聞條列重點>   

【資安日報】2022年6月24日,中國駭客透過勒索軟體攻擊掩護間諜行動、駭客持續利用Log4Shell漏洞攻擊VMware遠距工作系統  iThome

有駭客組織發動勒索軟體攻擊的目的,竟是為了對受害組織進行網路間諜行動;Log4Shell漏洞被用於攻擊VMware遠距工作系統的情況,現在仍然相當嚴重,而使得美國政府再度提出警告

<回到新聞條列重點>   

讓大廠找上台灣 SEMI推「車用晶片指南」    自由時報電子報

SEMI AUTO IC MASTER(車用晶片指南)昨正式發布。經濟部長王美花表示,台灣長期做IC設計,跨到車用領域具有相當程度的利基點;聯電榮譽副董事長宣明智說,在SEMI(國際半導體產業協會)努力下,催生出全球首本車用晶片指南,讓全球大廠能迅速找到台灣供應商。

<回到新聞條列重點>   

【資安日報】2022年6月27日,豐田汽車內裝材料供應商疑遭勒索軟體LockBit攻擊、美國研擬提供中小企業資安事故緊急通報專線  iThome

豐田旗下的汽車內裝材料供應商TB Kawashima泰國子公司遭到攻擊,勒索軟體駭客LockBit宣稱是他們下手;針對中小企業的攻擊事故因應,美國打算建立通報資安事故的311專線

<回到新聞條列重點>   

【不只電信業,未來更要搶攻汽車產業邊緣運算需求】發展2年多,紅帽混合雲產品已能全面支援邊緣    iThome

過去一年來,紅帽全力積極布局邊緣運算產業,作為搶攻更多邊緣場景的新戰略,在紅帽混合雲產品全面落地邊緣以後,不只電信業,下一步更要瞄準汽車產業,實現更多邊緣創新應用

<回到新聞條列重點>   

美資安公司警告 親中網絡鎖定西方採礦公司 中央通訊社

美國資安公司麥迪安(Mandiant)今天發布報告表示,一家親中國的線上網絡公司正在鎖定西方採礦企業,這些企業專門採集用於製造智慧型手機和其他高科技產品所需的元素。

<回到新聞條列重點>   

中俄搞鬼?立陶宛公私部門遭網攻 基礎建設恐淪下個目標  自由時報電子報

立陶宛國防部27日聲明指出,該國公、私部門多個機構遭駭客網路攻擊,且接下來幾天恐將持續發生,多項基礎建設可能會成為下個目標。

<回到新聞條列重點>   

挪威多家公民營機構遭網路攻擊   中央廣播電臺

挪威國家安全局(NSM)今天(29日)發表聲明說,挪威多家公、民營機構的網路,在過去24小時中,都遭到所謂的大規模阻斷服務攻擊(DDoS)。

聲明指出,「一個親俄羅斯的犯罪團體似乎是這波網路攻擊的幕後元兇。」

<回到新聞條列重點>   

CIO Talk第755回 不畏疫情努力調整IT體質 桃園機場加速智慧化機場轉型  iThome

受到COVID-19衝擊,儘管機場旅客、航班大幅減少,桃園機場兩年來仍投入新科技,並導入微服務、容器管理,建立統一標準化的資料交換平臺,讓內部資訊架構跟得上現代機場發展腳步

<回到新聞條列重點>   

與病毒共存的COMPUTEX少了人潮多了看展樂趣!  站 Ctimes

COMPUTEX 2022實體展,受到疫情的影響,實體的展覽攤位數與面積都較以往縮減,參觀人數也大不如前。然而整體的看展品質,卻受惠於更餘裕的交流空間而有所提升,多添了新的樂趣。

最新版OpenSSL出現Intel AVX512指令集相關記憶體毁損臭蟲  iThome

6月21日釋出的OpenSSL 3.0.4含有遠端記憶體毁損臭蟲,雖然不影響舊版OpenSSL函式庫,但發現臭蟲的研究人員認為,這是一個在某些情境下,會引發比Heartbleed更嚴重災情的安全漏洞

<回到新聞條列重點>   

【資安日報】2022年6月29日,駭客組織RansomHouse宣稱從AMD竊得機密、研究人員揭露比擬Heartbleed的OpenSSL漏洞  iThome

駭客組織RansomHouse聲稱從AMD得手450 GB內部資料,並取笑該公司員工大量使用弱密碼而能輕易得手;研究人員在加密程式庫OpenSSL近期推出的版本裡,發現了影響程度與Heartbleed不相上下的新漏洞

<回到新聞條列重點>   

2008 年幣圈惡夢重現,大交易所紛紛倒地,雷曼式崩盤正上演  科技新報網

回頭看金融史,危機總是驚人相似,歷史不斷重演。這次高舉去中心化金融革命旗幟的幣圈也不例外,甚至危機到來速度和災難規模更令人傻眼。約一個多月前,全球第四大、市值超過400億美元的穩定幣系統Luna-UST突然崩盤,震驚金融市場。但很多人可能不會想到,看似獨立事件,會在接下來一個多月對整個加密業產生多大影響。一隻蝴蝶輕拍翅膀,世界另一端就產生颶風。2008年雷曼兄弟破產引發全球金融危機,如今從LUNA歸零開始引發的蝴蝶效應,也一點一點席捲幣圈。

<回到新聞條列重點>   

資安攻擊 公務機關去年通報696件  自由時報電子報

政府各機關頻遭網軍資安攻擊,根據行政院統計,全國包括中央與地方公務機關去年通報多達六九六件資安事件,較前年的五二五件成長逾三成。去年度以遭到非法入侵的型態為最大宗,比率高達六十三.三二%;而較為嚴重的三級資安事件,比率占二.三七%,其中有部分機關發生個資外洩。行政院強調,將持續精進落實各項資安防護工作。

<回到新聞條列重點>   

NFT借貸協議 XCarnival 遭駭損失 387 萬鎂,協商駭客 1500 ETH 賞金與免除刑責  BLOCKTEMPO

NFT 質押協議 XCarnival 於 26日晚間遭攻擊,駭客得手 3,087 枚 ETH,而今日官方疑似宣稱與駭客達成協議,將獎勵駭客 1500 ETH 以及免除其法律責任作為歸還資產的要求。攻擊消息一出後,XCV 代幣下跌了 13.69 %。

<回到新聞條列重點>   

中國抖音潛藏風險 府院官員:各國都提醒中國APP有資安問題  自由時報電子報

來自中國的抖音(TikTok)在台灣蔚為風潮,特別是受到不少年輕人喜愛,學者專家提醒政府應密切注意,避免中國對台統戰與資訊滲透,府院官員今天接受本報訪問時指出,世界各國政府近年來都注意到中國的APP包括抖音在內有資安疑慮,因此紛紛提醒中國的APP有資安風險,呼籲國人使用經工業局資安認證的APP。

<回到新聞條列重點>   

美國百大醫院網站掛廣告,卻將用戶個資給Meta  iThome

非營利媒體組織《TheMarkup》揭露,《新聞周刊》 (Newsweek)公布的美國前100大醫院中,有33家的醫院網站安裝了MetaPixel,Meta Pixel是一個供廣告主於自家網站上追蹤廣告效果的分析工具,網站只要安裝了Meta Pixel就能辨識造訪者是否為臉書或IG用戶,並追蹤這些使用者在網站上的行為。

<回到新聞條列重點>   

知網遭網路安全審查 中國:握大量關鍵領域數據  新頭殼

中國官方昨天對國內最大的學術資料庫「知網」展開網路安全審查,指知網掌握大量個資、國防與電信等重要行業數據,以及關鍵技術的敏感資訊。知網5月也因涉壟斷被調查。

<回到新聞條列重點>   

Fintech周報第212期:金管會最快年底公布軟體供應鏈安全相關規範,新北市行動支付8月正式上線  iThome

金管會資訊服務處處長蔡福隆近日透露,計畫參考美國軟體供應鏈的做法,在今年年底前,揭露金融業軟體供應鏈相關資安管理規範。

<回到新聞條列重點>   

Meta Pay 更名登場,為元宇宙的數位支付邁出第一步  科技新報網

Facebook 母公司 Meta 正為元宇宙(Metaverse)的數位支付邁出第一步,由祖克柏(Mark Zuckerberg)宣布原先的「Facebook Pay」更名為「Meta Pay」。本質上是與過去相同的支付工具,當要購物、匯款或者捐款時,仍能在 Facebook、Instagram、Messenger 等 App 安心付款;未來則會成為元宇宙的錢包服務,讓用戶管理自己的身分、所擁有的數位物品以及如何進行支付。

<回到新聞條列重點>   

大規模HTTPS流量DDoS攻擊鎖定Cloudflare用戶,每秒最高近2,600萬次HTTPS請求 iThome

雲端服務業者Cloudflare揭露發出大量請求的DDoS攻擊事故,駭客約從晚上10時26分30秒開始行動,透過雲端伺服器與VM產生HTTPS流量,網路攻擊流量在約3秒之後達到高峰,發出的請求次數為每秒近2,600萬次

<回到新聞條列重點>   

CloudFlare當機各大網站動不了  Mlytics助知名電商2分鐘恢復營運  匯流新聞網

知名網站代管平台CloudFlare傳出大當機,包括社群平台 Discord、聊天網站Omegle、外送平台DoorDash等全球知名網路廠商皆受影響,甚至連PTT也一度當機,出現500錯誤而無法開啟。包括台灣知名大型電商也在這波突發當機事件中受到影響,導致使用者無法順利造訪網站。摩速科技Mlytics透過平台上由全球多家知名CDN組成的「融合CDN」解決方案,即時將流量調度至其他可用性高的CDN,成功在2分鐘內順利協助該電商網站的網站恢復營運。

<回到新聞條列重點>   

【資安日報】2022年6月23日,威聯通NAS設備恐受到PHP漏洞波及、Icefall漏洞恐導致10個廠牌的OT裝置曝險  iThome

威聯通近期針對旗下的NAS產品,修補了與PHP元件有關漏洞,並呼籲用戶儘速升級新版作業系統軟體;此外,工控設備出現OT:Icefall漏洞,已波及10個廠牌裝置,值得留意!

<回到新聞條列重點>   

發布緩解措施2週後終於迎來修補程式,微軟修補零時差漏洞Follina  iThome

微軟於6月份的每月例行修補(Patch Tuesday)中,著手處理涉及Windows診斷工具(MSDT)的零時差漏洞CVE-2022-30190(Follina),並對於Windows 7與Windows Server 2008以上的作業系統發布更新軟體,

由於所有版本Windows都受影響,用戶應儘速套用更新軟體來降低風險

<回到新聞條列重點>   

微軟終於承認.NET框架在Win11上存在問題:將努力修復  Xfastest

不少Win11的用戶都曾或多或少的意識到過:微軟自家的.NET框架和這套新的系統,似乎有一些不那麼兼容。

在此前,微軟就以為.NET的兼容性問題,專門對Win11進行過更新維護,但現在,又有大量使用Visual Studio 2022用戶反饋,稱最新的Win11版本出現了與.NET相關的兼容性問題。

<回到新聞條列重點>   

微軟揭露俄羅斯駭客自開戰以來在全球的攻擊行動  iThome

根據微軟的分析,俄羅斯至少有三大網路攻擊策略,一是在烏克蘭境內發動破壞式的攻擊,二是在烏克蘭境外展開網路滲透與間諜攻擊,三則是針對全球使用者進行影響力行動。

然而,當戰爭涉及網路時,由於缺乏疆界或海洋的保護,其影響層面便擴及全球,攻擊如此,防禦也是,促使烏克蘭非常仰賴其它國家、企業及非政府組織的共同防禦能力。

<回到新聞條列重點>   

電郵威脅暴增 100%:依然是首要攻擊途徑  MediaOutReach

“我們每年都能看到威脅形勢的創新以及企業攻擊面的演變,但每年電子郵件仍然是組織的主要威脅,”趨勢科技威脅情報副總裁 Jon Clay 說。“防禦者在減輕這些風險方面的最佳選擇是採取基於平臺的方法,對威脅進行強有力的曝光,並提供無限制的簡化預防,檢測和回應。

<回到新聞條列重點>   

北京稱美「酸狐狸」木馬攻擊全世界 這2編號專門針對中國、俄羅斯  新頭殼

中國國家計算機病毒應急處理中心與「奇虎360」公司 28 日發布研究報告稱,美國國家安全局(NSA)以一款網路攻擊武器「酸狐狸」漏洞攻擊武器平台對全世界進行攻擊,且重點攻擊目標為中國與俄羅斯。

<回到新聞條列重點>   

加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上

好友人數
FBIGYoutubeLINE官網