本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- SolidBit 勒索病毒跨足勒索病毒服務 (RaaS) 並使用新的變種瞄準遊戲玩家與社群媒體使用者
- Mac XProtect 是什麼?是否足以保證你的Mac安全?
- 【警訊】你更新了嗎? 蘋果 iPhone、iPad、Mac 曝嚴重安全漏洞,可讓駭客遠端控制你的手機、平板和電腦
- Alibaba OSS Bucket 遭駭客入侵並使用圖像隱碼術(Steganography)散播惡意指令列腳本
- ICS 與 OT 網路攻擊趨勢
- 《上週資安新聞周報》半數安卓用戶考慮改用iPhone 的關鍵原因曝光/OT裝置有漏洞,如何緩解資安危機?/資安長異動兩天內須申報/遇「假臉」Deepfake視訊交友 2大招拉下假面具
資安新聞精選
車聯網資安與生命安全掛鉤 台灣產業轉型準備好了嗎? 電子時報網
汽車化身服務載體 車路雲聯網協作時代來臨 電子時報網
盤點未來汽車 6 大趨勢!車內元宇宙、客製功能訂閱制,哪些真的可能會實現? 科技報橘網
趨勢科技與 Schneider Electric 結盟 加速實現工業物聯網防護 新聞稿自助吧
5G技術打造「嬰兒遠端智慧監測」 染疫可即時控管心率血氧 CTWant
機器人商機上看8000億 經長按讚:多機控制新科技挑戰億元募資 ETtoday新聞雲
電子五哥都用AR管工廠!鴻海、廣達、華碩工業展秀肌肉 經濟日報網
鴻海推機器人整合平台 經濟日報網
勒索軟體LockBit聲稱遭到來自受害者Entrust的DDoS攻擊 iThome
微軟揭露ChromeOS風險值9.8的重大DoS漏洞 iThome
他收到駭客寄來的「詐騙版」Office 2021,附安裝序號、安裝隨身碟還帶有微軟LOGO T客邦
微軟安全團隊發現互聯網上出現了新的「加密劫持者」 iFuun.com
前安全主管控Twitter有問題 3大點藏缺陷 聯合新聞網
亞太為資安高風險區 企業應打造數位信任 工商時報電子報
男控個資遭外洩!北醫5點回應「加掛作業點選誤按」並致歉 三立新聞網
幣安公關長遭Deepfake冒用,欺騙合作方!高科技詐騙怎麼防? 數位時代
假Cloudflare的DDoS防護頁對Wordpress用戶發動掛馬攻擊 iThome
FBI警告代理伺服器及伺服器配置檔被用於帳密填充攻擊 iThome
PwC:4成美國企業視資安為嚴重風險,38%嘆人才難尋 MoneyDJ 理財網
比特幣ATM危險!General Bytes爆漏洞遭駭客竊幣已2年,全台灣有18台服役中 BLOCKTEMPO
分析工具顯示Tiktok、IG App內建的瀏覽器會蒐集用戶資料 iThome
TikTok再爆隱私疑慮 公司坦承以內建瀏覽器追蹤用戶鍵盤操作 中時新聞網
駭客開採General Bytes比特幣ATM漏洞,直接轉走用戶存入的比特幣 iThome
Google Cloud在今年6月平息了每秒請求達4,600萬次的DDoS攻擊,比Cloudflare的紀錄多出76% iThome
Google修復Pixel手機「150個Bug」!快更新Android 13 自由時報電子報
PUA是什麼?居然還能出課程?惡劣招數退散!防範PUA情緒勒索可以怎麼做? 妳的煩惱顧問
手機莫名被廣告轟炸恐中招!35 款惡意App流竄Google Play 被揪出 自由時報電子報
境外網攻頻傳 陸製零件家電竟然也能扮駭客 經濟日報網
當心!詐團假冒衛福部發送釣魚連結 8成利用電子支付盜轉 中時新聞網
零信任已成為資安界的最大共識 iThome
資安人員:iOS VPN 壞了,蘋果知情但不修 科技新報網
蘋果緊急修補已被開採的兩個零時差漏洞,波及Mac、iPhone與iPad iThome
蘋果前員工承認竊取汽車專案商業機密 iThome
東大生畢業後第一志願是「創業」!日本新創氛圍為何迎來「史無前例」的活躍期? 科技報橘網
HITCON 2022破千名海內外資安專家齊聚,同場飆技術一舉大展駭客文化! T客邦
2022 台灣駭客年會第二日:加強資安培育,培養相關人才並提升資安素養 INSIDE
HITCON 2022揭露臺灣資安研究最新趨勢,剖析微軟IIS、健保卡弱點與新型偵測技術 iThome
駭客年會產官學交流資安 金融業製造業將強化情資分享 自由時報電子報
蔡:中國網攻混合戰在台上演 自由時報電子報
臺灣資安盛會HITCON PEACE登場,總統蔡英文指出網攻混合戰升溫,產官學界攜手駭客社群文化與能量,強化國家整體韌性 iThome
【資安日報】2022年8月24日,8萬臺海康威視IP攝影機曝露於重大漏洞風險、伊朗駭客APT35竊取特定人士Webmail信件 iThome
以色列駭客公司NSO Group執行長下臺,計畫裁撤100名員工 iThome
【資安日報】2022年8月23日,駭客針對俄羅斯控制的克里米亞發動認知戰、惡意軟體Escanor攔截OTP動態密碼資訊攻擊網銀用戶 iThome
無人機「資料送中」恐害國安 立委力倡後台須在設台灣 自由時報電子報
趨勢科技研究:複雜IT環境減弱資安防護信心 工商時報電子報
半導體E187資安標準的下一步:供應鏈資安健檢 電子時報網
企業部署物聯網 投報率逾6成符合期待 電子時報網
這3個安全開發框架幫助企業強化資安基礎,長期遵循更可以提升開發效率! CIO IT經理人
智慧醫療資安立法 醫材設備商該如何著手部署 iThome
Gitcoin推去中心化身分認證「Gitcoin Passport」想進入社群得蒐集專屬印章 網路資訊雜誌
快試試 InAppBrowser 工具程式!檢查是否有 App 內建瀏覽器在追蹤你 科技新報網
迎接Web3 強化資安刻不容緩 KPMG安侯建業:擁抱科技 更要務實思考 天下雜誌
推特前資安主管吹哨 前東家誤導美國聯邦主管機關 台灣蘋果日報網
【VPN推薦】2022精選10款「好用VPN」推薦!讓你暢通解鎖兼具隱私安全 PopDaily 波波黛莉
國立教育廣播電臺【新聞真假掰】專訪洪貞玲(臺大新聞所教授):2022 假訊息大調查 台灣事實查核中心
資安防駭大作戰 5檔潛力黑馬閃亮登場 常春月刊
IoT 硬體商不再擔憂作業系統安全問題!Ubuntu 如何成為物聯網應用的最安全後盾? 科技報橘網
強化資安 政府及企業迫在眉睫 工商時報電子報
官網癱瘓、看板被駭嚴重嗎?專家解析資安危機有分程度 自由時報電子報
導入雲服務 精誠助高爾夫球廠富鐿實業轉型智慧製造 經濟日報網
恆逸>>這6款App竊你個資,身為App開發者更需小心有心人士鑽漏洞 iThome
謠言終結站》臉書要求粉專驗證身份? 是釣魚網站! 自由時報電子報
謠言終結站》網傳出現勞保局假繳費單? 查核:那是真的! 自由時報電子報
蘋圖解/玩加密貨幣如何避免被詐騙?告訴你 5 大關鍵辨識方法 蘋果仁
【iThome 2022 CIO大調查(中)|DevOps能力分析】臺灣企業DevOps能力首度揭露數據,僅4.2%企業是精英 iThome
陽明交大開設科技犯罪偵查碩士在職專班 創全台首例 自由時報電子報
Google Cloud IoT Core服務將於明年8月關閉 凸顯Google計畫重整物聯網發展策略 聯合新聞網
三立與Potato Media聯手 創電視媒體跨足元宇宙首例 經濟日報網
打擊人蛇集團!警政署「首次提供」專線 檢舉成功有獎金 三立新聞網
資安即國安》量子電腦即將出現 台灣不追求技術創新就無資安可言 信傳媒
播放Janet Jackson音樂影片造成數款老舊筆電掛點 iThome
中共駭美畜牧系統 企圖影響民生 青年日報
【資安日報】2022年8月19日,中國駭客Winnti將Cobalt Strike拆解以規避偵測、使用惡意軟體Bumblebee的駭客企圖挾持組織AD iThome
警方第二季接獲3,737件通報,是前一季的3倍 博客來、迪卡儂疑嚴重個資外洩 iThome電腦報周刊
趨勢科技 (ZDI) 漏洞懸賞計畫蟬聯漏洞公開揭露領導地位 連續第 15 年持續擴大漏洞揭露市場領導地位 T客邦
微軟發布包含.NET 6的Ubuntu小型同捆映像檔 iThome
微軟按需雲端開發箱Dev Box開始預覽 iThome
現行法令已能「打假」 設專責機構不如委託民間 NCC推《數位中介服務法》 難有實質效益 今周刊
全國首次資安攻防演練 衛福部以林口長庚為示範基地 聯合新聞網
沉默的戰爭 資安就是國安 中時新聞網
【資安日報】2022年8月18日,駭客即將突破Android 13安全防護機制、勒索軟體BlackByte 2.0網站提供新的付費項目 iThome
車聯網資安與生命安全掛鉤 台灣產業轉型準備好了嗎? 電子時報網
汽車資安恐將影響到乘客隱私與生命安全問題,已然形成新一代汽車產業發展的核心關鍵。EY安永企業管理諮詢服務公司副總經理魯君禮表示,過去歐洲非常注重資訊安全,但進入到電動車、智慧車、連網車的車聯網世代後,美國與中國在車聯網卻取得領先優勢,原因在於,歐洲認為物聯網的安全度難以掌控,其次,歐洲普遍對隱私的保護概念相當高。而台灣汽車產業鏈在轉型的路上,從技術、管理思維到應變速度、韌性上,也都要作好轉型的準備。
汽車化身服務載體 車路雲聯網協作時代來臨 電子時報網
隨著汽車產業進入車聯網時代,除了企業投入於市場拓展外,資策會、交通部、台灣車聯網產業協會等單位也投入技術研發。根據IDC數據,2024年全球出貨的智慧連網車約7,620萬輛,將佔2024年新車出貨量的71%;而根據5G汽車協會(5GAA)觀察,人工智慧(AI)智慧時代來臨,智慧交通產業將朝向車路雲聯網協作發展,共享整合型應用服務,而汽車將化身成重要的車聯網服務載體。
盤點未來汽車 6 大趨勢!車內元宇宙、客製功能訂閱制,哪些真的可能會實現? 科技報橘網
汽車產業面臨的諸多轉型挑戰,可以歸納為 C.A.S.E 四大面向:車聯網(Connected)、自動駕駛(Autonomous)、共享服務(Shared)、電動化(Electrified)。雖然這一些概念早已不是新聞,但是隨著當年的概念逐步付諸實現,未來的生活更會深受其影響。
趨勢科技與 Schneider Electric 結盟 加速實現工業物聯網防護 新聞稿自助吧
趨勢科技物聯網防護副總裁暨 TXOne Networks 董事長大三川彰彥表示:「數碼科技正帶動新的工業革命,但同時也製造了許多新的資訊保安風險。作為物聯網防護的創新者,趨勢科技擁有守護企業關鍵業務增長所需的工具。我們與 Pro-face by Schneider Electric 的合作,將使更多工業設備用戶能獲得適當工具來保護關鍵控制系統環境,防範漏洞攻擊,創造安全的連線作業環境。」
5G技術打造「嬰兒遠端智慧監測」 染疫可即時控管心率血氧 CTWant
一對父母準備帶新生兒出院返家,在病房收拾東西時手機突然發出警報聲響,放置於床上的新生兒因吐奶造成血氧數值下降異常,幸經即時處置無大礙 ,「嬰兒遠端智慧監測系統」提供最即時、最完善的嬰兒照護。
機器人商機上看8000億 經長按讚:多機控制新科技挑戰億元募資 ETtoday新聞雲
依據調研機構預估,2025年全球機器人市場規模將成長2.5倍,經濟部技術處今(24)日展出12項最新的智慧機器人科技,包括全球最多軸的機器人控制器,可同時控制三個機器人協同作業,也展出可進行軟性材料加工的機器人,軟性材料可達全世界最薄之0.3mm,搶攻全球上看8000億元的機器人商機。
電子五哥都用AR管工廠!鴻海、廣達、華碩工業展秀肌肉 經濟日報網
製造業有新變革,多點製造、短鏈革命、軟體訂閱正改變智慧工廠樣貌,用AR(擴增實境)眼鏡管理工廠,成遠距管理熱門工具,全球大型AR眼鏡品牌EPSON副總黃少白坦言:「不只電子五哥,現在所有人都在試(AR眼鏡)!」而成熟關鍵是生態系必須壯大。
鴻海推機器人整合平台 經濟日報網
鴻海(2317)集團智慧製造布局大躍進,旗下法博智能移動昨(24)日宣布推出自主移動機器人(AMR)與群機自主解決方案(Swarm Autonomy ),是全球第一家以跨品牌系統整合為核心的「企業級機器人管理平台」,將陸續導入面板廠、鴻海的燈塔工廠,並將配合集團規劃,不排除導入鴻海全球的電動車工廠。
勒索軟體LockBit聲稱遭到來自受害者Entrust的DDoS攻擊 iThome
勒索軟體集團LockBit周日(8/21)向vx-underground透露,該集團的資料揭露網站正遭到分散式服務阻斷攻擊(DDoS),而兇手就是被該集團攻擊的美國身分管理業者Entrust。
微軟揭露ChromeOS風險值9.8的重大DoS漏洞 iThome
微軟研究人員本周揭露存在ChromeOS的重大漏洞,可被攻擊者用以發動阻斷服務(Denial of Service,DoS)攻擊,這項編號CVE-2022-2587的漏洞為一記憶體毁損漏洞,本漏洞風險值被列為9.8。攻擊者可修改metadata的音訊,並誘使用戶點擊播放音訊檔觸發,像是以瀏覽器播放、利用配對好的藍牙裝置播放,或是運用中間人攻擊遠端開採這項漏洞,而Google表示已經於6月的安全更新予以修補。
他收到駭客寄來的「詐騙版」Office 2021,附安裝序號、安裝隨身碟還帶有微軟LOGO T客邦
網路釣魚事件層出不窮,不過,通常都是透過Email或是下載軟體偽裝,然後讓使用者交出帳號密碼。不過,最近有一個很特別的案例,有駭客竟然下「重本」,因為他們的釣魚方式,竟然是寄送給送害者一套「原裝」微軟Office 2021套裝軟體。
微軟安全團隊發現互聯網上出現了新的「加密劫持者」 iFuun.com
據悉加密劫持者的惡意軟體感染計算機並使用受害者設備的資源進行挖掘。網路犯罪分子在一種新的挖掘方法中使用文件「notepad.exe」,這是一個用於保存文本筆記的程序。據悉,85%的已註冊的加密劫持者使用了類似的文件。
前安全主管控Twitter有問題 3大點藏缺陷 聯合新聞網
前Twitter安全主管Peiter Zatko透過非營利律師事務所Whistleblower Aid,向美國證券交易委員會、聯邦貿易委員會,以及美國司法部透露,指稱Twitter內部在隱私、安全及內容審核存有驚人的制度缺陷。依照Peiter Zatko說明,Twitter內部在軟體部分就缺乏基本安全措施,同時資料存取權限管理也相當混亂,甚至內部管理流程同樣有不少問題,導致用戶數據隱私安全問題發生數量及頻率都十分驚人。
亞太為資安高風險區 企業應打造數位信任 工商時報電子報
勤業眾信聯合會計師事務所日前參與「台灣駭客年會HITCON PEACE 2022」指出,責任碎片與當責性、數位永續、資料至上、數位世界、獨立思辨、解決方法、科技潛力、互連品質等八大重點為打造數位信任生態系關鍵。
男控個資遭外洩!北醫5點回應「加掛作業點選誤按」並致歉 三立新聞網
一名郭姓男子控訴,自己確診新冠肺炎(COVID-19)隔離期間,意外發現莫名其妙「被掛號」到台北醫學大學附設醫院泌尿科,但他已經1年多沒到北醫看診,也沒被該醫師看過,質疑病歷資料遭盜用,向北檢遞狀提告違反個人資料保護法,並把事發經過發到臉書《爆料公社》。對此,北醫附醫發出五點聲明表示,應為門診診間執行加掛作業,點選時誤按導致該筆記錄。接獲反應後,已同步移除該筆掛號紀錄,不會影響民眾權益,對於造成民眾不便,再次致歉。
幣安公關長遭Deepfake冒用,欺騙合作方!高科技詐騙怎麼防? 數位時代
Hillmann 在 Binance.com 發布的一篇貼文提到,在過去一個月中,他收到幾則訊息感謝他抽空參加 Zoom 的視訊會議,與計畫在交易所上市的團隊見面,討論加密貨幣項目在幣安交易的潛在機會。Hillmann 對此感到非常訝異,因為他從未參與這些項目上市的討論,對於會議內容與人員也完全沒有印象。
假Cloudflare的DDoS防護頁對Wordpress用戶發動掛馬攻擊 iThome
上網時經常可看見DDoS防護頁面,這一般是和網頁防火牆(WAF)或CDN服務廠商檢測網站訪客是真人,還是分散式阻斷服務(DDoS)攻擊或其他機器人程式有關。一般情形下,DDoS防護網頁是用戶在前往某網頁途中看到執行檢查,或是提出技能測試問題,對用戶只是有點煩,但沒有什麼大影響。
FBI警告代理伺服器及伺服器配置檔被用於帳密填充攻擊 iThome
美國聯邦調查局(FBI)指出,帳密填充攻擊駭客會利用代理伺服器和配置檔來自動化登入多個不同網站的過程,加速取得受害線上帳號,也可能使用合法代理伺服器服務購買服務,以混淆可能遭封鎖的真實IP位址,藉此躲避偵測。
PwC:4成美國企業視資安為嚴重風險,38%嘆人才難尋 MoneyDJ 理財網
根據普華永道(PwC)最新公布的Pulse Survey問卷調查結果,「網路風險」名列美國企業頭號商業風險、4成受訪高階主管將更頻繁和/或更廣泛的網路攻擊視為嚴重風險,另有38%的受訪者將此視為中度風險。PwC指出,網路威脅已不再只是資安長(CISO)需要擔心的事情、而是所有高層都關心的議題,51%的受訪董事會成員將資安視為嚴重風險。
分析工具顯示Tiktok、IG App內建的瀏覽器會蒐集用戶資料 iThome
前Google工程師暨fastlane.tools網站創辦人Felix Krause提供的一項工具InAppBrowser.com,宣稱可以偵測出iOS App內建用以開啟網頁的JavaScript指令。這項工具已分享在GitHub上。而針對本工具的發現,《The Verge》引述Tiktok反駁這項工具的指控,表示其結論是不正確且誤導;他們並不會透過JavaScript程式碼蒐集用戶鍵擊或文字輸入,只是用於除錯、問題排除或監控效能。Meta也回應,其追蹤Script都是經過Facebook或IG用戶同意的,而且只用於發送廣告或「測量用途」。
駭客開採General Bytes比特幣ATM漏洞,直接轉走用戶存入的比特幣 iThome
有駭客似乎刻意選在今年7月底、比特幣ATM業者General Bytes正式在ATM開啟金援烏克蘭功能沒幾天,開採了自2020年底便存在於General Bytes加密貨幣應用程式伺服器(CAS)的安全漏洞,盜走用戶存入ATM的加密貨幣。
Google Cloud在今年6月平息了每秒請求達4,600萬次的DDoS攻擊,比Cloudflare的紀錄多出76% iThome
Google Cloud於本周披露,旗下的應用程式及網站保護機制Google Cloud Armor,在今年6月1日時,平息了一場攻擊峰值達每秒4,600萬次請求的HTTPS分散式服務阻斷攻擊(DDoS),其規模比Cloudflare所緩解的每秒2,600萬次請求之相關攻擊多出76%。
Google修復Pixel手機「150個Bug」!快更新Android 13 自由時報電子報
根據Google公告,此次Android 13同時對Pixel手機修復多達150個Bug,包括指紋辨識、充電、藍牙、GPS等各項問題都在修復之列。尤其Pixel 6、6 Pro,甚至是最新上市的Pixel 6a,都被嫌棄指紋辨識不夠靈敏,升級Android 13後,有望再進一步獲得改進。
PUA是什麼?居然還能出課程?惡劣招數退散!防範PUA情緒勒索可以怎麼做? 妳的煩惱顧問
PUA一詞浮上各大社群的介面,網路上也出現越來越多PUA的受害者分享經驗,PUA受害者大多數為女性,既被騙財又騙色,相關問題層出不窮,只是即便大家開始關注到PUA,與PUA技巧教學相關的課程卻仍然以高價販售給意圖不軌的異男們,從最近話題度相當高的直男行為研究社中可以看到,在初步階段的搭訕當中,就有許多女性感到相當困擾。
零信任已成為資安界的最大共識 iThome
因為人員的資安意識不足、網路衛生習慣不良,而在各種流程與技術的發展、應用上,也難免會有品質瑕疵、邏輯漏洞,因而出現可乘之機,導致企業與組織面臨層出不窮的內外資安威脅。經過長期累積的實際處理經驗,許多人都認為,持續推動零信任(Zero Trust)會是最終解方。
資安人員:iOS VPN 壞了,蘋果知情但不修 科技新報網
資安研究人員 Michael Horowitz 撰寫標題為「iOS 的 VPN 壞了」文章,且不斷更新內容。他表示,蘋果 iOS 設備並沒有如用戶預期,只要透過 VPN 就可完整路由所有網路流量,這是蘋果清楚多年的潛在安全問題。
蘋果緊急修補已被開採的兩個零時差漏洞,波及Mac、iPhone與iPad iThome
蘋果8/17緊急修補了兩個安全漏洞CVE-2022-32894與CVE-2022-32893,它們同時存在於iOS、iPadOS與macOS上,皆為程式執行漏洞,而且都已遭到駭客開採。其中的CVE-2022-32894存在於Kernel中,屬於越界寫入漏洞,允許程式以核心權限執行任意程式;至於CVE-2022-32893則藏匿在WebKit中,同樣為越界寫入漏洞,當WebKit處理惡意的特製網頁內容時,可能導致任意程式執行。
蘋果前員工承認竊取汽車專案商業機密 iThome
張小朗是在2015年12月進入蘋果自駕車的軟/硬體開發團隊,擔任硬體工程師的職務,負責設計與測試用來分析汽車感應器資料的電路板,並在2018年的4月28日提出辭呈,向主管解釋是想回中國就近照顧生病的母親,並透露可能會去小鵬汽車上班。
東大生畢業後第一志願是「創業」!日本新創氛圍為何迎來「史無前例」的活躍期? 科技報橘網
說到新創(Startup)幾乎所有人第一瞬間都會想到矽谷,由於台灣與美國之間的政經淵源與近代的商業交流,創業的風氣對台灣人而言並不陌生,但是,說到創業氛圍活躍的國家,有個會顛覆你印象的答案:台灣的友國——日本。
HITCON 2022破千名海內外資安專家齊聚,同場飆技術一舉大展駭客文化! T客邦
HITCON PEACE 2022(台灣駭客年會)日前圓滿落幕,共計超過 1,300 人與會、超過 50 家企業參與,已成台灣最大的資安技術盛會。總統蔡英文、副總統賴清德以及將出任數位發展部部長的唐鳳皆出席共襄盛舉,強調並肯定產官學合作以及駭客社群的重要性,亦呼籲各界協力強化國家整體資安韌性。
2022 台灣駭客年會第二日:加強資安培育,培養相關人才並提升資安素養 INSIDE
HITCON PEACE 2022由蔡英文總統出席開幕,強調產官學與駭客社群的重要性,並籲各界協力強化國家整體資安韌性。HITCON 第二天(8 月 20 日)則由副總統賴清德參與資安企業與社群會談,與 TXOne Networks、 DEVCORE、HITCON CTF 戰隊、HITCON Girls 及台灣駭客年會等代表,共探台灣資安新創、社群發展及參與國外駭客競賽的歷程與現況。
HITCON 2022揭露臺灣資安研究最新趨勢,剖析微軟IIS、健保卡弱點與新型偵測技術 iThome
台灣駭客年會HITCON PEACE 2022於本月20日閉幕,今年議程有多達30個涉及漏洞研究、惡意程式、程式分析、威脅情資與企業藍隊的演講,而在第二日活動現場,在全球資安圈聲名大噪的臺灣資安研究人員Orange Tsai,特別分享了最新挖掘出微軟IIS網頁伺服器3項漏洞的駭客思維。
駭客年會產官學交流資安 金融業製造業將強化情資分享 自由時報電子報
一年一度的資安界盛會HITCON 2022(台灣駭客年會)19、20日舉行,今年以「網路戰生存指南」為題,齊聚全台產官學的資安決策者和近千名駭客,共同探討網路戰的最新趨勢與技術。現場人潮絡繹不絕,也有不少學生興奮參與,一窺駭客的神秘職涯。
蔡:中國網攻混合戰在台上演 自由時報電子報
蔡英文總統昨出席台灣駭客年會開幕式時致詞指出,網路攻擊及資訊戰爭,已經是國際衝突當中,最關鍵的攻防領域之一,希望全民都能共同強化對錯假訊息的辨識能力,並且阻斷錯假訊息的散佈。
臺灣資安盛會HITCON PEACE登場,總統蔡英文指出網攻混合戰升溫,產官學界攜手駭客社群文化與能量,強化國家整體韌性 iThome
面對烏俄之間的軍事衝突,以及中國不滿美國眾議院議長裴洛西訪臺,臺灣公私部門近期遭受大量網路攻擊,本屆大會特別取名為HITCON PEACE,似乎別具深意,HITCON總召集人鄭仲倫(Mars Cheng)表示,PEACE代表Protect Enterprise And Citizens Ever-aer的精神,而且,今年HITCON大會的重頭戲,有各式技術交流活動與資安技術演講,也召開匯集國內產官學資安決策者的圓桌高峰會,探討各種環境下的安全性議題,像是探討國家電力、電信的持續運作,就是重中之重。
【資安日報】2022年8月24日,8萬臺海康威視IP攝影機曝露於重大漏洞風險、伊朗駭客APT35竊取特定人士Webmail信件 iThome
連網設備的漏洞很可能不易修補,而長期曝露在網路上,成為攻擊者利用的管道。最近有資安業者提出警告,海康威視(Hikvision)於去年9月修補的IP攝影機重大漏洞,迄今仍有8萬臺設備尚未安裝相關韌體而曝險。而該資安業者提出警告的原因,是他們看到駭客組織收集、兜售這類裝置的清單。
以色列駭客公司NSO Group執行長下臺,計畫裁撤100名員工 iThome
知名的以色列駭客公司NSO Group周日(8/21)宣布組織重整,執行長Shalev Hulio將卸下職務並由營運長Yaron Shohat接手,未來也將由Shohat主導重組程序。此外,NSO Group亦計畫裁撤100名員工,約占該公司總員工數的13%。
【資安日報】2022年8月23日,駭客針對俄羅斯控制的克里米亞發動認知戰、惡意軟體Escanor攔截OTP動態密碼資訊攻擊網銀用戶 iThome
烏克蘭戰爭開打迄今已達半年,在美國及歐洲多個國家聲援烏克蘭下,近期局勢似乎開始翻轉。其中,烏克蘭開始針對俄羅斯占領的克里米亞半島進行軍事行動,而最近他們更進一步駭入當地電視臺,播放烏克蘭總統澤倫斯基的演講,向當地民眾信心喊話。
無人機「資料送中」恐害國安 立委力倡後台須在設台灣 自由時報電子報
立法院24日召開「推動台灣無人機產業應用與發展」公聽會,由綠委邀集產官學研交流彼此意見。民進黨立委蔡易餘強烈建議,行政院若要幫助無人機產業,第一步要做的就是要求無人機後台必須放在台灣,如此一來中國低價的某大廠無人機就進不來,也能確保國內資料不會「送中」,更能嘉惠到國內廠商。蔡易餘強調:「台灣領先全球先做是天公地道的事!」
企業部署物聯網 投報率逾6成符合期待 電子時報網
市場研究機構Omdia發布物聯網企業調查(IoT Enterprise Survey),針對大約500家正在部署或計劃部署物聯網解決方案的企業,其中有高達9成企業回覆,物聯網專案跟期望相符,甚至超越預期。
這3個安全開發框架幫助企業強化資安基礎,長期遵循更可以提升開發效率! CIO IT經理人
談到資安,多數人第一個想到的往往是確認組織是否有資安人員?是否有資安治理制度? 是否有資安防護設備? 但我們往往忽略了安全開發的重要性,其實系統開發的流程也應列入評估企業資安措施完整度的指標。企業負責人、相關單位主管可以依據文中提及的3種框架來訂定組織的開發流程,這樣一來可以強化企業資安基礎,降低資安事件發生的機率。
智慧醫療資安立法 醫材設備商該如何著手部署 iThome
近年來疫情猶如催化劑,加速驅動許多場域的數位轉型,智慧醫療便是其中一例。但不可諱言,數位轉型好比雙面刃,雖有福國利民功效,卻也擴大遭受網路攻擊的面向,使駭客有機可乘。鑒於此,包括美國FDA、歐盟MDR/MDCG等規範相繼出爐,針對醫材設備提出資安要求,須通過測試與驗證才准予上市銷售。對多數醫材設備開發者或製造商來說,這些規範形同莫大考驗。
Gitcoin推去中心化身分認證「Gitcoin Passport」想進入社群得蒐集專屬印章 網路資訊雜誌
區塊鏈開源募資平台Gitcoin,近日推出去中心化數位識別認證「Gitcoin Passport」,區塊鏈用戶只要蒐集不同項目方提供的「印章」,就可以在不需要第三方機構認證的情況下,讓鏈上的機構或單位確認用戶身分,這麼做既能保障隱私,鏈上的交易也將會更有保障。
快試試 InAppBrowser 工具程式!檢查是否有 App 內建瀏覽器在追蹤你 科技新報網
如今 App 內建瀏覽器(In-App Browser)成為個人隱私與安全的主要風險,包括 TikTok/抖音、Facebook、Instagram 及 Messenger 等許多知名 App,會讓 iOS 或 Android 使用者預設經專屬瀏覽器載入頁面,且透過 JavaScript Injection 將額外追蹤程式植入頁面。讓人欣慰的是,網路已有使用者檢查是否被 App 內建瀏覽器追蹤的 Web 工具程式,使用者可確保手機 App、PC 瀏覽器與個人隱私安全。
迎接Web3 強化資安刻不容緩 KPMG安侯建業:擁抱科技 更要務實思考 天下雜誌
台灣身處全球產業供應鏈的一環,需有更高的資安風險意識,才能有效應對未來可能的核彈級數位網路大戰,而這也是企業ESG永續治理的關鍵之一。不僅協助企業數位轉型,KPMG安侯建業整合數位科技與資安趨勢,為台灣企業資訊安全深度把脈,在科技世界更能穩健探勘商機。
TikTok再爆隱私疑慮 公司坦承以內建瀏覽器追蹤用戶鍵盤操作 中時新聞網
近年來在國際上爆紅的短視頻軟體Tiktok(抖音國際版)所屬的字節跳動公司最近坦承,該公司在Tiktok上內建的瀏覽器可追蹤用戶操作,包括追蹤鍵盤輸入的信息。不過字節跳動公司否認以此收集用戶個人隱私數據,聲稱這些功能只用於「調試、故障排除及性能監控」。
推特前資安主管吹哨 前東家誤導美國聯邦主管機關 台灣蘋果日報網
路透周二(8/23)報導,根據國會調查人員轉達的文件,札特科在一份查達84頁的告發書狀中控訴推特謊稱其擁有可靠的安全計畫,並稱他已警告同事,該公司一半的伺服器正執行過時且易受攻擊的軟體。
【VPN推薦】2022精選10款「好用VPN」推薦!讓你暢通解鎖兼具隱私安全 PopDaily 波波黛莉
VPN的中文就是虛擬私人網路「virtual private network」的簡寫,為的是讓使用者可以在共享或是公共網路上可以傳送或接收資料,並且提供了在公共網路上無法存取資源的遠端辦公人員。VPN簡單來說就是利用現有的網路去建立一個隧道來做虛擬的連接。
國立教育廣播電臺【新聞真假掰】專訪洪貞玲(臺大新聞所教授):2022 假訊息大調查 台灣事實查核中心
到底當前臺灣社會假訊息的散布及影響程度為何? 民眾對於假訊息的認知以及辨識能力如何? 對於剛起步的事實查核機制的認識與使用是否普遍? 誰該為防制假訊息負責? 言論自由與政府介入、平臺責任之間,孰輕孰重?
資安防駭大作戰 5檔潛力黑馬閃亮登場 常春月刊
前陣子在中國軍演時,駭客大舉侵入我國公、私部門,像是台鐵、超商等電子看板就遭到了駭客攻擊,網路資安問題也因此浮出檯面,剛好8月下旬「數位發展部」將掛牌,首要任務就是因應駭客的多元挑戰。
自2021年以來,元宇宙一直是熱門話題,並被認為是下一世代的網際網路。儘管實現時間可能至少是五年以後,可預見的是,打造沉浸式虛擬世界需要的資料量是龐大的,且隨著設備不斷的開發以滿足身歷其境和互動式體驗的需求,資料量會呈指數級遞增。因此,想要開發元宇宙機會的企業必須思考克服資料量不斷增加帶來的挑戰,資料治理的重要性更甚以往。
IoT 硬體商不再擔憂作業系統安全問題!Ubuntu 如何成為物聯網應用的最安全後盾? 科技報橘網
隨著世界各國逐步開通 5G,許多產業因此有了更好的發展契機,物聯網便是其一,受惠於 5G 低延遲、廣連結的特性,讓物聯網應用得以加速發展。為此,Canonical 於日前舉辦 Ubuntu Core 22 線上發佈會 ,暢談 Ubuntu Core 22 如何協助物聯網和邊緣設備商克服硬體開發過程中的許多關鍵挑戰,盼能協助企業加快物聯網應用的落地腳步。
強化資安 政府及企業迫在眉睫 工商時報電子報
中國大陸近日在台灣周邊進行大規模軍演,再次爆發台海危機,造成國際航班、貨輪改道、甚至停飛、停航等。大陸封鎖台灣,實質上可能造成糧食及能源等短缺的風險,值得關切。
官網癱瘓、看板被駭嚴重嗎?專家解析資安危機有分程度 自由時報電子報
月初美國眾議院議長裴洛西訪台前後,國內發生多起政府機關遭駭事件,包含總統府、國防部等重要單位的網站受到「分散式阻斷服務(DDos)」攻擊;而台鐵的委外電子看板則被置換頁面,換上辱罵裴洛西的簡體字,調查後發現承包商使用中國軟體。
導入雲服務 精誠助高爾夫球廠富鐿實業轉型智慧製造 經濟日報網
精誠(6214)近幾年積極跨足雲服務領域,該公司今(22)日宣布,成功協助高爾夫球製造商富鐿實業,全面升級動態生產排程、資安防護、能源管理等營運系統,打造敏捷式生產,將交期縮短30%,以滿足國際級客戶彈性的訂單需求,實踐智慧製造與數位轉型。
恆逸>>這6款App竊你個資,身為App開發者更需小心有心人士鑽漏洞 iThome
資安廠商趨勢科技指出,最新偵測發現到藏有一款名為「Facestealer」的惡意間諜程式,會偽裝成不同類型名稱的免費應用程式,引誘民眾下載,且會一直竄改程式碼,不斷產生新的變種版本,繞過Google Play 的安全審查機制。這次共發現6款惡意App,主要鎖定類別為健身鍛鍊類、照片編輯類與相機類型,甚至還有獲得4.5顆星高評價的App。
謠言終結站》臉書要求粉專驗證身份? 是釣魚網站! 自由時報電子報
近來臉書(Facebook)上出現部分貼文,會標記其他臉書粉絲專頁,聲稱該粉專已被檢舉侵權,並附上一個網址連結要求驗證身份。查核中心查證後發現,這些貼文並非來自臉書官方,其目的是為了盜取使用者的臉書帳號。
謠言終結站》網傳出現勞保局假繳費單? 查核:那是真的! 自由時報電子報
網路上近日有網友流傳訊息,稱收到來自勞保局的假繳費單,質疑是新型態詐騙手法。勞動部勞工保險局昨(21日)發布公告強調,網傳2張繳費單確實都是勞保局所寄發,分別為保險費與勞工退休金繳費單,並不是一真一假的繳費單。
台灣事實查核中心諮詢趨勢科技防詐達人產品經理劉彥伯,教大家3招辨認正確的官方網址,方法1:對「亂數」網址存疑;方法2:政府網站看「gov.tw」;方法3:檢視真官方網站。民眾也要謹記,千萬不要隨意填寫個資,以免有帳號被盜用、銀行餘額被盜領的風險。
蘋圖解/玩加密貨幣如何避免被詐騙?告訴你 5 大關鍵辨識方法 蘋果仁
最近很熱門的幣安加密貨幣社團中就有不少的網友在詢問自己是不是遇到加密貨幣的詐騙,所以今天的蘋圖解就要跟大家分享 5 個避免、辨識加密貨幣詐騙行為的關鍵方法。
【iThome 2022 CIO大調查(中)|DevOps能力分析】臺灣企業DevOps能力首度揭露數據,僅4.2%企業是精英 iThome
如何衡量企業DevOps團隊的效率?Google旗下有一個DevOps評估研究團隊(DevOps Research and Assessment ,簡稱DORA),從2017年開始,每年公布DevOps年度報告,7年累計調查了超過3萬2千位企業IT專家。DORA團隊用4個指標來呈現企業DevOps交付績效,以企業關鍵AP為對象,調查平均部署頻率、更新準備時間、平均復原時間和變更失敗率,並依據這些績效指標的高低,定出4個等級的DevOps團隊等級,從低階、中階、高階和能力最強的精英團隊。
陽明交大開設科技犯罪偵查碩士在職專班 創全台首例 自由時報電子報
近年新興科技發展迅速,但也導致科技犯罪猖獗,網路攻擊、金融詐騙、虛擬貨幣洗錢等案件層出不窮,衍生警政人員在資通、金流及情資面的偵查困境。國立陽明交通大學與警政署首創全台開設以科技犯罪偵查實務為主的「科技犯罪偵查資通訊碩士在職專班」,提升警政人員的資安素養,掌握資通訊安全尖端技術,預計今年9月開始招生。
Google Cloud IoT Core服務將於明年8月關閉 凸顯Google計畫重整物聯網發展策略 聯合新聞網
建構於Google Cloud平台的IoT Core服務,原本是針對物聯網設備應用的代管服務,讓用戶能透過Google Cloud雲端平台建立連接眾多物聯網設備,並且透過雲端平台集中管理,同時也能記錄、分析其擷取數據。
三立與Potato Media聯手 創電視媒體跨足元宇宙首例 經濟日報網
據悉,雙方此次合作,主要是希望強強聯手,三立不只藉由優質節目內容吸引Potato Media上,熟悉Web3.0運作的年輕人目光,同時也讓更多Web2.0的民眾接觸加密貨幣、民眾自決精神等Web3.0的核心精神;未來雙方不排除深化合作,共同探索更多電視媒體產業在元宇宙的「新大陸」。
打擊人蛇集團!警政署「首次提供」專線 檢舉成功有獎金 三立新聞網
近期國人求職被騙海外工作,致遭受暴力、拘禁或人口販運等犯罪行為,警政署今(19)日發布新聞稿指出,全台已受理報案420件,其中46人以返國,近日偵破人口販運案件20件67人中,22人裁定羈押;此外,警政署也提供報案專線,只要民眾檢舉成功,就會提供獎金。
資安即國安》量子電腦即將出現 台灣不追求技術創新就無資安可言 信傳媒
作為防衛中國操控認知作戰的Cybersecurity (網安)和台海兩岸未來可能戰爭的不對稱作戰模式(C4ISR)主要武器──無人機的通訊安全,以及各種民間通訊(手機)或商業應用(物聯網),資安無疑是政府與民間企業最重要的焦點。
播放Janet Jackson音樂影片造成數款老舊筆電掛點 iThome
一家PC廠商近日發現,2000年代初期出產數款Windows XP筆電在播放Janet Jackson 80年代暢銷歌曲《節奏國度Rhythm Nation》MV時發生掛點。在用戶通報後,Windows XP支援部門也接獲消息並展開調查。
中共駭美畜牧系統 企圖影響民生 青年日報
「半島電視台」19日報導,根據資安報告,中共駭客組織近年網攻美國畜牧健康管理系統,已知導致蒙大拿州暫停資料庫運作,以修復安全漏洞與提升資安。這起事件凸顯中共與北韓等駭客組織,已鎖定西方國家畜牧與農業進行攻擊,企圖影響重要民生經濟。
比特幣ATM危險!General Bytes爆漏洞遭駭客竊幣已2年,全台灣有18台服役中 BLOCKTEMPO
更新說明指出,駭客藉由掃描 TCP port 7777 或 433 進入 Digital Ocean 雲端託管伺服器漏洞,就能創建名為「gb」的預設管理權限帳號,可自由竄改 ATM 上預設的「買」、「賣」、「無效的交易地址」等錢包位置,等待交易者操作 ATM 傳入加密貨幣,即會轉帳到駭客錢包。
手機莫名被廣告轟炸恐中招!35 款惡意App流竄Google Play 被揪出 自由時報電子報
據資安業者 Bitdefender 釋出報告表示,不肖網路犯罪份子以假冒為各式各樣工具應用程式的手法,把具有散播惡意廣告的主程式,暗藏在涵蓋桌布背景、相機濾鏡、表情符號與GPS定位等類型的App,在成功騙過 Google安全審查用戶機制下,於Play商店上架。
境外網攻頻傳 陸製零件家電竟然也能扮駭客 經濟日報網
受到美國眾議院院長裴洛西8月訪台效應影響,台灣公私部門近日皆受到大量網路攻擊,總統府及外交部等部分政府機關網站受到境外DDoS攻擊,其中總統府官網的流量高達平日的200倍,導致官網一度無法顯示,更有多家7-11電子看板遭駭,顯示無處不在的資訊攻擊已是相當重要的國安威脅之一。
當心!詐團假冒衛福部發送釣魚連結 8成利用電子支付盜轉 中時新聞網
警方發現,近期詐騙集團透過簡訊、郵件或iMessage大量發送「防疫紓困補貼網路申領」或「疫情紓困專案點擊辦理」等字樣的釣魚連結,民眾若誤點輸入姓名、身分證號、戶籍地址、上傳「身分證正反面照片」、「銀行帳號」、「網路銀行帳號、密碼」、「手機號碼」及「OTP驗證碼」等個資後,會遭偽冒開立電子支付會員並綁定銀行帳戶,帳戶款項藉由電子支付遭盜轉,求償無門。
【資安日報】2022年8月19日,中國駭客Winnti將Cobalt Strike拆解以規避偵測、使用惡意軟體Bumblebee的駭客企圖挾持組織AD iThome
中國駭客組織Winnti的動態相當引人關注,去年亦有許多攻擊事故傳出,但為何該組織的攻擊行動如此容易得逞?有研究人員指出,駭客在傳送滲透測試工具Cobalt Strike Beacon的過程中,不只先把檔案重新編碼,還拆解成超過150個檔案進行傳送,而讓資安系統無法解析攻擊的意圖。
警方第二季接獲3,737件通報,是前一季的3倍 博客來、迪卡儂疑嚴重個資外洩 iThome電腦報周刊
去年東森購物、誠品網路書店客戶個資外洩問題嚴重,許多民眾表示,詐騙者知道自己的個資與下單資訊,包含詳細的購買金額與日期,而且這類事件不斷,仍延續到今年第一季。
趨勢科技 (ZDI) 漏洞懸賞計畫蟬聯漏洞公開揭露領導地位 連續第 15 年持續擴大漏洞揭露市場領導地位 T客邦
趨勢科技漏洞研究資深總監 Brian Gorenc 表示:「自 2007 年第一份市場分析報告開始即領先群雄的 ZDI,至今已連續第 15 年持續擴大其漏洞揭露領導地位。我們的漏洞研究不論是預先揭露或事後揭露,在全球無出其右。在與駭客永無止境的競賽當中,我們驕傲地帶領業界以建立一個更安全的數位世界而努力。」
趨勢科技研究:複雜IT環境減弱資安防護信心 工商時報電子報
根據該研究,許多企業(28%)認為以人工方式評估受攻擊面的效果有限,約三分之一(32%)表示難以兼顧部署的多種技術,而此情況也說明了為何全球僅約四成、台灣更只有約三成多的企業能透過風險評估,準確掌握下列任一資安項目,包括個別資產的風險等級、受攻擊頻率、受攻擊趨勢、駭客入侵對特定領域的影響、業界準則、針對特定漏洞的防範計畫。
微軟發布包含.NET 6的Ubuntu小型同捆映像檔 iThome
微軟為了簡化開發者在Ubuntu上的.NET開發工作,與Canonical緊密合作,現在開發者已經可以在Ubuntu 22.04(Jammy)上,透過APT安裝.NET 6,另外,微軟還發布了包含.NET的Chiseled Ubuntu Containers,這是一種小型且安全的容器,使開發者可以更靈活地用於開發應用上。
微軟按需雲端開發箱Dev Box開始預覽 iThome
微軟在Build 2022開發者大會上發布的雲端開發箱Dev Box,現在已經開放預覽。Dev Box是一個託管服務,使開發人員可以在雲端創建按需、安全、特定於專案,立即可開始編寫程式碼的環境。用戶只需要登入Azure入口網站,並且搜尋Dev Box就可以馬上開始使用。
現行法令已能「打假」 設專責機構不如委託民間 NCC推《數位中介服務法》 難有實質效益 今周刊
六月二十九日,國家通訊傳播委員會(NCC)公布《數位中介服務法》草案,目的是「保障數位基本人權⋯⋯,落實數位中介服務提供者之問責與使用者權益維護,以建立自由、安全及可信賴的數位環境。」
工控資安需求增 睿控網安獲7,000萬美元B輪募資 電子時報網
工業物聯網資安廠商睿控網安(TXOne Networks)在2021年8月先是完成A輪募資,接著隔一年便再度交出好成績,18日宣布正式獲7,000萬美元(約為新台幣21億元)的B輪募資,更成為亞太唯⼀被全球知名雜誌CRN提及為2022年值得關注的新創資安公司。
全國首次資安攻防演練 衛福部以林口長庚為示範基地 聯合新聞網
衛福部為強化國內醫療資安聯防量能,昨以林口長庚醫院為示範基地,採用擬真駭客攻擊手法,進行全國首次醫療資安攻防演練,以驗證醫療領域關鍵基礎設施的資安防護與應變能力。此次資安演練為國內醫界首次舉辦,有多家醫療院所共同參與實地及線上觀摩學習,討論非常熱絡。
沉默的戰爭 資安就是國安 中時新聞網
資通訊設備與服務早已是國人日常生活的一部分,但資訊安全卻也是最常被忽略的國家安全議題。裴洛西訪台後中國大陸實施大規模軍演,激起台灣社會對國防改革的關注,然而在看得見的硝煙之外,網路世界的兩岸攻防早在國人的眼皮下行之多年。如何有效提升國家關鍵基礎設施和資料庫的「數位韌性」是國家安全重大議題。
【資安日報】2022年8月18日,駭客即將突破Android 13安全防護機制、勒索軟體BlackByte 2.0網站提供新的付費項目 iThome
駭客為了規避Android系統的防護機制,近期使用側載(Side Loading)手段來執行惡意程式的情況越來越頻繁,對此Google在新版Android 13加入了防堵機制,但在這套作業系統推出不到一天,就有資安業者提出警告,有駭客已經找到突圍的方法,很有可能讓上述防護措施無法發揮作用。
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上
