Pen Test Partners的資安研究人員發現由第三方行動應用程式管理汽車警報的漏洞。據報此漏洞影響到了約300萬輛使用這些智慧物聯網(IoT)裝置的汽車。以下是關於這些漏洞你所需要知道的資訊。
[相關新聞:晶片鑰匙漏洞讓駭客可以打開速霸陸汽車]
這些是什麼漏洞?
這些是管理智慧警報功能的應用程式API內的IDOR漏洞(insecure direct object reference)。當不安全應用程式暴露出對內部元件的數值、資料或引用時就可能發生。例如,IDOR漏洞可以洩漏儲存在應用程式後端的資訊。
在智慧警報案例中,API內的IDOR漏洞無法正確驗證對應用程式的請求。影響智慧警報的漏洞已經披露給受影響的廠商並加以修復。
繼續閱讀趨勢科技是唯一擁有大型資安事件處理與應變能力的廠商,身為臺灣資安大會共同主辦, 除了開幕主題演講,還為您帶來有👇️👇️👇️
資安界最火熱的議題 : 物聯網攻擊、製造業與車聯網資安、OT 攻擊、AI 資安的風險、MDR、假新聞的內部運作、GDPR 實務經驗、軟體無線電攻擊、2018 世足賽的網路威脅…等
主動掌握攻擊跡象,建立調查防禦機制和正確資安觀念
透過 VR 體驗 EDR/MDR 解決方案,還有免費咖啡、時尚電腦包天天抽,走過路過千萬別錯過
儘管人們對 資料外洩事件的新聞似乎已逐漸感到麻痺,但隨著更嚴格的資料保護法規上路,保護使用者資料安全反而更加重要。現在,企業發生資料外洩不但必須通報,而且若企業會經手歐盟人民的資料,將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。
光是今年就有不少知名品牌發生資料外洩,如:Macy’s、 Bloomingdale’s 以及 Reddit。其實,資料外洩對社會大眾而言,是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的個人。
所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦,進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:
下表是截至目前為止所知的十大資料外洩事件:
繼續閱讀【2019年3月18日台北訊】科技進步加速了工業製程,帶來高度生產效能,卻也衍伸資安威脅!近年來各國關鍵基礎設施遭遇駭客攻擊事件頻傳,全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704) 針對工業設施、關鍵基礎建設可能面臨的風險進行了系列深入研究,同時對於無線電安全於工業中的應用,也發表了前瞻性的觀察。趨勢科技在共同主辦的台灣資安大會演講中呼籲,無論是政府、企業或民間單位,皆應具備洞察全球威脅趨勢的敏感度,於早期規劃時置入資安措施,對既有資安缺口進行全盤檢視,才能制定有效的防護策略,掌握克敵制勝先機!
近年通訊、能源、水、電、交通系統等維繫民生與國家機器運轉的關鍵基礎設施成為駭客熱門的攻擊目標,如烏克蘭電廠被駭導致大停電、美國核電相關公司遭受駭客攻擊等,這些國家級的基礎建設在駭客眼中已成為新肥羊,駭客透過偽造網址、分散式阻斷服務攻擊(DDoS)或癱瘓金流資訊系統等方式做為勒索的籌碼,一但淪陷將癱瘓民眾日常生活機能,造成經濟損失,衍伸出重大安全問題,甚至被有心人士利用來達成某些特定政治目的!
繼續閱讀2019 臺灣資安大會明天登場,趨勢科技主題演講:【恐懼的總和-當關鍵基礎建設掌控於駭客股掌之間】精采預告:
大眾交通、電力公司,這些攸關經濟民生的基礎建設,在駭客眼中是如何不堪一擊💔,由資安大會最受歡迎講者張裕敏,帶您認識駭客最新技術、檢視既有資安缺口,邀請您一聽為快😄
此外,我們還有 14 場精采演講+6 場Hands-on Labs(Target Ransom-無須惡意程式的目標式勒索攻擊手法),敬邀參加! 看詳細議程