《資安新聞周報》 複雜供應鏈讓汽車資安漏洞百出? VicOne完整服務打造最強防護機制/ 地下市場最常見 10 大「外洩密碼」別再用!免費工具 1 秒就破解 / IE 正式走入歷史!韓國工程師樹立墓碑紀念

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

Meta、微軟等科技巨頭揪團定元宇宙標準,但見蘋果缺席 INSIDE

5G世代威脅增 產品生命週期應納入資安元素 電子時報網

Microsoft 365檔案備份功能可能被竄改,讓用戶陷勒索軟體麻煩  iThome

微軟坦言 Windows 更新又出包!一按鍵網路秒斷線 所有版本都遭殃  自由時報電子報

Windows 11 即將加入新隱私審查功能,誰何時動過你的麥克風、鏡頭與定位資訊一覽無遺  電腦王阿達

快更新Windows!微軟終於修復Follina漏洞、阻斷中國駭客攻擊  自由時報電子報

複雜供應鏈讓汽車資安漏洞百出? VicOne完整服務打造最強防護機制  電子時報網

車載資安成為產業必考題 無法符合規範只能出局  電子時報網

德凱攜手趨勢科技 打造車用資安認證整合服務  中華新聞雲

電動車新戰場!趨勢子公司推車用資安認證服務  自由時報電 子報

Android 手機防毒App實測比一比!外媒評選「這12款」最實用  自由時報電子報

多國聯手破獲由數百萬個裝置組成的俄羅斯殭屍網路Rsocks  ithome

強化保安防護將帶動企業 5G 專網普及  MediaOutReach

還用微信?資安專家:澳69萬用戶數據恐遭北京掌控  自由時報電子報

Google密碼管理員更新 更接近「無密碼」時代  ETtoday新聞雲

地下市場最常見 10 大「外洩密碼」別再用!免費工具 1 秒就破解  自由時報電子報

IE 正式走入歷史!韓國工程師樹立墓碑紀念:『 它是下載其他瀏覽器的好工具 』 電纜少女

工業設備網路攻擊造成企業數百萬美元損失  T客邦

微軟公布負責任AI指導準則,將限制部份臉部辨識能力  iThome

用 AI 幫開發者寫程式!GitHub 正式推出 Copilot,月費 10 美元  INSIDE

北捷 首創Metro TIMES捷運人流資訊管理系統  經濟日報網

元宇宙的發展與挑戰  工商時報電子報

【資安日報】2022年6月22日,駭客組織ToddyCat鎖定臺灣等國政府機關發動攻擊、駭客可竄改Office 365配置來發動勒索軟體攻擊  iThome

中國駭客攻擊Sophos防火牆漏洞  iThome

資料的集中儲存成本高、易成駭客目標!Github 的開放式系統會成為我們的未來嗎?  科技報橘網

趨勢旗下VICONE、德凱 推車用資安認證 助台廠搶進電動車產業  工商時報

三大關鍵助攻!蘋果拿下ARM架構筆電處理器九成營收,領先競爭者3年以上  財訊雜誌網

台積電與國際大廠組 UCIe!愛普加入發展 Chiplet 生態系  科技新報網

台灣高鐵採用 IBM 混合雲架構,使尖峰時間空位查詢時間縮短 90%  科技新報網

Aruba 發表企業網路採購調查:網路即服務(NaaS)成為94%台灣企業熱衷的話題  CompoTech

府城論壇 慎防投資詐騙陷阱  台灣時報

微軟支援診斷工具存在安全漏洞(CVE-2022-30190),攻擊者可藉此遠端執行任意程式碼,請儘速確認並進行更新  行政院國家資通安全會報技術服務中心

這下換美國怕俄國來報仇了! 美官員稱俄將對美期中選舉發動網路攻擊  新頭殼

多國聯手破獲由數百萬個裝置組成的俄羅斯殭屍網路Rsocks  iThome

【資安日報】2022年6月20日,西門子公布與修補15個工控網路管理系統的漏洞、研究人員揭露微軟二度修補的RDP漏洞細節  iThome

無密碼時代轉換生態系統恐更不易  電子時報網

200萬安卓用戶恐中招!5款惡意木馬 App 藏身 Google Play 竊個資偷扣錢  自由時報電子報

非洲最大連鎖超市Shoprite遭勒索軟體RansomHouse攻擊  iThome

Sony跨足電動車產業 與本田合資成立Sony Honda Mobility  聯合新聞網

歐盟2035年禁售燃油車大限將嚴厲考驗其汽車產業  台灣經貿網

廣邀全球新創 MIH攜手美國白金加速器Techstars  自由時報電子報 

美警示中國駭客攻擊電信業態勢,16個網路設備已知漏洞最常被鎖定   iThome

駭客還在利用3年前的Telerik UI漏洞以植入Cobalt Strike與挖礦軟體  iThome

【資安日報】2022年6月16日,軟體開發測試平臺Travis CI恐曝露數千個雲端服務憑證、Splunk漏洞恐被攻擊者用於執行任意程式碼  iThome


Meta、微軟等科技巨頭揪團定元宇宙標準,但見蘋果缺席 INSIDE

根據外媒報導,除了科技巨頭蘋果缺席,臉書母公司Meta、微軟、NVIDIA 等37間科技公司宣布成立《元宇宙標準論壇》的組織,目的是推動開放互操作性,讓開發人員更容易跨平台建構元宇宙世界。未來就像 IoT 物聯網一樣,元宇宙也必須列出通用的標準規範,各家業者的產品服務才能相容互換,加速元宇宙的發展。

<回到新聞條列重點>   

5G世代威脅增 產品生命週期應納入資安元素 電子時報網

本篇報導提及5G為創新應用鋪路,以開放式架構與服務為導向的設計,網路功能全面軟體化,但此舉同時帶來更嚴峻的資安風險。而NCC委員孫雅麗更指出,5G正在驅動垂直場域轉型,5G資安問題更應該由5G基礎網路安全擴展納入5G應用、資料及物聯網設備的安全議題。

<回到新聞條列重點>   

Microsoft 365檔案備份功能可能被竄改,讓用戶陷勒索軟體麻煩  iThome

Microsoft 365的一項檔案備份功能,可能遭駭客劫持帳號並以釣魚信件、暴力破解、透過授權OAuth應用程式存取SharePoint/OneDrive帳號,或是劫持連線或即時API權杖來登入,使原本在勒索軟體攻擊時文件回復的功能失敗。研究人員更警告,透過上述方法破壞Microsoft 365的備份功能後,一旦企業桌機遭勒索軟體加密,將使企業無法重新回復文件。

<回到新聞條列重點>   

微軟坦言 Windows 更新又出包!一按鍵網路秒斷線 所有版本都遭殃  自由時報電子報

根據微軟官方指出,用戶安裝 KB5014697更新檔案,並啟用 WiFi 熱點後,網路連線可能會直接斷線,無論是 WiFi、網路線又或者 LTE,都將無法接收,使熱點功能失去作用。且本次幾乎是全版本都中招,目前微軟仍尚未找到解決方法,僅表示若要恢復網路連線,用戶可以關閉 WiFi 熱點功能,預計將於後續發布更新修正。

<回到新聞條列重點>   

Windows 11 即將加入新隱私審查功能,誰何時動過你的麥克風、鏡頭與定位資訊一覽無遺  電腦王阿達

網路時代,電腦與網路被我們運用在各種方面,舉凡工作、個人、休閒還是娛樂,但同時也成乘載了很多關於個人隱私的重擔。微軟即將在 Windows 11 的設定應用程式中加入新的隱私控制面板,你可以在裡面查閱哪些應用程式或工具可以訪問敏感硬體功能的精準資訊,像是麥克風、鏡頭跟定位資訊等。

<回到新聞條列重點>   

快更新Windows!微軟終於修復Follina漏洞、阻斷中國駭客攻擊  自由時報電子報

微軟日前揭露「Follina」漏洞,評定為7.8分高風險,資安業者Proofpoint亦發現,該漏洞遭到中國駭客有組織性的發動攻擊,甚至是攻擊歐美政府機構。

<回到新聞條列重點>   

複雜供應鏈讓汽車資安漏洞百出? VicOne完整服務打造最強防護機制  電子時報網

透過聯網技術賦予車輛更多智慧功能,已然成為汽車業者強化市場競爭力、掌握產業商機的必要策略。不過在享受絕佳乘車體驗的同時,資安風險也隨之而來,由於車載系統與車輛駕駛及用路人安全息息相關,駭客侵入小則損及商譽,大則造成傷亡,因此強化資安防護機制已成為業者必須嚴肅面對的課題,在Lets Talk Online 2.0第五場線上資安議程中,VicOne資深產品經理Peter Yang就為與會者深入剖析最新的車用資安技術與產品策略。

<回到新聞條列重點>   

車載資安成為產業必考題 無法符合規範只能出局  電子時報網

進入萬物聯網的時代,駭客攻擊的威脅也愈來愈多。

從消費性電子起家的大眾電腦,事業版圖從Mini Computer、DT、NB,近年看見電動車、智慧車產業的發展趨勢,多年前即展開超前部署,將事業觸手伸向汽車資安領域。

<回到新聞條列重點>   

德凱攜手趨勢科技 打造車用資安認證整合服務  中華新聞雲

DEKRA德凱與全球網路資安解決方案領導廠商趨勢科技所新成立的車用資安公司VicOne共同宣布將攜手合作提供車用資安認證服務方案,結合雙方於車用資安的技術專業和國際法規標準的知識與認證服務,共同協助想進入電動車產業的車用供應鏈廠商,更有效率的導入並符合車用國際資安認證標準。

<回到新聞條列重點>   

電動車新戰場!趨勢子公司推車用資安認證服務  自由時報電 子報

DEKRA德凱與VicOne今(16日)共同宣布,將合作提供「車用資安」認證服務方案,透過VicOne所提供車用資安輔導顧問,結合DEKRA德凱車輛資安認證服務,一站式協助電動車廠商導入並通過車用資安國際標準。

<回到新聞條列重點>   

Android 手機防毒App實測比一比!外媒評選「這12款」最實用  自由時報電子報

面對層出不窮、鎖定Android 系統的行動裝置,作為攻擊目標的惡意應用程式,若想提升手上Android 手機面對資安威脅的防護,該挑選哪一款防毒軟體App好呢?

<回到新聞條列重點>   

多國聯手破獲由數百萬個裝置組成的俄羅斯殭屍網路Rsocks  ithome

美、德、荷、英宣布已共同摧毀由俄羅斯駭客入侵全球數百萬個裝置所建立的Rsocks殭屍網路的基礎設施。根據調查,Rsocks殭屍網路主要是由物聯網裝置所組成,涵蓋工業控制系統、打卡鐘、路由器、影音串流裝置、智慧型車庫開啟裝置、Android手機與電腦,且Rsocks的平台客戶能取得受害者的社交網路帳號,或是寄送網釣郵件。

<回到新聞條列重點>   

強化保安防護將帶動企業 5G 專網普及  MediaOutReach

“私有5G網络是多雲的:三分之二的受訪者告訴我們他們的部署將以某種方式使用該技術,”Eric Hanselman說, 451 Research的首席分析師,是標準普爾全球市場情報的一部分。“然而,雲計算的共用責任模式意味著這些企業客戶將需要構建自己的安全功能。他們說,他們需要專業的安全合作夥伴來幫助他們完成這一旅程。組織對5G安全性抱有很大的期望,但他們的合作夥伴關係的品質將是真正的差異化因素。

<回到新聞條列重點>   

還用微信?資安專家:澳69萬用戶數據恐遭北京掌控  自由時報電子報

澳洲坎培拉網路安全和情報機構「Internet 2.0」專家分析報告指出,在2020年7月中國實施「港區國安法」後,澳洲高達69萬微信用戶數據流向在香港的伺服器,包括用戶全球定位系統、行動網絡、手機裝置資訊、手機ID、手機作業系統版本等數據,恐已落入中國共產黨和中國政府手中。

<回到新聞條列重點>   

Google密碼管理員更新 更接近「無密碼」時代  ETtoday新聞雲

近期科技巨頭都在著手研究要如何取代傳統密碼,包含蘋果、Google、微軟等廠商都有傳出相關的規劃,在那之前,Google密碼管理器搶先開始提供「設備​​加密」,只有用戶自己才能看到自己的密碼,Google不再擁有解讀密碼的金鑰。

<回到新聞條列重點>   

地下市場最常見 10 大「外洩密碼」別再用!免費工具 1 秒就破解  自由時報電子報

研究機構 Digital Shadows 最新報告指出,在地下交易市場、駭客論壇販售非法取得的帳號密碼數量逐年增加,更列出 10 組最常見的組合,表示駭客幾乎只要一秒就能瞬間破解。

<回到新聞條列重點>   

IE 正式走入歷史!韓國工程師樹立墓碑紀念:『 它是下載其他瀏覽器的好工具 』 電纜少女

微軟 Internet Explorer 瀏覽器在 6 月 15 日正式終止服務,為此一名韓國工程師特地替 IE 打造了一塊墓碑,但上面的文字卻讓許多網友都會心一笑,在這塊哀悼 IE 的墓碑上寫著:「它是用來下載其他瀏覽器的好工具」

<回到新聞條列重點>   

工業設備網路攻擊造成企業數百萬美元損失  T客邦

趨勢科技基礎架構策略副總裁 William Malik 指出:「全球的工業廠房都在邁向數位化來維持成長,但卻引來各式各樣他們無法有效防範的威脅,造成重大的財務與商譽損失。要有效管理這些高度連網的 IT 與 OT 環境,企業應挑選經驗豐富、具備遠見及廣泛能力,並且能為整體環境提供最佳防護的合作夥伴。

<回到新聞條列重點>   

微軟公布負責任AI指導準則,將限制部份臉部辨識能力  iThome

隨著AI能力愈來愈強,侵犯隱私及對黑人或少數族群辨別度較低的問題,促使科技業及學界推動負責任AI(Responsible AI)的準則,像是微軟2019年公布的6項AI開發及應用準則,包括公平、可靠性、隱私及安全性、包容性、透明性及權責等。微軟更新版準則則依據新的研究結果再加以改良。

<回到新聞條列重點>   

用 AI 幫開發者寫程式!GitHub 正式推出 Copilot,月費 10 美元  INSIDE

微軟旗下的 GitHub 近日推出 Copilot,讓開發者可藉由 AI 協助來寫程式。目前付費版本為月費 10 美元或年費 100 美元,但如果是開源(open-source)項目已認證過的學生或維運人員,則免費提供。

<回到新聞條列重點>   

北捷 首創Metro TIMES捷運人流資訊管理系統  經濟日報網

台北捷運首創「Metro TIMES 捷運人流資訊管理系統」,榮獲2022台北市政府市長盃資料應用黑客松競賽市府組第一名。今(22)日舉行記者會,宣布Metro TIMES 捷運人流資訊管理系統「車廂擁擠度即時告知功能」,繼板南線、文湖線後,淡水信義線、松山新店線及中和新蘆線正式啟用,搭配有如北捷路況即時查詢的「路線擁擠度告知功能」,旅客搭乘捷運更便利!

<回到新聞條列重點>   

元宇宙的發展與挑戰  工商時報電子報

近來探討元宇宙和非同質化代幣(non-fungible tokens,簡稱NFT)的話題風靡雲湧,對元宇宙都存有很大的期待與想像空間,但離現實生活卻有些遙遠。元宇宙是否會成為數位烏托邦,或因為被過度美化而對人類文明帶來負面影響,值得我們關注與探討。

<回新聞條列重點>   

【資安日報】2022年6月22日,駭客組織ToddyCat鎖定臺灣等國政府機關發動攻擊、駭客可竄改Office 365配置來發動勒索軟體攻擊  iThome

郵件系統Exchange Server是不少駭客會鎖定的目標,最近有研究人員發現專門針對該系統下手的駭客組織ToddyCat,該組織攻擊目標遍及歐洲與亞洲,但值得注意的是,臺灣、越南的政府機關是該組織的頭號目標。

<回到新聞條列重點>   

中國駭客攻擊Sophos防火牆漏洞  iThome

3月間Sophos防火牆發生攻擊活動,安全廠商Volexity指出,是中國一個專門攻擊獨立運動的國家駭客所為。

<回到新聞條列重點>   

資料的集中儲存成本高、易成駭客目標!Github 的開放式系統會成為我們的未來嗎?  科技報橘網

現代人的網路資料就如同線上化身一般,隨著 Web3 的興起,「去中心化」也被認為是未來資訊流的可能走向。

<回到新聞條列重點>   

趨勢旗下VICONE、德凱 推車用資安認證 助台廠搶進電動車產業  工商時報

趨勢科技旗下車用資安公司VICONE宣布,將與DEKRA德凱攜手合作提供車用資安認證服務方案,結合雙方於車用資安的技術和國際法規標準的知識與認證服務,協助想進入電動車產業的車用供應鏈廠商,更有效率導入並符合車用國際資安認證標準。

<回到新聞條列重點>   

三大關鍵助攻!蘋果拿下ARM架構筆電處理器九成營收,領先競爭者3年以上  財訊雜誌網

根據Strategy Analytics最新的報告,蘋果在筆記型電腦處理器市占有非常劇烈的增長,2021年在ARM架構筆記型電腦營收比重高達90%,遠高於高通、聯發科等競爭業者。

<回到新聞條列重點>   

台積電與國際大廠組 UCIe!愛普加入發展 Chiplet 生態系  科技新報網

愛普科技今日宣布,正式加入UCIe(Universal Chiplet Interconnect Express)產業聯盟,做為台灣 IC 設計商中首批加入 UCIe 產業聯盟的企業,愛普將積極參與 UCIe 產業聯盟,並與其他成員共同在 UCIe 1.0 版本規範和新一代 UCIe 技術標準的研究與應用,創建更健全的 chiplet 生態系。

<回到新聞條列重點>   

台灣高鐵採用 IBM 混合雲架構,使尖峰時間空位查詢時間縮短 90%  科技新報網

近期疫情嚴峻,為優化非接觸式服務,並追求更高的運輸效率,台灣高鐵公司(以下稱台灣高鐵)宣布採用 IBM 混合雲平台解決方案,打造「新世代訂位票務服務系統」,將旅客訂票及查詢的需求分流,建立「全年無休」的離線查詢系統,讓空位查詢所需時間即使在訂位最尖峰的時段也可減少 90%,旅客平均訂位時間減少 25%。台灣高鐵計劃以這套新的訂位票務系統為核心,繼續發展更多的票券商品類型或客製化的功能應用,以智慧化的交通運輸服務,滿足多元市場及顧客需求。

<回到新聞條列重點>   

Aruba 發表企業網路採購調查:網路即服務(NaaS)成為94%台灣企業熱衷的話題  CompoTech

-有鑑於數位轉型在後疫情時代的必要性,Hewlett Packard Enterprise旗下子公司Aruba的新研究發現台灣技術領導者在重新評估現有基礎架構與網路環境時,對用流量計費的網路即服務(NaaS)之興趣與日俱增。

<回到新聞條列重點>   

府城論壇 慎防投資詐騙陷阱  台灣時報

網路資安廠商趨勢科技全球產品行銷暨市場策略經理陳俐融表示,詐騙集團很懂得「趕流行」,會不斷將舊手法重新包裝,並圍繞時下熱門議題伺機而動。

<回到新聞條列重點>   

微軟支援診斷工具存在安全漏洞(CVE-2022-30190),攻擊者可藉此遠端執行任意程式碼,請儘速確認並進行更新  行政院國家資通安全會報技術服務中心

微軟支援診斷工具(Microsoft Support Diagnostic Tool, MSDT)為Windows作業系統用以蒐集裝置之診斷資料,並傳送給技術支援工程師以解決問題之工具。研究人員發現微軟支援診斷工具存在名為Follina之安全漏洞(CVE-2022-30190),攻擊者誘騙使用者開啟惡意Word檔案時,可利用URL協定呼叫微軟支援診斷工具以觸發此漏洞,進而遠端執行任意程式碼。

<回到新聞條列重點>   

這下換美國怕俄國來報仇了! 美官員稱俄將對美期中選舉發動網路攻擊  新頭殼

《美國有線電視新聞網》( CNN ) 今 ( 20 ) 日報導,多名美國官員透露,俄羅斯很可能在 11 月的期中選舉期間,發動網路、駭客攻擊,挑起美國國內分歧,削弱地方選民對選舉的信心。

<回到新聞條列重點>   

多國聯手破獲由數百萬個裝置組成的俄羅斯殭屍網路Rsocks  iThome

美國司法部在16日宣布,已與德國、荷蘭及英國的執法機構合作,共同摧毀了由俄羅斯駭客入侵全球數百萬個裝置所建立的Rsocks殭屍網路的基礎設施。

<回到新聞條列重點>   

【資安日報】2022年6月20日,西門子公布與修補15個工控網路管理系統的漏洞、研究人員揭露微軟二度修補的RDP漏洞細節  iThome

在上週末到今天的資安新聞中,漏洞修補的消息相當值得留意,其中對於西門子工控網路管理系統SINEC的修補,通報相關漏洞的資安人員指出,當中有2個漏洞最為嚴重,因為攻擊者一旦串連加以利用,就有可能取得NT AUTHORITY\SYSTEM權限,進而掌控受管理的工控設備。

<回到新聞條列重點>   

無密碼時代轉換生態系統恐更不易  電子時報網

FIDO聯盟的無密碼身分識別推動使用者可以免密碼登入的線上身分識別標準,然而近來有報告指出FIDO標準可能無法在iOS與Android生態系統間難以轉換,由於FIDO不提供批量匯出金鑰的機制,iOS與Android的用戶若想換新裝置,將無法輕鬆轉移至另一個生態系統。

<回到新聞條列重點>   

200萬安卓用戶恐中招!5款惡意木馬 App 藏身 Google Play 竊個資偷扣錢  自由時報電子報

安卓手機用戶最近若有出現莫名耗電、無故變燙等異常情形,有可能是遭藏有惡意木馬程式與詐騙竊個資的App入侵感染所致,安全研究人員近期在 Google Play 商店上發現多款遭暗中植入惡意木馬程式的 App, 會擅自訂閱高額的付費應用服務,導致受害者的手機帳單無故暴增。

<回到新聞條列重點>   

非洲最大連鎖超市Shoprite遭勒索軟體RansomHouse攻擊  iThome

非洲最大連鎖超市Shoprite Group傳出資料外洩,指出有部分客戶的姓名與身分證字號外洩,本周Shoprite已出現在勒索軟體集團RansomHouse的受害名單上,該集團不僅取得Shoprite的客戶資料,也取得該公司其它資料,倘若Shoprite不配合,該集團將會出售大多數的資料。

<回到新聞條列重點>   

Sony跨足電動車產業 與本田合資成立Sony Honda Mobility  聯合新聞網

今年三月宣布合資成立公司消息後,Sony與本田稍早確認,雙方合資獨立公司將以Sony Honda Mobility作為正式名稱,預計在今年內完成成立,並且將在2025年投入電動車銷售,以及移動相關服務運作。

<回到新聞條列重點>   

歐盟2035年禁售燃油車大限將嚴厲考驗其汽車產業  台灣經貿網

歐洲議會甫於本(6)月8日表決支持歐盟執委會有關2035年起禁止銷售新燃車之提案,引起歐洲汽車產業一片譁然,憂心上下游能否能於極短時間內完成轉型,除對產業與社會造成衝擊外,車輛供應、售價及充電站網絡布署等均將面臨嚴峻考驗。

<回到新聞條列重點>   

廣邀全球新創 MIH攜手美國白金加速器Techstars  自由時報電子報 

鴻海(2317)主導的MIH開放電動車聯盟今天宣布與美國白金級加速器Techstars合作,攜手推出《MIH for Startups》計畫,邀請並鼓勵全球電動車相關領域的新創公司參與,有機會獲鴻海集團投資,並與MIH商談業務合作。

<回到新聞條列重點>   

美警示中國駭客攻擊電信業態勢,16個網路設備已知漏洞最常被鎖定   iThome

今年6月CISA發布一份中國政府支持駭客攻擊美國及全球主要電信公司的資安公告,當中指出近年這些駭客的普遍攻擊都是鎖定網路設備已知漏洞入侵,因此這次警告的目的,呼籲電信業與網路服務供應商在瞭解駭客最常針對漏洞後,更該積極修補

<回到新聞條列重點>   

駭客還在利用3年前的Telerik UI漏洞以植入Cobalt Strike與挖礦軟體  iThome

NET開發工具Telerik在2019年所修補的遠端程式攻擊漏洞CVE-2019-18935,在過去2年都被美國列最常遭到駭客利用的安全漏洞之一,Sophos在今年5月又發現針對該漏洞的新一波攻擊

<回到新聞條列重點>   

【資安日報】2022年6月16日,軟體開發測試平臺Travis CI恐曝露數千個雲端服務憑證、Splunk漏洞恐被攻擊者用於執行任意程式碼  iThome

研究人員發現軟體開發測試平臺Travis CI上,對於免費版用戶的防護措施有所不足,而讓他們的事件記錄曝露;再者,大數據分析軟體Splunk近期修補了CVSS評分9.0分的重大漏洞,Splunk Enterprise用戶應儘速更新軟體

<回到新聞條列重點>   

可越過多重認證 (MFA) 機制的Android 手機病毒! MaliBot 會竊取密碼和加密貨幣錢包

最近網路上出現了一個新的 Android 資訊竊取程式,名叫「MaliBot」。目前已知它專門瞄準網路銀行與虛擬加密貨幣錢包的使用者。Malibot 可越過多重認證 (MFA) 機制、偷取登入憑證與 Cookie、監視裝置畫面上的內容。它會假扮成虛擬加密貨幣挖礦( coinmining )程式,例如:Mining XThe Crypto App 以及  Chrome

如何避免裝置遭 MaliBot 感染?


MaliBot 是經由簡訊釣魚 (smishing) 散布,此外也會藉由吸引受害者到詐騙網站來感染其裝置。兩種方法都會誘騙使用者點選某個連結,好讓惡意程式下載到手機上。

防範之道:避免點選來路不明簡訊中的連結,從第三方網站下載應用程式時務必非常小心,最後,在每次安裝應用程式時都務必查看應用程式所要求的權限。

繼續閱讀

趨勢科技研究發現:更完善的資安防護將帶動企業 5G 專網部署

全球企業表示他們已準備與合作夥伴一起實現這項目標

【2022 年 6 月 23 日台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發布一份最新研究註一指出,提升5G 專網在資安與隱私權方面的能力是企業推動 5G 專網計畫的主要動機。

【圖說一】趨勢科技最新研究指出,提升5G-專網在資安與隱私權方面的能力是企業推動-5G-專網計畫的主要動機。
【圖說一】趨勢科技最新研究指出,提升5G-專網在資安與隱私權方面的能力是企業推動-5G-專網計畫的主要動機。

請點選此連結來取得這份完整報告「5G 專網的資安期望:結伴同行」(Security Expectations in Private 5G Networks: A journey with partners)。

S&P Global 市場研究機構旗下的 451 Research 首席分析師 Eric Hanselman 指出:「有三分之二的受訪者表示他們的環境在某些方面會用到5G 專網雲端技術。然而在雲端資安責任共同分擔的架構下,這些企業客戶將必須建立屬於自己的資安能力。這些客戶表示他們需要與資安專家合作來協助他們踏上這段旅程。企業對於 5G 資安有很大的期待,但其合作夥伴的品質將是成敗的關鍵。」

繼續閱讀

什麼是肉搜,違法嗎?如何避免被人肉搜尋?

4月底 Google 宣布擴大用戶個資保護,用戶可以要求Google從搜尋結果移除特定敏感個資的連結,以防範肉搜或被用於金錢詐騙。到底什麼是肉搜?該如何預防?

什麼是肉搜?如何避免

肉搜是什麼?

肉搜或人肉搜尋,在英文稱為doxing或doxxing,也就是dropping dox的簡稱(dox指的是文件,像是Word檔案)。這是一種惡意暴露某人身份的行為,更直白地說,就是違反受害者意願去散播受害者的敏感資訊(如電話號碼、住家地址、電子郵件地址、身分字號等)。

肉搜著名的案例


現在人肉搜尋變得越來越常見,有些形成網路公審,有些成為網路上日益嚴重的騷擾、霸凌,甚至恐嚇。著名的例子包括:

🔎 台灣案例:

  • 2011年阻擋救護車且比中指的蕭姓男子,在短時間內被網友肉搜,並公佈其就讀學校、地址、手機號碼,家門外還有記者守候。該男雖事後道歉.也無法平息網友的圍剿,其雙親個資也被曝光。
  • 2020 年一名女網友在論壇控訴,她光顧台中某間知名壽司店後在Google評論給三顆星評價,竟遭店家肉搜,不只到該網友個人臉書留言,並在凌晨打了好幾通電話企圖聯絡女網友。

🔎 中國案例:

  • 2018年四川35歲女醫生與13歲男孩在泳池起衝突,丈夫教訓朝妻子吐口水的男孩,之後男孩家長上傳衝突影片到社群媒體,使得女醫生全家被肉搜,不堪網路霸凌,女醫生吞500片安眠藥自殺身亡。

🔎 美國案例:

  • 當2013年波士頓馬拉松爆炸案發生後,Sunil Tripathi因為被誤認為是肇事者之一後遭到肉搜,導致他被迫自殺。
  • 反墮胎運動支持者在美國肉搜、羞辱和恐嚇提供墮胎的醫生。這是件嚴重的事情,因為在1993年至2016年間有八名墮胎醫生被殺
  • 在2014到2015年時的玩家門事件,有數名女權主義記者遭到網路玩家肉搜,導致嚴重的騷擾活動和死亡威脅。
  • 在2016年,福斯新聞主播Lou Dobbs對川普的性騷擾指控者之一進行肉搜
  • 2022 年 Nicki Minaj 因為對兩名報導她反疫苗觀點的記者進行肉搜而引發爭議。
繼續閱讀

FluBot 木馬發出 DHL 簡訊釣魚,竊取銀行帳密和個資

FluBot 木馬發出 DHL 簡訊釣魚,竊取銀行帳密和個資

我們之前報導過一種危險的Android木馬程式 – FluBot,它在2020年12月首次被發現。這隻惡意軟體會透過內含惡意下載連結的簡訊來感染裝置,雖然簡訊聲稱是為了安裝追蹤包裹進度的應用程式。
延伸閱讀: Flubot 變種假好心提醒安卓手機用戶安全更新, 當心銀行存款蒸發

不過這只是惡意軟體入侵使用者裝置的先發部隊(所以稱為木馬)。安裝之後,惡意應用程式會要求存取權限 – 讓FluBot能夠輕易地停用安全系統並竊取銀行資訊。

繼續閱讀