资安一周49期：铨叙部外泄机密在LINE即时通讯群组流传、55%华为网络设备固件含有后门

0627-0703 一定要看的资安新闻

 

＃国家级攻击  ＃资料外泄

二次伤害！铨叙部外泄个资出现在LINE即时通讯群组

日前铨叙部传出59万笔公务人员个资外泄，影响超过24万名人员，相关单位正在进行调查的同时，却惊传坊间有人特别标示出国安局等情治人员的真实身份，并在LINE群组流传。

不具名资安专家表示，目前网络上流传的外泄个资档案名称为TSDM2.txt，内容有589,991笔个资，档案的编码是简体中文，因此推测，这个档案应该是中国多个论坛整理过后才流出的资料。该名专家表示，严格说来，中国-应该早就已经掌握这份公务人员的个资档案了。

行政院资安处处长简宏伟表示，目前这起事件已经由调查局立案侦办，基于调查不公开原则，不方面做相关评论。详全文

图片来源／iThome

 

＃漏洞攻击  ＃供应链攻击

华为设备固件55%含有潜在后门

专精于物联网（IoT）装置安全的美国资安业者Finite State，针对华为设备所使用的固件进行地毯式分析，他们在近1万款固件映像档中，发现其中有55%含有潜在的后门，该公司宣称这是第一份证实华为设备含有潜在后门的研究报告。

Finite State利用自家系统，分析了华为9,936款固件中150万个档案，这些固件运用于华为558款企业级网络产品。结果发现，每个固件映像档平均存在102个已知漏洞，漏洞普遍来自于所使用的外部函式库。所有的功能呼叫中，采用安全机制比例低于17%。详全文

 

＃国家级攻击

五眼联盟入侵俄罗斯搜索引擎龙头Yandex

根据路透社报导，骇客2018年底入侵了俄罗斯最大的搜索引擎业者Yandex，并植入Regin恶意程式，企图监视特定的使用者账号，而Regin则是西方情报组织五眼联盟（Five Eyes）常用的攻击工具。

骇客是在去年10月与11月之间入侵Yandex，但不确定是由五眼联盟中的哪个国家所主使，Yandex只向路透社坦承遭骇，而拒绝提供其他细节。详全文

 

＃国家级攻击  ＃勒索软件攻击

美地方-再向发动勒索软件攻击的骇客低头！佛州湖市打算支付比特币解锁

美佛罗里达州湖市（Lake City）在6月10日遭到勒索软件袭击，市议会在24日召开紧急会议，决定支付骇客要求的42个比特币赎金，成为继里维埃拉海滩（Riviera Beach）之后，该州第二个支付勒索赎金的城市。

在勒索软件攻击之下，使得该市的电子邮件系统、多数市内电话，以及其他网络服务几乎无法运作，仅供警方及火灾等公共安全的网络因被隔离而未受波及。

湖市被骇一周后收到骇客通知，要求以42个比特币来换取解密金钥，该市在权衡利弊之后，决定与骇客妥协。当地的城市经理向First Coast News透露，如果真能解密档案与资料，将会节省恢复IT系统的时间与金钱，而此金额将由该市的保险业者Florida League给付。

资安业者Recorded Future曾于5月提醒，锁定美国地方-的勒索软件攻击有逐渐增加的趋势，在2016年发生46起，到了2017年虽然下滑至38起，但2018年又窜升到53起，而光是在今年的前4个月，就有21起相关的攻击行动。详全文

 

＃漏洞攻击  ＃无线网络攻击

美敦力召回存在被骇风险的胰岛素泵浦

全球最大医疗科技公司之一的美敦力（Medtronic）宣布召回MiniMed 508与MiniMed Paradigm系列胰岛素泵浦，原因是这些装置含有安全漏洞，有机会让骇客窜改装置设定并控制胰岛素的输送，波及用户病情，美国食品暨药物管理局（FDA）也特别提出警告。

根据估计，美国大约有4,000名糖尿病患者使用上述含有漏洞的胰岛素泵浦，但美敦力并未公布相关产品的全球销售状况，仅表示目前并未接获任何恶意窜改泵浦设定，或控制胰岛素输送的情事。详全文

图片来源／美敦力

 

＃资料外泄  ＃物联网装置安全  ＃公有云配置不当

中国智慧家庭设备业者泄露20亿笔用户资料

资安公司vpnMentor在网络上发现一个公开数据库，持有者是中国智慧家庭设备厂商欧瑞博（Orvibo），数据库里共存放了20亿笔资料，内容包含多个国家的用户名称、连网装置、密码，以及精确定位座标等记录。

欧瑞博是总部位于中国深圳的智慧家庭制造商，产品线包括智慧插座、Wi-Fi摄影机、温控装置，以及温湿度感测器等，宣称拥有100万个客户，涵盖公司行号与家庭用户，其产品也在台湾销售。

这次外泄的资料显示，欧瑞博对用户资料搜集得钜细靡遗。研究人员指出，这些外泄资讯足以让得手的攻击者窜改用户个人资料，永远让用户无法存取账号，或是追踪用户的详细位置，甚至变更智慧插座的设定，造成炉具在家中无人时启动引发意外。

研究人员于6月16日首度联络欧瑞博，随后再到该公司推特留言，但都没有接获回应，也未修补系统漏洞。研究人员表示情况允许的话，会考虑直接联络受害用户。详全文

 

＃网络钓鱼攻击

网络钓鱼出新招：把恶意连结藏在QR Code

许多企业都会扫描电子邮件中所嵌入的URL，企图拦截恶意连结。然而，专门防御网络钓鱼的资安业者Cofense指出，他们最近发现了新一波的网钓攻击，把恶意连结藏匿在QR Code中以躲避侦测，很可能是史上头一遭滥用QR Code来夹带恶意连结的网钓手法。

这波的网钓攻击是假冒来自SharePoint的电子邮件，邀请受害者扫描QR Code来开启文件，QR Code的内容是伪装成SharePoint的网钓网站，要求使用者透过AOL、微软或其他服务的账号登入，开启文件。

Cofense认为，过去QR Code是受到技客青睐的先进技术，现在的相关应用则愈来愈普及，而未来它是否会成为网钓攻击的趋势，仍有待观察。详全文

 

＃网络钓鱼攻击

高阶攻击工具随手可得，网络钓鱼攻击将更难防范

资安业者Cyren指出，网钓即服务（Phishing-as-a-Service，PaaS）与其攻击套件的盛行，让业余骇客也能取得高级的闪避侦测技术，以逃过电子邮件安全系统的扫描，估计目前在黑市所销售的网钓套件中，就有87%含有至少一项的闪避技术。

Cyren观察到愈来愈多的PaaS具备可闪避侦测的机制，这些拥有高阶技术的网钓攻击开发者，采用服务型态的商业模式，使得业余骇客能以低成本取得闪避安全侦测的技术。

根据微软所发表的《安全情报报告》，网络钓鱼为骇客执行攻击的首选之一，2018年内含网钓讯息的电子邮件比例增加了250%。Osterman Research的调查则显示，2018年有44%的企业曾遭受过至少一次网钓攻击，高于2017年的30%。详全文

图片来源／撷取自Cyren

 

更多资安动态

●Google为商用版Gmail增加安全沙箱防护
●强化学习破解第三代reCAPTCHA图灵验证系统
●Elastic Stack 7.2首度纳入资安事件管理平台模组
●美中贸易战出现转机，川普同意华为可购买美国技术
●苹果隐私签入机制规格未标准化隐含资安风险
●2019年6月十大资安新闻回顾