iThome
0627-0703 一定要看的资安新闻
#国家级攻击 #资料外泄
二次伤害!铨叙部外泄个资出现在LINE即时通讯群组
日前铨叙部传出59万笔公务人员个资外泄,影响超过24万名人员,相关单位正在进行调查的同时,却惊传坊间有人特别标示出国安局等情治人员的真实身份,并在LINE群组流传。
不具名资安专家表示,目前网络上流传的外泄个资档案名称为TSDM2.txt,内容有589,991笔个资,档案的编码是简体中文,因此推测,这个档案应该是中国多个论坛整理过后才流出的资料。该名专家表示,严格说来,中国-应该早就已经掌握这份公务人员的个资档案了。
行政院资安处处长简宏伟表示,目前这起事件已经由调查局立案侦办,基于调查不公开原则,不方面做相关评论。详全文
图片来源/iThome
#漏洞攻击 #供应链攻击
华为设备固件55%含有潜在后门
专精于物联网(IoT)装置安全的美国资安业者Finite State,针对华为设备所使用的固件进行地毯式分析,他们在近1万款固件映像档中,发现其中有55%含有潜在的后门,该公司宣称这是第一份证实华为设备含有潜在后门的研究报告。
Finite State利用自家系统,分析了华为9,936款固件中150万个档案,这些固件运用于华为558款企业级网络产品。结果发现,每个固件映像档平均存在102个已知漏洞,漏洞普遍来自于所使用的外部函式库。所有的功能呼叫中,采用安全机制比例低于17%。详全文
#国家级攻击
五眼联盟入侵俄罗斯搜索引擎龙头Yandex
根据路透社报导,骇客2018年底入侵了俄罗斯最大的搜索引擎业者Yandex,并植入Regin恶意程式,企图监视特定的使用者账号,而Regin则是西方情报组织五眼联盟(Five Eyes)常用的攻击工具。
骇客是在去年10月与11月之间入侵Yandex,但不确定是由五眼联盟中的哪个国家所主使,Yandex只向路透社坦承遭骇,而拒绝提供其他细节。详全文
#国家级攻击 #勒索软件攻击
美地方-再向发动勒索软件攻击的骇客低头!佛州湖市打算支付比特币解锁
美佛罗里达州湖市(Lake City)在6月10日遭到勒索软件袭击,市议会在24日召开紧急会议,决定支付骇客要求的42个比特币赎金,成为继里维埃拉海滩(Riviera Beach)之后,该州第二个支付勒索赎金的城市。
在勒索软件攻击之下,使得该市的电子邮件系统、多数市内电话,以及其他网络服务几乎无法运作,仅供警方及火灾等公共安全的网络因被隔离而未受波及。
湖市被骇一周后收到骇客通知,要求以42个比特币来换取解密金钥,该市在权衡利弊之后,决定与骇客妥协。当地的城市经理向First Coast News透露,如果真能解密档案与资料,将会节省恢复IT系统的时间与金钱,而此金额将由该市的保险业者Florida League给付。
资安业者Recorded Future曾于5月提醒,锁定美国地方-的勒索软件攻击有逐渐增加的趋势,在2016年发生46起,到了2017年虽然下滑至38起,但2018年又窜升到53起,而光是在今年的前4个月,就有21起相关的攻击行动。详全文
#漏洞攻击 #无线网络攻击
美敦力召回存在被骇风险的胰岛素泵浦
全球最大医疗科技公司之一的美敦力(Medtronic)宣布召回MiniMed 508与MiniMed Paradigm系列胰岛素泵浦,原因是这些装置含有安全漏洞,有机会让骇客窜改装置设定并控制胰岛素的输送,波及用户病情,美国食品暨药物管理局(FDA)也特别提出警告。
根据估计,美国大约有4,000名糖尿病患者使用上述含有漏洞的胰岛素泵浦,但美敦力并未公布相关产品的全球销售状况,仅表示目前并未接获任何恶意窜改泵浦设定,或控制胰岛素输送的情事。详全文
图片来源/美敦力
#资料外泄 #物联网装置安全 #公有云配置不当
中国智慧家庭设备业者泄露20亿笔用户资料
资安公司vpnMentor在网络上发现一个公开数据库,持有者是中国智慧家庭设备厂商欧瑞博(Orvibo),数据库里共存放了20亿笔资料,内容包含多个国家的用户名称、连网装置、密码,以及精确定位座标等记录。
欧瑞博是总部位于中国深圳的智慧家庭制造商,产品线包括智慧插座、Wi-Fi摄影机、温控装置,以及温湿度感测器等,宣称拥有100万个客户,涵盖公司行号与家庭用户,其产品也在台湾销售。
这次外泄的资料显示,欧瑞博对用户资料搜集得钜细靡遗。研究人员指出,这些外泄资讯足以让得手的攻击者窜改用户个人资料,永远让用户无法存取账号,或是追踪用户的详细位置,甚至变更智慧插座的设定,造成炉具在家中无人时启动引发意外。
研究人员于6月16日首度联络欧瑞博,随后再到该公司推特留言,但都没有接获回应,也未修补系统漏洞。研究人员表示情况允许的话,会考虑直接联络受害用户。详全文
#网络钓鱼攻击
网络钓鱼出新招:把恶意连结藏在QR Code
许多企业都会扫描电子邮件中所嵌入的URL,企图拦截恶意连结。然而,专门防御网络钓鱼的资安业者Cofense指出,他们最近发现了新一波的网钓攻击,把恶意连结藏匿在QR Code中以躲避侦测,很可能是史上头一遭滥用QR Code来夹带恶意连结的网钓手法。
这波的网钓攻击是假冒来自SharePoint的电子邮件,邀请受害者扫描QR Code来开启文件,QR Code的内容是伪装成SharePoint的网钓网站,要求使用者透过AOL、微软或其他服务的账号登入,开启文件。
Cofense认为,过去QR Code是受到技客青睐的先进技术,现在的相关应用则愈来愈普及,而未来它是否会成为网钓攻击的趋势,仍有待观察。详全文
#网络钓鱼攻击
高阶攻击工具随手可得,网络钓鱼攻击将更难防范
资安业者Cyren指出,网钓即服务(Phishing-as-a-Service,PaaS)与其攻击套件的盛行,让业余骇客也能取得高级的闪避侦测技术,以逃过电子邮件安全系统的扫描,估计目前在黑市所销售的网钓套件中,就有87%含有至少一项的闪避技术。
Cyren观察到愈来愈多的PaaS具备可闪避侦测的机制,这些拥有高阶技术的网钓攻击开发者,采用服务型态的商业模式,使得业余骇客能以低成本取得闪避安全侦测的技术。
根据微软所发表的《安全情报报告》,网络钓鱼为骇客执行攻击的首选之一,2018年内含网钓讯息的电子邮件比例增加了250%。Osterman Research的调查则显示,2018年有44%的企业曾遭受过至少一次网钓攻击,高于2017年的30%。详全文
图片来源/撷取自Cyren
更多资安动态
●Google为商用版Gmail增加安全沙箱防护
●强化学习破解第三代reCAPTCHA图灵验证系统
●Elastic Stack 7.2首度纳入资安事件管理平台模组
●美中贸易战出现转机,川普同意华为可购买美国技术
●苹果隐私签入机制规格未标准化隐含资安风险
●2019年6月十大资安新闻回顾
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09