资安一周第122期：研华科技表明攻击事件可能有资料外泄情事。Sophos因系统组态不当导致用户资料曝险

1126-1202 一定要看的资安新闻

 

＃网络攻击  ＃高科技产业

研华科技坦承部分服务器遭攻击，后续才表明可能有资料外泄的情况

工业电脑大厂研华科技传出遭到骇客攻击，导致部分服务器遇害，资安新闻网站Bleeping Computer于11月29日的报导指出，此起攻击事件可能是Conti勒索软件骇客组织所为，该组织疑似索讨750个比特币赎金不成，愤而公布3GB来自研华的资料，并宣称这些档案容量仅占全部窃得的2%。

对于资料外泄的传闻，研华也做出回应，他们表示骇客在攻击时，可能偷走了机密程度较低的资料。至于是否被骇客勒索，该公司仅表示勒索行为是网络攻击常态，并未进一步说明。详全文

 

＃组态配置不当

Sophos系统组态不当致客户资料曝险

因企业的系统组态不当，而导致使用者资料曝露在网络上的情况，近期可说是时有所闻。根据新闻网站ZDNet于11月26日报导，Sophos发出电子邮件，表示他们存放客服资料的系统组态不当，使得有少部分使用者的资料，包含全名、电子邮件信箱，以及电话等，公开在网络上。

Sophos表示，他们在11月24日接获通报后，很快就修正错误组态，并通知受影响的用户。至于此起事件对台湾使用者的影响，Sophos大中华区通路总监暨台湾区总经理林文钦表示，目前尚未出现台湾用户遭到波及的情况。详全文

图片来源：ZDNet

 

＃凭证外泄  ＃医疗产业  ＃-单位

巴西武汉肺炎病患个资曝光，原因是医院误将机密凭证列表公开于GitHub

巴西媒体Estado接获读者爆料，当地医院Albert Einstein Hospital的员工，将能够存取-机密系统的凭证列表上传到GitHub，其中有部分可用于存取储存武汉肺炎患者的2个数据库，这些数据库分别存放轻症患者资料与住院追踪案例，内有包括巴西总统等1,600万名病人个资与就医记录。

这些凭证档案被上传到GitHub约1个月，目前已被撤除，同时巴西-也更新相关凭证。详全文

 

＃医疗产业  ＃勒索软件攻击

美国大型医疗IT服务业者遭勒索软件攻击，病患资料外泄

提供美国数十家医疗机构IT服务的U.S. Fertility，于11月25日坦承，该公司的平台于8月12日至9月14日遭到攻击，部分服务器与工作站被勒索软件加密，而且骇客存取部分病人的个资。

U.S. Fertility表示，他们在9月14日发现内部网络环境受到恶意程式感染，使得部分电脑系统无法存取，经外部鉴识专家协助，确认是遭到勒索软件攻击，该公司随即隔离受害系统，使得相关服务在9月20日才重新上线。详全文

 

＃勒索软件攻击

丹麦新闻通讯社Ritzau遭勒索软攻击拒付赎金，预计24小时修复系统

丹麦新闻通讯社Ritzau在11月24日遭到勒索软件攻击，他们的编辑系统、电子邮件，以及电话系统都受到影响，该公司在发现遭受攻击之后，关闭所有服务器，导致无法正常发布新闻，不过，该公司还是透过备用系统，供应新闻给其他媒体。

该公司约有100台服务器，受害比例占四分之一。由于在顾问的建议下，Ritzau并未开启勒索讯息，因此无从得知攻击者身份与赎金规模。

攻击事件发生后，该公司IT部门全力复原受损系统，亦聘请外部的资安公司来协助消毒，他们计划于24小时之内修复完成，并于26日恢复正常运作。详全文

图片来源：Ritzau

 

＃勒索软件攻击

法国IT服务业者Sopra Steria下调财报预测，原因是勒索软件攻击事件影响营运

在今年10月遭到勒索软件Ryuk的攻击后，法国IT服务业者Sopra Steria表示，此事件将对财务造成负面影响，肇因于攻击之后部分系统无法运作，再加上修复成本，估计今年第四季的营业利润将减少4千万至5千万欧元。

对此，该公司调整财报预测，从攻击事件前预期该季营收下滑2%至4%，调整为4.5%至5%。详全文

 

＃社群网站

脸书疑未经许可分享用户个资给上万家公司，遭韩国裁罚67亿韩元

因不当分享用户个资给其他企业，脸书最近又再遭到处罚。根据韩联社在11月25日的报导，因脸书未经用户同意，将300万使用者的资料分享给上万家企业，韩国-重罚67亿韩元，约相当于新台币1.8亿元。

韩国隐私主管机关个资保护委员会（PIPC）指出，脸书从2012年5月到2018年6月间，将至少330万名用户的个资分享给第三方公司，受害人数占当地用户总数1800万的六分之一强。详全文

 

＃隐私侵犯  ＃行动装置应用程序

外泄用户机密，百度搜寻与地图App遭到下架

资安业者Palo Alto Networks于11月24日指出，他们发现Google Play应用程序市集里的许多App，会外泄用户的机密资料，诸如手机MAC位址、IMSI，以及IMEI等，该公司点名在美国下载共超过600万次的2款百度应用程序：百度搜寻与百度地图等App一度遭到Google移除，并于19日与25日先后重新上架。

这家资安公司的研究人员表示，上述应用程序之所以能收集用户机敏资讯，是透过百度Android Push SDK，而这个模组经常被恶意程式用来汲取装置资料，进而侵犯用户隐私。此外，由中国研究机构MobTech所发布的ShareSDK，也有类似的滥用情事。详全文

 

＃漏洞揭露  ＃远距办公

VMware Workspace One爆重大指令注入漏洞，但修补程式尚未提供

Mware于11月23日发出公告，旗下Workspace One数位办公平台存在重大风险漏洞CVE-2020-4006，CVSS风险评估为9.1分，影响多个产品。

该公司指出，此漏洞能让攻击者经由8443连接埠存取其组态管理工具，并以不受限的权限于底层操作系统执行指令。

由于修补程式还在制作中，VMware紧急提供缓解措施，借由加入指令码来暂时防堵漏洞遭到滥用，但该公司也指出，一旦套用指令码，会无法变更部分设定。美国网络安全暨基础架构安全署（CISA）也提出呼吁，用户应尽速套用缓解措施，以免被攻击者接管系统。详全文

图片来源：VMware

 

＃漏洞修补

英国呼吁尽速修补MobileIron行动装置管理平台漏洞

英国国家网络安全中心（NCSC）于11月23日提出呼吁， MobileIron行动装置管理服务器的CVE-2020-15505漏洞，在9月21日于GitHub出现概念性验证攻击程式，之后开始有多个骇客组织尝试滥用此漏洞，企业应尽速修补。详全文

 

 

更多资安动态

●骇客在论坛兜售高阶主管与财务人员电子邮件账号，吸引意图BEC电子邮件诈骗攻击的买家上门
●美国驳回中兴申诉，延续禁止电信业者采购中国设备政策
●英国宣布明年9月电信商不得再架设新的华为5G设备
●印度再封杀43款中国应用程序