资安一周第125期：SolarWinds Orion并非骇客渗透美国公部门唯一管道。半岛电视台记者iPhone遭植入Pegasus间谍程式

1217-1223 一定要看的资安新闻

 

＃供应链攻击  ＃国家级攻击

美国国土安全部警告，SolarWinds Orion并非骇客渗透公部门唯一管道

骇客透过网管平台SolarWinds Orion下手，发动供应链攻击的事故，引发美国-的高度关注，该国国土安全部旗下的网络安全暨基础架构安全署（CISA）在17日公告，他们发现该网管平台并非骇客唯一入侵受害组织的管道。而这是该单位自13日祭出紧急指令，要求公部门全面停用SolarWinds Orion之后，第2次揭露有关本次事故的资讯，不过，对于其他侵入受害单位的管道为何？CISA表示仍有待厘清。

对于此起事故的受害范围，CISA表示，他们判断已波及州-、地方-、重大基础设施，同时也有私人组织受害的情况。详全文

 

＃行动装置  ＃漏洞攻击  ＃间谍程式

半岛电视台记者iPhone遭植入Pegasus间谍程式

以致力打造阿拉伯地区新闻自由、当地影响力最大的半岛电视台（Al Jazeera），传出员工手机疑似遭到-单位利用间谍程式监控的情况。根据加拿大多伦多大学公民实验室（Citizen Lab）12月20日公布，在今年的7月到8月之间，半岛电视台36名员工的iPhone被植入Pegasus间谍程式，骇客疑似利用iOS未公开的漏洞得逞。公民实验室指出，他们看到这项漏洞尚未影响执行iOS 14的手机，使用者若是升级操作系统至iOS14，可能得以避免受到影响。详全文

图片来源：加拿大多伦多大学公民实验室

 

＃国家安全

美国再度更新实体名单，中芯、大疆等77个中国企业入列

以侵犯人权、南海军事化，以及窃取美国商业机密为由，美国商务部于12月18日，将77个中国企业新增到实体名单（Entity List），禁止美国与这些中国业者交易。而这次受到关注的包含了中国最大芯片制造商中芯国际（SMIC），以及全球无人机制造龙头大疆（DJI）。

针对封锁中芯国际的原因，美国商务部工业及安全局（BIS）指出，他们掌握了该公司与中国军事工业园区活动的证据，中芯国际利用美国技术扶植中国军事现代化，严重影响美国的国家安全。详全文

 

＃社群网站  ＃密码安全

荷兰检察官证实，川普推特账号被研究人员猜中密码

荷兰资安研究员Victor Gevers在今年10月表示，他猜到美国总统川普推特账号的密码，并成功登入，他也呼吁川普启用双因素验证来保护。当时，Victor Gevers联系川普团队、白宫、CISA，以及推特，都没有得到回复，他后来将此事透露给媒体，但白宫与推特都否认此事，而荷兰检察官介入调查后，近日发布的结果证明Victor Gevers所述确有其事，但由于他在公开猜到的密码之前通报了当事人，因此，荷兰公共安全与司法部决定不予处罚。详全文

图片来源：Victor Gevers

 

＃加密货币  ＃资料外泄  ＃网络钓鱼攻击

硬件加密货币钱包制造商Ledger遭骇客入侵，逾27万用户资料在骇客论坛上曝光

硬件加密货币钱包制造商Ledger于今年7月遭到骇客入侵，当时Ledger聘请了外部的鉴识专家，判断有9,500名用户的个资外泄。然而，骇客在12月20日骇客论坛上，公布了逾27万名该公司的用户资料，才让Ledger得知当时判断有误，于12月20日重新发布了安全声明。

Ledger强调，用户的付款资讯、凭证，以及加密货币并未受到影响，但要用户小心，可能会有窃取冷钱包恢复码和短语密码的网钓攻击。详全文

 

＃社群网站  ＃漏洞揭露

脸书小型企业管理工具恐曝露Instagram用户电子邮件信箱

脸书今年秋天提供给小型企业管理账号的工具Facebook Business Suite，被研究人员Saugat Pokharel发现存在漏洞，可能让第三方人士得知Instagram用户的电子邮件。脸书在接获通报后数小时内将之修补。

研究人员指出，利用这项漏洞，有心人士可将这套工具与Instagram账号连结，再从Business Suite发出讯息，就能看到对方注册的电子邮件账号，即便使用者设定不提供给他人电子邮件账号也会受到影响。详全文

图片来源：Saugat Pokharel

 

＃应用程序市集乱象  ＃网页浏览器

28款Chrome与Edge插件含有恶意程式码

资安业者Avast于12月16日，揭露了28款含有恶意程式码的浏览器插件，这些插件出现在Chrome或Edge的插件市集。这些有问题的插件，其恶意程式码可挟持使用者的流量，来窃取使用者的资料。而为何这些插件能躲过市集的查核？Avast指出，骇客不仅将后门埋藏得非常隐密，后门在使用者安装插件数天后才开始运作，而使得它们能逃过安全检查。详全文

 

＃资安产业动态

微软、McAfee等公司合组对抗勒索软件的联盟

勒索软件攻击的态势在这2年可说是越来越严峻，对此，有19家公司出面，组成勒索软件特遣队（Ransomware Task Force），诉求借由相关领域的合作，来建立完善的勒索软件防御技术框架，创始成员不仅包含资安公司，如微软、McAfee、Cybereason、Citrix，以及Rapid7，还有保险业者、法律顾问，以及非营利组织。

发起成员安全与科技研究所（IST）指出，他们成立联盟的动机，在于勒索软件侵犯医院、学校、-等产业，危害大到众人必须合作，以整合出清楚的解决方案框架。详全文

 

＃台湾资安政策

第11次全国科学技术会议登场，资安是国家科学技术发展计划焦点议程之一

在12月21到23日，行政院举办第11次全国科学技术会议，集聚产学研之力，讨论国家的科技施政蓝图，并持续广纳各界意见。其中，这场会议也探讨到今年下半提出草案的“国家科学技术发展计划”，相关议题可看出我国在资讯安全方面聚焦的方向。详全文

 

＃数位身份证

回应数位身份证质疑，内政部长与数位政委同台直播

数位身份证（eID）即将于明年1月试办，内政部对于新版身份证的资安防护措施，于12月21日中午由内政部长徐国勇和数位政委唐凤在脸书直播说明，除重申eID的资讯安全，也首度松口民众可停用芯片的功能。详全文

 

 

更多资安动态

●网络服务收集用户个资情况，脸书与IG包办前2名
●FTC要求9家社群网站揭露收集与使用用户个资的方式
●英国打算严格控制网络上的有害内容
●英特尔、思科等科技大厂皆遭植入SunBurst后门程式