资安一周第147期：台湾入口网站蕃薯藤被骇资料流入骇客论坛

5/20-5/26 一定要看的资安新闻

 

＃资料外泄

台湾入口网站蕃薯藤被骇资料流入骇客论坛

许多台湾用户曾经使用过的入口网站，竟传出个资在骇客论坛流窜。密码外泄查询网站Have I Been Pwned（HIBP）近日接获台湾威胁情报研究人员Still Hsu通报，骇客论坛出现来自台湾入口网站蕃薯藤的外泄资料，而究竟有多少资料外泄？HIBP表示，该数据库内含超过1,300万名用户资料。

HIBP进一步指出，这批资料的外泄时间点为2013年6月，内含13,258,797笔电子邮件，以及这些账号的用户名称、姓名、生日、电话号码、地址，以及未加盐的密码MD5杂凑值。详全文

图片来源：Still Hsu

 

＃勒索软件攻击  ＃医疗机构  ＃资料外泄

爱尔兰健康服务管理署遭勒索软件攻击，骇客要胁将出售民众个资

爱尔兰健康服务管理署（HSE）于5月14日证实，他们遭勒索软件攻击，勒索近2千万美元，此事引起当局重视，并表明不会支付赎金。当地国家网络安全中心（NCSC）介入调查，发现骇客组织Conti在成功攻击HSE后，亦企图对其主管机关卫生部（DoH）下手未果。而对于HSE，骇客近期有了新的动作──他们在19日公布解密金钥，但强调若不愿付赎金，将会出售或是公布窃得的资料。

根据新闻网站SiliconANGLE报导，骇客宣称握有HSE超过700GB资料，涵括病患住址、电话号码，以及员工合约、薪资、财务资料。骇客公布了27个档案，而这些资料与12人有关。详全文

 

＃关键基础设施  ＃供应链攻击

险被水中下毒的佛州净水厂事故，外包商也被骇

今年2月，佛州奥德马尔（Oldsmar）市净水处理厂员工发现，有不明人士入侵公司网络，企图调高净水过程的氢氧化钠，使其浓度调高到正常值的100倍，幸好及时修正而未酿成大错。资安业者Dragos着手调查后发现，该净水厂的外包商也被卷入攻击事件。

该资安业者指出，在净水厂遭到攻击之前，其中一家营建基础架构外包商的WordPress网站上，出现恶意程式码，攻击者当时用这个网站来进行水坑式攻击，并从连向该网站的相关系统收集资料。此外，净水厂被骇事故当日，也出现从奥德马市存取该网站的异常连线。详全文

图片来源：Dragos

 

＃供应链攻击  ＃资料外泄

受SITA供应链攻击波及，印度航空外泄450万名乘客资料

全球航空业知名IT服务供应商国际航空电讯集团（SITA），在3月坦承，旗下专营航空公司乘客处理系统的子公司Passenger Service System（PSS）遭到骇客入侵，此事揭露后，多家航空公司随即发出声明，表明受影响的程度。但直至5月19日，印度航空（Air India）才宣布自己是受害者，约有450万名乘客的资料外泄。

印度航空表示，他们在2月25日就收到SITA通知，但到了5月才确认所有受到影响的旅客，这些人是在2011年8月26日至2021年2月3日之间，向印度航空登记有关资料。详全文

 

＃漏洞攻击  ＃操作系统

针对甫修补的Windows 10漏洞，研究人员公布概念性验证攻击程式

研究人员Axel Souchet于5月22日，在GitHub发布概念性验证攻击程式，针对微软甫于5月定期修补（Patch Tuesday）公布的重大漏洞CVE-2021-31166而来，使得资安社群纷纷呼吁Windows 10用户，应尽速修补。

该漏洞与HTTP协定堆叠有关，攻击者可借由传送特制的封包，来滥用这项漏洞，而此漏洞一旦遭到滥用，亦可能具有蠕虫的大量散播与感染能力。受到这项漏洞影响的范围，包含了所有的20H2、2004版的Windows 10，以及Windows Server，且无论是Arm或x86架构的电脑都存在相关风险。详全文

 

＃漏洞揭露  ＃物联网装置

Eufy监视摄影机的臭虫导致部分用户隐私曝光

德国媒体MacErkopf于5月17日报导，中国安克创新（Anker）旗下的智慧家庭暨保全品牌Eufy，最近出现臭虫，使得监视器用户透过Eufy Security行动程式，竟能看到其他用户家里的监视画面，包括即时与储存的画面。

针对此事Eufy也于同日做出回应，表示当天服务器更新的软件存在臭虫，而该公司于2小时内修复，他们说，只有0.001%的用户受到影响，同时也未影响婴儿监视器或智慧锁等其它产品。详全文

 

＃漏洞揭露  ＃Android

甫修补的Android漏洞已有4个被用于攻击行动

Google于5月初公布Android安全性公告，修补约50个安全漏洞。该公司近期再度更新公告内容，原因是有4个漏洞可能已经遭到滥用。Project Zero资安研究员Maddie Stone指出，相关漏洞皆存在于GPU，包含两个源自高通GPU的CVE-2021-1905与CVE-2021-1906，另外两个则是存在于Arm Mali GPU中的CVE-2021-28663，以及CVE-2021-28664。Maddie Stone认为，这些漏洞很可能被用于目标式攻击。详全文

图片来源：Maddie Stone

 

＃云端配置不当  ＃Android

23款Android应用程序云端配置错误， 1亿用户资料曝险

云端服务配置错误的现象，很可能导致用户存放的资料面临曝光的风险。资安业者Check Point发现，有23款Android应用程序所使用的第三方云端服务配置错误，可能让全球超过1亿的Android用户个资曝险，包括13款程式的即时云端数据库缺乏密码保护，同时，还有一些程式的开发者，把登入云端服务的账号密码直接置放在程式码内。详全文

 

＃漏洞揭露

蓝牙的核心与Mesh规格含有7个安全漏洞，允许骇客冒充合法装置

蓝牙技术联盟（Bluetooth SIG）在5月24日，揭露了7个有关蓝牙规格的安全漏洞，存在于核心及Mesh Profile规格中，将允许骇客冒充合法装置，这项弱点波及Android开源专案、思科、Cradlepoint、英特尔、Microchip，以及红帽的相关产品。详全文

 

＃法规遵循  ＃金融产业

金管会揭露电支条例子法重点验证机制

新电子支付机构管理条例将在7月1日正式上路，对此，金管会与央行近日皆对外预告需配合修订的授权相关子法，其中，对于电子支付的部分，要求强化电子支付机构的用户身份确认机制，相关规范将比照银行数位存款账户的分类，其身份确认强度亦分为一到三类。详全文

 

 

更多资安动态

●ProxyLogon公布5分钟后，骇客就寻找攻击目标
●Google强化Chrome密码防护功能，能一键改掉外泄密码
●微软开源SimuLand专案，可用来部署模拟网络攻击