供應鏈攻擊 | 勒索軟體 | 新聞 | 漏洞揭露 | 竊密軟體 | 資安日報 | 資料外洩 | 零時差漏洞 | 資安
【資安日報】2022年12月19日,連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊
駭客鎖定Windows、Linux連網裝置散布殭屍網路病毒MCCrash,目的是要用來發動DDoS攻擊;美國FBI、FDA提出警告,已有數家食品業者遭到BEC攻擊,駭客對其訂貨再進行銷贓
2022-12-19
2FA | GitHub | 憑證安全 | 新聞 | 資安
GitHub釋出免費憑證掃描工具、新增5類用戶強制啟用2FA
GitHub準備將名為secret scanning的免費掃描工具,開放給所有公開儲存庫用戶,幫助開發人員避免經由程式碼洩露登入憑證
AWS | google | JWCC | 微軟 | 新聞 | 甲骨文 | 美國國防部 | 雲端合約 | Cloud | 政府
美國國防部90億美元雲端訂單由AWS、微軟、Google、甲骨文共得
原本由微軟獨家拿下的《聯合企業防禦基礎設施》(JEDI)標案,因眾多因素而宣告終止後,美國防部另行規畫《聯合作戰人員雲端能力》(JWCC)合約,目前確定將交由雲端三巨頭以及甲骨文聯合執行
2FA | Facebook | 帳號接管 | 新聞 | 漏洞獎勵計畫 | 臉書 | 雙因素驗證繞過漏洞 | 資安
臉書更新抓漏獎勵,RCE漏洞最高可拿30萬美金
臉書除了提高行動遠端程式碼執行漏洞的通報獎金,也將帳號接管(ATO)及雙因素驗證(2FA)繞過漏洞納入漏洞獎勵計畫
AI | OpenAI | 文字搜尋 | 新聞 | 模型 | Cloud
OpenAI發表新的嵌入模型,效能更好且比Davinci更便宜
OpenAI新的嵌入模型(Embedding Model)text-embedding-ada-002,能夠更好地處理文字與程式碼搜尋任務,而且只要支付Davinci模型價格的0.2%,就可獲得更好或是類似的效能
API | PII | 新聞 | 樂高 | 資安
樂高線上市集存在兩嚴重漏洞,可洩漏用戶個資與伺服器機密資訊
樂高(LEGO)線上市集bricklink.com存在兩個API安全漏洞,可能導致使用者帳戶遭接管,還允許攻擊者存取伺服器機密資訊
NIST | SHA-1 | 新聞 | 碰撞攻擊 | 資安
NIST宣布美國聯邦政府2030年12月31日後停用SHA-1加密演算法
由於針對SHA-1的碰撞攻擊日益嚴重,NIST宣布美國聯邦政府在2030年12月31日後,停用SHA-1加密演算法
da0 | DAO | g0v台灣零時政府 | Hypercert | NFT | SBT | Web 3.0 | 新聞
如何吸引更多年輕世代參與公民科技,零時道要用Web 3 DAO模式完善零時政府獎勵機制
許多公民在g0v自主發起的專案,因為沒有提供足夠參與誘因,找不到足夠人力及資源維持運作。因應此困境,da0要用Web 3 DAO的治理方式,為g0v設計獎勵機制,來提供參與公民科技專案的具體動機。
IT周報 | PLC漏洞 | 勒索軟體 | 新聞 | 漏洞修補 | 漏洞揭露 | 竊密軟體 | 資安一周 | 資安事件 | 資安周報 | 資安週報 | 資料外洩 | 軟體供應鏈 | 鎖定電信業 | 韌體漏洞 | 資安
【資安週報】2022年12月12日到12月16日
本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意,已有駭客組織在攻擊行動利用這些漏洞;在其他漏洞修補新動向上,包括多家WAF產品業者修補一項漏洞,是關於WAF無法識別JSON格式,導致可能被用於發動SQL注入攻擊,以及數家防毒軟體與EDR業者修補零時差漏洞,可被用於破壞電腦資料
