資安一周[1210-1216]：Uber缺乏隱私權與資訊安全意識，乘客個資開放給所有員工看

重點新聞（12月10日-12月16日）

離職員工爆料：Uber濫用乘客個資，允許員工人人可看

近日網路發現一名Uber前鑑識調查員Samuel Ward Spangenberg，曾在10月發表聲明，指控Uber將乘客的個人資料存放在Google文件裡面，包含姓名、社會保障碼、叫車位置與到達位置、叫車設備的資料，甚至是他們的配偶、前男友名字等。由於這些資料涉及到著名的藝人和政治人物，員工很輕易地就能在內部系統裡面看到這些資料，Spangenberg表示Uber缺乏個人隱私保護與資訊安全的意識。並且，他進一步說明他曾在工作期間反對Uber出現這樣的資安漏洞，但Uber認為這是合法商業目的而否定這項指控，還試圖破壞Spangenberg所保存這些外洩資料的副本。更多資料

蘋果釋出iOS 10.2更新程式，修補12個安全漏洞

蘋果釋出iOS 10.2修補12個安全漏洞，其中CVE-2016-7626和CVE-2016-4690兩個漏洞可能招致任意程式執行。前者只要使用者透過Apple Mail或Safari開啟一個惡意憑證就會導致記憶體毀損並允許任意程式的執行，且該漏洞同時影響iOS、tvOS及watchOS。後者來自於iOS處理USB影像裝置時的驗證問題，一個惡意的人機介面裝置（HID）就可能造成任意程式的執行。蘋果釋出iOS 10.2當天，也釋出tvOS 10.1與watchOS 3.1.1更新程式，這兩個更新程式都修補了CVE-2016-7626漏洞。更多新聞

臉書動態牆出現舊照片不是遭駭，而是臭蟲搞鬼

近兩個月來，許多臉書使用者發現許久以前的照片，會重新出現在動態消息上，因為這些照片並未經使用者同意重新回顧公開，而且有些照片日期跟時間都不是原來的拍攝時間，使用者以為帳號被盜取，所以在臉書的互助論壇上面抱怨和求助。目前，臉書發言人回應，表示已經注意到這類問題，正在進行調查中。這次是臉書最新系統因為瑕疵所致的錯誤，11月間臉書的逝者追悼功能出包，多位使用者包括執行長Mark Zuckerberg都被判斷為過世，而向其臉友們發出緬懷通知。更多新聞

Netgear三款路由器韌體爆重大漏洞，允許駭客入侵網路

卡內基美隆大學的CERT協調中心日前公布，網路設備廠商Netgear兩款路由器產品的韌體存在重大漏洞，可讓駭客注入任意指令碼並入侵用戶網路，並且已有攻擊程式蔓延。相關社群同時指出另一款產品R8000也有相同漏洞。根據CERT通報，Netgear R7000執行的1.0.7.2_1.1.93及之前版本，以及R6400執行的1.0.1.6_1.0.4及之前版本韌體中的任意指令注入漏洞，只要誘騙使用者造訪被特意改造過的惡意網站，遠端攻擊者就能入侵這些路由器，並以根目錄權限執行任意指令。另外，同一區域網路(LAN)的攻擊者也可以發出直接呼叫，像是http://<router_IP>/cgi-bin/;COMMAND，獲致同樣結果。更多新聞

駭客偽造發票釣魚郵件夾帶金融木馬，鎖定德、奧、英等國金融機構

資安公司Proofpoint研究人員近日發現，在今年10月下旬，一個駭客組織鎖定銀行業者和金融業者寄送釣魚郵件，夾帶了一個暗藏Dridex、Ursnif、Tinba等木馬程式或POS木馬載入工具TinyLoader的Word文件，假冒成提供發票資訊的郵件，寄送給銀行內部的工作人員。Proofpoint分析，發現，釣魚郵件還針對使用德語金融從業人員，使用德語書寫的釣魚郵件，其他鎖定對象的郵件則用英語方式書寫。目前遭到威脅的國家包括了德國、奧地利、英國。更多資料

駭客攻擊模式遊戲化，DDoS攻擊變成土耳其駭客集點遊戲

Forcepoint公司近日在地下駭客論壇發現，一個名為「大榔頭」（土耳其文為BalyozHarekâtı）的DDoS攻擊行動正在土耳其駭客界盛行。發起BalyozHarekâtı行動的設計者說明，攻擊起初會運行Sath-ı Müdafaa或Surface Defense的共同協作程式，並且使用Balyoz的DDoS攻擊裝置，要求參與行動的駭客攻擊一組特定的政治性網站，表達對當前土耳其政府的不滿。而且，駭客每當成功攻擊一個網站，就能夠得到積分，甚至還有一個積分版，可以讓參與行動的駭客知道他們的積分排名，激勵駭客可以積極對特定目標進行DDoS攻擊，來獲得更高的積分。更多資料

Yahoo Mail有重大XSS漏洞，打開郵件就會受駭

芬蘭資安業者Klikki Oy的安全研究人員JoukoPynnönen指出，Yahoo已於近日修補了他所提報的一個位於Yahoo Mail的重大漏洞，使用者只要開啟由駭客寄來的郵件，不需任何互動就會被駭。Pynnönen攻陷的是撰寫郵件時的附加連結功能，他發現Yahoo的過濾機制無法有效封鎖含有惡意程式的附加連結。這是一個跨站指令碼（Cross-site Scripting）安全漏洞，使用者只要開啟含有惡意程式的郵件，完全無需點選連結或開啟檔案，就會被感染。成功攻擊該漏洞將允許駭客存取受害者的信箱，竊取訊息，甚至還能散播用來感染其他Yahoo Mail用戶的病毒。更多新聞

20款Android手機韌體遭植木馬，外包商偷播廣告還強裝App賺推薦費

俄羅斯防毒公司Doctor Web安全研究人員發現，部分Android系統裝置的韌體內，遭植入了一個名為Android.DownLoader.473.origin的木馬程式。Doctor Web表示，目前已發現有20款手機遭感染，受感染裝置的數量可能更多。使用者一打開手機時，該木馬程式就會開始運作，來監控和蒐集裝置內的資料，甚至它還會在使用者執行其他應用程式時，插播網路廣告，還禁止使用者移除廣告。還會要求使用者安裝推薦App，即使使用者刪除這些App，還會自動安裝到手機內。Doctor Web認為，手機韌體的外包商為了增加收入，所以與駭客共同合作，藉由這種方式植入廣告跟下載應用程式蒐集使用者資料來賺取推薦費和廣告費。更多資料

支援Linux的首個沙盒版Tor Browser出爐

Tor Browser開發人員Yawning Angel釋出了第一個基於沙盒（Sandbox）設計的Tor Browser瀏覽器，目前仍為α版的沙盒Tor Browser 0.0.2只支援Linux，且現在只能透過GitHub下載，官方版的二進位碼要幾天後才出爐，未來將陸續支援macOS與Windows。在沙盒中運作的Tor Browser只能存取有限資訊，同樣也限制了攻擊程式的行為能力，沙盒隔離了使用者的檔案、真實的IP與MAC位址，讓鎖定Tor Browser攻擊的惡意程式無法取得機密資訊，也不能辨識使用者身分。有別於Firefox只讓特定程序在沙盒中運作，Angel則是讓整個Tor Browser瀏覽器都受到沙盒的保護。更多新聞

英國NCA破獲DDoS攻擊服務駭客集團，發動攻擊最低只要價4英鎊

英國國家打擊犯罪調查局（NCA）近日破獲一個提供DDoS網路攻擊服務的駭客集團（行動代號火神節），逮補12名網路罪犯。該集團利用名為Netspoof 的DDoS攻擊程式，收取4～380英鎊不等的租金，來對攻擊目標發動DDoS攻擊，受害者包括遊戲業、政府機構、大專學院和網路公司等。NCA高級調查官Jo Goodall指出，購買這類程式代價不高，幾乎每個人都可以付費來發動全球性規模的攻擊，所以，逮補犯罪不會停止攻擊，重點是要預防未來出現更多網路犯罪者。英國目前正重新啟動#CyberChoices計畫，教導12～15歲孩子的父母，避免小孩因知識不足而遭煽動，無意間參與了網路犯罪行為。更多資料