資安一周[0317-0323]：金管會要求兆元以上資產的銀行，六個月內設立專責資安、法遵單位

金管會修法明定，資產兆元銀行應於六個月內設法遵、資安專責單位

金管會日前修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文，對於資產規模超過1兆元以上的大型銀行，即日起，應該在六個月內，設置專責的法令遵循單位，兼辦防制洗錢及打擊資恐相關事項，但不得兼辦與法令遵循制度的規畫、管理及執行等利益衝突事項。另外，金管會也要求銀行應該設置職權行駛獨立性的資訊安全專責單位，且應該與資訊單位組織地位相當，並指派協理或以上職級的人，擔任資訊安全專責單位主管，且明定資訊安全專責單位及主管權責。更多內容

證券商下單系統出包狂賣台塑化，證交所：錯帳高達6.8億元

台塑化日前遭券商大量賣出股票，在股市尾盤遭到約1.5萬張賣壓，導致其股價下跌近8%，股價跌至106元。證交所指出，主要是因為法銀巴黎證券下單系統有漏洞（Bug），導致客戶重複下單，估計錯帳金額高達6.8億元，經向券商瞭解，法銀巴黎證券將以申報錯帳方式處理。更多內容

AMD證實CTS Labs提報的漏洞確實存在，正著手修補

AMD於日前公開回應以色列資安業者CTS Labs先前所公布的安全漏洞，證實了相關漏洞的存在，根據AMD的調查，CTS Labs所提報的漏洞與嵌入式安全處理器的韌體管理，以及某些Socket AM4及Socket TR4桌面平臺有關，並未涉及AMD Zen架構，所有的漏洞開採都需先取得管理權限，並已著手展開修補。更多內容

資料外洩風暴，祖克柏親上火線澄清：是廠商與臉書之間的背信

在經過幾天的神隱後，臉書執行長祖克柏（Mark Zuckerberg）終於針對Cambridge Analytica不當取得臉書5000萬筆用戶資料一事，做出回應。祖克柏表示，此次資料外洩事件是廠商和臉書間的背信行為，但也是臉書和用戶之間的背信，用戶分享資料且相信臉書會保護它。祖克柏強調當時已採取了重要措施，防止不肖人士存取用戶資料，但仍有不足。
未來，臉書將針對2014年以前放上臉書平臺的App，實施總體檢，並對有可疑活動的App進行嚴格稽核，任何拒絕稽核的App將遭到封鎖，而如果有任何廠商被發現濫用用戶個資，臉書將封鎖且通知用戶。再者，他們將緊縮App廠商對用戶資訊的存取行為。更多內容

駭客攻擊危及工安！工控安全最後防線，製程安全系統入侵成真

根據資安公司FireEye子公司Mandiant，以及工控安全廠商Dragos各別的調查，發現2017年底，位於中東的一家石油工廠突然發生設備故障的緊急事件，導致生產流程被迫中斷的業者，所使用的施耐德（Schneider）Triconex製程安全系統（Safety Instrumented System，SIS），被植入特別設計的惡意程式，讓攻擊者可由遠端控制製程安全系統。他們分別將此惡意程式命名為Triton與TRISIS。更多內容

越開放越安全，Private Internet Access開源VPN客戶端程式碼

知名VPN服務Private Internet Access在官網上宣布，開放其客戶端應用程式原始碼。在接下來6個月，將會陸續釋出各客戶端應用程式程式碼，而在目前Private Internet Access上開放了在Chorme上提供VPN服務的擴充套件程式碼。該套件能讓Chorme使用者，透過Private Internet Access代理伺服器瀏覽網頁，藉由WebRTC技術，附帶了禁用麥克風、攝影機、閃光燈及隱藏IP的功能，並且利用Private Internet Access的PIA MACETM系統，自動阻擋廣告追蹤。

中國政府打造社會信用體系，沒信用者5月起禁搭火車及飛機

中國國家發展及改革委員會近日宣布，為了推動社會信用體系，自今年5月1起，將禁止嚴重的失信者搭乘火車及飛機，包括曾偽造車票、冒用優待身分證件、強佔座位，或者是曾挪用公款、未繳社會保險費的，都會被列入禁搭名單，這意謂著如果你過去做錯事，可能連大眾運輸都坐不得。更多內容

印度陸軍警告，中國駭客滲透當地WhatsApp群組

印度陸軍透過官方Twitter發出警告，指中國駭客利用+86開頭的中國號碼，闖入WhatsApp群組，並開始蒐集資料。他們建議群組管理員，應注意陌生的電話號碼加入群組，公開警告當地的WhatsApp用戶應小心中國駭客的入侵。
該官方帳號製作了一段以「小心，WhatsApp成為駭客的新媒介」為主題的英文影片。影片中描述，中國正利用各式各樣的平臺來滲透使用者的數位世界，WhatsApp群組是個駭進使用者系統的新途徑，中國以+86開頭的中國號碼闖入群組，接著開始收集所有資料。更多內容

美國知名醫療組織因雲端儲存配置錯誤，3萬多名病患個資恐外洩

美國位於密蘇里州聖路易斯的知名非營利醫療組織BJC，近日傳出超過3萬名病患的個資恐外洩，且起因不是受到駭客攻擊，而是雲端儲存配置錯誤而導致。該醫療組織近期執行內部安全掃描時發現，2017年5月9日到2018年1月23日的期間，在沒有適當的安全控制下，外界可以透過網路直接儲存醫院病患的檔案，在發現這狀況後，BJC馬上重新配置伺服器，也調查了這個問題。可能外洩的個資，包含姓名、住址、電話、生日、社會安全碼、駕照編號、保險資訊和診斷相關的資訊。更多內容

美國指控俄羅斯鎖定電廠等重大基礎建設發動網路攻擊，凍結駭客組織資產

美國國土安全部旗下的美國電腦緊急事件應變小組（US-CERT）日前指出，根據美國國土安全部（DHS）及聯邦調查局（FBI）的調查與分析，俄羅斯政府從2016年開始，便針對美國的政府單位與重大基礎建設展開網路攻擊，並揭露了俄羅斯政府與駭客的戰術、技術與程序（Tactics、Techniques and Procedures，TPPs）。同一天，美國財政部即宣布，將針對參與俄羅斯駭客行動的19名個人與5個組織展開制裁，凍結他們的資產。更多內容