資安一周[0419-0425]：前雅虎外洩5億筆個資，遭美國證券交易委員會開罰3500萬美元；臺灣百貨業者臺北101，因應GDPR導新版BS10012因應

前雅虎外洩5億筆個資，美國證券交易委員會開罰3,500萬美元

美國證券交易委員會日前發布新聞稿指出，針對前雅虎（2017年6月更名為Altaba）在2014年12月，外洩高達5億筆雅虎會員帳號個資一事，開罰3,500萬美元。該起個資外洩事件，也是當時全球最大的個資外洩事件之一。

美國證券交易委員會表示，俄羅斯駭客在當年，竊取包括雅虎使用者的電子郵件、電話號碼、出生日期，以及加密密碼的安全問題與標準答案，而當時雅虎的資安部門雖然向當時的高層提報該資安事件，但當時雅虎高層卻未對外揭露，一直到2016年，電信業者Verizon預計併購前雅虎時，才對外揭露此一個資外洩事件。更多內容

賽門鐵克：駭客集團鎖定醫療供應鏈展開攻擊，美國、歐洲、亞洲都是目標

資安業者賽門鐵克（Symantec）日前揭露一個針對醫療產業展開攻擊的新駭客集團Orangeworm，該集團鎖定醫療服務相關供應鏈進行攻擊，涵蓋服務供應商、藥商、醫療產業IT解決方案業者、設備製造商等等，在受害者的電腦上植入木馬程式Trojan.Kwampirs，可用來使用及控制X光機與磁振造影機器的軟體，駭客也對病患所簽署的手術同意書感興趣，目前尚不確定駭客的動機，疑似商業間諜行動。

遭Orangeworm鎖定的企業除了有39%屬於醫療產業之外，還有15%為製造業、15%為資訊科技產業，物流業與農業亦各占8%。研究人員認為，Orangeworm的目標應是醫療產業，進而牽連了相關供應鏈，例如遭到攻擊的製造業負責生產醫療裝置，受波及的資訊產業提供診所的技術支援，物流業的受害者則負責銷售醫療產品。更多內容

百貨業也要因應GDPR，臺北101全組織導入新版BS10012落實歐盟個資法遵

臺北101樓下的精品百貨公司，更是全球重要精品品牌匯聚的重鎮，國際旅客退稅資料中，更有不少是歐盟公民的個資。為了因應歐盟GDPR個資保護的規範，臺北101參考英國新版個資保護認證BS10012：2017，作為因應GDPR個資保護控制措施，也是臺灣第一個正式將個資保護從臺灣民眾拓及到歐盟公民的百貨服務業者。

臺北101總經理陳世明表示，臺北101也是臺灣第一間，以全公司為BS10012個資保護認證範圍的精品百貨業者，同時將旅客、消費者以及臺北101大樓企業租戶在內的1.2萬名員工的個資等，也都一併納入個資保護的範圍；為了因應GDPR，也指派法務主管擔任DPO（資料保護長）一職。更多內容

微軟：去年技術支援詐騙案例較前年增加24%

微軟指出，低成本而有效的技術支援詐騙手法開始受到駭客的青睞。2017年微軟客戶支援服務接到技術支援詐騙通報的案例高達15.3萬件，包括受害者及接到訊息而未受騙者。這個數字比前一年成長24%%，通報的案例遍及183個國家，技術支援詐騙已成為全球性的問題。這些用戶中，15%遭遇金錢損失，平均金額在200到400美元。有人則損失慘重；去年12月荷蘭一名客戶在一次技術支援詐騙中，慘遭騙走89,000歐元（約322萬臺幣）。事實上，技術支援詐騙遍及Windows、macOS、iOS、Android平臺，冒充各種防毒軟體，甚至會依地區、瀏覽器、ISP和OS客製化出足以亂真的詐騙內容。更多內容

快修補！傀儡網路鎖定Drupal漏洞大規模攻擊

資安公司Net360 Labs日前發現，架站軟體Drupal的漏洞遭到感染Linux伺服器及物聯網裝置的傀儡網路攻擊，散布挖礦程式或發動DDoS。研究人員4月中發現Drupal編號為CVE- 2018-7600的漏洞出現大量掃瞄行為。這項漏洞早在3月底已經有修補程式，它存在於多個版本的Drupal中， 可讓攻擊者存取伺服器的URL，注入攻擊程式碼， 以完全接管伺服器，該漏洞也被稱為Drupalgaddon2。研究人員自4月初發現Drupalgaddon2被掃瞄次數大量增加，研判至少遭遇3組惡意程式利用該漏洞散布。 其中一個為殭屍網路惡意程式。研究人員以其二進位檔名及通訊IRC通道發現到的名稱而稱之為Muhstik。Drupal維護機構已經修補存在6.x到8.x版的漏洞， 因此管理員應儘速安裝修補程式以免受害。更多內容

LinkedIn的AutoFill遭爆有漏洞，可能外洩用戶資料

資安研究人員Jack Cable在日前發現，LinkedIn所開發的AutoFill外掛程式含有安全漏洞，原本是方便該站的付費廣告客戶於自己的網站上嵌入一個AutoFill按鍵，以讓造訪該站的LinkedIn用戶直接帶入存於LinkedIn上的會員資料，包含姓名、電子郵件、電話號碼、所在地或職務等，讓使用者一鍵自動填入LinkedIn的會員資料。但研究人員發現任何網站都能使用AutoFill，而且可隱藏在網頁中，使用者點選網頁就可能在不知不覺下傳送資料。日前已經完成該漏洞修補。更多內容

在公共場所用電腦幫iPhone充電要小心！手機上的敏感資料可能不知不覺被偷了

賽門鐵克日前在RSA會議上面揭露，iOS裝置存在Trustjacking漏洞，駭客能誤導使用者信任惡意電腦，授予駭客iOS裝置的控制權，而駭客之後便能以iTunes Wi-Fi同步功能，持續的遠端控制該裝置。目前Apple已經採取輸入密碼再驗證的方式減緩Trustjacking攻擊，但是除非使用者自己提高警覺，否則仍有被攻擊的可能，目前沒有其他有效的機制可以終止惡意電腦的連線。

賽門鐵克現代作業系統研究小組負責人Roy Iarchy提到，過去這類型的攻擊，都在討論未授權的USB連接，以獲取行動裝置敏感資料的方法，但是現在揭露的Trustjacking攻擊只需要一次性的實體連結，後續透過遠端連線就能達到相同目的，而且影響更為長久。更多內容

降低GDPR衝擊，臉書遭爆悄悄把15億用戶移出歐盟管轄區

臉書在全球設有兩個總部，一個是美國總部，負責管理美國、加拿大地區的2.39億名用戶，第二個是在2008年成立、設於愛爾蘭的國際總部，管理3.7億名歐洲用戶以及15.2億名來自其它市場的用戶。根據外電媒體報導，下個月起，為了減輕歐盟GDPR個資法可能帶來的衝擊，臉書（Facebook）將把原本隸屬於愛爾蘭國際總部管轄的15億名用戶移出歐盟管轄區，5月起，這些用戶的服務條款將改用美國版，而非歐盟版，意謂著這些用戶未來的隱私或服務爭議將基於美國法令而非歐盟法令，GDPR將只能保障3.7億名歐洲用戶，約占臉書全球用戶數的17.4%。此一消息已獲得臉書證實。更多內容

KPMG報告：英國金融機構應該攜手政府執法部門打擊金融犯罪

英國顧問公司KPMG日前公布一份調查報告指出，網路犯罪事一門大生意，每年「產值」達4,500億美元，僅次於金融業產值，且對於金融機構的威脅日益增加，除了投資資安領域之外，也必須針對其他方式改進對應之道。該報告指稱，面對這樣的網路犯罪，英國的金融機構必須要彼此攜手合作，以打擊網路犯罪，並與政府執法部門合作，打擊並中斷這些網路犯罪份子所使用的網路犯罪工具，例如傀儡網路、釣魚網站等，都可以有效暫停這些網路犯罪份子的行動力。更多內容

美國SunTrust銀行前雇員外洩150萬筆客戶個資

被評為美國第14大銀行的SunTrust銀行，日前對外公布，遭到前雇員，外洩高達150萬筆的客戶個資，外洩內容包括電話、地址以及帳戶餘額，但並不包含社會安全號碼、帳號、PIN碼、用戶ID與密碼，以及駕照資訊等。而該銀行也對外宣布，將提供這些可能受駭的客戶，免費的信用監控服務。更多內容