【資安日報】1月28日,竄紅的開源AI平臺Clawdbot出現部分系統配置不當

開源AI平臺Clawdbot(現已更名為Moltbot)正式發表後竄紅,在社群引起大量使用者架設,不過有研究人員提出警告,有數百個設置不當的Clawdbot Control管理介面曝露在網際網路,任何人都可能任意存取機敏資料,甚至接管AI代理系統

新聞 | OpenSSF | OpenJS | XZ Utils | 軟體供應鏈 | 社交工程 | 開源軟體

OpenSSF與OpenJS基金會示警XZ Utils後門可能非獨立事件

為避免XZ Utils後門事件再次發生,OpenSSF和OpenJS基金會提醒開源維護者提防社交工程攻擊,並採取措施保護專案安全警惕潛在威脅

2024-04-17

新聞 | UnitedHealth Group | BlackCat | 勒索軟體 | Change Healthcare

遭勒索軟體攻擊的UnitedHealth在今年第一季付出逾8億美元的代價

由於旗下的Change Healthcar在今年初遭到勒索軟體攻擊,健康保險暨服務業者UnitedHealth Group為了解決這起資安事故引發的系統修復、業務損失等問題,已在第一季財報認列8.72億美元的損失,如果再加上後續善後事宜,該集團全年將為此支出超過10億美元

2024-04-17

新聞 | 微軟 | AI | G42 | 美中對抗 | Azure

防堵中國?微軟15億美元投資中東AI巨擘

微軟宣布投資中東最大AI公司G42,雙方也將會在雲端以及人工智慧業務進行深度合作,不過多家媒體報導,這樁交易其實摻雜美中對抗的複雜因素

2024-04-17

新聞 | XZ Utils | OpenJS | JavaScript | 供應鏈攻擊

疑似XZ Utils的軟體供應鏈攻擊手法再度出現,這次是鎖定OpenJS的JavaScript專案而來

XZ Utils後門的供應鏈攻擊事故持續延燒!繼有人在Rust套件庫crates.io發動相關攻擊,現在也有人疑似企圖「接管」OpenJS套件庫的熱門JavaScript專案

2024-04-17

新聞 | DuckDuckGo | VPN | 隱私

DuckDuckGo三合一訂閱服務Privacy Pro,包含隱私VPN與個資刪除服務

DuckDuckGo新的Privacy Pro訂閱服務,包含匿名VPN、個人資料刪除服務,以及身分竊盜恢復服務

2024-04-17

新聞 | PuTTY | 私鑰洩漏 | NIST P521曲線 | CVE-2024-31497

PuTTY存在私鑰洩漏嚴重漏洞

PuTTY漏洞CVE-2024-31497允許攻擊者從簽章中,恢復出使用NIST P521曲線演算法的ECDSA私鑰,官方建議立即撤銷舊私鑰

2024-04-17

新聞 | SAS | AI | 開發 | 數據分析 | Viya | 雲端 | 生成式AI

從統計分析進攻AI開發市場,SAS要藉生成式AI加速開發流程

自數據分析起家的SAS近年鎖定AI,主力產品SAS Viya雲端資料分析平臺不只提供模型生命周期管理,去年更預告要上線2大AI開發工具,包括Viya Workbench和App Factory,預計今年正式上線,進攻AI開發市場。

2024-04-16

新聞 | 資安日報 | LightSpy | iOS | iPhone | 間諜軟體

【資安日報】4月16日,部分蘋果用戶遭中國駭客組織鎖定,利用間諜軟體LightSpy進行監控

針對上週蘋果發布的間諜軟體警報,有研究人員指出是間諜軟體LightSpy重出江湖,背後很有可能是有中國政府指使的攻擊行動

2024-04-16

新聞 | ICS | Fuxnet | 烏克蘭戰爭

俄羅斯關鍵基礎設施遭烏克蘭駭客鎖定,透過惡意軟體Fuxnet進行破壞

烏克蘭駭客組織Blackjack宣稱破壞俄羅斯關鍵基礎設施8.7萬個感測器設備,資安業者Claroty進行調查發現,駭客破壞的閘道系統數量約有5百個

2024-04-16

新聞 | Cisco | 思科 | Duo Security | 供應鏈攻擊

電信商成為透過簡訊傳送動態密碼的破口!駭客對思科身分驗證服務Duo合作電信業者發動網路攻擊,竊取部分雙因素驗證資訊

思科旗下的身分驗證服務Duo傳出遭遇供應鏈攻擊事故,該公司合作的一家電信服務供應商遭到入侵,部分用戶3月期間的雙因素驗證資訊疑似遭攻擊者偷走

2024-04-16

新聞 | Nexperia | 半導體產業 | 高科技產業 | Dark Angels

晶片製造商Nexperia傳出遭遇勒索軟體攻擊,該公司證實發生資料外洩

上週安世半導體(Nexperia)發布資安公告,表明有部分伺服器遭到未經授權存取,很有可能是勒索軟體駭客組織Dark Angels對其下手

2024-04-16

新聞 | CISA | 微軟 | APT29 | Midnight Blizzard | 密碼潑灑攻擊

針對微軟1月遭駭,CISA下命聯邦機構清查受到波及的情況

本月初美國網路安全暨基礎設施安全局(CISA)發布緊急指令,要求所有聯邦機構針對1月微軟公布的資安事故,清查外洩的往來郵件流出的帳密資料

2024-04-16