6/27~0703一定要看的資安新聞

還在用複製&貼上把加密貨幣送到錢包嗎?小心加密貨幣落到駭客口袋

今年初有資安業者相繼揭露一木馬程式,它能監控Windows的剪貼簿,察看它是否存有比特幣或以太幣的地址,因此,若使用者習慣用複製及貼上把加密貨幣傳送到特定錢包地址,駭客就能竄改該地址而中飽私囊,然而,Bleeping Computer發現,該木馬程式原本只能監控數十萬的加密貨幣地址,近日出現的新版則已將監控的地址數量擴大至230萬個。

加密貨幣的錢包地址是由複雜的數字與字母字串所組成,很少人會背下自己的錢包地址,多半是在需要時先複製它,再貼至正在使用的應用程式中,這些被複製的錢包地址會短暫地停留在剪貼簿中,而該木馬程式則能持續地監控剪貼簿的內容。更多內容

日本明仁天皇明年將退位,年號紀元也會換新,微軟:小心千禧年事件重演

日本明仁天皇預計將在2019年4月30日退位,用了30年的「平成年號」也將換新,不過,微軟提醒,這可能引發當時西元2000年千禧蟲(Y2K)的問題。因此微軟也在Windows 10春季釋出的更新中,內建了在2019年5月1日的時代轉換占位符,當日本政府正式公告下一任繼位天皇紀年名稱,就會以更新的方式更換占位符,微軟提到,如因為時代轉換占位符造成應用程式失效,可以暫時先將該值從註冊表中移除。更多內容

Wi-Fi 聯盟公佈更安全的WPA3標準

一如今年初的預告,在六月底Wi-Fi聯盟(Wi-Fi Alliance)終於正式公佈最新版Wi-Fi標準WPA(Wi-Fi Protected Access) 3,宣稱比之前標準更安全、更難破解。

前一版WPA2公佈已是2004年的事。Wi-Fi聯盟表示,最新標準是在WPA2基礎之上增加新功能以簡化Wi-Fi安全、使用更安全的驗證,以及強度更高的加密技術。更多內容

愛迪達美國網站被駭,數百萬用戶個資外洩

再傳大規模資料外洩!運動用品大廠愛迪達(Adidas)近期公佈自家美國網站遭駭,使數量不明的消費者個資,包括使用者名稱、密碼及聯絡資訊等外流,但有媒體報導受害人數高達數百萬。

愛迪達是在6月26日發現其adidas.com/US網站遭到未授權人士存取,並取得了愛迪達「特定」消費者的「有限」資料。彭博及洛杉磯時報等媒體都引述愛迪達發言人表示,受影響用戶人數達「數百萬」。更多內容

LTE規格漏洞可窺探使用者流量,或將使用者導至惡意網站

多名研究人員於最近發表一研究報告,表示他們在大家所熟悉的4G LTE(Long-Term Evolution)網路的資料連結層(Data Link Layer)中發現了3種攻擊途徑,其中有兩種屬於被動攻擊,可比對使用者身分或辨識使用者所造訪的網站,另一個名為aLTEr的主動攻擊則允許駭客利用LTE標準的漏洞偽造DNS以竄改使用者的連結,由於它們屬於標準設計上的漏洞,目前無從修補,幸好攻擊成本所費不貲,較可能被應用在目標式攻擊。

資料連結層介於實體層(Physical Layer, Layer One)與網路層(Network Layer, Layer Three)之間,因此又稱為Layer Two,它負責處理用戶的網路資源存取,協助糾正傳輸錯誤,並以加密來保護資料。更多內容

Brave瀏覽器整合Tor,強化隱私瀏覽模式

由JavaScript之父Brendan Eich所建立、標榜封鎖所有分析與追蹤元件的Brave瀏覽器於最近釋出了Brave 0.23版,此一新版本整合了Tor軟體並推出隱私標籤Private Tabs with Tor,可避免用戶遭到ISP業者、Wi-Fi供應商或網站業者的追蹤。

Tor是個可供暱名通訊的軟體,為洋蔥路由器(The Onion Router)的縮寫,用戶可藉由Tor連結由全球志願者免費提供的逾7,000個中繼站來引導流量,以隱藏使用者的位置與行為,躲避監控與流量追蹤,Brave用戶只要從File選單中點選「New Private Tab with Tor」就能啟用隱私模式。更多內容

幫助用戶符合GDPR要求,AWS在臺說明相關安全法遵服務

歐盟GDPR這套號稱最嚴格的個人資料保護法,已經正式實施一個月,各雲端大型業者為了幫助用戶能對應此一法規遵循,也早已採取行動,像是去年3月26日,雲端服務廠商AWS(Amazon Web Services)就在官網宣布,旗下所有服務皆符合GDPR,他們並在去年12月底發布GDPR Center網站與相關白皮書。

對於臺灣企業用戶而言,要理解這些白皮書的內容,可能需花費許多時間。不過,近日(6月28、29日)於臺北國際會議中心舉行的AWS高峰會,也包含AWS服務與GDPR的介紹,具體說明相關事項,以及在AWS服務中,有那些工具或服務,能幫助企業用於GDPR法遵。更多內容

售票網站Ticketmaster的第三方通訊程式被駭,用戶個資、支付資訊外洩

全球最大售票網站之一 Ticketmaster在6月27日承認,受合作廠商提供的客戶支援聊天軟體被駭影響,導致曾在該公司在英國及海外網站上售票的客戶支付資訊外洩。

Ticketmaster在6月23日在由西班牙廠商Inbenta Technologies代管的客戶支援聊天軟體上發現惡意程式。一段由Inbenta專為Ticketmaster客製的JavaScript程式碼遭駭客變造,而將Ticketmaster客戶個資,包括姓名、地址、信箱、電話號碼、登入帳密及支付資訊傳送給外部不知名人士。該公司發現後已經立即關閉Ticketmaster全球所有網站上的Inbenta軟體,防止災害擴大。更多內容

臉書第三方小遊戲可能洩露1.2億用戶資訊

臉書才因一個心理測驗遊戲導致8,700萬筆用戶資料遭濫用的劍橋分析醜聞,安全研究人員又發現另一個姓名測驗遊戲app有漏洞,洩露1.2億名用戶資訊,時間長達一年。所幸漏洞已經修補。

問題出在一家名為Nametest.com開發的姓名遊戲測試「Which Disney Princess Are you」。當使用者載入這個遊戲時,它會收集大量用戶資訊,包括姓名、性別、生日、地點等,並且顯示在其公司網頁上。一般情況下,其他網站應無法存取這些資訊,但是這個網站將訊息包在Javascript中。而Javascript的特性是可以和其他網站共享,因此只要其他網站發出呼叫,用戶的資訊就會分享出去。更多內容

訂房系統FastBooking遭駭,恐殃及全球數千家飯店

專門替旅遊產業提供電子商務服務的FastBooking在本月中遭到駭客入侵,恐殃及FastBooking在全球100個國家的逾4000家飯店客戶,目前已證實日本連鎖飯店—王子大飯店(Prince Hotels)受到此波攻擊的牽連,被駭客盜走了逾12萬名的住戶資料。

FastBooking針對旅遊產業提供多種解決方案,從網站開發、搜尋引擎行銷到訂位引擎等,根據Bleeping Computer的報導,FastBooking在6月26日通知了受到影響的飯店客戶,指出駭客於今年6月14日透過伺服器上某個應用程式的漏洞入侵了該站,且於伺服器上植入了可竊取資料的惡意程式。更多內容

不付贖金就公開個資!GDPR反成勒索攻擊Ransomhack的威脅武器

保加利亞資安廠商Tad Group揭露了新型態的勒索攻擊Ransomhack,駭客這次並非以加密檔案當作威脅,而是竊取企業伺服器中的個人資料,並且威脅企業繳交贖金,否則公開這些資料,使企業受到歐盟最嚴格個資法GDPR的巨額罰款處罰。Tad Group提到,這個攻擊瞄準中大型企業,並要求支付價值1,000美元到20,000美元不等的加密貨幣作為贖金。

5月25日上線GDPR,目的用於保護歐盟居民個人隱私權,但沒想到卻被駭客用來作為威脅企業的武器。Tad Group創辦人Ivan Todorov警告,受害者是中型以及大型的保加利亞公司,被要求以無法追蹤來源的加密貨幣支付贖金,贖金從1,000美元到20,000美元不等。由於GDPR規定,觸法將被處以企業全球年度營業額的4%或是高達2,000萬歐元的罰鍰,對企業來說是個沉重的壓力。更多內容


Advertisement

更多 iThome相關內容