資安一周第1期：EFF抨擊新版Gmail保密模式沒那麼安全。第三方服務商資料庫不設防，汽車製造商舊資料曝光

7/18～7/24一定要看的資安新聞

Gmail更新大打保密牌，EFF：沒有你想的那麼安全！

電子前線基金會（EFF）近期抨擊新版Gmail的保密模式（Confidential Mode）並沒有那麼保密，除了可能誤導使用者之外，還會讓使用者喪失追求其它真正具備安全、隱私與保密能力的郵件服務的機會。

Google在今年7月於全球部署新版的Gmail，全新的保密模式將可禁止收件者轉寄、複製、下載或列印郵件，還可設定郵件的「到期日」，屆時郵件將會自動自收件匣中消失。更多內容

第三方服務商資料庫不設防，恐使福特、豐田、特斯拉等汽車製造商10年資料曝光

安全廠商UpGuard發現，客戶遍及福特、豐田、特斯拉、福斯汽車的外部自動化供應商線上資料庫沒有設密碼，如果有人找到路徑，就可以將這些汽車大廠商的機敏資訊全部下載下來。

安全廠商UpGuard網路安全團隊在7月1日發現一臺rsync伺服器可公開任人存取。rsync是用於大量備份檔案傳輸的協定。追查後發現該伺服器屬於生產自動化流程及組裝平臺服務供應商Level One，其客戶含括多家知名汽車品牌及主要零件廠商。這次公開連網資料庫的資料屬於福斯、克萊斯勒、福特、豐田、通用、特斯拉和德國蒂森克虜伯（ThyssenKrupp AG）等上百家製造商。更多內容

新加坡SingHealth醫療系統遭駭客入侵，150萬人個資外洩

根據國內外多家媒體報導，新加坡發生最大規模駭客攻擊事件，150萬人在醫療系統中的個人資料遭到竊取，由於就醫紀錄也包含總理李顯龍，格外受到關注。

根據新加坡衛生部（Ministry Of Health Singapore）官方網站，在20日對外公告指出，新加坡醫療保健集團（SingHealth）遭到駭客入侵IT系統。這起事件起於2018年7月4日，整合健康資訊系統（Integrated Health Information Systems, IHiS）的系統管理員，在SingHealth的系統資料庫檢測到異常活動，他們立即採取必要行動並展開評估。之後經過新加坡網路安全局CSA（Cyber Security Agency），以及IHiS的調查證實，這次是醫療記錄遭竊取的攻擊事件，是一場針對性和精心策劃的網路攻擊。更多內容

駭客將惡意腳本寫入圖片元資料中，並交由Google伺服器託管

資安公司Sucuri揭露，他們發現了一張Pac-Man.jpg圖像中的EXIF資料存在惡意軟體，而這張圖片被託管在Google的伺服器上，Sucuri提到，過去他們也看過類似的手法，但是惡意軟體通常被存在Pastebin和GitHub這類文字型的託管服務上，而要發現文字檔案中的惡意程式碼是比較容易的，圖片中的惡意意圖受到良好的掩護，除非特別檢查元資料，否則難以發現。

Sucuri找到了一個偷取PayPal安全權杖的惡意腳本，這個腳本讀取了一張託管在Google伺服器圖片的EXIF資料，這張Pac-Man的圖片來源不明，可能是駭客以Google帳戶上傳。惡意程式碼隱藏在圖片的UserComment部分，這串資料以Base64編碼，經過解碼後，Sucuri認為這些是一個腳本，可以用來上傳預先定義的Web shell、任意檔案、置換網站頁面，並且透過電子郵件寄送被攻擊成功的網站位置給駭客。更多內容

駭客搶銀行！ 俄羅斯銀行因老舊路由器被盜走92萬美元

專門防範高科技犯罪的Group-IB近日指出，金融駭客集團MoneyTaker今年再度藉由老舊的路由器入侵了俄羅斯的PIR銀行，保守估計至少自該銀行盜走了92萬美元。

駭客是在今年5月入侵了PIR某家分行的老舊路由器，該路由器擁有允許駭客進入銀行網路的通道，再於PIR網路中伺機存取俄羅斯中央銀行類似SWIFT結算系統的自動化工作站客戶端（AWS CBR），接著產生支付命令，並在7月3日將款項匯至駭客所掌控的17個帳號中。更多內容

資安業者警告：近5億IoT裝置曝露在DNS重新綁定風險中

致力於消除IoT安全盲點的Armis最近指出，估計有4.96億的IoT裝置曝露在DNS重新綁定（DNS rebinding）的攻擊風險中，包含印表機、監控攝影機（IP Camera）、IP電話、智慧電視、網路設備，以及媒體串流裝置等，由於某些設備於企業中廣泛使用，因此幾乎所有的企業都潛藏DNS重新綁定風險。

DNS重新綁定主要利用了瀏覽器的安全漏洞，允許遠端駭客繞過受害者的防火牆，並以瀏覽器作為與內部網路通訊的媒介。更多內容

報告：國家級網軍打壓、抹黑政敵手法氾濫，美國總統川普也被點名

經過18個月的研究，未來研究院（Institute for the Future）發表了國家級網軍攻擊正流行的報告，仇恨抹黑與匿名威脅已經成為獨裁統治以及反民主國家思想的關鍵工具。報告書中列舉多個案例，而現任美國總統川普也名列其中，他不只在推特公開攻擊媒體人，私底下甚至還對他的家人發送威脅信件，並且要求其雇主將他解雇。報告也提出阻止國家級網軍攻擊的方法，建議要從國際人權法、美國法律以及科技公司內容政策下手。

這份報告針對網路新現象國家級網軍攻擊進行解析，研究人員稱這類的攻擊為國家支助的Trolling（Statesponsored Trolling）攻擊，Trolling行動指的是有針對性的在網路上，透過憎恨與騷擾行為威嚇批評的人，逼迫這些人保持沉默，或是發表有爭議的言論，四方引戰獲取關注。研究人員表示，有證據顯示，各國政府使用監控以及駭客技術，大規模的迫害政治理念不同的人，由於網際網路的規模以及快速的特性，輕易的就能取得大量的個人資料，訂製出個人化的攻擊行動。更多內容

微軟：俄羅斯今年發動3起網釣攻擊試圖干預美國會期中選舉

雖然美國總統川普近期表示相信俄羅斯沒有干預2016年美國總統大選，不過不代表未來不會。微軟安全部門發現俄羅斯駭客設立網約網域，準備向年底國會大選至少3名候選人下手。　

微軟客戶安全與信賴部門企業副總裁Tim Burt周末在科羅拉多州亞斯本安全高峰會（Aspen Security Summit）上指出，該公司在偵測針對客戶攻擊的網釣網域時，發現一個在網釣攻擊中當成登陸頁（landing page）的微軟假網域。從網域的元資料（metadata）來判斷，該網釣攻擊目標指向今年11月美國會期中選舉的三位參選人。他並未說明三人的身份，但表示三人的層級從間諜活動及破壞選舉的角度來看是相當有趣的目標。更多內容

P2P行動支付程式Venmo預設公開用戶行為，致2億筆交易資訊曝光

一名27歲的德國程式設計師與隱私研究人員Do Thi Duc最近踢爆，PayPal旗下的行動支付程式Venmo將用戶行為的預設值設為「公開」（Public），導致任何人都能查詢用戶的交易紀錄，Duc則利用Public Venmo API下載了2017年的所有交易紀錄，總數超過2億筆。

2009年發表的Venmo是個Peer to Peer的行動支付工具，利用手機上的程式就能轉帳給友人，雖然只在美國市場推出，但每月也有700萬用戶數。更多內容

假新聞引發暴力事件不斷，臉書研擬移除不實資訊

因應近來多起與暴力衝突相關的假新聞流傳，臉書(Facebook)近日宣佈未來幾個月內將著手移除導致暴力行為的不實資訊。

紐約時報引述臉書人員指出，該公司得知某些國家流傳的一些假新聞可能引發緊張關係及現實世界的實質傷害。臉書認為，臉書有責任不只是減少，還要完全移除這類內容。臉書對媒體指出，該公司正在變更內容管理政策，以便能撤下這些內容，計畫幾個月後開始實施新政策。更多內容

更多資安動態

英雄聯盟強化遊戲防弊機制，不只偵測異常行為，還用防駭技術拉高作弊門檻

遊戲App成為駭客盜刷信用卡洗錢新管道