英國隱私研究人員向愛爾蘭的資料保護委員會投訴,指控Twitter違反GDPR規定,拒絕民眾查詢Twitter蒐集哪些資料的請求。媒體報導,愛爾蘭資料保護委員會已著手調查。(圖片來源/CC 2.0 licensed by Kevin Krejci)

1011-1017一定要看的資安新聞

 

#Twitter #GDPR

Twitter拒向用戶說明蒐集哪些資料!? 愛爾蘭當局著手調查是否違反GDPR

根據Fortune報導,愛爾蘭的資料保護委員會已針對Twitter是否違反歐盟於今年5月實施的《歐盟通用資料保護規則》(GDPR)展開調查。

根據報導,Veale想要知道當他點擊Twitter平臺上的t.co短網址連結時,Twitter蒐集了哪些用戶資料,以及是否追蹤他的網路行為,但當他向Twitter提出請求時,卻遭Twitter所拒,原因為提供這些資料太大費周章了。

Twitter所推出的t.co短網址服務除了標榜可大幅縮小網址長度之外,也能在轉址時偵測惡意網站或行為,以避免用戶受到惡意程式的影響。Twitter只說該服務會計算短網址被點選的次數,但Veale則認為Twitter應該也紀錄了人們點選短網址時所使用的裝置與時間戳,且技術上而言,Twitter可利用這些資訊來猜測用戶位置。

在被Twitter拒絕之後,Veale決定向Twitter總部所在地──愛爾蘭的資料保護委員會投訴,該組織則回信給Veale,表示已針對此事展開正式調查。更多內容

 

#Google+ #資料外洩

Google+資料外洩事件餘波盪漾,傳德國、愛爾蘭展開調查

在華爾街日報踢爆Google隱匿Google+的隱私漏洞之後,彭博社(Bloomberg)與 CNBC報導,此一事件惹來了德國與愛爾蘭資料保護組織的注意,並已展開調查。

根據報導,德國與愛爾蘭的資料保護組織已相繼針對此事展開了調查,準備要求Google提供更多的資訊,以進一步了解該意外的細節,以及對使用者可能造成的影響。

根據Google的說法,Google+有個People API含有隱私漏洞,當Google+用戶允許基於該API的應用程式存取個人檔案之後,此一應用程式也能存取用戶友人的個人檔案,不管相關個人檔案是公開的或是僅與該名友人分享的;不當被分享的資料包括姓名、電子郵件帳號、職業、性別與年紀。

Google估計最多有438個程式使用了該API,危及50萬個Google+帳號,Google在今年3月發現並修補之後,並沒有立即對外公布或通知受影響的用戶,直到被華爾街日報披露。更多內容

 

#勒索軟體 #GandCrab

新版GandCrab結合加密服務,讓駭客取得作案所需工具更為容易

從今年1月開始出現的GandCrab勒索軟體,發展的速度可說是相當快,截至目前為止已經經過多次改版,而且,從這款勒索軟體發展的過程中,同時突顯了現在開發攻擊工具生態圈的現況,由於不同領域的惡意軟體開發團隊之間結盟,使得駭客若想使用新版GandCrab發動攻擊,可輕易藉由多種管道,像是僵屍網路、漏洞利用套件(Exploit Kit)、木馬程式,以及網路釣魚等。

這款勒索軟體現在的版本是5.0.2,根據McAfee研究團隊發現,GandCrab各版本的程式碼裡,都存在許多的臭蟲。不過,自第5版開始,由於GandCrab開發團隊與供應惡意軟體加密工具(Crypter)的組織NTCrypt結盟,提供購買GandCrab的客戶,能用較為便宜的價格取得NTCrypt,讓駭客能更容易取得所需的服務。更多內容

 

#Google #身分存取管理 #CICP

Google推出身分和存取管理服務CICP,還以Secure LDAP支援傳統應用程式

現在開發人員也可以在自己的應用程式中,加入Google雲端的身份和存取管理功能,透過單一身份和存取管理平臺,在傳統的應用程式中實現安全存取功能。這個將在數周內發布測試版的客戶和合作夥伴推出的雲端身份(Cloud Identity for Customers and Partners,CICP)功能。

CICP服務是一個客戶身份和存取管理(CIAM)平臺,可以幫助開發人員為其應用程式增加Google等級的身份和存取管理功能,以保護用戶帳號。CICP提供基本的身份管理功能,提供包括Google等級的認證、進階用戶安全性,還有全球規模的基礎設施三大特色。

Google等級的認證是基於Firebase和Google的身份平臺,CICP提供可客製化的身份驗證服務,能夠管理用戶註冊和登入的使用者介面流程。CICP支援多種身份驗證方法,包括匿名、電子郵件/密碼、電話、社交、SAML和OIDC等。客戶端的SDK支援網頁、iOS和Android,伺服器SDK則有支援Node.js、Java和Python等。更多內容

 

#Microsoft Edge漏洞

研究人員釋出Microsoft Edge漏洞的概念性驗證攻擊程式

來自科威特的安全研究人員Abdulrahman Al-Qabandi釋出了鎖定Microsoft Edge安全漏洞的概念性驗證攻擊程式,此一程式攻擊了微軟甫於10月9日修補的CVE-2018-8495漏洞,而該漏洞也是由Al-Qabandi所發現。

CVE-2018-8495被微軟列為Windows Shell的遠端程式執行漏洞,當Windows Shell不當處理統一資源識別元(Uniform Resource Identifier,URIs)時就會觸發該漏洞,允許駭客取得與使用者同樣的權限,假設使用者是以管理員身分登入,駭客則能掌控被駭系統。

駭客只要架設一個可攻陷該漏洞的惡意網站,並誘導Microsoft Edge用戶造訪,說服用戶與之互動,就能執行任意程式。更多內容

 

#WhatsApp #漏洞修補

WhatsApp修補只要接聽視訊就可讓駭客掌控行動程式的安全漏洞

WhatsApp於10月10日更新了Android及iOS版的行動程式,以修補一個很容易入侵的安全漏洞,使用者只要接聽一通視訊電話就能觸發該漏洞,允許駭客掌控行動程式。

該漏洞是由Google Zero專案的Natalie Silvanovich於今年8月所發現,並在WhatsApp修補之後才公布。Silvanovich表示,當WhatsApp行動程式接收一個特定的即時傳輸協定(Real-time Transport Protocol,RTP)封包時,就會造成堆積損毀,而且同時影響Android手機及iPhone用戶。更多內容

 

#冰島 #網釣郵件

太歲頭上動土!駭客冒充冰島警方寄出網釣郵件

資安業者Cyren揭露,有數千名冰島民眾在近期收到了網路釣魚郵件,而且駭客是以冰島警方的名義發送郵件,還建立了可以假亂真的官方網站,企圖於使用者電腦上植入惡意程式並側錄受害者所輸入的機密資訊。由於冰島的人口只有35萬,因此此一攻擊已被視為是冰島史上最大的網路攻擊行動。

此一攻擊行動始於今年10月6日,駭客以所入侵的帳號註冊了www.logregian.is網域名稱,與冰島警方的官網www.logreglan.is只差了一個字母,並在郵件中威脅使用者若不遵守規定可能會遭到逮捕,繼之提供來自偽造網站的連結。

當使用者造訪假冒的警察網站時,會被要求輸入社會安全碼,輸入之後,該站竟然能夠驗證使用者的身分,從而跳出使用者的姓名,還要求使用者輸入郵件中所附的驗證碼以再次驗明正身。

至此使用者幾乎已不疑有他,很容易就會聽從網頁上的指示,下載一個具密碼保護的.rar檔案,輸入網頁上所提供的密碼,解壓縮後則會出現一個Yfirvold.exe執行檔,這是個兼具鍵盤側錄功能的遠端存取木馬,執行後會開始蒐集存放於瀏覽器中的機密資訊並側錄鍵盤,再將資料上傳至駭客設於德國與荷蘭的遠端伺服器。更多內容

 

#美國國防部 #滲透測試

滲透測試報告:只要利用簡單的工具與技術就能駭入美國國防部的武器系統

美國政府責任署(GAO)針對美國國防部(DOD)的武器系統發表一滲透研究報告,指稱DOD的主要武器系統缺乏嚴密的安全機制,只要利用簡單的工具及技術就能在不被察覺的情況下掌控相關系統。

有鑑於DOD正打算支出1.66兆美元來發展現有的武器系統,潛在的對手則已開發鎖定DOD的網路間諜/攻擊技術,使得美國國會要求GAO審核DOD武器系統的網路安全狀態。

GAO表示,現在的武器系統既電腦化又網路化,因而替對手營造了更多的機會,例如維護系統、工業控制系統、飛航軟體系統、生命支援系統、通訊系統、物流系統與資料庫等,而這些只是檯面上可公開的系統,並未計算被列為機密的武器系統。

於是GAO針對DOD的各式武器系統展開滲透測試,其中有兩人一組的團隊只花了一個小時就進入了其中一個武器系統,花了另外一天取得該武器系統的完整控制權。

儘管有些系統可防範未經授權的遠端存取,卻對近端或是內部人員門戶大開。而且一旦測試人員得以進入某個系統,他們通常能在系統內暢行無阻,還能擴大權限直到取得系統的掌控權。更多內容

 

#微軟 #Patch Tuesday #例行性安全更新

微軟Patch Tuesday修補零時差漏洞,也修補了Windows 10 October 2018 Update意外移除檔案的漏洞

微軟在10月9日的Patch Tuesday例行性安全更新中修補了50個安全漏洞,包含了一個零時差漏洞,以及釋出了Build 17763.55,以解決Windows 10 October 2018 Update會意外刪除檔案的漏洞,而這也是Windows 10 October 2018 Update所收到的第一個安全更新。

微軟是在10月2日開放全球Windows 10用戶手動安裝最新的Windows 10 October 2018 Update(Windows 10 1809),不料卻傳出用戶在升級後硬碟檔案被刪除的慘事,儘管微軟透露安裝1809的用戶中只有1%遭遇此一意外,但已引起用戶的恐慌。

在緊急撤下Windows 10 October 2018 Update之後,微軟在10月9日分別釋出了Build 17763.17及Build 17763.55,其中,前者是供應給參與微軟測試專案(Insider Program)的Slow Ring及Release Preview Ring用戶,後者則是鎖定已經部署Windows 10 October 2018 Update的用戶,它們雖然透過不同的管道傳遞,但同樣都修補了Windows 10 October 2018 Update會意外刪除檔案的漏洞。更多內容

 

更多資安動態

G Suite企業服務再一發,可主動通知用戶遭遇的安全事件

Juniper修補七項重大安全漏洞

澳洲擬立法要求業者開後門及解密,蘋果出面反對

資料來源:iThome整理,2018年10月


Advertisement

更多 iThome相關內容