臉書使用者現在只要進入臉書官網的Help Center(https://bit.ly/2ykowUG)並拉至頁面下方,就能檢查自己的帳號是否遭到此波駭客攻擊。

臉書被駭事件總計有3,000萬名用戶遭殃

臉書(Facebook)在10月12日公布了駭客入侵該站的初步調查結果,指出總計有3,000萬名用戶的存取權杖(Access Token)遭駭客竊取,當中有2,900萬名用戶的個資外洩。

根據臉書產品管理副總裁Guy Rosen的說明,臉書是在9月14日察覺異樣並展開調查,在9月25日確認是遭到攻擊,也發現駭客所利用的漏洞是由3個臭蟲所組成,允許駭客藉由「檢視角度」(View As)功能竊取臉書的存取權杖。此一存取權杖是用來維持臉書用戶登入狀態的數位金鑰,以在造訪臉書時不必再重新輸入密碼。

「檢視角度」是用來讓用戶檢查自己的個人檔案從某位友人看起來是什麼樣子的功能,它應該是一個「唯看」(view-only)介面,卻不小心容許影片的張貼;接著則是臉書在去年7月更新的影片上傳工具錯誤地產生了一個擁有Facebook行動程式授權的存取權杖;而當此一影片上傳工具成為「檢視角度」的元件時,它所產生的存取權杖並非是提供給執行「檢視角度」的用戶,而是提供給該位友人。

駭客不只找到了上述臭蟲,利用它們取得了存取權杖,還轉移到其它的帳號以竊取更多權杖。更多內容

 

Nvidia釋出開源GPU資料科學平臺RAPIDS

日前Nvidia推出名為RAPIDS的機器學習平臺,其包含的軟體函式庫可以讓資料科學家方便的使用GPU的運算能力,執行端到端的資料科學以及分析工作管線,RAPIDS使用CUDA進行低階計算最佳化,並提供Python介面方便資料科學家使用GPU的高效能運算能力。

RAPIDS的目的是要提供企業高效能運算能力,以解決需要處理大量資料的高度複雜問題,像是信用卡盜刷、預測庫存或是了解消費者的購買行為。Nvidia創辦人兼執行長黃仁勳提到,現今企業越來越仰賴資料驅動,而資料分析以及機器學習現正是高效能運算的熱門領域。

開源的RAPIDS是一套基於GPU分析的CUDA加速函式庫,可用來執行機器學習以及資料視覺化,目前現階段提供了五個熱門機器學習函式庫,並加上了GPU加速,如此便能更快的迭代並最佳化人工智慧訓練,以獲得更好的模型準確度。更多內容

 

PHP 5版年底終止安全更新開始倒數計時,6成網站恐曝風險

圖片來源_PHP

近日Web科技應用現況的調查公司W3Techs表示,根據所有網站使用的PHP版本狀況,從明年1月1日起,有近62%的網站將因未能獲得安全更新,而陷入被駭或被植入惡意程式的風險。

根據W3Techs的調查,截自10月15日,在其研究的網站樣本中,使用PHP的比例高達78.9%,而所有網站使用PHP 5的比例又達到61.8%。細分當中版本,所有網站使用PHP 5.6版的比例為41.5%,為版本5之冠。

根據PHP官網列出的支援版本及時程表,PHP 5.6是在2014年釋出,主要支援已在2017年1月19日截止,而安全支援也將在2018年12月31日終止。也就是二個半月後,使用PHP 5.6以前版本的網站都將不會再獲得安全漏洞或功能臭蟲的更新,除非用戶付費使用作業系統廠商的更新服務。如果駭客發現並開採了PHP舊版本的漏洞,數百萬網站及用戶可能立即曝險。更多內容

 

Windows 10十月更新災難還沒完,再傳藍色死亡畫面、電腦失聲

圖片來源_微軟

微軟Windows 10十月更新釋出後災難頻傳,除了刪光用戶檔案,甚至還接連傳出驅動程式不相容或更新錯誤,導致部分用戶電腦出現藍色死亡畫面(Blue Screen of Death)、沒有聲音等大小問題。

十月初在傳出Windows 10的1809更新,會將用戶Documents資料夾的文件及照片、影片檔案都刪掉後,微軟緊急撤回,並積極開發與測試修補程式。同時間微軟依然持續解決其他問題,於10月9日的Patch Tuesday再釋出KB 4464330版更新。不過由於更新版本眾多,這段期間仍然傳出或大或小的問題。更多內容

 

微軟加入OIN開源社群,不再以軟體專利訴訟相告

圖片來源_Open Invention Network

過去Android手機業者基於像是exFAT檔案系統相關專利,必須付給微軟大把權利金,不過這個情形要改變了。微軟宣布加入以開源專利聯盟──開放發明網絡(Open Invention Network,OIN),將把其擁有的軟體智慧財產(IP)以免權利金及無限制授權方式開放社群成員使用,未來也不會告社群專利侵權。

OIN擁有超過2,650家會員公司及1,300多項專利,成員之間同意以免權利金交互授權其專利以用於Linux系統,包括Android裝置,並承諾不會對Linux社群展開專利侵權告訴。成員公司包括Google、IBM、SUSE、Red Hat等。OIN授權造福的對象包括許多個人開發商、新創公司及大型企業。更多內容

 

冒牌Flash安裝程式不只會進行挖礦攻擊,還會幫你更新Flash Player

圖片來源_Brad Duncan

安全研究人員最近發現一隻假冒惡意程式,不但會偷偷下載挖礦軟體到用戶電腦,還會幫用戶更新Flash Player以降低用戶警覺心。

惡意程式冒充Adobe Flash Player安裝程式下載的事情時有所聞。大部份情況下,這類惡意程式都以拙劣手法冒充的執行檔或腳本下載程式,以安裝加密貨幣挖礦程式、竊密軟體或勒索軟體。受害者一旦執行了這些冒牌Flash下載程式到Windows電腦,除了勒索軟體外,往往沒有什麼明顯活動。

但Palo Alto Unit 42安全研究人員Brad Duncan發現的這個Flash安裝程式卻很不一樣,除了安裝XMRig等挖礦軟體外,還真的幫受害電腦上的Flash Player更新到最新版。更多內容

 

Google Pixel 3手機11月開賣,會說中文的Google助理來了

圖片來源_ Google

Google正式在台灣發表Pixel 3手機,為Google Pixel產品首次進入台灣市場,11月1日起將在Google Store開賣,售價27700元起,同時發表的還有繁體中文版的Google助理(Google Assistant)。

Pixel 3系列共推出兩款,5.5吋OLED螢幕(2160x 1080)的Pixel 3,以及更大6.3吋OLED螢幕(2960x 1440)的Pixel 3 XL,均採用Qualcomm Snapdragon 845處理器及4GB LPDDR4x記憶體,搭載最新的Android 9.0 Pie作業系統。Pixel 3內建2915mAh電池,而3 XL擁有較大的3430mAh。更多內容

 

MIT投資10億美元成立AI與運算學院

圖片來源_MIT

麻省理工學院(MIT)計畫投資10億美元解決運算普及人工智慧(AI)興起帶來的挑戰,其中包括在現有電腦科學學院外,籌建專精於AI和運算的新學院。

這也是美國大學院校在運算及AI領域中投資金額最大的計畫。這項10億計畫的核心是成立AI及運算學院,該學院也將以捐贈3.5億美元的美國大亨及知名金融家Stephen A. Schwarzman命名。

Schwarzman運算學院將是電腦科學、AI、資料科學及相關領域的跨科際整合樞紐,協助推動運算和AI結合 MIT所有研究,使新科技也能融入其他學科的精神,教導學生以負責任的精神來開發及使用AI和運算科技,促進運算、AI相關的公共政策和倫理研究及教育。新學院將獨立於電腦科學學院外,而MIT現有和運算、AI相關的學系未來也會納編到新學院之下。更多內容

 

網頁版Word及OneNote即將支援聽寫功能

微軟宣布,Office Online將開始支援聽寫(Dictation)功能,允許使用者以語音輸入,對於患有閱讀或肢體障礙的人將特別有幫助。

今年微軟先是在Office 365的桌面程式中新增了聽寫功能,預計於未來幾周會將該功能拓展到Word Online與OneNote Online,讓任何透過瀏覽器使用這些服務的用戶都能採用語音輸入,且會在明年延伸到PowerPoint Online、Excel Online及Outlook Online。更多內容

 

Node.js之父如何償還當年十大技術債?11月將親自來臺介紹新一代伺服器端JS框架

圖片來源_JSConf

根據Stack overflow今年10萬人開發大調查,JavaScript連續六年奪下,最常用的開發語言龍頭,而伺服器端的JavaScript框架Node.js更再度奪下全球最多開開發者最常用開發框架第一名,將近5成開發者愛用(49.6%)經常使用,比去年還微幅上升了2個百分點,遠高於排名第二的Angular(36.9%)。

雖然大受開發者青睞,但Node.js之父Ryan Dahl卻在今年6月一場公開演講上坦言,Node.js有十大設計錯誤,甚至可說是他的10大悔恨(,他甚至用了regret來形容)!為了償還這筆超大的技術債,他重新設計了新的框架Deno,要來解決這些過去犯過的錯誤。更多內容

 

年度十大網站駭客技術公布,臺灣滲透測試專家研究獲第一

對於網站安全的議題,除了關注每年OWASP歸納出的十大網頁應用程式安全風險之外,每一年,我們也都會看到許多安全研究人員,透過會議演講、部落格文章、白皮書、影片與社群,分享在網站安全領域上的各式攻擊技巧發現,令人目不暇給,難以判斷。

今年10月,2017年度10大網站駭客技術手法正式出爐,統整了該年度領域專家認為最具創新的研究,也是網站安全值得關注的新防護面向,特別的是,獲得第一名的網站攻擊技術──SSRF的新時代,是由臺灣的安全研究人員Orange Tasi(蔡政達)所提出。更多內容

 

濫用臉書的一頁式廣告詐騙事件頻傳

透過網路銷售與購物的行為相當盛行,然而這樣的現象,同時成為駭客下手詐財的目標,導致詐騙事件不斷,這種現象不只民眾必須提高警覺,企業也需要留意自家的網站,也可能成為歹徒用來行騙的來源,導致商譽受損。在10月3日舉行的臺灣資安通報應變年會中,臺灣電腦網路危機處理暨協調中心(TWCERT/CC)通報應變小組特別提及現在的資安威脅態勢,並提出個人和企業的自保之道。更多內容


Advertisement

更多 iThome相關內容