圖片來源: 

擷取自金管會官方網站

1108-1114一定要看的資安新聞

 

#VirtualBox漏洞 #不遵循責任揭露政策

不滿業者態度,俄羅斯研究人員直接揭露VirtualBox零時差漏洞

一名俄羅斯的安全研究人員Sergey Zelenyuk,透過GitHub披露他所發現的VirtualBox零時差漏洞,而且還詳細地一步步解說開採該漏洞的步驟,成功開採該漏洞將允許駭客繞過客座作業系統(Guest OS),直接於主要作業系統(Host OS)上執行程式。

Zelenyuk指出,這次他決定直接公開VirtualBox漏洞,而非通報甲骨文,主要是不滿該軟體專案對抓漏的態度,例如耗時半年才修好漏洞,或是通報漏洞一個月後,才告知研究人員漏洞是否具有價值等,所以選擇直接公布細節,藉此希望各界能夠重視軟體的安全性。更多內容 圖片來源/Oracle

 

#花旗銀行 #信用卡盜刷

花旗銀行系統邏輯錯誤,導致民眾利用其機制盜刷近6300萬

圖片來源/擷取自金管會官方網站

金管會在6日發出的裁罰案件公告指出,花旗(臺灣)商業銀行信用卡業務存在內部控制及稽核制度問題,開罰250萬元,多家媒體報導此一事件。事件的起因是因為該行信用卡業務的機制中,可透過ATM預繳卡費的方式,來提高信用卡可消費額度,可方便客戶如出國時等刷卡需求,這是不少銀行都有提供的服務項目,但是,該行系統因為程式邏輯上的問題,使得民眾在預繳卡費過程即使失敗,但系統並沒有做最後的檢查,卻以為是成功,因此仍然可以提高消費額度。

由於該行驗證機制的不足,而未能及時發現客戶預繳卡費未入帳,致使該名男子有機會能惡意利用該系統漏洞,洗資料庫的數據,將刷卡額度從原本的60萬元,提升至6300萬的額度,並進行刷卡交易,明顯成為安全防護上的一大破綻,缺乏異常交易行為的辨識與監控。更多內容 

 

#資料外洩 #匯豐銀行

匯豐銀行傳出網銀帳戶資料外洩事件

跨國金融機構匯豐銀行(HSBC)上周坦承,在今年的10月4日到10月14日之間,有部份該銀行的線上帳戶遭到未經授權的使用者存取,包括用戶名字、帳戶號碼、帳戶金額及交易紀錄等。

匯豐銀行並未說明用戶帳戶外洩原由,僅說在發現此事後,立即暫停了這些帳戶的線上存取能力,並開始通知受影響的用戶,同時採取行動強化該行個人網路銀行的認證流程,新增了額外的安全保護。

可能外洩的資訊涵蓋用戶的全名、地址、電話號碼、電子郵件位址、生日、帳戶號碼、帳戶型態、帳戶餘額、交易紀錄、收款人帳戶資訊,以及銀行對帳單。

目前,匯豐銀行已透過電話或電子郵件通知被影響的用戶,以協助用戶變更網路銀行的憑證,同時建議用戶監控自己的帳戶交易並設定詐欺警報。更多內容

 

#殭屍網路 #UPnP漏洞 #無線路由器

BCMUPnP_Hunter殭屍網路已收服10萬臺路由器

360Netlab揭露名為BCMUPnP_Hunter的殭屍網路,指出該殭屍網路是利用2013年被發現BroadCom UPnP漏洞進行感染,迄今約有10萬臺基於BroadCom UPnP的路由器被收服,波及眾多品牌的路由器與閘道器,涵蓋D-Link、Linksys、NetComm、ZTE、Zyxel及TP-Link等。

研究人員追蹤了駭客所發出的指令,顯示BCMUPnP_Hunter主要被用來代理Yahoo!Mail、Outlook及Hotmail的流量,可推測此一殭屍網路的任務為發送垃圾郵件。安全專家建議,路由器或閘道器用戶應採用最新的韌體,或者是直接關閉不需要的UPnP功能。更多內容

 

#加密貨幣交易平臺 #StatCounter #駭客入侵

供應鏈攻擊又一例:駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io

資安業者ESET本周揭露一起罕見的供應鏈攻擊事件,網路分析平臺StatCounter在全球則有超過200萬個合作網站,而駭客先入侵了StatCounter,接著植入惡意的JavaScript,然後針對比特幣的交易網頁來攻擊,而首個受害者為加密貨幣交易平臺gate.io。

研究人員表示,駭客為了攻擊特定的加密貨幣交易平臺,入侵了StatCounter,代表就算網站都會定期更新且受到良好的保護,還是可能因為最脆弱的環節而受損,在此一案例中為外部的資源,也再度顯示出這些由第三方控制的外部JavaScript程式在任何時候都可能因為不察而被變更。更多內容

 

#DJI身分驗證程序漏洞 #無人機 #資料竊取

研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像

圖片來源/DJI

資安業者Check Point指出,DJI的身分認證程序含有安全漏洞,將允許駭客挾持用戶帳號,並存取用戶存放在DJI網站、行動程式,以及無人機操作管理平臺FlightHub的所有資料。

研究人員在今年3月發現DJI的身分認證程序含有安全漏洞,它使用一個cookie來辨識用戶並建立令牌,而駭客也可利用此一cookie來挾持使用者的帳號;只要在DJI論壇上張貼一則含有惡意連結的文章,讓舉凡登入DJI論壇並點選該連結的使用者,都會曝露自己的登入憑證。

Check Point認為,無人機的安全危機並不只在於裝置會遭到挾持,還在於同步到雲端的資料會遭到竊取,而接獲通知的DJI已經修補了相關漏洞。更多內容 

 

#支付卡資訊外洩 #POS

美國六千萬張支付卡資訊遭竊的元兇?75%資料外洩起是POS

資安業者Gemini Advisory公布的研究報告指出,這一年來美國總計有6,000萬張的支付卡資訊遭盜,當中有75%是從零售資訊系統(Point-of-Sale)外流。

在Gemini Advisory的研究中,依據是自暗網中蒐集駭客所銷售的支付卡資訊,屬於美國民眾的有6,000萬張,當中有75%為實卡紀錄,顯示這些支付卡資訊是在實體商店消費者被竊走,另外的25%則是從電子商務網站外洩。更多內容

 

#國家資安戰略 #資安人才培育

總統接見HITCON和BFS資安戰隊,蔡英文:資安人才培育不間斷

圖片來源/總統府

今年8月,在全球資安搶旗攻防賽殿堂DEF CON CTF比賽中,代表臺灣參賽的HITCON戰隊獲得第三名好成績,僅次於韓國隊和美國隊,初生之犢臺灣資安新血戰隊BFS也獲得全球第12名的佳績。總統蔡英文在13日上午接見戰隊成員時表示,資安就是國安,臺灣面臨嚴峻的資安威脅,未來政府還要投入更多資源,不僅要落實關鍵基礎設施防護,更要持續培養資安人才。更多內容 

 

#Apache #函式庫漏洞

特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險

Apache軟體基金會於11月5日警告,特定版本的Struts 2採用了含有遠端程式攻擊漏洞的Commons FileUpload函式庫,呼籲用戶儘快更新。

根據漏洞的說明資訊,Commons FileUpload中有個Java物件在被反序列化時,可寫入或複製檔案到任何磁碟,雖然該物件可單獨使用,但也能在呼叫反序列化時整合ysoserial以上傳及執行二進位文件。由於Struts並非唯一使用Commons FileUpload函式庫的專案,因此SANS也建議開發人員最好檢查所有的系統。更多內容

 

#WordPress漏洞 #WooCommerce漏洞

WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累

資安業者RIPS Technologies指出,WordPress在權限處理上的設計漏洞,再加上WooCommerce的檔案刪除漏洞,將讓駭客可擴大權限,接管整個WordPress網站並執行遠端程式攻擊。

RIPS安全研究人員指出,WooCommerce含有一個檔案刪除漏洞,允許商店經理(Shop Manager)移除伺服器上的任何檔案,這類的漏洞通常不會造成太大的危害,頂多是刪除網站上的index.php檔並造成服務阻斷。然而,當輔以WordPress的權限處理漏洞時,卻能讓駭客掌控整個網站。該資安業者在今年8月通報了WooCommerce,WooCommerce已於今年10月釋出新版修補。更多內容

 

#IronChat加密破解

荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息,成功破獲洗錢集團

荷蘭警方指出,他們因為破解了加密手機上的Ironchat加密傳訊程式,攔截了25.8萬則訊息,因而成功破獲了一個洗錢犯罪集團,還逮捕了眾多的嫌犯。根據外電報導,此一犯罪集團購買了BlackBox IronPhone加密手機,採用端對端加密通訊程式IronChat來溝通,而荷蘭警方注意他們已久,為了進一步掌握情資以調查,從該集團採購手機時,就展開監聽行動,在蒐集到的大量聊天訊息中獲得重要資訊,進而成功破獲該集團的毒品實驗室、自動化武器等。報導中也指出,令資安社群好奇的是,IronChat是如何被破解?更多內容

 

#GDPR #隱私保護組織 #Orcale

GDPR戰火延燒,英國隱私保護組織PI投訴甲骨文等7業者違反GDPR

非營利的英國隱私保護組織Privacy International(PI),上周投訴包括甲骨文(Oracle)在內的7家業者違反歐盟通用資料保護規則(GDPR),並督促法國、英國及愛爾蘭的資料保護組織展開調查。受到投訴的7家業者全都握有大量消費者資料,包括從事資料分析的甲骨文與Acxiom,提供廣告服務的Criteo、Quantcast、Tapad,以及信用報告業者Equifax與Experian。

PI認為,這些企業雖然都握有數百萬名消費者資料,但並非是家喻戶曉的品牌,因此極少受到挑戰。然而,根據業者所公開的行銷文件或隱私政策,它們在利用這些個人資料時並未取得使用者同意,也沒有處理這些個人機密資料的依據,還缺乏GDPR所明列的透明、合法、目的限制、數據最小化及準確性等要求。更多內容

 

更多資安動態

Windows 10臭蟲讓用戶無法變更預設檔案關聯格式
臉部辨識還不夠,傳中國警方開始用步態識別工具
Chrome 71將警告用戶有不當電信代扣服務的網站
Cloudflare推出支援行動裝置的1.1.1.1公共DNS程式
法官要求Amazon交出與命案有關的Echo錄音資料
第一份Android生態系安全性報告出爐,Google未來還要每季都公布高風險App趨勢
很會躲!研究人員發現一木馬程式竟在Google Play存活了11個月才遭禁


Advertisement

更多 iThome相關內容