圖片來源: 

Tribune Publishing集團網站

1227-0102 一定要看的資安新聞

 

#勒索軟體  #特別產業APT

美媒體集團遭感染惡意程式影響發行

美國報業集團Tribune Publishing網路遭惡意程式感染,導致旗下洛杉磯時報等紙本周末版刊物,發行及出刊延宕。

最早發現異常現象的人,是該集團旗下的聖地牙哥聯合論壇報體育版編輯,他因為無法登入系統,導致不能將報紙的數位檔案,傳送到印刷系統。

Tribune Publishing研判,惡意程式來自美國境外,但並未說明確切來源,也無法判定是否為國家資助的駭客攻擊,還是一般駭客。知情人士指出,惡意程式疑似是專門攻擊關鍵系統的勒索軟體Ryuk。不過,該集團表示,訂閱戶、網路用戶,以及廣告客戶的個資,都沒有遭到外洩。詳全文

 

#抓漏獎勵  #開源軟體  #歐盟

歐盟2019年起將針對15個開源專案提供抓漏獎勵

自2019年1月起,歐盟針對15個重要的開源專案提供抓漏獎勵,包括Notepad++、7-zip、Drupal,以及PuTTY等,並且針對不同的專案提供各異的抓漏獎勵金額,從2.8萬歐元(約新臺幣100萬元)到9萬歐元(約新臺幣320萬元)不等。

這項抓漏機制,是開放與開源軟體稽核(FOSSA)專案的延伸。該專案最初只有針對Apache網路伺服器,以及KeePass密碼管理器等2款軟體,進行定期稽核,而現在,歐盟將透過HackerOne與Intigriti平臺,提供漏洞通報的管道,並適用於14款開源軟體,另規畫於3月再增加身分管理平臺midPoint。詳全文

(翻攝自Julia Reda網站)

 

#Windows 10 

獨立研究員再度揭露Windows 10漏洞

推特帳號為SandboxEscaper的獨立研究員,自8月底接連揭露了多起Windows漏洞,而在2018年接近尾聲時,她公布了第4個漏洞,駭客可利用Windows錯誤報告(WER)收集的內容,覆蓋任意的系統檔案,造成服務阻斷攻擊。

雖然,漏洞分析師Will Dormann取得概念性驗證程式後,發現這個漏洞並非每次都能重現,SandboxEscaper自己也表示認同,但同時指出,只要稍加修改她的概念性驗證程式,就能用來關閉防毒軟體。詳全文

 

#Microsoft Edge

鎖定Edge漏洞CVE-2018-8629的攻擊程式曝光

在微軟提供Microsoft Edge漏洞的修補軟體後,最近軟體開發商Phoenix Technologies也公布概念性驗證攻擊程式。

微軟表示,當Microsoft Edge的Chakra渲染引擎不當處理記憶體中的物件時,即會觸發編號為CVE-2018-8629的漏洞。駭客可架設一個惡意網站,然後誘導Edge用戶造訪,成功開採即允許駭客取得使用者權限,進而掌控被駭電腦。

在概念性攻擊程式現身之後,資安專家呼籲,還沒套用修補的使用者或企業,應儘速部署相關的安全更新。詳全文

 

#臉書  #Android App

20款Android應用程式暗中傳送用戶資料給臉書

隱私國際(Privacy International)在2018年的8月至12月之間,針對34款知名的Android應用程式進行分析,發現其中20款經由臉書的SDK,將資料傳送到臉書,包含了Spotify、MyFitnessPal、Skyscanner、TripAdvisor、Kayak、Shazam等,而且,無論用戶有無臉書帳號,這些App都將資料悉數提供給臉書。

上述資料若是再搭配Google與蘋果的廣告ID,可讓廣告商統整App裡的用戶行為,進而產生更完整的個人資訊,導致曝露使用者的性別、宗教、就業狀態,以及親屬關係等。在去年GDPR上路時,便有應用程式開發業者指控,臉書的SDK在未經用戶同意就收集相關資料,雖然6月時臉書有所調整,但只有4.34版以後的SDK才提供。詳全文

 

#推特  #簡訊漏洞

推特宣稱修補完成的漏洞遭研究人員打臉

資安業者Insinia Security自2018年3月起,多次揭露推特的一個漏洞,能讓攻擊者利用簡訊挾持用戶的帳號,最近推特終於表示已經修補完成,然而該公司的研究人員以實際的攻擊,證明推特並未如宣稱的確實解決臭蟲。

推特於12月28日宣布,他們修復了上述的簡訊挾持漏洞,之後,Insinia Security的研究人員,便直接朝多名英國電視名人的推特帳號下手,挾持這些人的帳號發文、轉推,或是按讚等。雖然這樣的做法有所爭議,不過該公司執行長表示,他們早在2個月前就通知上述名人,而且,該公司的目的主要在於突顯問題,呼籲用戶從帳號裡移除電話號碼,推特站方也應該停止使用簡訊驗證的機制。詳全文

 

#北韓  #資料外洩  #國家級攻擊

南韓安置中心遭駭,近千名北韓逃亡者個資外洩

南韓統一部於12月28日表示,尚慶北道安置中心的一臺電腦遭到駭客入侵,當中所存放的997名北韓流亡者的個資外洩。統一部僅表示,他們已與警方展開調查,但無法確認本次攻擊是否來自北韓的駭客組織。

不少媒體懷疑,這起攻擊事件由北韓主導,因為北韓當局其實並不清楚那些人逃亡到南韓,其中,有些人只被視為失蹤人口,或是被記錄已經死亡。詳全文

(截取自Korea.net)

 

#中國  #隱私監控

中國部分地區用智慧制服監控國小與國中學生

中國已有無所不在的人臉攝影機、步態分析等黑科技,西南部的中小學,開始採用具有物聯網科技的智慧制服,用來監控學生的行蹤。根據環球時報的報導,貴州及廣西自治區已有十多間學校採用這套嵌有晶片的制服,它能追蹤學生位置,並配合校門口的臉部辨識系統,每天學生進出學校時,自動記錄時間,同時錄製約20秒的影片,再經由App寄給老師及家長。

在定位的功能之外,這套制服還結合RFID系統、指紋、指靜脈及人臉識別等身分驗證機制,在校園內應用於消費支付與圖書館借還書上。家長也能透過手機,隨時查看孩子每天在校的消費,飲食是否符合營養均衡,並可限制孩童消費。詳全文

 

#雙因素驗證 #特定人士APT

中東與北非人權人士電子信箱雙因素驗證遭到破解

國際特赦組織在12月底,公布了2起電子郵件釣魚攻擊事件,其中駭客突破了雙因素驗證防護機制,許多北非與中東的人權鬥士、記者,因此遭駭。

駭客先針對上述人士常用的電子郵件加密服務下手,包含了Tutanota與ProtonMail等,以幾可亂真的釣魚網站騙取帳號與密碼,接著,這些駭客更進一步,竊取了人權鬥士的Gmail、Yahoo信箱雙因素驗證碼,之後便能持續存取這些電子郵件信箱。詳全文

 

更多資安動態

ACLU控告FBI等美國7大聯邦機構,要求政府「合法駭客行動」更透明
金融機構當心! 卡巴斯基:明年將出現盜用生物辨識資料的網路攻擊
去年襲捲全球的勒索蠕蟲WannaCry仍潛伏在全球電腦上
臉書也開始試驗加密DNS,表示實測不會導致延遲
AdGuard正式釋出隱私DNS服務,同時支援DNS-over-TLS與DNS-over-HTTPS
新HTTP協定反成資安漏洞,後脅迫命令控制工具Merlin能以HTTP/2規避偵測
小心!App Store上的Setup for Amazon Alexa程式是假的
負荷太大?Amazon Alexa伺服器在聖誕節當機
川普可能發布行政命令禁止採購華為與中興產品
你願意為了多少錢停用臉書一年?研究:至少1,000美元
北京打算在公共住宅專案採用人臉辨識智慧鎖以杜絕轉租行為
疑封鎖反對黨競選,孟加拉關閉3G、4G網路長達37小時


Advertisement

更多 iThome相關內容