資安一周27期：史上最大個資外洩Collection #1曝露7.7億用戶個資、抓漏酬勞偏低難吸引優秀白帽駭客

0117-0123 一定要看的資安新聞

＃資料外洩  ＃電子郵件帳號檢查網站

史上最大個資外洩Collection #1曝露7.7億用戶個資

推出Have I Been Pwned？自我個資檢測平臺的資安專家Troy Hunt於17日時，在部落格揭露一起大規模資料外洩事件，引發Wired、Gizmo、CNET等媒體爭相報導。

Troy Hunt指出，近期駭客一口氣在地下論壇分享了逾27億筆帳號資料，命名為Collection #1，號稱彙集來自近3千起攻擊所得手的內容，並公開放置在Mega雲端空間裡。經由Troy Hunt彙整之後，這些資料一共有7.7億個不重覆帳號、2,100萬個不重覆的密碼。詳全文

＃應用程式漏洞  ＃HTTP  ＃中間人攻擊

ES File Explorer出現可用來竊取資料的漏洞

知名的Android平臺檔案管理軟體ES File Explorer出現設計瑕疵。兩名安全研究人員先後發現，該App與外部裝置傳輸時，採用未加密的HTTP連線，導致流量可被駭客以中間人（MITM）攻擊截取。上述漏洞已編號為CVE-2019-6447，予以列管，推出該應用程式的業者則於18日推出4.1.9.9版，修補上述弱點。

其中一名研究員打造出概念性驗證攻擊程式，可成功讀取裝置上的內容，並取得其中的檔案或是執行程式；另一名研究員則在YouTube發布模擬攻擊影片。詳全文

（圖片來源：Google）

＃應用程式漏洞  ＃隱私保護

Android版推特應用程式漏洞導致隱私推文曝光

推特公告Android版應用程式存在漏洞，此問題導致所有人都看到用戶未公開的貼文。該漏洞自2014年11月3日就存在至今，該公司直到今年1月14日才予以修補。

該問題的來源，是推特提供的「保護你的推文（Protect your Tweets）」功能，用戶一旦啟用後，所發表的推文只有粉絲才能檢視，但是，用戶如果曾經變更個人資料內容，此功能就會被關閉。詳全文

＃應用程式市集亂象  ＃廣告詐騙

15款熱門導航App竟是騙取用戶點擊廣告的軟體

在Google的Play應用程式市集中，冒牌App在軟體市集名列前茅，可說是時有所聞。最近，ESET工程師Lukas Stefanko指出，他針對Play市集的導航類別裡，前15款市集推薦軟體進行調查，發現這些App大多粗製濫造，僅是包含Google Maps的廣告軟體，其中部分軟體要求使用者必須付費，才能關閉廣告。

諷刺的是，在歐美知名的導航應用程式，像是TomTom或是Waze，反而沒有在市集推薦名單裡。而上述的15款廣告軟體，總共被下載超過5,000萬次，這種憑藉假的畫面截圖，掛羊頭賣狗肉的情形極為氾濫，Lukas Stefanko認為，會對Android生態圈帶來嚴重傷害。詳全文

＃國家級攻擊  ＃個資外洩

南韓國防部採購單位驚傳遭駭

根據南韓媒體報導，去年10月南韓國防部旗下的國防採購計畫署，傳出超過30臺電腦遭駭，其中至少10臺電腦的資料外洩。雖然軍方的調查報告指出，洩露的資料並未涉及機密，不過，南韓國會議員質疑，由於該部門負責採購武器與軍用品，報告內容可能掩飾了實際損害情形。

這起事件，讓人聯想起時間相近的另一起攻擊，那就是收容從北韓逃離人士的安置中心遇害，導致可能有近千名脫北者個資外洩。詳全文

＃抓漏懸賞  ＃白帽駭客

抓漏賞金偏低，難以吸引優秀白帽駭客進場

許多公司都相繼推出懸賞抓漏的計畫，吸引白帽駭客協助找出系統上的弱點，然而，白帽駭客能夠以此為生嗎？最近上架、由麻省理工學院（MIT）專家編寫的《資安新解決方案》（New Solutions for Cybersecurity）一書便明確指出，以臉書的抓漏專案為例，最為優秀的漏洞獵人每個月平均能找到0.87個漏洞，平均年薪為34,255美元（新臺幣106萬元），但上述酬勞比起美國密西西比州除蟲公司的員工薪水還要低。換言之，相較於找出程式上的臭蟲，消滅真正的害蟲還比較值錢一些。

該書作者認為，這樣的獲利，並不足以吸引真正的人才投入抓漏，也表示這些駭客需要更多的推力，才會參與相關專案。至於目前懸賞抓漏計畫主要吸引到了兩種類型的人，其一是薪資水平較低地區居民，再者則是進行資安研究的學生。詳全文

＃個人隱私  ＃企業資料收集

超過7成美國民眾不知道臉書收集自己興趣資料

針對臉書推送給用戶特定廣告內容的情況，皮尤研究中心（Pew Research Center）2018年9月在美國進行調查，發現接近3/4的受訪者，對於臉書收集自己興趣等資料，進而用於廣告投放上，竟毫不知情，而且，等到研究人員展示臉書的個人廣告偏好設定頁面之後，用戶往往才驚覺個人資料遭到臉書收集、歸類。

這份研究報告中同時指出，多達51%受訪者認為，他們對臉書分類個人喜好的做法，感到不舒服，再者，即便美國是融合多元文化的國家，卻僅有21%用戶能接受多元文化。詳全文

＃個人隱私  ＃企業資料收集

蘋果執行長庫克督促國會與FTC保障民眾隱私

向來致力保護使用者隱私的蘋果執行長庫克（Tim Cook），最近透過時代雜誌（Time Magazine）專欄，呼籲美國國會及聯邦貿易委員會（FTC），應分別透過全面性立法，以及建立資料掮客的清算中心等機制，來保障民眾的隱私。

庫克提出企業運用個資4大原則，首先應該儘量減少收集的資料，其次則是能讓消費者了解企業所收集的範圍與原因，再者，則是允許消費者存取、修正，或是刪除個人資料，最後企業必須保障相關資料安全。

除了企業所收集的個資之外，庫克還點出個資暗中流竄的現象。例如，企業把用戶資料賣給資料掮客之後，大多數消費者在電子商城購買商品的同時，個資就會被轉手，這些掮客再將資料轉賣出去。。詳全文

＃國家級攻擊 ＃商業機密竊取

美國打算針對華為竊取商業機密提出刑事訴訟

關於華為是否涉及暗中為中國政府從事間諜活動一事，可說是疑雲重重，最新的進展，則是美國聯邦檢察官最近打算從該公司竊取商業機密的官司下手，提出刑事訴訟。其中包含的事件之一，便是華為試圖偷竊T-Mobile的手機測試裝置Tappy。

根據華爾街日報等媒體的報導，聯邦檢察官以上述民事訴訟案件為基礎展開調查，而且發現受害的美國企業不只T-Mobile，相關調查已接近完成，估計很快就會提告。詳全文

更多資安動態

●8家串流媒體服務業者遭指控違反GDPR
●保護個資不力，臉書恐被美國FTC判罰史上最高罰金
●美國提出電信拒絕令法案將更嚴格限制相關零組件出口
●Wi-Fi晶片韌體漏洞恐危及數十億裝置
●MySQL含有可竊取用戶檔案的設計漏洞
●85%熱門免費VPN應用程式要求過多存取權限
●防毒業者Avast指出全球PC應用程式半數過期或未更新
●Google違反GDPR遭法國重罰5千萬歐元
●避免成為假新聞媒介，WhatsApp限制訊息只能轉寄5人
●資安領域行情看俏，2018年創投挹注金額比2016年增加81%