圖片來源: 

Troy Hunt

0117-0123 一定要看的資安新聞

 

#資料外洩  #電子郵件帳號檢查網站

史上最大個資外洩Collection #1曝露7.7億用戶個資

推出Have I Been Pwned?自我個資檢測平臺的資安專家Troy Hunt於17日時,在部落格揭露一起大規模資料外洩事件,引發Wired、Gizmo、CNET等媒體爭相報導。

Troy Hunt指出,近期駭客一口氣在地下論壇分享了逾27億筆帳號資料,命名為Collection #1,號稱彙集來自近3千起攻擊所得手的內容,並公開放置在Mega雲端空間裡。經由Troy Hunt彙整之後,這些資料一共有7.7億個不重覆帳號、2,100萬個不重覆的密碼。詳全文

 

#應用程式漏洞  #HTTP  #中間人攻擊

ES File Explorer出現可用來竊取資料的漏洞

知名的Android平臺檔案管理軟體ES File Explorer出現設計瑕疵。兩名安全研究人員先後發現,該App與外部裝置傳輸時,採用未加密的HTTP連線,導致流量可被駭客以中間人(MITM)攻擊截取。上述漏洞已編號為CVE-2019-6447,予以列管,推出該應用程式的業者則於18日推出4.1.9.9版,修補上述弱點。

其中一名研究員打造出概念性驗證攻擊程式,可成功讀取裝置上的內容,並取得其中的檔案或是執行程式;另一名研究員則在YouTube發布模擬攻擊影片。詳全文

(圖片來源:Google)

 

#應用程式漏洞  #隱私保護

Android版推特應用程式漏洞導致隱私推文曝光

推特公告Android版應用程式存在漏洞,此問題導致所有人都看到用戶未公開的貼文。該漏洞自2014年11月3日就存在至今,該公司直到今年1月14日才予以修補。

該問題的來源,是推特提供的「保護你的推文(Protect your Tweets)」功能,用戶一旦啟用後,所發表的推文只有粉絲才能檢視,但是,用戶如果曾經變更個人資料內容,此功能就會被關閉。詳全文

 

#應用程式市集亂象  #廣告詐騙

15款熱門導航App竟是騙取用戶點擊廣告的軟體

在Google的Play應用程式市集中,冒牌App在軟體市集名列前茅,可說是時有所聞。最近,ESET工程師Lukas Stefanko指出,他針對Play市集的導航類別裡,前15款市集推薦軟體進行調查,發現這些App大多粗製濫造,僅是包含Google Maps的廣告軟體,其中部分軟體要求使用者必須付費,才能關閉廣告。

諷刺的是,在歐美知名的導航應用程式,像是TomTom或是Waze,反而沒有在市集推薦名單裡。而上述的15款廣告軟體,總共被下載超過5,000萬次,這種憑藉假的畫面截圖,掛羊頭賣狗肉的情形極為氾濫,Lukas Stefanko認為,會對Android生態圈帶來嚴重傷害。詳全文

 

#國家級攻擊  #個資外洩

南韓國防部採購單位驚傳遭駭

根據南韓媒體報導,去年10月南韓國防部旗下的國防採購計畫署,傳出超過30臺電腦遭駭,其中至少10臺電腦的資料外洩。雖然軍方的調查報告指出,洩露的資料並未涉及機密,不過,南韓國會議員質疑,由於該部門負責採購武器與軍用品,報告內容可能掩飾了實際損害情形。

這起事件,讓人聯想起時間相近的另一起攻擊,那就是收容從北韓逃離人士的安置中心遇害,導致可能有近千名脫北者個資外洩。詳全文

 

#抓漏懸賞  #白帽駭客

抓漏賞金偏低,難以吸引優秀白帽駭客進場

許多公司都相繼推出懸賞抓漏的計畫,吸引白帽駭客協助找出系統上的弱點,然而,白帽駭客能夠以此為生嗎?最近上架、由麻省理工學院(MIT)專家編寫的《資安新解決方案》(New Solutions for Cybersecurity)一書便明確指出,以臉書的抓漏專案為例,最為優秀的漏洞獵人每個月平均能找到0.87個漏洞,平均年薪為34,255美元(新臺幣106萬元),但上述酬勞比起美國密西西比州除蟲公司的員工薪水還要低。換言之,相較於找出程式上的臭蟲,消滅真正的害蟲還比較值錢一些。

該書作者認為,這樣的獲利,並不足以吸引真正的人才投入抓漏,也表示這些駭客需要更多的推力,才會參與相關專案。至於目前懸賞抓漏計畫主要吸引到了兩種類型的人,其一是薪資水平較低地區居民,再者則是進行資安研究的學生。詳全文

 

#個人隱私  #企業資料收集

超過7成美國民眾不知道臉書收集自己興趣資料

針對臉書推送給用戶特定廣告內容的情況,皮尤研究中心(Pew Research Center)2018年9月在美國進行調查,發現接近3/4的受訪者,對於臉書收集自己興趣等資料,進而用於廣告投放上,竟毫不知情,而且,等到研究人員展示臉書的個人廣告偏好設定頁面之後,用戶往往才驚覺個人資料遭到臉書收集、歸類。

這份研究報告中同時指出,多達51%受訪者認為,他們對臉書分類個人喜好的做法,感到不舒服,再者,即便美國是融合多元文化的國家,卻僅有21%用戶能接受多元文化。詳全文

 

#個人隱私  #企業資料收集

蘋果執行長庫克督促國會與FTC保障民眾隱私

向來致力保護使用者隱私的蘋果執行長庫克(Tim Cook),最近透過時代雜誌(Time Magazine)專欄,呼籲美國國會及聯邦貿易委員會(FTC),應分別透過全面性立法,以及建立資料掮客的清算中心等機制,來保障民眾的隱私。

庫克提出企業運用個資4大原則,首先應該儘量減少收集的資料,其次則是能讓消費者了解企業所收集的範圍與原因,再者,則是允許消費者存取、修正,或是刪除個人資料,最後企業必須保障相關資料安全。

除了企業所收集的個資之外,庫克還點出個資暗中流竄的現象。例如,企業把用戶資料賣給資料掮客之後,大多數消費者在電子商城購買商品的同時,個資就會被轉手,這些掮客再將資料轉賣出去。。詳全文

 

#國家級攻擊 #商業機密竊取

美國打算針對華為竊取商業機密提出刑事訴訟

關於華為是否涉及暗中為中國政府從事間諜活動一事,可說是疑雲重重,最新的進展,則是美國聯邦檢察官最近打算從該公司竊取商業機密的官司下手,提出刑事訴訟。其中包含的事件之一,便是華為試圖偷竊T-Mobile的手機測試裝置Tappy。

根據華爾街日報等媒體的報導,聯邦檢察官以上述民事訴訟案件為基礎展開調查,而且發現受害的美國企業不只T-Mobile,相關調查已接近完成,估計很快就會提告。詳全文

 

更多資安動態

8家串流媒體服務業者遭指控違反GDPR
保護個資不力,臉書恐被美國FTC判罰史上最高罰金
美國提出電信拒絕令法案將更嚴格限制相關零組件出口
Wi-Fi晶片韌體漏洞恐危及數十億裝置
MySQL含有可竊取用戶檔案的設計漏洞
85%熱門免費VPN應用程式要求過多存取權限
防毒業者Avast指出全球PC應用程式半數過期或未更新
Google違反GDPR遭法國重罰5千萬歐元
避免成為假新聞媒介,WhatsApp限制訊息只能轉寄5人
資安領域行情看俏,2018年創投挹注金額比2016年增加81%


Advertisement

更多 iThome相關內容