圖片來源: 

iThome

0718-0724 一定要看的資安新聞

 

#資料外洩  #特定行業攻擊

求職網站1111人力銀行20萬筆個資外洩

先前,流出銓敘部個資的美國論壇,在7月18日上午,再度傳出外洩我國民眾個資,此次被公布的是1111人力銀行20萬筆求職者資料。

握有這批個資的駭客為了取信,甚至直接明文公布部分內容,並將中文名字的英文拼音寫出來,便於外國人使用這些資料。

根據臺灣個資法第27與29條的規定,1111人力銀行有保護求職者個資的義務。若以每名受害者求償最低金額500元計,外洩個資的這家公司若無法證明沒有過失責任,恐面臨1億元賠償。詳全文

 

#漏洞攻擊  #供應鏈攻擊

BMC韌體重大漏洞,波及8家伺服器

資安廠商Eclypsium發現,第三方基板控制器(BMC)韌體含有重大漏洞,可能導致伺服器遭駭客執行任意程式碼攻擊。
這家資安業者會針對BMC的韌體進行調查,起因是檢測聯想ThinkServer RD340伺服器時,發現二項重大漏洞,進一步追蹤後,找到弱點來自於信驊科技(ASPEED)提供的基板管理控制器,而這款控制器所採用了由Avocent提供的第三方韌體,名為Merge Point EMC。

由於研究人員發現,不只是2014年推出的ThinkServer RD340,聯想較新款的System x與ThinkSystem系列產品線,也都採用Merge Point EMC,進而追查有那些品牌的伺服器使用這款韌體。

這款韌體有不少業者採用,包含技嘉、宏碁、聯想、大兆(Bigtera)、AMAX、Ciara、Penguin Computing、sysGen等。研究人員指出,此事突顯資訊產業的重大問題:硬體廠商普遍仰賴第三方韌體,導致同樣漏洞波及眾多品牌。詳全文

 

#AI  #隱私疑慮

俄羅斯變臉程式FaceApp引發隱私疑慮

美國民主黨參議員Chuck Schumer要求聯邦調查局(FBI)與聯邦通訊委員會(FTC),調查由俄羅斯業者推出的FaceApp,因為可能會對國家安全及民眾隱私帶來風險。

這隻FaceApp是最近非常火紅的人臉編輯App,使用者只要上傳自己的照片,就能改變造型、增加笑容,或是變更性別。後來因新增讓使用者看起來變老的濾鏡,而引發風潮。在美國,這款應用程式成為蘋果App Store與Google Play免費程式下載冠軍。

然而,Chuck Schumer認為,FaceApp可同時存取用戶的名稱、真實姓名,以及分享的內容,不確定會保留多久,也能在未經許可之下使用這些資料,危及用戶隱私。因此,Chuck Schumer希望FBI能夠檢查FaceApp的個人資料使用方式,並調查這些資料是否會落入俄國政府之手。詳全文

 

#供應鏈攻擊  #附加軟體安全

8款瀏覽器擴充程式會竊取用戶機密資料

獨立安全研究人員Sam Jadali公布《資料間諜報告(DataSpii Report)》,揭露8款會竊取用戶機密資料的Chrome或Firefox瀏覽器的擴充程式。

這些擴充程式可存取使用者的GPS位置、信用卡資訊,以及線上購物歷史記錄,而對於企業端而言,它們可藉此取得企業LAN架構、API金鑰、私有原始碼,以及其他商業機密,估計超過400萬名瀏覽器用戶受害。

Sam Jadali進一步指出,不少知名企業受到波及,像是蘋果、臉書、微軟,以及Amazon,甚至是賽門鐵克、趨勢科技、FireEye,以及Palo Alto Networks等資安廠商,也是受害者。

雖然2家瀏覽器業者已經透過市集停用這些擴充程式,但研究人員認為,使用者還是應該要手動移除,才能真正避免資料側錄的危機。詳全文

 

#漏洞攻擊  #隱私疑慮 

資安公司發現瞄準Linux桌面使用者的後門程式

根據資安公司Intezer Labs研究人員的發現,有新的惡意軟體EvilGnome瞄準Linux桌面環境。EvilGnome會偽裝Gnome殼層擴充,但實際上,會偷偷地上傳螢幕截圖或是文件等私密資料。在防護上,目前主要的解決方案都無法偵測到EvilGnome,研究人員提到,這個惡意軟體可能與俄國的APT攻擊集團Gamaredon有關。詳全文

圖片來源:Intezer Labs

 

#資料外洩

保加利亞國稅局遭入侵,數百萬納稅人資料外洩

保加利亞國稅局在7月15日坦承,電腦系統遭到駭客入侵。駭客盜走數百萬納稅人的資料後,向媒體爆料此事。該國政府表示,這是當地規模最大的資料外洩事件。

媒體猜測,駭客的行為只是要展示國稅局資安機制太過脆弱,過去,曾有企業曾多次警告政府,應加強官方系統的安全保障。保加利亞國稅局已邀請資安專家檢視,並修補電腦系統的安全漏洞。詳全文

 

#間諜攻擊  #隱私疑慮

以色列業者推出可竊取臉書、iCloud、Google等資料的間諜工具

因打造Pegasus間諜程式而飽受爭議的NSO Group公司,近期推出新版間諜工具,當中利用了今年5月被公開的WhatsApp漏洞,宣稱只要撥打電話,就能植入受害者手機,長期竊聽通訊內容。英國金融時報指稱,這款間諜程式可竊取資料不僅於此,還能收集受害者儲存在雲端服務的資料。

經金融時報的研究,他們發現,攻擊者將新版間諜工具植入受害裝置後,可悄悄收集並複製這些帳號的驗證金鑰,同步到監控伺服器。該伺服器可模仿用戶手機、所在位置等,同時使用上述金鑰,複製受害者的雲端服務身分,進而同步受害裝置所有資訊,像是通訊內容、相片,以及地點等。

該媒體進一步指出,NSO母公司Q-Cyber已向烏干達政府簡報,甚至宣稱,上述的過程,完全不會觸發雙因素驗證或雲端服務業者的警示機制。詳全文

 

#供應鏈攻擊  #Tor

俄羅斯情報機關外包商被駭,Tor反匿名技術曝光

俄羅斯情報最高機關聯邦安全局(FSB)外包商Sytech本週傳出被駭事件,7.5TB資料遭竊,裡面包含了可突破Tor網路的反匿名技術、滲透P2P網路,以及其他俄羅斯政府追蹤人民、隔離網路的最新技術。

被竊資料的內容顯示,FSB正在追蹤特定學生和罪犯,同時,Sytech執行大量的俄羅斯政府情蒐及追蹤技術專案。其中,名為Mentor的專案,是接受FSB電子電波情報單位委託,提供可監控特定人士電子郵件帳號的技術。

此事件有如維基解密洩露Vault 7的俄國版。事發後,Sytech網站已經關閉,並未發表任何聲明。當地媒體BBC報導,這是該國情報組織有史以來最大宗的資料外洩案。詳全文

圖片來源:Digital Revolution

 

更多資安動態

廣受美國大學採用的ERP系統遭駭,波及62所學校
Google大幅增加抓漏獎金,Play市集提升為4倍
防範DNS挾持威脅,美國政府強化.GOV網域安全


Advertisement

更多 iThome相關內容