0822-0828一定要看的資安新聞

 

#金融安全

俄羅斯駭客組織攻擊全球30國銀行掠財,臺灣為亞洲首要目標

圖片來源/Group-IB

安全公司Group-IB偵測到名為Silence的俄羅斯駭客組織,近年對全球超過30國銀行發動攻擊以竊取財產,而臺灣是這個組織在亞洲攻擊最頻繁的目標。

根據該公司分析,Silence曾在近期的一個月內,發出17萬封偵察式電子郵件,其中亞洲有8萬封,而臺灣以2.1萬封居榜首,其次是馬來西亞(1.6萬封)及南韓(8,800封)。值得注意的是,一旦驗證為有效電子郵件信箱後,駭客就開始發送附有攻擊程式的惡意郵件,接著以其工具滲透受害銀行的內部網路及橫向移動,如果金融機構安全防護技術未能偵測到,最後駭客得以控制信用卡處理中心、並以Atmosphere木馬或名為xfs-disp.exe的程式控制提款機在特定時間吐鈔,並由外部車手取款。更多內容

 

#容器管理平臺安全 #K8s

受HTTP/2漏洞波及,Kubernetes釋出安全更新

Netflix、Google及CERT/CC在日前揭露了攸關HTTP/2實現的8個安全漏洞,本周容器管理專案Kubernetes指出,用來打造Kubernetes的Go語言,受到其中兩個漏洞的波及,導致所有版本都受到相關漏洞的影響,可能造成服務阻斷。隨著Go已經釋出1.12.9與1.11.13版本,來修補這兩個漏洞,而K8s則是基於Go的修補釋出1.15.3、1.14.6與1.13.10版。因此,K8s用戶應儘快升級到最新版本。更多內容

 

#筆電內建軟體安全 #聯想

聯想電腦預裝管理軟體暗藏可被駭客接管系統的漏洞

在聯想筆電中的Lenovo Solution Centre(LSC)裝置管理軟體,是產品預載的測試和故障排除工具,但最近被安全廠商Pentest Partners揭露有一重大漏洞,而且官方可能已經終止支援。

該軟體是聯想自2011年開始,就預安裝在所有聯想筆電、平板等裝置中,表示聯想產品存在風險可能高達8年之久。簡單來說,這項漏洞來自判別式存取控制表(Discretionary Access Control List,DACL)覆寫,即電腦中高權限的行程,無差別覆寫掉低權限用戶可控制的檔案權限。駭客將可利用其排程作業執行權限升級攻擊。研究人員呼籲聯想用戶電腦及早移除LSC,而聯想則已呼籲用戶升級到Lenovo Diagnostics。更多內容

 

#主機委外安全 #Hostinger

網站代管業者Hostinger遭到駭客入侵,危及1,400萬名客戶

圖片來源/擷取自Hositnger

以價格平民為主打的網站代管業者Hostinger,25日在官方部落格上發布資安公告,表示在上周察覺遭到駭客入侵,駭客可能存取1,400萬名客戶的資訊,包括客戶的使用者名稱、電子郵件帳號與雜湊密碼,為了以防萬一,他們已重設所有客戶的密碼。根據Hostinger的說明,他們是在8月23日收到警告,指出有一臺伺服器被第三方擅自存取,該伺服器存放了一個認證Token,可進一步存取該站系統的RESTful API Server,而此一API資料庫,則能夠用來查詢客戶與其帳號的細節。目前該公司正在調查外洩原因與進行內部稽核。更多內容

 

#帳密安全

Google Chrome可能內建通知密碼外洩的功能

隨著密碼外洩情形日漸嚴重,Google Chrome團隊在今年推出Chrome外掛Password Checkup後,計畫將這類能在用戶登入網路服務時,主動檢驗密碼是否外洩的通知功能,直接內建於新版Chrome。

近日BleepingComputer發現,這個名為「密碼保護」(password protection)的功能,將出現在Chrome的密碼管理員中,提供開啟與關閉的選項。而針對企業用戶,Google則會提供名為Password Leak Detection Enabled的政策,可供管理員開啟、關閉這項密碼保護功能。目前這項功能還在開發中,但可在Chrome 78 Canary版的指令中找到相關選項。更多內容

 

#漏洞獎勵計畫 #瀏覽器隱私工具

Chromium-based Edge上市前最後預覽版釋出,微軟提供最高3萬美元請大家抓蟲

微軟即將推出基於Chromium瀏覽器核心架構的Edge瀏覽器,近期他們釋出針對首個官方Beta版,包含Windows 7、8/8.1、10及macOS版本,同時宣布將擴大Edge瀏覽器的漏洞獎勵計畫,並提供最高3萬美元的獎勵。

在此Beta版上,已可開啟還是實驗功能的Edge隱私工具,包含Basic、Balanced 到Strict這3種層次的上網隱私保護。其他商用功能方面,包括整合Bing AI及Microsoft Graph的企業搜尋功能Microsoft Search、支援舊網頁的IE模式,以及可過濾不安全網站的Windows Defender Application Guard等。更多內容

 

#APT攻擊 #間諜行動 #生醫產業

FireEye:中國駭客集團相準癌症研究中心,盜取新藥配方製程

資安業者FireEye在最新的資安報告《Beyond Compliance: Cyber Threats and Healthcare》中指出,中國的網路間諜行動鎖定了醫藥研究人員,雖然無法具體評估中國駭客的破壞規模,但可能已經對該產業產生了影響。目前他們已經發現有多個中國駭客集團,鎖定醫療照護產業的研究展開APT攻擊,且對癌症相關研究特別感興趣,這符合了中國因癌症致死的案例愈來愈多的現象。他們並推測,這可能與中國所提出的中國製造2025政策有關,該政策計畫讓中國在2025年邁入製造強國之列,而鎖定醫療研究與資料的間諜行動,將讓中國比西方國家的競爭對手更快推出新藥。更多內容

 

#資料外洩

香港「立場新聞」員工遺失筆電,包含兩萬筆贊助資料,已通報私隱署

圖片來源/擷取自立場新聞粉絲專頁

於2014年成立,總部位於香港的非牟利網上媒體「立場新聞」,在本月24日於粉絲專頁上發布訊息,該公司負責處理會員和贊助資訊的員工,在22日遺失包含相關資料的筆電。從影響範圍來看,目前他們已經公布初步資料外洩範圍,共23,967項贊助交易記錄,包括贊助人姓名、贊助金額、電子郵件這三項資料,其中16,472項記錄包含贊助人地址、37項有銀行戶口號碼、16項有電話號碼,而這些資料不包括信用卡資訊。該公司總編輯鍾沛權並表示,他需要為此事件負上最大責任,因為過去兩個月的贊助會員人數暴增,使負責同事需長期在家加班處理,而他沒有及時在IT和人手上給予足夠支援。目前,立場新聞已向香港個人私隱專員公署通報,並會盡快個別通知受影響贊助會員。更多內容

 

#HITCON #臺灣資安社群

臺灣駭客年會社群場8月底熱鬧登場

圖片來源/HITCON

全臺最具含量的純技術資安研討會「臺灣駭客年會社群場」(HITCON Community 2019),在23、24日連續兩天於中央研究院人文社會科學館舉辦,不僅吸引對資安有興趣的研究人員和學生,也有來自香港、日本亞洲各國的海外參加者。本屆HITCON CMT總召邱柏森表示,這次大會以「Trust in the Untrusted World」為主題,再次強調信任的議題須重新檢視,現場並包含多項議程與各類型活動,讓所有參加的人,都能夠透過這些不同單元,來接觸各式不同的資安有關的技術,他並表示,像是今年結合OPass通關的活動,有不少人反映遊戲相當有趣。更多內容

 

#臺灣漏洞通報現況

2019年HITCON ZeroDay漏洞通報現況,弱密碼問題通報數量增

對於臺灣漏洞通報現況,自2015年底開始設立的HITCON ZeroDay,每隔一段時間就會公布國內的通報趨勢,近日HITCON常務理事翁浩正指出,今年1月至今,SQL Injection漏洞仍以31%佔最多,XSS漏洞以16%居次,不過翁浩正特別強調了弱密碼問題,是今年新的焦點,他表示有6%漏洞是在通報預設密碼沒有修改,或是使用的密碼很簡單。

對於弱密碼的問題,或許一些人已經知道帳密填充攻擊,或是撞庫攻擊。他也再次說明,現在很多駭客都在蒐集各種已經外洩的密碼,來嘗試登入各個網站,很多企業買了一些解決方案、網站或設備,可是從來沒有改過密碼,導致會被用這種方式來攻擊。因此,弱密碼將是企業不可忽視的問題。更多內容
 

更多資安動態
Google、微軟、英特爾、IBM 等合組機密運算聯盟,推動TEE技術及標準
Cloudflare推出DDoS攻擊防護服務Magic Transit
萬事達卡在德國與及比利時的部分用戶資料外洩
LINE Bank揭露將導入總部五大資安資源,並強調資料會落地臺灣機房
你所不知道的電信詐騙!臺灣民眾要注意那些手法專家告訴你
物聯網上雲要注意安全組態的配置是否得宜,趨勢科技呼籲開發人員應做好相關控管
網釣問題是電商詐欺管理的最大挑戰,新一代3DS 2.0驗證成未來焦點
 


Advertisement

更多 iThome相關內容