0919-0925 一定要看的資安新聞

 

#應用程式市集亂象  #Cookie Stuffing

冒牌AdBlock擴充套件發動廣告詐欺牟利

採用與知名應用程式相似的名稱,在合法市集上架惡意軟體的現象,可說是極為普遍。最近由資安公司AdGuard於Chrome市集上發現,有2款冒牌的廣告封鎖擴充套件,實際上是能讓駭客得到廣告抽成的詐欺軟體。

上述的冒牌擴充套件名稱,分別為AdBlock by AdBlock與Ublock by Charlie Lee,它們都是由正牌AdBlock程式碼修改而來。但研究人員發現,使用者安裝55個小時後,它們就會開始出現異常行為,執行名為Cookie Stuffing的詐欺手法,讓網路商城以為,瀏覽器用戶消費是因駭客的網站介紹購買,進而支付佣金,估計超過300個網站受害。詳全文

圖片來源:AdGuard

 

#漏洞攻擊  #特定目標攻擊

北美公營事業自助繳費系統Click2Gov二度受到攻擊

廣受美國公營事業採用的帳單自助繳費系統Click2Gov,再度傳出漏洞,駭客盜取逾2萬張支付卡資訊,並在暗網中兜售,受害範圍遍及8個城市。

根據資安業者Gemini Advisory指出,Click2Gov先前於2017至2018年間遭駭客鎖定,並得手了30萬張支付卡的資料,這波攻擊始於今年8月,主要影響內部建置版本的Click2Gov系統,再者,若是使用者手動輸入付款資訊,便會面臨個資受側錄的風險,設定自動扣繳者則不受影響。詳全文

 

#雲端服務配置不當  #隱私疑慮

2,400萬病患個資曝光,7億張醫療影像在網路公開

德國漏洞分析公司Greenbone Networks近期公布研究報告,指出全球有大量的醫療影像儲存系統(PACS)配置不當,使得高達7億張醫療影像在網路上曝光。

PACS為醫療院所專門用來存放X光、電腦斷層掃描,以及核磁共振等影像的系統。該公司在網路上檢查2,300套PACS系統,其中就有590臺系統缺乏密碼保護,並曝露病患個資與主治醫師等資料。再者,這些系統也被發現其他資安問題,例如採用未修補的資料庫,或是執行老舊的作業系統等。詳全文

 

#產業動態  #開發安全

進軍程式碼檢測,GitHub併購漏洞探索平臺Semmle

隨著針對開發者攻擊的事件不斷發生,提供代管程式碼服務的GitHub,最近買下研發程式碼安全分析平臺的Semmle,強調是該公司對於開源供應鏈安全的重大進展。

Semmle提供語意程式碼分析引擎,開發人員撰寫查詢條件,便能在程式碼裡找尋漏洞與其變體,採用該公司分析服務的公司,包含了微軟、Google,以及Uber等知名企業,他們也為開源專案找出逾百個CVE漏洞。

GitHub指出,併購之後原本Semmle的用戶權益不受影響,LGTM.com仍會繼續提供免費的檢測服務。詳全文

 

#產業動態  #端點防護  #遠端瀏覽器隔離

隔離上網當道,HP買下端點防護新創Bromium

面臨網路無孔不入的威脅,保持距離是相當務實的策略。其中,在HP企業級電腦產品線裡,提供這種隔離上網功能(Sure Click)的Bromium,兩家公司合作約2年後,最近宣布併購事宜。

在這種防護機制裡,Bromium採用了微虛擬機器的做法,將電腦所有透過瀏覽器上網的應用隔離,藉此防範惡意的軟體與電子郵件附件,從端點電腦入侵企業環境。詳全文

 

#隱私疑慮  #物聯網裝置安全

研究發現多數智慧電視裝置會傳送隱私資料給Netflix

美國東北大學與英國倫敦帝國學院合作,對物聯網裝置進行了大規模的隱私研究,發現大部分的裝置都會傳送隱私資訊,諸如IP位址或地理位置等給第三方組織,部分還會傳送麥克風與攝影機錄製的影音資料。

他們發現,絕大多數的電視裝置,即便沒有設定Netflix帳戶,都會與Netflix連線。比較特別的案例是小米電鍋,會在VPN環境中連接金山軟體,而平常則連接阿里巴巴雲端服務。

研究人員提到,雖然物聯網裝置普遍採用加密連線,但加密的流量並不會特別隱藏其他存取的特徵,因此監聽者可以輕易猜出裝置連線的網路環境,以及使用方式。詳全文

圖片來源:美國東北大學

 

#資料外洩

俄羅斯網路監控系統SORM曝光

澳洲資安業者UpGuard公布資料外洩事件,研究人員在一臺公開的rsync伺服器上發現1.7TB資料,資料內容圍繞在俄羅斯監控系統SORM的部署,主要涉及Nokia Networks與俄羅斯的電信業者Mobile TeleSystems,最後證實,是因Nokia員工的個人疏失而外洩。

在外洩的1.7TB檔案中,有高達700GB為影像檔,讓人得以一窺SORM的硬體配置──一臺SORM設備跟洗衣機差不多大,還有網路設備的平面圖。

文件則顯示,俄羅斯至少有16個城市都安裝了SORM,且執法機構可藉由VPN等途徑存取這些系統,還內含管理平臺的憑證。詳全文

圖片來源:NVO

 

#隱私疑慮

中國社會信用系統的監管對象從民眾擴及到企業

根據歐洲顧問公司Sinolytics與紐約時報的報導,中國正在將原本應用於境內14億人民的社會信用體系,擴展至境內企業,這代表在中國活動的企業,不管是本土或外商,只要不遵守規則,就會受到懲處。

Sinolytics指出,中國政府擬出逾30類的信用評鑑標準,涉及數百項要求,且該系統的數據基礎設施已經開始運作,已有不少公司的資訊在這個監管平臺上公開。

一旦企業的分數太差,可能無法向當地銀行貸款或是執行基本業務,主管的銀行帳號也會遭到凍結,以及禁止出境等。詳全文

 

#紅隊演練

美國將與臺灣首度舉行網路攻防演練

隨著中國帶來的資安威脅日益加劇,相關的攻防演練變得更為重要。於9月17日舉辦的「好好駭:AI與資訊安全論壇」的活動上,美國在臺協會處長酈英傑致詞時,不只提到與臺灣政府合作,要讓我國加入美國國土安全部的情資共享體系,同時更提到要於11月舉辦大規模網路攻防演練一事。

酈英傑指出,這場攻防演練中,他們將會匯集15國代表,共同模擬北韓的網路攻擊、社交工程攻擊、關鍵基礎建設弱點,以及金融犯罪等情境,進行演練。

隨後,行政院副院長兼政府資安長陳其邁也對此事做出回應,這場演練是仿效美國國土安全部的Cyber Storm,演練項目包含社交工程攻擊,以及網路攻防實兵演練,預計為期5天,由臺灣資安團隊防守,15國資安團隊扮演紅隊角色(Red Team),至於實際名單的部分,陳其邁則表示不便透露。詳全文

 

更多資安動態

防範網路攻擊造成損害意識提升,47%企業投保網路險
微軟Windows Defender更新出包,手動掃描功能失靈
開發人員集訓中心Thinkful遭駭,要求所有用戶重設密碼


Advertisement

更多 iThome相關內容