1003-1009一定要看的資安新聞

 

#PDF漏洞 #PDFex

PDF加密標準含有缺陷,可讓加密文件現形

圖片來源/web-in-security.blogspot.com

幾名德國的大學研究人員近日發表研究報告,指稱PDF的加密標準含有缺陷,將讓駭客得以取得加密文件內容,當中列出了Direct Exfiltration與CBC Gadgets兩種類型的攻擊形式,並說明他們了測試市面上的27款PDF閱讀程式,都至少會被其中一種攻陷,這些程式涵蓋了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader,以及整合到Chrome、Firefox、Safari與Opera等瀏覽器的閱讀工具。而這些存在於PDF加密標準的缺陷,他們統稱為PDFex。更多內容

 

#軟體安全 #視訊會議密碼設定

視訊會議系統爆漏洞可讓外人偷聽,Cisco WebEx與Zoom都受影響

圖片來源/擷取自Cequence Security

根據安全廠商Cequence Security及CQ Prime的揭露,部分視訊會議工具有列舉攻擊漏洞,包括Cisco WebEx Meetings、Zoom,可讓攻擊者發現並加入線上會議,可能導致敏感資料外洩。
雖然視訊會議普遍都有讓會議主持人設定密碼的功能,讓與會者需要驗證才能加入。但最近,上述兩家資安業者揭露有自動化工具掃描視訊會議平臺API的活動,可從系統API呼叫的回應找出有效會議ID,以及是否需要密碼,並可加入未設密碼的會議。思科在收到通報後,認為這是設定問題,不是漏洞,但仍對用戶提出警告,Zoom則更新預設會議需設密碼。更多內容

 

#網站安全 #HTTPS 

Chrome將逐步封鎖HTTPS內嵌的HTTP下載內容

圖片來源/Google

對於網頁實行HTTPS加密的規定,Google宣布將更嚴格執行。從今年12月的Chrome79開始,為了安全,他們表示Chrome將逐步封鎖HTTPS網頁中,以HTTP下載的內容,包括影音及圖片檔、iFrame等,而在今年4月,他們即預告封鎖的內容,像是可執行檔及壓縮檔,在最新的公告下,Google宣佈這項方案即將於明年實施。更多內容
 

#VPN安全

關於Pulse Secure、Palo Alto和Fortinet的VPN漏洞,英政府提出APT攻擊警訊與處置建議

圖片來源/擷取自NCSC(點圖放大)

英國國家網路安全中心(NCSC)發出警訊,提醒Pulse Secure、Palo Alto和Fortinet的VPN使用者,要注意所用的VPN,存在可被駭客用作APT攻擊的漏洞,他們調查已有攻擊行動擴及英國與國際組織,影響的部門很廣,包括政府、軍事、學術、商業以及醫療保健。
因此他們建議,若組織有遭入侵的疑慮,應該撤銷被盜走的憑證資料,防止攻擊者利用這些憑證進行未經授權的存取;而確定遭到APT攻擊者鎖定的組織,應重新檢查VPN的配置,包括SSH authorized_keys檔案、新的iptables規則,同時在用戶端上,應以配置備份還原這些設定。同時,他們也提醒,使用者應該為VPN服務啟用雙因素驗證,以避免受到密碼重送攻擊,而且也應該禁用不需要或未使用的功能,以減少VPN被攻擊面。更多內容

 

#勒索軟體

今年美國有621個組織遭到勒索軟體攻擊,近8成為醫療服務供應商

圖片來源/擷取自Emsisoft官方部落格

資安業者Emsisoft公布美國今年前三季的勒索軟體調查報告,這份研究主要對象,包含了遭遇到勒索軟體攻擊的美國政府機構、學區及醫療服務供應商,根據他們的統計結果,顯示這9個月以來,至少有621個組織遭到勒索軟體攻擊。其中,容易躍上新聞版面的政府機關有68個,只佔十分之一左右,值得注意的是,受災最嚴重的應該是健康醫療單位,因為在今年以來,該領域已遭遇491起勒索軟體攻擊,受害者包括:Park DuValle社區醫療保健中心、牙科診所的雲端備份供應商PerCSoft,以及懷俄明州坎培爾郡的公共衛生部門。更多內容

 

#勒索軟體

FBI警告:勒索軟體日益猖獗,不鼓勵支付贖金

圖片來源/擷取自FBI(點圖放大)

美國聯邦調查局(FBI)再度警告外界,要小心勒索軟體的威脅,並指出勒索軟體通常是藉由3種管道入侵組織,包括:透過電子郵件展開網釣攻擊,或是利用遠端桌面協議(RDP)漏洞及軟體漏洞。特別的是,FBI此次也提出了12項最佳防禦措施供組織參考,包括:定期備份、培養及訓練員工的安全意識、及時更新裝置的軟體/韌體、限制檔案及網路的存取權、關閉電子郵件中的Office檔案巨集能力、導入使用RDP的最佳實踐、部署虛擬環境,以及將資料根據重要性分類並分別存放等。同時,他們也強調不鼓勵受害者支付贖金,因為未必能取回資料,而且,一旦支付贖金,將讓駭客知道這是個有利可圖的商業模式。更多內容

 

#帳密安全

Chrome將加入密碼外洩檢查工具

年初Google,推出可主動通知用戶密碼外洩的Chrome擴充功能Password Checkup後,現在他們將此機制整合進Google帳戶中的密碼管理員。
這項服務會偵測到使用者的用戶帳號和密碼,若包含在40多億筆外洩資料中,就會發出通知,同時還會檢查用戶將同一組密碼重覆用於多個網站中,以及用戶使用的是太短、太簡單的弱密碼,提醒用戶變更及強化密碼。另外,Google也預告這項功能今年底之前,將直接內建在Chrome中,使密碼外流的檢查更方便。更多內容

 

#資安人才培育 #CTF競賽

排名世界第一的臺大Balsn CTF戰隊,自辦首屆Balsn CTF競賽

為了提升各界對於資安的興趣,積極舉辦CTF(搶旗攻防賽)比賽,一直是提升各界對資安興趣的手段。在結合全球主要 CTF賽提供世界排名積分制度的CTF Time上,目前排名世界第一名的是臺大Balsn戰隊,成立迄今5年,主要成員是臺大Network Security Lab,以及許多對資安有熱忱的學生,為了分享過往打比賽的經驗,也希望可以引發更多人對資安的興趣,他們舉辦Balsn第一屆自辦的CTF比賽,讓大家可以和世界一流CTF戰隊交流。更多內容

 

#個資外洩

Booking.com疑似個資外洩非單一案例,近半年解除分期通報破千件

圖片來源/刑事警察局

10月初,刑事警察局警告知名訂房網Booking.com,疑似個資外洩,從今年5月起就陸續接獲民眾通報,已經連續21週警示於高風險賣場名單,遠高於所有訂房類型網站(今年1月~9月),並已有228人受騙,財損金額高達3,362萬元。
對於近期值得注意的高風險賣場名單,我們也進一步詢問內政部刑事警察局,該局預防科偵查員劉昭男表示,近半年來,自今年3月至9月底止,排行前五名是MKUP美珈(408件)、小三每日(310件)、讀冊生活(229件)、Booking.com(228件)與ANDEN HUD(89件)。不過,以上榜週數來看,Booking.com以21次最多,小三每日是15次、讀冊生活是13次,雖然Booking.com通報件數並非近半年最多,但用戶遭詐騙的情況持續發生,引起警方關注,並呼籲社會大眾注意。更多內容

 

#個資外洩

EZ訂個資外洩客戶遭騙判決出爐,在個資法賠償外,業者並需負起7成過失責任

今年9月,一起關於EZ訂(EZding)購票平臺個資外洩的民事判決結果出爐,經過2年訴訟與審理,現在終於有了結果。案經一審判定,業者需依個資法賠償民眾2萬元,之後又上訴,二審判定用戶遭詐欺侵權行為的損害賠償,也應付起7成責任,而最終裁定賠償18萬3,274元。而在這次判決結果當中,對於個資外洩及用戶遭詐騙的損害賠償的認定,院方對此案有更清楚的說明。例如,法院認為,原告張女已是具有相當智識的成年人,理應對此社會常見之詐騙犯罪行為產生警覺;被告富爾特公司雖抗辯盡到適當的安全防護與個資保護之責,但法院認定其網路平臺之內部及外部風險控制存有諸多缺陷,並且未能完全落實其個人資料保護的管理。因此,認為張女應負擔三成的過失責任,富爾特公司應負擔七成的過失責任。更多內容

 

更多資安動態
微軟再發佈IE漏洞例外修補程式,所有版本都要安裝
紐西蘭初級衛生組織Tū Ora遭駭客入侵,外洩100萬名用戶資料
線上客服系統Zendesk三年前被駭直到現在才發現,近萬名使用者資料外洩
資安研究人員發現低成本的殭屍網路MasterMana
可在華為Mate 30手機安裝Google行動服務的操作,被臺灣研究人員揭露後下架,並研判華為知情且默許
DNS-Over-HTTPS弊大於利?荷蘭國家網路安全中心與亞太網路資訊中心相繼提出警告
 


Advertisement

更多 iThome相關內容