繼9月底台大醫院傳出遭駭客入侵,並已通報為三級資安事件,雖然表示沒有個資外洩情事,但個資相關議題持續受到國內重視。例如,一樁2年前關於EZ訂購票平臺個資外洩,致使客戶遭騙的二審判決出爐,法院裁定在個資法賠償外,業者並需負起7成過失責任,且不得在上訴。但值得注意的是,當年另一起關於雄獅旅行社的事件,經消基會發起個資外洩集體訴訟,在11月初,一審判決暫時以消基會敗訴收場,這也引起個資法將成空談的議論。

另一件在國內資安圈引起關注的議題,是在資安認證方面,因為SGS與BSI兩家驗證公司,這個月被TAF列入資訊安全管理系統減列名單,引發一些企業對於證書有效性與法遵方面的疑慮,後續兩家業者也指出將在3個月後申請增列。

在國際間,以駭客集團利用後門程式入侵MS SQL Server的事件最受注目,這起事件經ESET研究人員曝光,不僅指出疑似中國駭客集團所為,並認為這可能是第一隻針對SQL Server的後門程式。

此外,關於Linux指令sudo被蘋果的資安工程師Joe Vennix揭露,含有可取得最高權限的安全漏洞,以及Docker社群版本被資安研究團隊Unit 42揭露,出現首個挖礦綁架蠕蟲Graboid,也是10月引起相關領域重視的資安問題。

在勒索軟體方面,今年第二季與第三季在全球帶來重大影響的勒索軟體Stop(又名Djvu),這個月已有資安業者Emsisoft宣布,他們從其金鑰串流漏洞展開旁路攻擊,進而破解,因此釋出可解9成變種的解密金鑰工具。

另外,10月還發生了Adobe被研究人員發現其ElasticSearch資料庫未設定密碼並暴露在外的情況,以及NordVPN等三大VPN業者的金鑰外流事件等。

 

01EZ訂個資外洩客戶遭騙判決出爐,在個資法賠償外,業者並需負起7成過失責任

 

02. Linux的sudo指令遭爆含有可取得最高權限的安全漏洞

 

03. Docker Hub上映像檔被發現存在挖礦綁架蠕蟲

 

04. 中國駭客以後門程式入侵MS SQL Server

 

05. 資安業者Emsisoft釋出可救援上百種Stop勒索軟體變種的工具

 

06. 德國政府公布4大瀏覽器測試結果,Firefox能滿足所有安全要求

 

07. Adobe資料庫未設防為期一周,逾750萬Creative Cloud用戶個資被看光!

 

08. NordVPN、TorGuard與VikingVPN三大VPN業者的金鑰外流

 

09. 駭客用WAV檔散佈惡意程式

 

10. BSI和SGS核發的ISO 27001證書,暫時不能掛上全國認證基金會TAF標誌

 


Advertisement

更多 iThome相關內容