0102-0108 一定要看的資安新聞

 

#法規遵循  #隱私保護

美國最嚴格的消費者隱私保護法案正式上路

有GDPR輕量版之稱、號稱全美最嚴厲的《加州消費者隱私法案》(California Consumer Privacy Act,CCPA),於2020年1月1日正式實施。然而,當地媒體認為,應該沒有任何一家企業準備好要因應這個法案。

上述法案適用的對象,包含符合下列其中條件之一的單位,首先是每年購買、銷售,或者分享超過5萬個當地消費者個資,二是年營收超過2千5百萬美元,第三則是一半以上的年度收入,來自銷售加州消費者個資。若是企業未在接獲通知的30天內進行修正,每次最高可被判罰7,500美元(約22萬元新台幣)。

CCPA被視為美國最全面的消費者隱私法,要求企業必須向加州居民揭露如何使用這些資料。此外,當民眾拒絕企業蒐集或銷售自己的個資時,企業不得透過任何降低服務水準的方式來報復。詳全文

 

#特定目標攻擊

倫敦外匯交易公司Travelex遭入侵,被迫採用人工交易

總部位在英國倫敦的外匯交易公司Travelex,在2019年的最後一天傳出遭到惡意程式攻擊,緊急將所有的系統下線,截至2020年1月5日,各地分公司都只能以人工提供服務。

該公司表示,為了避免病毒持續擴散並保護伺服器上的資料,他們決定撤下所有系統進行調查,結果顯示沒有資料外洩,而分公司則將繼續以人工提供各種外匯交易服務。詳全文

圖片來源:Travelex

 

#隱私疑慮

法國政府調查民眾的社群網路貼文,當作是否逃漏稅的證據

隨著個人資料受到重視,政府卻為了執法,帶頭收集民眾在社群網站上的資料而引發爭議。根據路透社與BBC報導,儘管受到人權組織及法國資料保護組織的質疑,法國憲法法院依然允許海關或國稅局等政府機關,可透過民眾在社交網站上所張貼的內容,作為指控他們逃漏稅的證據。這代表法國政府可依據當地居民在Facebook或Instagram所張貼的個人檔案、文章,以及照片,來判斷他們是否誠實申報所得。詳全文

 

#機敏技術保護

疑防堵中國,美國將限制圖資AI分析軟體出口

美國商務部工業安全局(BIS)修法,打算將專門用於感測器、無人機或衛星的「自動化分析地理影像」軟體,列為新一波出口管制對象。

任何美國企業若欲出口此類軟體,或再度出口到加拿大以外的所有地區,皆必須取得商務部同意,必要時則需會同國防部、國務院,以及其他部會的授權。美國政府的理由是如果握有這些技術,可確保在軍事情報的優勢,相關的臨時法規已在1月6日生效。詳全文

 

#隱私洩露疑慮  #透明度報告

抖音發布首份透明度報告,絕口不提中國

美國政府質疑抖音(TikTok)隱含資安疑慮,會回傳資料給中國政府,為此,字節跳動(ByteDance)在2019年12月30日公布首份透明度報告顯示,在2019年上半,印度與美國分別提出了99次及68次的請求,要求字節跳動提供用戶的個人資訊。但中國政府的請求數據,並未出現在報告中。

該報告蒐集了來自28個國家執法機關,共計298次的資料調閱請求,主要調閱的是TikTok用戶個資,而內容移除請求則有26次。詳全文

圖片來源:TikTok

 

#雲端服務安全  #供應鏈攻擊  #國家級攻擊

中國駭客行動Cloud Hopper規模超乎原先預期

根據華爾街日報(WSJ)發布報導,他們觀察到中國駭客集團APT10發動名為Cloud Hopper的攻擊行動,規模超乎先前的預期,該組織已滲透十多家雲端業者,波及數百家採用服務的企業。

Cloud Hopper屬於間諜行動,先滲透雲端服務供應商,再把魔爪伸入這些供應商的客戶,企圖存取企業置放在雲端上的機密資訊,或是取得進入企業網路的憑證。這起攻擊行動最早於2017年被資安業者披露,後來,路透社在2019年6月指出,總共有8家雲端業者遭駭。華爾街日報則認為受害範圍不僅止於此,之所以被低估的原因,很可能是雲端業者擔心影響聲譽而不公開所致。詳全文

 

#隱私疑慮

智慧家庭助理用戶看到他人小米監視器畫面

智慧家庭裝置的應用越來越廣泛,物聯網裝置的資訊安全也隨著受到重視,然而,專門提供集中管理這種裝置的智慧家庭助理卻出現異常,竟顯示其他監視器的影像。一名網友在Reddit上揭露,他將自己小米監視器與智慧家庭助理Google Home Hub連結,Google Home Hub卻出現來自其他監視器的畫面。Google獲報後,緊急停用旗下智慧家庭助理與小米裝置連接的功能。

小米也對於此事做出回應。該廠牌監視器連接Google Home Hub時,確實可能接收到其他用戶攝影機的串流畫面,他們於1月2日17時修復問題,目前正與Google共同測試。詳全文

 

#雲端配置不當  #資料外洩

星巴克API金鑰置於GitHub公開資料夾

因員工疏忽而不慎洩露公司機密的情況,可說是時有所聞。一名星巴克員工將內部網站的API金鑰,留在GitHub公開資料夾上,差點給了駭客機會,使其可以存取公司內部網路,修改授權使用者的名單或接管帳號。

星巴克接到通報4天後,移除了資料夾,並註銷了API金鑰。該公司也將此漏洞列為「重大資訊洩露」,並頒發4,000美元獎金給通報的研究人員Vinoth Kumar。詳全文

圖片來源:HackerOne

 

#漏洞攻擊

思科修補可繞過身分認證並執行任意行動的安全漏洞

思科Data Center Network Manager(DCNM)驚傳3個重大安全漏洞,將允許駭客繞過身分認證,並以管理權限執行任意命令,由於它是所有基於NX-OS作業系統的網路管理平臺,也代表相關漏洞間接波及Nexus系列的乙太網路交換器,以及MDS系列的光纖通道儲存區域網路交換器。該公司於1月2日發布修補軟體。

這3個漏洞分別是CVE-2019-15975、CVE-2019-15976,以及CVE-2019-15977,存在於REST API、SOAP API,以及DCNM的網頁管理介面。詳全文

 

 

 

更多資安動態

因應CCPA,Firefox允許用戶要求刪除遙測資料
招搖的Maze勒索軟體駭客集團被告上法院
強調隱私的行事曆服務ProtonCalendar推出公開測試版本
推特採取多項措施抵禦針對臺灣選舉的惡意攻擊

熱門新聞

Advertisement