Zoom的資安疑慮從3月底持續延燒到4月,毫無疑問地,本月有相當多的資安議題與事件與之有關,事實上,月初幾乎每天都有新的事件傳出,不論是新的漏洞被接連爆出,隱私問題,以及線上會議的加密方式設計的種種問題,還有北美地區視訊會議其會議金鑰發生誤經中國伺服器產生與傳送的狀況,期間Zoom執行長也宣布將在90天內全力改善其資安與隱私問題,還有全球陸續開始有企業與政府開始規範要求禁用的消息,而這一連串事件,自然成為本月最大焦點。

在4月的重大資安新聞中,還有一些重大漏洞修補與網軍攻擊活動值得注意。例如,前幾個月被揭露Tomcat Server的GhostCat漏洞,臺灣資安業者發現國內不少企業組織都有該漏洞未修補的情形,而這樣的漏洞也使得國內有學術網路圖書館網站系統可能因此遇害,還有各國網軍如何利用武漢肺炎的關鍵字,發動相關的網路攻擊,都引發高度關注。

同時,4月國際上也有一些重要資安事件,其中,區塊鏈金融平臺dForce遭盜領一空數日後才追回,引發市場側目;而本月又發生大規模BGP劫持事件,雖然只有5分鐘,但包括Google、Amazon、Cloudflare、GoDaddy、臉書與Line等,都被導向俄羅斯一家ISP網站;還有舊金山國際機場遭駭客入侵,在網站植入惡意程式並要竊取用戶Windows登入帳密。此外,RDP漏洞的風險,以及勒索軟體的威脅的新聞,也都持續是本月受到大眾關注的熱點新聞。

還有一些與國內有關的資安相關動態,也是本月焦點之一。例如,關於打擊殭屍網路、破獲國內IP位址成為跳板的消息,法務部調查局查出問題出在管理LED燈控制系統的業者,因為VPN錯誤設定疏失,導致臺灣政府公務機關IP位址淪為攻擊跳板,以及臺灣支付安全方面的未來新動向,也受到相關領域的重視。

但其實4月還有不少與臺灣相關的事件,雖然不在本月十大新聞之列,也是國內會關切的消息。包括:電子製造業群創光電遭到電腦病毒感染、PTT用戶帳號遭自動化工具猜密碼的狀況、調查局假訊息防制中心升格資安工作站,還有臺灣數位身分證的推動,由於本月發起的反對連署,政府近期也宣布因疫情將延後換發,而相關資安疑慮持續被熱議。而疾管署公務信箱帳號密碼外流的事件,雖然調查後影響其實不大,不過也突顯外界對於政府單位資安問題的關心。

 

01. Zoom接連爆發隱私與安全問題

 

02. Tomcat Server存在Ghostcat漏洞,有中國駭客在臺灣校園網站上傳BiFrost後門程式

 

03. 中國網軍年後拼復工,以武漢肺炎議題為餌,鎖定臺灣政府和醫療智庫學者發動攻擊

 

04. 區塊鏈金融平臺dForce的加密貨幣資產幾乎被盜領一空

 

05. 全球200大CDN發生BGP劫持,Google、Cloudflare、Line皆被導向俄羅斯

 

06. 微軟遠端桌面用戶端漏洞可讓駭客執行遠端程式碼,但微軟不願修補

 

07. 勒索軟體Shade/Troldesh收山,釋出75萬把解密金鑰

 

08. 舊金山國際機場遭駭客入侵,用戶憑證被竊

 

09. 圖書館LED燈控制器的IP位址成攻擊跳板,法務部調查局與資安業者合力破獲

 

10. 【2020支付安全未來三年新變革】商家儲存的信用卡號應代碼化,全新3-DS驗證在臺有3大類別商家必須啟用

 


Advertisement

更多 iThome相關內容