圖片來源: 

加拿大政府

0813-0819 一定要看的資安新聞

 

#資料外洩

加拿大政府網站遭駭客攻擊,上萬用戶帳密被竊

加拿大政府在8月15日公告,駭客鎖定該國政府所提供的身分驗證服務(GCKey)及國稅局(CRA)帳號發動網路攻擊,估計有9千多個GCKey帳號與5千多個CRA帳號遭破解,已緊急關閉這些帳號並重新要求用戶取得憑證。

GCKey是加拿大政府替當地民眾所設計的單一身分驗證服務,經過身分驗證的使用者可獲得GCKey帳號,用以存取30種政府服務,在3千8百萬加拿大人中,已有1千2百萬人擁有此項帳號。至於CRA帳號則是獨立的憑證,專門用來存取加拿大國稅局的服務。

加拿大政府表示,駭客是藉由帳號填充攻擊來竊取GCKey及CRA憑證,利用先前已外洩的資料,再加上使用者習慣在不同的服務上使用同樣密碼的特性,取得了9,041個GCKey帳密與5,500個CRA帳密,且已企圖利用這些資料存取相關服務。詳全文

圖片來源:加拿大政府

 

#國家安全  #惡意軟體攻擊

俄羅斯發動Linux惡意程式Drovorub攻擊,鎖定美國政府及國防單位

美國國家安全局(NSA)及聯邦調查局(FBI)於8月13日,發布聯合網路安全公告,警告俄羅斯情報機關正以名為Drovorub的惡意程式,攻擊該國政府及國防工業用Linux系統。

這份報告中提到,Drovorub的核心模組,會利用多種手法長期隱身於受害主機,若是主機沒有使用UEFI安全開機的完整模式,重新開機之後,Drovorub仍會存在。不過,此報告並未提及是否有單位已經受到攻擊。NSA與FBI也在報告裡提出呼籲,系統管理員應該採取下列防禦措施,包括升級到最新版Linux核心,再者,系統也應啟動UEFI安全開機,以防上述惡意核心模組遭到載入。詳全文

圖片來源:美國國家安全局

 

#國家安全

美國大選將至,中國、俄羅斯、伊朗駭客遭到點名

美國反間諜執法辦公室(NCSC)指控,隨著該國總統大選即將於今年的11月3日舉行,許多國家的駭客集團都已展開干擾活動,而他們主要關注中國、俄羅斯,以及伊朗可能會帶來的威脅。其中,中國與伊朗不想讓川普連任,而俄羅斯則是專門詆毀拜登,希望讓川普當選。詳全文

 

#資料外洩  #應用程式安全

抖音驚傳暗中收集Android裝置識別資料長達一年

在美國打算封鎖抖音(TikTok)之際,華爾街日報於8月11日爆料,該應用程式曾經收集Android裝置的MAC位址,明顯違反Google Play市集的規定,直到去年11月因美國政府施壓才終止,收集相關資料一年之久。詳全文

 

#惡意程式攻擊  #macOS  #供應鏈攻擊

惡意程式透過Xcode專案散布,鎖定macOS零時差漏洞

趨勢科技發現一個鎖定macOS電腦的木馬程式XCSSET,藉由滲透到開發者電腦的Xcode專案,讓開發者編譯的軟體成為散布此木馬的途徑,再者,XCSSET也利用蘋果軟體的漏洞竊取重要資訊,包括帳號、密碼等,甚至駭客能經由C&C伺服器下達指令,讓XCSSET加密macOS電腦的檔案,並顯示勒索訊息要受害者付錢。

趨勢科技並沒有說明漏洞其他細節,只表示他們已經通報蘋果,而表示蘋果現正開發Data Vaults漏洞的修補程式。不過,蘋果提到駭客濫用的開發版Safari的問題不是漏洞,而是本來預設的行為,因此這個部分並不打算處理。詳全文

 

#漏洞揭露

語音助理Amazon Alexa存在洩漏使用者資料的漏洞

Check Point資安研究人員發現語音助理Amazon Alexa存在漏洞,可讓惡意人士操縱Alexa功能,或是存取使用者個人資料。研究人員提到,這個漏洞與Alexa網頁服務的幾個子網域有關,因為,這些網域容易受到跨站腳本攻擊(XSS)與跨域請求攻擊(CSRF)。

駭客可透過發送惡意連結讓使用者上當,使用者一旦點選,駭客便能透過程式碼注入來使得伺服器產生錯誤,進而掌握使用者的Alexa帳號,接著可刪除功能或是植入惡意功能,並且竊取用戶的語音記錄,導致受害者的金融資料與隱私外洩。

雖然Amazon不會記錄用戶的銀行登入憑證,但是由於駭客能夠透過前述存取聊天對話記錄,因此能夠存取受害者與銀行互動的歷程,並取得使用者帳號、電話,甚至可能還有家裡住址,以及更多其他資訊。詳全文

 

#漏洞揭露

微軟的本地安全認證子系統服務漏洞沒修好,研究人員指出可輕易繞過

在微軟8月份的例行修補星期二(Patch Tuesday),總共修補120個漏洞,但Project Zero的研究人員James Forshaw指出,他提報的CVE-2020-1509並未得到完全修補,只要Windows電腦設置了代理伺服器(Proxy),駭客照樣能夠繞過這個漏洞。

這項漏洞存在於Windows的本地安全認證子系統服務(Local Security Authority Subsystem Service,LSASS),影響所有版本的Windows 10,駭客一旦濫用,便能取得管理員權限來執行命令,CVSS 3.0的風險評分為8.8分。詳全文

 

#漏洞揭露

IE 11漏洞已被用來攻擊南韓企業

在微軟8月份的例行修補星期二,其中有個漏洞CVE-2020-1380,是出現在IE 11上,且已經出現攻擊事件。通報這個漏洞的是資安業者卡巴斯基,他們於8月11日揭露,此漏洞已被鎖定飯店業者的駭客組織Darkhotel APT在5月下旬濫用,並且串連另一個在6月被修補的漏洞CVE-2020-0986,發動Operation PowerFall攻擊行動,鎖定一家南韓企業下手。詳全文

 

#資料外洩  #網路詐騙

讀冊會員個資外洩事件爆增,一周45名受害者報案

網路書店「TAAZE讀冊生活」會員遭到詐騙的事件,從今年初開始時有所聞,而最近傳出受害者數量大幅增加的現象,刑事警察局的165專線於8月16日發布新聞稿指出,從1月到8月9日,他們收到235件報案,累計損失達2千2百萬餘元;但值得留意的是,光是8月初的一個星期裡(8月2日到9日),他們就接到45名受害者報案,占所有事件近2成(19.5%),使得該網路書店成為當週解除分期付款詐騙事件次數最多的平臺。

由於8個月來陸續有民眾受害,共通點都是在讀冊買書後,接到詐騙電話而上當,刑事警察局認為讀冊的資安防護顯然出現漏洞,導致因個資外洩而衍生相關詐騙事件,呼籲民眾要慎選電子商務平臺。詳全文

圖片來源:刑事警察局

 

 

更多資安動態

美國銀行Capital One個資外洩案遭罰8千萬美元
論壇架設軟體vBulletin修補不全,導致DEF CON論壇遭攻擊
TeamViewer驚傳漏洞可導致密碼遭到破解
密碼管理軟體1Password首度推出Linux版應用程式

熱門新聞

Advertisement