圖片來源: 

美國國土安全部網路安全暨基礎架構安全署

1217-1223 一定要看的資安新聞

 

#供應鏈攻擊  #國家級攻擊

美國國土安全部警告,SolarWinds Orion並非駭客滲透公部門唯一管道

駭客透過網管平臺SolarWinds Orion下手,發動供應鏈攻擊的事故,引發美國政府的高度關注,該國國土安全部旗下的網路安全暨基礎架構安全署(CISA)在17日公告,他們發現該網管平臺並非駭客唯一入侵受害組織的管道。而這是該單位自13日祭出緊急指令,要求公部門全面停用SolarWinds Orion之後,第2次揭露有關本次事故的資訊,不過,對於其他侵入受害單位的管道為何?CISA表示仍有待釐清。

對於此起事故的受害範圍,CISA表示,他們判斷已波及州政府、地方政府、重大基礎設施,同時也有私人組織受害的情況。詳全文

 

#行動裝置  #漏洞攻擊  #間諜程式

半島電視臺記者iPhone遭植入Pegasus間諜程式

以致力打造阿拉伯地區新聞自由、當地影響力最大的半島電視臺(Al Jazeera),傳出員工手機疑似遭到政府單位利用間諜程式監控的情況。根據加拿大多倫多大學公民實驗室(Citizen Lab)12月20日公布,在今年的7月到8月之間,半島電視臺36名員工的iPhone被植入Pegasus間諜程式,駭客疑似利用iOS未公開的漏洞得逞。公民實驗室指出,他們看到這項漏洞尚未影響執行iOS 14的手機,使用者若是升級作業系統至iOS14,可能得以避免受到影響。詳全文

圖片來源:加拿大多倫多大學公民實驗室

 

#國家安全

美國再度更新實體名單,中芯、大疆等77個中國企業入列

以侵犯人權、南海軍事化,以及竊取美國商業機密為由,美國商務部於12月18日,將77個中國企業新增到實體名單(Entity List),禁止美國與這些中國業者交易。而這次受到關注的包含了中國最大晶片製造商中芯國際(SMIC),以及全球無人機製造龍頭大疆(DJI)。

針對封鎖中芯國際的原因,美國商務部工業及安全局(BIS)指出,他們掌握了該公司與中國軍事工業園區活動的證據,中芯國際利用美國技術扶植中國軍事現代化,嚴重影響美國的國家安全。詳全文

 

#社群網站  #密碼安全

荷蘭檢察官證實,川普推特帳號被研究人員猜中密碼

荷蘭資安研究員Victor Gevers在今年10月表示,他猜到美國總統川普推特帳號的密碼,並成功登入,他也呼籲川普啟用雙因素驗證來保護。當時,Victor Gevers聯繫川普團隊、白宮、CISA,以及推特,都沒有得到回覆,他後來將此事透露給媒體,但白宮與推特都否認此事,而荷蘭檢察官介入調查後,近日發布的結果證明Victor Gevers所述確有其事,但由於他在公開猜到的密碼之前通報了當事人,因此,荷蘭公共安全與司法部決定不予處罰。詳全文

圖片來源:Victor Gevers

 

#加密貨幣  #資料外洩  #網路釣魚攻擊

硬體加密貨幣錢包製造商Ledger遭駭客入侵,逾27萬用戶資料在駭客論壇上曝光

硬體加密貨幣錢包製造商Ledger於今年7月遭到駭客入侵,當時Ledger聘請了外部的鑑識專家,判斷有9,500名用戶的個資外洩。然而,駭客在12月20日駭客論壇上,公布了逾27萬名該公司的用戶資料,才讓Ledger得知當時判斷有誤,於12月20日重新發布了安全聲明。

Ledger強調,用戶的付款資訊、憑證,以及加密貨幣並未受到影響,但要用戶小心,可能會有竊取冷錢包恢復碼和短語密碼的網釣攻擊。詳全文

 

#社群網站  #漏洞揭露

臉書小型企業管理工具恐曝露Instagram用戶電子郵件信箱

臉書今年秋天提供給小型企業管理帳號的工具Facebook Business Suite,被研究人員Saugat Pokharel發現存在漏洞,可能讓第三方人士得知Instagram用戶的電子郵件。臉書在接獲通報後數小時內將之修補。

研究人員指出,利用這項漏洞,有心人士可將這套工具與Instagram帳號連結,再從Business Suite發出訊息,就能看到對方註冊的電子郵件帳號,即便使用者設定不提供給他人電子郵件帳號也會受到影響。詳全文

圖片來源:Saugat Pokharel

 

#應用程式市集亂象  #網頁瀏覽器

28款Chrome與Edge外掛程式含有惡意程式碼

資安業者Avast於12月16日,揭露了28款含有惡意程式碼的瀏覽器外掛程式,這些外掛程式出現在Chrome或Edge的外掛程式市集。這些有問題的外掛程式,其惡意程式碼可挾持使用者的流量,來竊取使用者的資料。而為何這些外掛程式能躲過市集的查核?Avast指出,駭客不僅將後門埋藏得非常隱密,後門在使用者安裝外掛程式數天後才開始運作,而使得它們能逃過安全檢查。詳全文

 

#資安產業動態

微軟、McAfee等公司合組對抗勒索軟體的聯盟

勒索軟體攻擊的態勢在這2年可說是越來越嚴峻,對此,有19家公司出面,組成勒索軟體特遣隊(Ransomware Task Force),訴求藉由相關領域的合作,來建立完善的勒索軟體防禦技術框架,創始成員不僅包含資安公司,如微軟、McAfee、Cybereason、Citrix,以及Rapid7,還有保險業者、法律顧問,以及非營利組織。

發起成員安全與科技研究所(IST)指出,他們成立聯盟的動機,在於勒索軟體侵犯醫院、學校、政府等產業,危害大到眾人必須合作,以整合出清楚的解決方案框架。詳全文

 

#臺灣資安政策

第11次全國科學技術會議登場,資安是國家科學技術發展計畫焦點議程之一

在12月21到23日,行政院舉辦第11次全國科學技術會議,集聚產學研之力,討論國家的科技施政藍圖,並持續廣納各界意見。其中,這場會議也探討到今年下半提出草案的「國家科學技術發展計畫」,相關議題可看出我國在資訊安全方面聚焦的方向。詳全文

 

#數位身分證

回應數位身分證質疑,內政部長與數位政委同臺直播

數位身分證(eID)即將於明年1月試辦,內政部對於新版身分證的資安防護措施,於12月21日中午由內政部長徐國勇和數位政委唐鳳在臉書直播說明,除重申eID的資訊安全,也首度鬆口民眾可停用晶片的功能。詳全文

 

 

更多資安動態

網路服務收集用戶個資情況,臉書與IG包辦前2名
FTC要求9家社群網站揭露收集與使用用戶個資的方式
英國打算嚴格控制網路上的有害內容
英特爾、思科等科技大廠皆遭植入SunBurst後門程式

熱門新聞


Advertisement