【資安日報】2022年1月5日，研究人員發現70個網站快取中毒漏洞，摩根史坦利支付6千萬美元和解資料外洩訴訟

網站快取中毒（Web Cache Poisoning）已非新的網站弱點，但這樣的弱點在網站上究竟有多嚴重？有研究人員在一年內進行相關研究後，揭露GitHub、GitLab、HackerOne、Cloudflare等網站所存在的相關漏洞，以及發現使用Apache Traffic Server架設的網站快取伺服器，也存在CVE-2021-27577漏洞。該名研究人員在研究初期很快就發現2個漏洞，意識到網站快取中毒的影響層面極為廣泛，決定著手進一步調查。

另一個引起關注的新聞，則是知名的財務管理公司摩根史坦利（Morgan Stanley），最近針對2016年遭客戶集體訴訟，決定付錢和解。這起事故突顯該公司當時對於所保存的客戶資料，沒有進行妥善的處理，而隨著報廢的伺服器外流。美國貨幣監理局（OCC）也於2020年，祭出6千萬美元的處罰。

最近2年，不時傳出臉書、YouTube、Instagram等社群網站，因用戶張貼的圖片、影片疑似侵犯他人的著作權，而暫停用戶帳號的情況，尤其對於專門經營自媒體的人士而言，一旦辛苦經營帳號被封鎖，很可能影響收入，通常他們也會急於尋求帳號恢復。而有歹徒也看上這點，發送假的侵權通知信件，意圖挾持使用者的社群網站帳號，特別是鎖定Instagram用戶的情況，近期可說是相當頻繁。有資安業者揭露近期攻擊者的手法，過程中他們甚至會點名圖片侵權的內容，讓人以為帳號真的遭到停用。研究人員呼籲，用戶收到這種通知信，應留意是否為真實侵權事件。

【攻擊與威脅】

針對用戶資料外洩事故，摩根史坦利同意支付6千萬美元和解

根據路透社報導，財務管理公司摩根史坦利（Morgan Stanley）於2016年，因關閉美國境內2座財富管理業務部門的資料中心，出售要報廢的伺服器，卻沒有完全清除這些主機上的客戶資料，而遭到近1,500萬名客戶提出集體訴訟，最近該公司同意以6千萬美元和解，受影響的客戶可獲得至少2年的詐欺保險，並可申請最高一萬美元的現金賠償。此案美國貨幣監理局（OCC）也介入調查，並於2020年10月判處摩根史坦利民事罰金6千萬美元。

攻擊者佯稱Instagram用戶版權爭議，意圖騙取帳密

資安業者Sophos針對攻擊者假借Instagram侵權的名義，進行網路釣魚攻擊的行為進行解析，並指出攻擊者已經使用更為幾可亂真的釣魚信，宣稱用戶的貼文遭到舉報有版權爭議，Instagram帳號將會被刪除。一旦使用者根據指示填寫申訴表格，將會被帶往專屬的詐騙網頁，當中含有疑似侵權的Instagram貼文，並要求用戶輸入2次密碼，最終在騙得密碼後，將用戶重新導向Instagram的版權說明網頁。研究人員提醒，要留意這類詐騙與真實侵權通知的不同之處，並使用多因素驗證（2FA）來保護自己的Instagram帳號。

駭客透過網路影音串流服務，針對上百個房地產網站發動攻擊，竊取用戶信用卡資料

資安業者Palo Alto Networks指出，他們發現一起網站側錄攻擊（Web Skimming）行動，鎖定房仲業者而來，攻擊者利用雲端影音代管服務，將惡意程式碼注入網站的影片播放器，一旦網站載入播放器便會遭到感染，超過100個房地產網站受害。研究人員指出，這個雲端影音代管服務提供用戶透過JavaScript指令集，來自訂播放器組態，他們認為攻擊者可能獲得上游JavaScript指令集的存取權限，從而注入惡意指令。

攻擊者利用惡意Telegram安裝程式投放Purple Fox

資安業者Minerva指出，他們看到駭客使用竄改後的即時通訊軟體Telegram安裝程式，在受害電腦植入惡意軟體Purple Fox來進行竊密。過程中攻擊者會停用防毒軟體，以及使用者帳號控制（UAC）功能，以便下一步執行惡意軟體載入器投放Purple Fox。研究人員表示，攻擊者使用多種小工具來進行作業，但這些工具多半難以被防毒軟體識別為有害，而能成功散布Purple Fox。

北韓駭客組織Konni鎖定俄國外交官發動攻擊

資安業者Cluster25指出，他們自2021年8月，追蹤北韓駭客組織Konni的動態，結果發現，近期他們鎖定俄羅斯駐印尼大使館，以祝賀2022年新年到來的名義，發動釣魚郵件攻擊，郵件挾帶具有俄文問候的螢幕保護程式檔案，一旦執行會在安裝螢幕保護程式的同時，植入RAT木馬程式，攻擊者進而控制受害電腦。此外，攻擊者亦假冒俄羅斯駐塞爾維亞大使館，而讓釣魚郵件更難被識破。

美國愛達荷州醫療機構Saltzer Health員工電子郵件信箱遭駭，1.5萬人資料外洩

美國愛達荷州醫療機構Saltzer Health近日向病人發出通知，表明日前有未經授權的人士於2021年5月25日至6月1日，存取員工的電子郵件帳號，而導致病人的部分個資可能遭到洩露，包含姓名、駕照號碼、社會安全碼、財務帳戶資料，但病歷、用藥記錄、保險資料不受影響。根據該機構向美國衛生與公共服務部（HHS）通報的資料，可能約有15,650人會受到波及。

美國電信業者UScellular計費系統遭駭，用戶資料外洩

美國第4大電信業者UScellular，近期向405名客戶發送通知，表明他們在2021年12月13日，發現計費系統疑似遭到未經授權的人士存取，根據調查結果，研判攻擊事件發生在12月13日至19日，攻擊者不只存取計費系統，還有可能也入侵了客戶關係管理系統（CRM），不過，目前沒有跡象顯示，有任何用戶的帳號遭到異常存取。UScellular並未表明是否有員工的帳號遭到波及，但他們重設了門市員工的密碼。

混音創作共享平臺DatPiff驚傳資料外洩，近750萬用戶帳號在暗網流竄

以提供混音創作者分享混音作品的DatPiff網站，傳出用戶資料庫自2020年7月起，流入駭客論壇求售，當中包含7,476,940筆會員資料。這些資料外洩的情況，是到了2021年12月上旬資安研究人員Damien Bancal揭露，上述資料是有人使用網站漏洞掃描工具，破壞包含舊資料庫備份的伺服器取得，這些資料近期被密碼外洩查詢網站Have I Been Pwned收錄，該網站亦建議受影響用戶最好重設密碼來因應。

【漏洞與修補】

研究人員發現70個網站快取中毒漏洞，恐被攻擊者用於DoS或XSS攻擊

資安研究人員Iustin Ladunca公布針對網站快取中毒（Web Cache Poisoning）的漏洞研究，這些漏洞存在於GitHub、GitLab、HackerOne、Cloudflare，以及採用Apache Traffic Server的伺服器。該名研究人員指出，由於現代網站嚴重依賴JavaScript和CSS樣式表，暫存伺服器設置又往往只支援靜態檔案，而使得這些暫存資料成為攻擊者下手的目標，可用於發動阻斷服務（DoS）攻擊，或是跨網站程式碼（XSS）攻擊。他總共因相關研究挖掘70個漏洞，獲得4萬美元獎金。

【資安產業動態】

Google買下以色列資安新創Siemplify

Google於1月4日宣布買下以色列的安全協調、自動化及回應（SOAR）供應商Siemplify，雙方並未公布財務細節，但外傳此交易價值5億美元，該公司也是Google首次買下的以色列資安業者。未來Siemplify將併入Google Cloud安全團隊，而Google也將會持續投資該公司所具有的SOAR能力，並整合到Chronicle安全服務。