【資安日報】2022年10月11日，資安業者Fortinet修補漏洞竟私下通知部分用戶、400個手機App竊取百萬用戶臉書帳號資料

為了能讓用戶儘速修補漏洞，IT業者往往會發布資安通告，讓用戶能儘速部署相關的更新程式或是韌體，但最近資安廠商Fortinet揭露這類訊息的方式令人意外，因為對於一個嚴重等級評分高達9.6的資安漏洞，他們並未先在自家網站公告，而是私下向部分使用者通知，有用戶將這訊息公布之後，大家才知道有這個漏洞。

因外部廠商管理不當，不慎將用戶資料在網路上公開的情況也相當值得注意。汽車大廠Toyota最近就因為車輛管理系統T-Connect的原始碼公開，導致可存取使用者資料庫的帳密曝光，原因與他們配合的網站開發業者有關。

以臉書登入（Log-in with Facebook）的功能相當常見，但也成為攻擊者騙取該社群網站帳號資料的手段！Meta表示他們找到400個惡意App，其共通點就是會要求使用者需要登入臉書帳號，而且，這些應用程式幾乎可從Google Play與蘋果App Store市集下載（現已全數移除）。

【攻擊與威脅】

汽車大廠Toyota不慎把車輛管理系統的金鑰公開在GitHub上，恐外洩近30萬用戶資料

日本汽車大廠豐田（Toyota）於10月7日發出資安通告，他們提供車主的車輛管理系統T-Connect，部分原始碼在GitHub公開，這些程式碼從2017年12月至2022年9月15日可被他人存取，內有資料伺服器的存取帳密，此伺服器存放了296,019名用戶資料，該公司於今年9月17日修改資料伺服器的帳密，來防堵用戶資料曝光的情況。

豐田表示，目前尚未發現資料遭到盜用的跡象，但不能排除有他人存取的可能性。但為何會出現上述情況？該公司指出是外部的網站開發廠商不慎公開所致。

英特爾證實Alder Lake處理器的BIOS原始碼外洩，但宣稱資料供漏洞懸賞所用

根據電腦硬體新聞網站Tom's Hardware報導，有人在網路論壇4chan上，公開英特爾第12代Core系列處理器（Alder Lake）的BIOS相關資料，並透過ZIP檔案打包，解壓縮後檔案大小為5.86 GB，內容是Alder Lake的BIOS及UEFI開發文件與工具，這些資料不久後也被人上傳到GitHub。

這起事故得到英特爾證實，該公司指出這些資料與抓漏獎勵專案Circuit Breaker有關，並非內部系統存在漏洞導致資料外洩。但資料從何外洩，以及駭客的動機為何？英特爾並未說明。

威剛傳出資料外洩，但該公司表示駭客掌握的是一年前事故的資料

勒索軟體駭客組織RansomHouse於10月4日，聲稱攻擊臺灣記憶體大廠威剛科技，並偷到1 TB的資料。不過，威剛表示，根據他們的比對，這些駭客提供的檔案，來自去年勒索軟體駭客Ragnar Locker的攻擊事故。雖然RansomHouse聲稱已經和威剛進行談判，但威剛表示，駭客並未留下勒索訊息。

遊戲業者2K客服系統遭駭，玩家個資流入地下論壇

9月20日，遊戲業者2K證實客服系統遭到入侵，駭客透過該系統向玩家發送竊密軟體RedLine的連結，該公司於10月6日揭露進一步的調查結果，他們發現未經授權的外部人士，存取了客服系統部分資料，包含了玩家的姓名、電子郵件信箱、玩家ID、工單編號等，目前沒有跡象顯示玩家的密碼與金融資料外洩。資安新聞網站Bleeping Computer指出，駭客已將竊得的資料在地下論壇求售，但強調這批資料不含密碼。

大型加密貨幣交易所幣安（Binance）於10月7日上午，傳出跨鏈橋BSC Token Hub遭到入侵，估計在攻擊行動裡造成1億美元損失，但該公司與社群合作，凍結其中的700萬美元加密貨幣。幣安執行長趙長鵬指出，此次駭客攻擊導致該系統產生大量幣安幣（BNB），再將其轉走。該公司暫停Beacon Chain（BEP2）與Smart Chain（BSC）之間的跨鏈交易，並針對後者進行修補，也公告禁止交易的黑名單網址。

逾10座美國機場的網站傳出遭俄羅斯駭客Killnet癱瘓

根據CNN、ABC News、NBC等美國媒體報導，美東時間10月10日上午，亞特蘭大、紐約、芝加哥、洛杉磯、鳯凰城等城市，傳出14座機場的網站遭到DDoS攻擊而斷線，無法提供航班查詢服務。不過，這些機場發言人都表示，攻擊僅造成網站停擺，不影響飛航運作，內部系統也未受影響。而針對攻擊者的身分，俄羅斯駭客組織Killnet聲稱是他們所為，並於Telegram頻道列出打算發動攻擊的49個機場。

400個手機App竊取百萬用戶臉書帳號資料

臉書的母公司Meta指出，他們發現有403個手機惡意程式濫用「以臉書登入（Log-in with Facebook）」的功能，竊取臉書用戶的帳密資料，且這些App幾乎都上架到Google Play與蘋果App Store市集，該公司估計有近百萬用戶受到影響，他們也向這些使用者發出資料外洩通知，前述的App通報給Google與蘋果後皆已下架。Meta提出警告，這些惡意App的共通特徵是提供了以臉書登入的按鈕，部分甚至在沒有登入臉書帳號的狀態下無法使用。

【漏洞與修補】

Fortinet修補防火牆、網頁安全閘道RCE漏洞，但先私下通知部分用戶

資安業者Fortinet修補重大身分驗證繞過漏洞CVE-2022-40684，此漏洞影響執行FortiOS的防火牆，以及網頁安全閘道系統FortiProxy，CVSS風險評分為9.6分，影響7.0版以上的FortiOS或FortiProxy。但這次修補引起用戶關注的是，Fortinet約於10月7日先透過電子郵件通知特定用戶，而非在資安通告網站上發布公告，直到有人將這樣的通知信公布後外界才得知此事。

事隔3日，Fortinet發布資安公告，指出該漏洞已被用於攻擊行動，影響範圍除FortiOS與FortiProxy外，亦包含交換器管理系統FortiSwitch Manager。

IKEA智慧照明系統漏洞恐導致組態遭到重設、使用者失去調整亮度的能力

資安業者Synopsys指出，IKEA TRÅDFRI智慧照明系統存在漏洞CVE-2022-39064，攻擊者可傳送特定的IEEE 802.15.4（Zigbee）訊號，使得燈泡閃爍，但若是重覆傳送相同的訊號，就有可能導致燈泡組態被重設，相關的網路與亮度配置都會被清除，最終所有燈泡都會以最高亮度發光，且使用者無法透過手機App或遙控器調整設定。類似的漏洞也存在於該廠牌的物聯網裝置閘道設備上，並以CVE-2022-39065列管。

研究人員指出，攻擊者只需使用筆電與25美元的無線電裝置，並在距離設備100公尺內就能發動攻擊。IKEA表示，上述漏洞與Zigbee協定有關，很可能也會在其他物聯網裝置出現，但不會外洩此照明系統儲存的敏感資訊。