美國國稅局證實,旗下稅單申請服務(Get Transcript)系統的多重身分驗證程序的身分驗證機制遭駭客破解,外洩了10萬人的所得稅單資料。

圖片來源: 

iThome

美國國稅局外洩10萬人稅單,恐遭盜領15億退稅

美國一年一度的報稅季剛過不久,近日就傳出美國民眾稅務資料外洩事件。美國國稅局在5月26日發布新聞稿證實,駭客蒐集民眾個資騙過了稅單申請服務的身分驗證程序,進而取得完整民眾稅務資料,預估超過10萬人的所得稅結算申報書及收入資料遭竊。

美國國稅局在新聞稿中表示,犯罪集團從其他管道取得被害者個人資訊,包括社會安全碼、住址及生日,利用這些資訊騙過了國稅局「稅單申請」(Get Transcript)系統的多重身分驗證程序,甚至通過了民眾私人設置的驗證問題,因而非法登入系統取得了被害人的私人稅務資料。美國國稅局已緊急關閉這項稅單申請服務。

根據美國國稅局初步調查,在2月到5月期間,駭客嘗試登入系統申請了20萬人的稅單謄本,約成功竊取了半數近10萬人的稅務資料,美國政府已緊急發信通知這20萬名納稅人,告知他們的帳戶遭非法登入。而針對這批證實資料已遭竊的10萬名受害者,美國國稅局也宣布,將提供免費信用監測服務,供受害民眾使用,來減少這些外流的資訊造成受害者財務上的損失。(見全文)

 

蘋果賦予Jony Ive「設計長」新頭銜

蘋果執行長Tim Cook近日於公司內部宣布,將蘋果工業設計副總裁Jonathan Ive拔擢為蘋果設計長(Chief Design Officer),於今年7月1日生效。

今年48歲的Ive是在1992年加入蘋果,是蘋果除了共同創辦人Steve Jobs之外的設計首腦,他主導許多蘋果的產品設計,從iMac、MacBook Air、Mac mini、iPod、iPhone、iPad、Apple Watch到iOS。

設計長是蘋果專為Ive建立的新職務,升任設計長意味著Ive不必再於蘋果從事日常管理事務。(見全文)

 

駭客鎖定多牌路由器,竄改DNS導向竊資網站

最近出現專攻路由器漏洞的攻擊套件,鎖定Asus、Belkin、D-Link、Linksys、Netgear與Zyxel等廠牌

最近出現一個鎖定多個路由器漏洞的攻擊套件,可竄改路由器上的DNS伺服器配置,進而偽造使用者所造訪的網站來竊資。

在網路上化名為Kafeine的資安研究人員指出,最近出現一個鎖定多個路由器漏洞的攻擊套件,可透過使用者的瀏覽器挾持使用者的路由器,變更路由器上的DNS伺服器配置,進而偽造使用者所造訪的網站,並竊取使用者所輸入的機密資訊,影響包括Asus、Belkin、D-Link、Linksys、Netgear與Zyxel等品牌共超過了40款路由器產品。

Kafeine說,該攻擊套件主要利用跨站偽造請求(Cross-Site Request Forgery,CSRF)的網址嫁接(Soho Pharming)攻擊,先透過瀏覽器變更路由器上的DNS設定,取得DNS的掌控權,然後就可以任意重新定向使用者所造訪的網站,偽造合法網站的外觀,進而竊取使用者所輸入的資料。(見全文)

 

微軟Cortana語音秘書進軍Android和iOS

微軟數位語音助理Cortana將支援Android及iOS兩大平臺,六月先推出Android版Cortana,之後再推iPhone版。

微軟指出,今年夏天Windows 10推出後,PC以及Phone版都將包含Cortana,而藉由Android及iPhone版將可讓Cortana也能延伸到Windows Phone以外的行動平臺。

Android及iPhone版本的Cortana具備Windows版本大部分功能。(見全文)

 

初代Photoshop觸控版App吹熄燈號

於5月28日Adobe移除了App Store與Google Play上的Photoshop Touch程式,既有用戶仍可繼續使用該行動程式,然而Adobe將不再更新該程式。

Photoshop Touch是Adobe在2011年專為行動裝置所設計的影像編輯程式,主要將桌面版的Photoshop功能延伸至具觸控功能的行動裝置上,並支援iOS與Android平臺,售價為9.99美元。

將Photoshop Touch下架代表Adobe將不會再修補該程式的臭蟲,或隨著平臺的更新而升級,目前Adobe已於App Store中提醒使用者,若仍執意購買該程式,記得要自行備份該程式,以利未來重新安裝。(見全文)

近來Adobe已將重心移往Creative Cloud雲端服務,並釋出各種基於Creative Cloud的行動程式,涵蓋免費與付費程式,例如專門用來切割與合成照片的Photoshop Mix、素描工具Photoshop Sketch、版型設計Comp CC、可用來建立不同照片風格的Adobe Shape CC與Adobe Brush CC,此外,Adobe也正著手開發可用來潤飾的Project Rigel行動程式,可望於今年問世。(見全文)

 

資安公司爆臺灣盈碼NetUSB驅動程式有漏洞

臺灣盈碼科技所開發的NetUSB(USB Over IP)驅動程式含有安全漏洞,恐影響全球數百萬臺伺服器

臺灣盈碼科技所開發的NetUSB驅動程式含有安全漏洞,可能造成阻斷服務攻擊或遠端程式攻擊。

應用暨資訊安全顧問公司SEC Consult指出,由臺灣盈碼科技(Kcodes)所開發的NetUSB(USB Over IP)驅動程式含有安全漏洞,可能造成阻斷服務攻擊或遠端程式攻擊,影響全球數百萬臺裝置。美國電腦緊急應變中心(US-CERT)也已對此發出安全警告。

NetUSB為一Linux核心模組,主要功能為打造基於IP網路的USB裝置共享系統,屬於盈碼科技的私有技術。採用NetUSB的路由器或單純的共享設備可以插入各種USB裝置,使其成為USB裝置的伺服器,並透過TCP 20005埠進行通訊傳輸。另一方面,Windows或Mac OS等客戶端則可藉由軟體連結該伺服器,然後自遠端操作插入此一NetUSB設備的USB裝置。與NetUSB設備相連的USB裝置通常包括印表機、掃描器,或硬碟等,允許在同一網路中的不同電腦連結。NetUSB驅動程式被整合在多家網路設備供應商的產品中。(見全文)

 

Google獲得聲控及媒體設備控制的智慧介面專利

可愛的兔子或小熊的外型,對使用者的動作或聲音有所反應,並以麥克風接收聲音信號轉為媒體裝置控制指令

擬人化的裝置外形可以是兔子或小熊,當接收或偵測到使用者的動作或聲音詞彙時,會將視線轉向動作或聲音來源。

美國專利局頒發給Google智慧控制介面專利,能用可愛玩具控制家中電視或音響等媒體設備。

根據美國專利文件,Google是在2012年2月28日申請,並在今年5月21獲得專利許可。這項專利名為「支援社會線索的互動電子之代理介面」,描述一個具有連網功能的擬人裝置,外形為娃娃或玩具,可設定來控制一個或多個媒體裝置。

Google的專利概念類似Amazon Echo的家庭媒體控制中樞,但更加入擬人化元素。根據文件,這項裝置包含一個相機、麥克風、揚聲器,在接收或偵測到社會線索(Social cue),像是人的動作或是特定聲音詞彙時,會將視線轉向動作或聲音來源,並以麥克風接收聲音信號,再將語音指令轉為媒體裝置控制指令,透過無線網路傳送指令,以控制媒體裝置播放內容,像是電視、音響或PC等。接收到聲音時,這項裝置可以產生動作,或是以揚聲器發出嗶聲或說話提供確認。

Google的說明文件以玩具小熊或兔子來作說明,這項擬人化裝置也能採用可愛的外形,就能比一般裝置具備更自然的互動介面,吸引等各年齡層使用者,包括兒童。(見全文)

 

國泰世華打通內外20套系統,百萬信貸27小時撥款

用手機就能申請信貸,原本跨20多套系統的信貸查核工作自動化,最快1天完成審查,對保後10分鐘能取款

國泰世華近日揭露內部所使用的智慧信貸系統Smart Lending,這套系統在去年3月上線,提供一套線上小額借款機制,還獲2015年亞洲銀行家科技實施大獎亞太區最佳授信平臺。

國泰世華近日揭露內部所使用的智慧信貸系統Smart Lending,這套系統在去年3月上線,提供一套線上小額借款機制,還獲選為2015年亞洲銀行家科技實施大獎中的亞太區最佳授信平臺。

國泰世華銀行風控長謝伯蒼表示,民眾用手機就能申請信貸,原本得跨內外部20多套系統的查核工作也全面自動化,信用良好者1~2天就能通過貸款進行對保作業,甚至對保後10分鐘就能取款,不用像過去得等半小時。謝伯蒼也舉一位朋友的經驗為例,申請100萬元信貸,27小時就收到國泰世華銀行的撥款。(見全文)

 

美國大型健保業者自爆遭駭,破百萬筆個資外洩

美國大型健康保險業者CareFirst近日證實遭到駭客入侵,發現在去年6月19日遭到網路攻擊,當時駭客存取了公司的某個資料庫,約有110萬名會員與客戶的個資外洩,包括使用者名稱、會員名字、出生日期、電子郵件帳號與用戶編號,不過CareFirst表示,並無密碼、社會安全碼、金融資訊或是醫療資訊外洩。除了通知受害者之外,CareFirst也立即提供免費的信用監控服務。

CareFirst當時就已偵測到這起攻擊事件並採取防禦行動,不過他們以為成功控制該起攻擊,且資料完好無缺,一直到重新展開安全評估才發現駭客早已將資料得手。不過CareFirst表示,只有在2014年6月20日以前註冊CareFirst網站服務的用戶,才可能受到該波攻擊行動的影響。(見全文)

 

超快MemSQL記憶體資料庫首推免費社群版

MemSQL社群版就是MemSQL企業版的免費版,將永遠免費而且提供無限制的規模與資料庫容量

記憶體式資料庫MemSQL近日宣布釋出MemSQL 4企業版,並首度推出社群版(Community Edition),強調永遠免費且無規模與容量限制。

記憶體式資料庫MemSQL近日宣布釋出MemSQL 4企業版,並首度推出社群版,強調永遠免費且無規模與容量限制。

MemSQL是Facebook的前工程師Eric Frenkiel與Nikita Shamgunov在2011年所創辦,致力於開發同名的分散式記憶體關聯性資料庫,第一個版本在2012年的6月問世。

MemSQL強調可同時擷取與供應資料,並支援應用程式的即時資料傳遞與分析,因而可即時反應商業運作的變化,提供即時報告與更精確的洞察能力以協助決策。

根據MemSQL的說明,社群版其實就是企業版的免費版,將會永遠免費而且提供無限制的規模與資料庫容量。兩者最主要的差別在於企業版擁有MemSQL的直接支援,再加上諸如可得性、跨資料中心複製、更精細的使用者權限控制與SSL等保障(見全文)

 

賣二手Android手機要小心!

廠商常建議消費者將手機轉售或丟棄時要把手機恢復到原廠設定,以確保個人資料的安全性。但英國劍橋大學研究人員公佈針對Android手機的研究顯示,即使將二手機還原至原廠設定,其他人還是可以回復並取得Android手機的用戶資料。(見全文)

 

勒索軟體TeslaCrypt三個月進帳至少7.6萬美元!

今年3月有資安研究人員揭露一款鎖定線上遊戲的勒索軟體TeslaCrypt,資安業者FireEye進一步分析後發現,在今年2月到4月間,總計追蹤到有163名受害者支付了7.6萬美元的贖金(約新臺幣235萬元)。(見全文)

 

蘋果傳將在國內設立第一家Apple Store

蘋果公司傳出計劃在臺灣設立第一家Apple Store,地點可能位於臺北市信義區,但目前具體開幕時程、規模尚未明朗。

國內104人力銀行近日刊登國際性的人力資源公司「藝珂」(Adecco)的招募訊息,將招募Apple Store門市人員。(見全文)

 

31國團體聯名反對臉書免費上網計畫,譴責違反網路中立

來自歐盟、美國、德國、南非、印尼等31個國家的67個團體發表公開信反對由臉書主導的Internet.org計畫,信中指出Facebook和全球ISP合作以免費提供特定網際網路應用給用戶的「零費率」營運模式,讓服務供應商決定使用何種服務,這已經危害了言論自由和機會平等, 批評者也認為,Facebook的隱私政策不夠透明化,所提供的應用和服務有限,又禁止網站使用TLS、SSL或HTTP加密,有隱私和安全性疑慮。(見全文)

 

中國兆元網路大升級推4G全面普及

中國國務院近日揭露中國政府將在2015至2017年間,投資1.13兆人民幣用於網路建設,其中,今年的目標要建置超過130萬個4G基地,推動4G用戶數超過3億。而2017年的目標則是全中國所有設區市城區與大部份非設區市城區都具備100Mbps的光纖通訊能力,4G網路全面覆蓋城市與農村,讓移動寬頻的普及率接近已開發國家水平。(見全文)

 

三星推新行動支付再戰Apple Pay

三星宣布旗下電子錢包服務Samsung Wallet因使用率不盡理想,將於6月底關閉,所有功能將停止運作。不過這並不表示三星將就此放棄行動支付。今年2月三星買下新創電子錢包供應商LoopPay,並打造出的新電子支付服務Samsung Pay,預計今年稍晚推出,以挑戰Apple Pay。(見全文)


熱門新聞

Advertisement