新聞 資安日報, 資料外洩, 漏洞揭露, 零時差漏洞, 供應鏈攻擊, 勒索軟體

【資安日報】2022年7月25日,網站內容管理系統Drupal修補RCE漏洞、研究人員揭露俄羅斯駭客用於勒索軟體攻擊的基礎設施

網站內容管理系統Drupal、圖像化資料分析系統Grafana修補了可能會導致嚴重後果的漏洞;最近有研究人員公布俄羅斯駭客在勒索軟體攻擊行動裡,進行遠端控制的C2伺服器

2022-07-25

新聞 Atlassian, Confluence, CVE-2022-26138

Confluence App寫死的密碼遭公布,可能致企業內部資料曝光

Atlassian證實Confluence一款名為「Questions for Confluence」的App寫死在程式中的密碼外流,可能導致企業用戶內部資料遭非法存取,呼籲所有用戶儘速升級Questions for Confluence App

2022-07-26

新聞 Google Cloud, 收購, 資安, Mandiant, 美國司法部

美國准許Google、Mandiant合併案

雖然獲得美國司法部的核准,但Google Cloud對資安服務業者Mandiant的收購案,還面臨持反對立場的Mandiant股東所發起的訴訟

2022-07-26

新聞 Windows 11 21H2, 臭蟲

微軟修補Windows 11 21H2開始功能表壞掉的問題

針對某些Windows 11 21H2用戶在安裝6月功能改善更新後,導致開始功能表故障問題,微軟宣布透過已知問題復原(KIR)機制解決了該臭蟲

2022-07-26

新聞 AWS, 精準行銷, LINE Points, OMO零售, 會員制度, 會員經濟, 萊爾富

萊爾富公布三大數位經營戰略,主打異業會員導流,分析跨平臺、跨通路會員消費行為

萊爾富發布三大數位經營戰略,要打通跨通路、跨品牌系統,在積極引流異業消費者以持續招攬會員的同時,分析活躍會員在多個數據點的消費數據,以達到精準行銷、增加500萬名會員貢獻度的效果。

2022-07-26

新聞 蘋果, 財報, 營收

蘋果財報仍創營收紀錄,iPhone/服務成長,Mac/iPad下滑

蘋果上一季產品營收略遜於去年同期表現,服務營收則成長12%

2022-07-29

新聞 北韓駭客, 擴充程式, Sharpext, SharpTongue, Kimsuky

北韓駭客偷偷部署瀏覽器外掛程式來竊取受害者郵件

北韓駭客集團正在使用一款新的惡意程式家族,藉由於受害者的瀏覽器上安裝惡意擴充程式Sharpext,以竊取受害者的郵件內容

2022-07-29

新聞 google, Play Store, 廣告, 開發者政策, VPNService

Google Play Store新政策將禁止全螢幕廣告、VPN、山寨他人

Google將分階段禁止全螢幕插頁廣告、使用VPN、散布不實健康資訊,和App假藉他人名義行銷等行為

2022-08-01

新聞 Atlassian, CVE-2022-26138, 美國聯邦機構, 美國網路安全及基礎設施安全局, CISA

CISA把Confluence將密碼寫死的安全漏洞納入已遭開採名單

基於Atlassian於7月20日修補的Questions For Confluence密碼寫死漏洞(CVE-2022-26138)已被開採,美國網路安全及基礎設施安全局(CISA)要求聯邦機構在8月19日以前完成指定軟體更新

2022-08-01

新聞 詐騙網路, 投資詐騙, 比特幣

資安業者披露鎖定歐洲用戶的上萬個投資詐騙網站

由超過1萬個釣魚網站形成的詐騙網路,以名人宣傳為幌子,鎖定歐洲民眾展開比特幣或黃金的投資詐騙

2022-08-01

新聞 API金鑰外洩, 行動程式, Twitter API, 帳號安全

超過3,200個行動程式曝露Twitter API金鑰

資安業者CloudSEK分析發現有近5千款行動程式外洩了存取Twitter帳號必須具備的所有金鑰,其中3千多個程式所外洩的金鑰都是有效的,而Twitter API金鑰的外洩肇因於開發商把金鑰存放在唾手可得之處,而讓駭客有機可趁

2022-08-02

新聞 CVE-2022-31656, VMware, 安全更新

VMware呼籲用戶立即修補認證旁路漏洞CVE-2022-31656

CVE-2022-31656漏洞存在於VMware Workspace ONE Access、Identity Manager與vRealize Automation,駭客只要能經由網路存取這3項服務,就有機會繞過身分認證,取得管理員權限

2022-08-03

新聞 網釣, 微軟電子郵件服務, AiTM, MFA, BEC

使用微軟郵件服務的企業正遭到大規模網釣攻擊

資安業者Zscaler在今年6月發現一個大規模的網釣活動,鎖定使用微軟電子郵件服務的企業,而且採用了先進的中間人(AiTM)攻擊,以繞過多因素認證(MFA)機制,目的是挾持受害者的微軟帳號,並展開商業電子郵件詐騙(BEC)

2022-08-04

新聞 社交工程, Twilio, 網釣, 資料外洩

雲端通訊平臺Twilio遭駭客以網釣簡訊取得員工帳號

駭客對Twilio員工發送網釣簡訊取得登入憑證,成功進入該公司內部網路盜走客戶資料

2022-08-09

新聞 南韓通訊委員會, KCC, google, 蘋果, 程式市集, 第三方支付, 程式內支付

南韓將調查蘋果App Store、Google Play Store程式內支付規定是否違法

南韓通訊委員會將調查Google和蘋果App市集的程式內支付(IAP)規定,是否有強迫其他業者等違法行為

2022-08-10

新聞 Windows 11, VAES, Intel VAX512

支援最新VAES指令集的CPU可能造成Windows 11 PC資料毁損

微軟公告Windows 11 PC若使用的CPU支援最新的VAES指令集,可能會發生資料毁損的問題,而且微軟6月中旬為此釋出的修補程式可能影響用戶PC效能,後續又在6月23日的Windows 11更新預覽版,以及7月12日的安全更新進行二度修補

2022-08-10

新聞 數位中介服務法, 周韻采, DSA, 政府

【專家看中介法:元智大學資管系教授周韻采】中介法賦權政府處理違法內容,應限縮裁量幅度避免濫權

主管機關針對平臺的違法內容,可向法院聲請資訊限制令,要求業者對該內容予以移除、限制接取或暫時加註警語,應提高對政府權力的限制,避免政府濫權。

2022-08-11

新聞 RCS, 蘋果, google

Google要求蘋果採用RCS技術

Google在「Help @Apple #GetTheMessage」行銷活動網頁上,呼籲蘋果採用RCS技術

2022-08-11