資安

資安周報

資安一周, 資安周報, IT周報

資安一周第141期:臉書、LinkedIn、Clubhouse用戶資料出現於駭客論壇,但都強調非系統遭駭

4/8-4/14 一定要看的資安新聞

 

#資料外洩  #社群網站

2021-04-14

資安一周, 資安周報, IT周報

資安一周第140期:臉書5億筆用戶個資流落於駭客論壇。美國政府要求聯邦政府機關清查ProxyLogon漏洞

4/1-4/7 一定要看的資安新聞

 

#資料外洩  #社群網站

2021-04-07

資安一周, 資安周報, IT周報, 資安大事記

2021年3月10大新聞

針對本月最重大的資安新聞,莫過於和Exchange重大漏洞「ProxyLogon」有關,而SolarWinds供應鏈攻擊、Accellion漏洞攻擊事故也有新的發現

2021-04-01

Juniper | Junos OS | 安全漏洞 | 資安

Juniper OS重大漏洞恐引發設備斷線或被劫持

Juniper作業系統Junos OS含有編號CVE-2021-0254的安全漏洞,攻擊者一旦開採成功,便能導致設備斷線或執行任意程式碼,Juniper於4月14日針對這項漏洞釋出修補程式

2021-04-20

臉書補了可讓駭客刪除直播影片的漏洞

研究人員Ahmad Talahmeh發現臉書直播影片功能有瑕疵,會讓第三方取得刪除其他用戶影片的權限

2021-04-20

網路釣魚 | 釣魚簡訊 | 釣魚信件

Celsius加密貨幣交易網站遭冒用,疑似資料外洩導致網釣攻擊

Celsius Network連續發布公告,說明假冒該公司簡訊和電子郵件的網路釣魚事件。  

2021-04-19

制裁 | 拜登 | 美國 | 俄羅斯 | Positive Technologies

遭美國制裁的資安業者Positive Technologies,是微軟、IBM及VMware的合作夥伴

Positive是微軟主動防護計畫(MAPP)的合作對象之一,也提供IBM QRadar用戶安全漏洞檢測服務

2021-04-19

物聯網 | IoT | Internet of Secure Things Alliance | ioXt Alliance | 資安 | VPN

Internet of Secure Things Alliance開始認證行動程式與VPN服務的安全性

提供物聯網安全認證的ioXt Alliance,服務範圍從硬體擴大到連網裝置的行動控制程式及VPN服務

2021-04-19

Codecov | 資安 | 網路攻擊 | 憑證外洩 | CI | 資料外洩 | 供應鏈攻擊

軟體測試服務業者Codecov被駭,可能影響P&G、GoDaddy等近3萬家客戶

美國提供軟體開發測試服務的廠商Codecov今年初遭到駭客入侵,該公司擁有民生用品大廠P & G、全球最大網域服務管理商GoDaddy及華盛頓郵報等知名用戶,美國警方已介入調查

2021-04-19

FTP協定 | Firefox | Mozilla

Firefox 88終止FTP支援

Mozilla已於本周釋出的Firefox 88正式關閉FTP,預計2個月後釋出的Firefox 90,則正式移除所有FTP實作

2021-04-19

容器週報 | K8s | Docker | OpenShift | 容器資安 | DevOps | Kubernetes | IT周報

Container周報第137期:K8s今年第一個新版有50項更新,紅帽揭露OpenShift零信任架構未來3大發展方向

OpenShift在三月公布的發展藍圖中,接露了資安上的未來發展方向,將內建零信任架構,包括三大方向,部建階段的偵測能力、部署階段的保護機制和執行階段的應變機制

2021-04-19

Google Project Zero | 漏洞揭露政策 | 資安

Google Project Zero更新漏洞揭露政策,提供30天的修補緩衝期

若業者在90天內修補了漏洞,Project Zero團隊將會再提供30天緩衝期供用戶端完成修補,之後才會公開漏洞細節

2021-04-17

AI資安 | Nvidia AI | GPU與DPU協作 | Accelerating Computing | Network Telemetry | SmartNIC

串聯GPU、DPU與軟體網路遙測技術,Nvidia跨入AI資安領域,推出專屬應用框架Morpheus

Nvidia在發展各種通用與特定產業專屬的GPU加速與AI應用框架之後,今年GTC大會正式宣布要針對AI資安分析需求,推出專用的應用框架軟體,當中運用他們既有的EGX軟硬體整合平臺,提供機器學習推論的處理,也能搭配DPU兼具CPU運算與網路封包擷取的架構,從中直接收取整個網路的封包資訊,讓AI資安分析的數據來源更完整,並能借重GPU來加快機器學習的處理速度,進而做到更徹底的網路威脅異常偵測、資料外洩偵測,進而達到縮短鑑識與矯正時間

2021-04-16

Google搜尋引擎 | 惡意軟體

多達10萬個網站遭濫用並安裝木馬程式(RAT),駭客甚至利用PDF檔案滲透

網頁被嵌入惡意軟體,利用關鍵字引誘使用者點擊,並重新導向至惡意網頁,進而誘使用戶下載檔案。

2021-04-16

Kubernetes | DOS | CVE-2021-20291 | 函式庫 | container/storage

Kubernetes GO函式庫漏洞可引發DoS攻擊

Palo Alto研究人員在K8s的container/storage函式庫,發現安全漏洞CVE-2021-20291,這個漏洞可以在儲存庫上傳惡意映像檔時,觸發DoS攻擊

2021-04-16

北韓駭客Lazarus將電子商城的加密貨幣錢包位置更換成自己的錢包,但付款網頁上使用者很難察覺有異

加密貨幣 | 網站側錄攻擊 | 電商網站盜錄

北韓駭客Lazarus鎖定電子商城發動網站側錄攻擊,目標是竊取加密貨幣

駭客針對線上購物發動側錄攻擊的情況相當常見,目標自然是購物所使用的信用卡或支付卡,但近期威脅情資業者Group-IB發現,北韓APT駭客組織Lazarus開始對於能使用加密貨幣付款的電商下手,並竊得比特幣與以太幣

2021-04-16

俄羅斯 | 網路戰 | 行政命令 | Joe Biden | 美國總統大選 | 網軍

干預總統大選且涉及SolarWinds攻擊,拜登下令制裁俄羅斯

美方將針對俄羅斯央行、當地金融機構、6家技術公司,以及32個實體與個人展開制裁

2021-04-16

Chrome 90 | HTTPS | FLoC | AV1編碼器

Chrome 90問世:以HTTPS作為預設,嵌入隱私沙箱控制

過去Chrome會優先將使用者導至基於http://的網站,但從Chrome 90開始,瀏覽器預設選擇https:// ,若該站尚未支援https://,才會連至http://

2021-04-16