資安日報

【資安日報】3月1日,駭客假借Amazon Prime會員名義發動網釣攻擊、應用程式框架ZK Framework漏洞被用於攻擊行動

有人假借Amazon Prime會員到期、信用卡扣款失敗的名義,一步步騙取目標的個資及信用卡資料;美國CISA針對應用程式框架ZK Framework的漏洞CVE-2022-36537提出警告,並指出已出現攻擊行動

2023-03-01

LastPass | 資料外洩 | 密碼管理服務

LastPass員工家中電腦被駭致外洩公司關鍵系統登入憑證

LastPass指出,駭客在第一波攻擊成功入侵LastPass的雲端儲存環境後,為了取得AWS存取金鑰及LastPass產生的解密金鑰,再利用第三方軟體套件漏洞,成功入侵該公司一名擁有解密金鑰的DevOps工程師私人電腦

2023-03-01

SynSaber | CISA | ICS Advisories | OT安全 | CVE | ICS漏洞

工業控制系統漏洞數量持續增長,美國CISA頻頻發布漏洞通告示警,平均每天都有一則

解析2020到2022年的CISA的ICS漏洞通告與CVE漏洞,工控網路安全公司SynSaber今年初發布一份產業CVE追蹤報告,當中指出拖延修補與老舊產品漏洞的問題,以及韌體與協定漏洞其比例占四成,修補難度較高

2023-03-01

TikTok | 歐盟

歐盟禁止政府員工裝置安裝TikTok

歐盟執委會企業管理委員會決議,公務用裝置及註冊歐盟行動服務的個人裝置,不得使用Tiktok應用程式

2023-02-28

資安月報 | 資安一周 | 資安周報 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 供應鏈攻擊 | 惡意程式 | 漏洞揭露 | 漏洞獎勵計畫 | 殭屍網路 | 資料庫配置不當 | 個資外洩 | 駭客入侵

【資安月報】2023年2月

在2023年2月的資安新聞中,國內有三類資安事件備受關切,包括飛宏遭勒索軟體攻擊的消息,以及百貨業者微風發生資料外洩的狀況,還有和雲行動服務共享汽車業務iRent事件後續與格上汽車租賃公司的事件

2023-02-28

資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊密軟體 | 惡意軟體 | 木馬程式 | 資料庫配置不當 | 資料外洩 | 漏洞揭露 | 資安事件

【資安週報】2023年2月20日到2月24日

這一周公布的已發現鎖定利用漏洞有3個,包括IBM與Mitel的漏洞;在資安威脅與事件方面,有資安業者警告多款WAF可能存在CRLF漏洞,研究人員揭露NPM帳號接管的新攻擊手法,以及微風百貨傳90萬用戶個資與內部資料被駭客取得,該業者已證實接到匿名網路勒索信並即時啟動損害機制

2023-02-28

新聞集團 | 資料外洩

華爾街日報母公司集團遭駭長達兩年

新聞集團(News Corp)向主管機關通報2020年到2022年間,曾遭駭客存取業務文件和電子郵件,導致自家員工及合作廠商的醫療及金融資料外洩

2023-02-27

史丹佛大學 | 配置不當 | 資料外洩

史丹佛大學資料外洩,影響900經濟學博士班學生

史丹佛大學經濟學系網站設定配置不當,致使2022到2023年博士學程申請人入學檔案資料外洩

2023-02-27

勒索軟體 | 半導體供應鏈風險 | 供應鏈風險 | 資安事件 | MKSI | 應材

美晶片設備商MKS Instruments遭勒索軟體攻擊,影響生產系統!供應鏈風險受關注,應材因供應商資安事故估下季營收少2.5億美元

2月初半導體設備商MKS Instruments揭露遭勒索軟體攻擊,業務與產線系統受影響,一周後他們又再說明最新調查,表示事件衝擊訂單處理與產品運送。相隔幾天美國半導體製程設備與服務大廠應用材料公開季報,提到一家主要供應商近期發生資安事故,將影響應材下一季出貨,國外多家媒體報導指出這家供應商就是MKS

2023-02-27

備份 | 公有雲 | 雲端備份 | 風險控管

上雲同樣要注重資料備份

備份資料這項工作仍須持續落實,不能因為許多系統與資料上雲是趨勢,以及公有雲環境具備極高的服務可用性,就天真地認為能獲得萬無一失的擔保

2023-02-26

MacOS | 挖礦程式 | XProtect | Gatekeeper

盜版Mac剪輯軟體Final Cut Pro內含惡意挖礦程式

Mac用戶從BitTorrent下載到的盜版剪輯軟體Final Cut Pro,可能被駭客置入惡意挖礦程式,該挖礦程式能夠利用巧妙的腳本,規避用戶在活動監視器中查看

2023-02-26

EASM | 外部攻擊面管理 | 網路威脅情報服務

Fortinet推數位風險防護,囊括EASM、品牌冒用與敵情掌握

去年6月Fortinet發表數位風險防護系統FortiRecon,結合機器學習、自動化處理、專家智慧,產生更符合企業本身特性的威脅情資,可用於外部攻擊面管理、企業品牌冒用防護,以及聚焦在組織敵對者的資安威脅情資掌握。

2023-02-25

資安日報

【資安日報】2023年2月24日,1.5萬個NPM套件含有網釣URL連結、逾4成企業2022下半發現Log4Shell相關攻擊

有人上傳1.5萬個含有網釣連結的NPM套件,意圖藉由推薦特定網站牟利;公布超過一年的漏洞Log4Shell仍是駭客偏好的目標,去年下半有4成企業遭到相關攻擊

2023-02-24

ChatGPT | 惡意軟體 | 釣魚網站 | 竊密軟體 | RedLine

山寨ChatGPT App藉FB及Google Play Store散布

駭客利用ChatGPT的熱搜風潮,以ChatGPT或OpenAI名義偽造行動版程式以及官方粉絲頁,散布竊密軟體

2023-02-24

IBM | 勒索軟體 | 後門

IBM調查發現企業普遍對勒索軟體已有抵抗力,遠端後門攻擊成主要威脅

IBM Security最新X-Force Threat Intelligence Index資安報告顯示,企業已經能夠良好地偵測和預防勒索軟體,2022年勒索軟體攻擊事件只占17%

2023-02-23