LiteSSL | ACME | DNS-01 | TrustAsia

憑證機構LiteSSL遭揭ACME驗證資料重用漏洞,官方稱已撤銷143張憑證

LiteSSL的ACME服務存在缺陷,DNS-01驗證授權資料可遭不同ACME帳號重用,導致未重新確認網域控制權就核發他人網域萬用字元憑證,TrustAsia已承認影響143張憑證,並表示已全數撤銷與完成修補

2026-01-23

GitLab | 資安漏洞 | 雙因素驗證 | DOS | 修補更新

GitLab修補雙因素驗證繞過與多項DoS漏洞

GitLab釋出18.8.2、18.7.2、18.6.4等修補版本,修正雙因素驗證繞過與多項DoS漏洞,自管部署應儘速升級,GitLab.com已套用更新,GitLab Dedicated用戶則不需採取行動

2026-01-23

資安日報

【資安日報】1月22日,駭客冒充員工對IT服務臺發動社交工程攻擊,轉走員工薪資

近日資安公司Palo Alto Networks發現一起相當特別的攻擊行動,駭客鎖定IT服務臺從事社交工程活動,而能在未入侵企業內部網路環境的情況下存取薪資系統,並將部分員工的薪水轉走

2026-01-22

國家級駭客 | 數位防禦報告 | 微軟

臺灣面臨的國家級駭客活動事件數量居全球第6,IT產業是中國駭客主要目標

面對國家級駭客攻擊,有那些國家要特別注意?微軟發布2025數位防禦報告,觀察到臺灣面臨的國家級駭客活動事件數達143起,居於全球第6名,僅次於美國、以色列、烏克蘭、阿拉伯聯合大公國、英國

2026-01-22

微軟 | 數位防禦報告 | 社交工程 | 網釣攻擊 | 語音詐騙 | Deepfake | 網域冒充 | Domain Impersonation | AI資安 | 品牌信譽保護 | Brand Protection | 冒名詐騙 | 釣魚網站

微軟揭露21種傳統攻擊手法因AI進化,網域冒充問題加劇需正視

在去年底發布的微軟數位防禦報告中,其中一項重點聚焦於攻擊者如何運用AI強化攻擊行動,特別引起我們關注,因為報告具體指出共有21項傳統攻擊手法受到AI加持。微軟亦示警,AI強化的社交工程攻擊不僅出現在魚叉式網路釣魚、語言翻譯、deepfake與詐騙等手法中,網域冒充風險擴大同樣不容忽視,並提出4項因應建議

2026-01-22

LastPass | 網路釣魚

LastPass用戶遭鎖定,駭客假借維護通知要求用戶限時備份密碼保險庫,企圖騙取主密碼

密碼管理服務業者LastPass提出警告,他們掌握最新一波網釣攻擊活動,駭客假借LastPass維修的名義,要求用戶必須在24小時內完成密碼保險庫的備份因應,但若是照做,主密碼就有可能落入駭客手中

2026-01-22

社交工程攻擊 | IT服務臺 | 客服系統 | 勒索軟體 | WannaCry

駭客透過社交工程對IT服務臺下手,轉走員工薪資牟取經濟利益

資安公司Palo Alto Networks調查一起企業員工薪資被轉走的攻擊行動,駭客對IT服務臺從事社交工程攻擊,然後成功竄改員工薪資的轉帳資料,直到有多名員工發現未收到薪水,整起事故才東窗事發

2026-01-22

NTLMv1 | Net-NTLMv1 | 彩虹表

為加速NTLMv1棄用,Mandiant公布Net-NTLMv1彩虹表

Mandiant近日公布Net-NTLMv1彩虹表(Rainbow Tables)資料集,號稱研究人員只需成本低廉的設備,就有機會在半天內破解NTLMv1,希望藉此讓資安人員更容易展示Net-NTLMv1極不安全,以利加速企業淘汰

2026-01-22

MITRE | Embedded Systems Threat Matrix | 嵌入式系統 | ATT&CK | 關鍵基礎設施

MITRE公布嵌入式系統安全框架

MITRE發布嵌入式系統威脅矩陣(Embedded Systems Threat Matrix),為工業設備、機器人與電信設備等環境提供專用的ATT&CK攻擊框架

2026-01-22

思科 | 安全更新 | 思科整合通訊管理 | Unified Communications Manager | Unified CM | CUCM | WebEx

思科修補整合通訊管理平臺Unified CM、Webex產品可允許任意指令執行的零時差漏洞

思科警告影響Unified CM與Webex產品的資安漏洞CVE-2026-20045,已出現遭濫用跡象。未經驗證的遠端攻擊者可透過HTTP請求執行任意指令,甚至取得Root權限

2026-01-22

勒索軟體 | Everest | 資料外洩 | 供應鏈資安 | 麥當勞 | UnderArmour

勒索軟體Everest聲稱入侵印度麥當勞,先前曾公布近7,300萬筆Under Armour客戶資料

Everest宣稱駭入印度麥當勞,取得800GB的內部資料,並限期要求回應,否則將公開機密資訊。這個勒索軟體組織過去曾外洩Under Armour近7千萬筆客戶資料

2026-01-22

台新新光金控 | 陳詰昌 | 資安長 | CISO

以信任與韌性驅動金控整併,台新新光金的萬億資產防線

台新新光金控自去年7月整併後,不同子公司陸續完成整併,台新新光金控兼銀行資安長陳詰昌提出以「基準線」為核心的治理原則,要求所有子公司先達到一致的資安水準,再依業務特性向上加嚴,讓防禦完整有彈性

2026-01-22

資安日報

【資安日報】1月21日,中國蘋果代工組裝廠立訊傳出遭勒索軟體RansomHub攻擊

為蘋果、特斯拉等知名企業代工的中國精密製造業者立訊精密(Luxshare Precision),近日勒索軟體組織RansomHub聲稱從其內部網路環境竊得眾多設計及生產資料,並揚言若未收到贖金,將公開與客戶相關的機密資訊,而成為各界的焦點

2026-01-21

ClickFix | CrashFix | KongTuke | LandUpdate808 | TAG-124 | uBlock Origin | uBlock Origin Lite

駭客假借提供擋廣告延伸套件從事ClickFix變種網釣,以瀏覽器當機為由誘騙使用者執行惡意指令

要求使用者依照指示開啟執行視窗,然後將攻擊者指令複製、貼上並執行的攻擊手法ClickFix,最近又出現新的變形CrashFix,駭客製造瀏覽器當機的現象,以檢測與修補瀏覽器問題為幌子,要求使用者照做

2026-01-21

Anthropic | MCP | mcp-server-git | 提示注入

Anthropic官方Git MCP伺服器曝三漏洞,提示注入可繞過路徑限制並覆寫檔案

Anthropic官方Git用MCP伺服器存在三項漏洞,攻擊者可透過提示注入誘導AI助理在工具呼叫時帶入惡意參數,繞過儲存庫路徑限制,導致檔案遭覆寫或刪除

2026-01-21