2FA | 推特 | Twitter Blue | SMS

推特將移除免費用戶的簡訊2FA功能

3月底之後,推特免費版用戶便無法使用基於簡訊的雙因素驗證服務(2FA),必須改用應用程式和硬體安全金鑰進行雙重身分驗證

2023-02-20

抗網釣MFA | Cookie Theft | pass-the-cookie | 身分認證 | RP ID

網站應用程式MFA被突破,還有Cookie theft的不同威脅層面

駭客要突破網站應用程式的MFA,除了鎖定OTP碼的誘騙或竊取,發動MFA登入通知轟炸,還有不同層面的攻擊方式,例如繞過驗證機制、針對Web瀏覽器技術的Cookie theft,近一年半,Google與微軟也持續揭露相關威脅活動

2023-02-20

無密碼身分應用來了!

網釣攻擊橫行,密碼遭竊問題越演越烈,甚至OTP認證碼被竊也屢見不鮮,如今,FIDO無密碼登入與抗網釣MFA被認為是目前最佳解法,許多科技巨頭大力支持,政府與金融業已率先行動,企業要加緊跟上腳步

2023-02-20

資安 | 無密碼 | 身分驗證 | OTP | FIDO無密碼登入 | 抗網釣MFA | MFA | 零信任

從強式MFA到抗網釣MFA

多因素驗證(MFA)的發展已近20年,讓傳統密碼驗證多一層防護,值得關注的是,隨著這些年威脅態勢的演變,使得傳統的MFA形式被突破,因而鼓吹轉向更安全的MFA

2023-02-20

資安 | 帳號安全 | MFA | OTP | 密碼 | 無密碼 | 3D驗證碼 | 簡訊 | FIDO | EMVCo | WebAuthn | SPC | Secure Payment Confirmation

【MFA無法阻止身分冒用事件的頻傳,驗證碼被竊是主因】因現行MFA仍有可乘之機,信用卡交易驗證安全需要持續強化

MFA應用是當前提升身分安全的主力,但最近臺灣發生的信用卡盜刷事件突顯其不足之處,促使大家走向無密碼登入

2023-02-20

資安 | 無密碼 | 身分驗證 | OTP | FIDO | 無密碼登入 | 抗網釣MFA

【單靠密碼無法保全身分,抵抗網釣成當務之急】強化登入安全,導入無密碼已成IT界共識

傳統密碼不夠安全,雖然多一道驗證碼輸入的MFA日漸普及,但隨著OTP認證碼失守狀況層出不窮,傳統MFA也不夠安全,改用無密碼登入可望躍居主流

2023-02-20

資安日報 | FatalRAT | Google Ads | PayPal | FBI | 供應鏈攻擊 | 資料外洩 | Fortinet | PLC | OT:Icefall | Intel | SGX

【資安日報】2023年2月18日,Fortinet修補WAF與網路存取控制系統的重大漏洞、施耐德電機PLC存在可被用於RCE攻擊的漏洞

Fortinet近日針對旗下的網路存取控制系統、網頁應用程式防火牆祭出修補,這些漏洞皆為重大層級的漏洞;研究人員揭露施耐德電機可程式化邏輯控制器的漏洞,並指出駭客有可能用於RCE攻擊

2023-02-18

資安日報 | Mirai | DDoS | ProxyShell | Exchange | IIS | FREB | 勒索軟體 | ESXiArgs | 供應鏈攻擊 | 資料外洩 | CISA | KEV | Cisco | ClamAV | Splunk

【資安日報】2023年2月17日,殭屍網路V3G4針對13個物聯網裝置漏洞而來、臺灣組織IIS伺服器遭到惡意軟體Frebniis鎖定

新的Mirai變種殭屍網路出現,這次利用13個漏洞來挾持Linux連網裝置;有研究人員發現針對IIS伺服器而來的惡意軟體,而且,攻擊目標是臺灣組織

2023-02-17

ProxyShell | Exchange Server | ProxyShellMiner | 惡意程式 | 挖礦攻擊

又有新惡意程式利用ProxyShell漏洞散布

Morphisec研究人員發現,駭客利用ProxyShell漏洞打造的新型惡意程式,企圖針對尚未修補的Exchange伺服器發動挖礦攻擊

2023-02-17

資安日報 | SideWinder | Telegram | ShadowPad | Webpack | 簽章冒用 | Havoc | MFT | IBM | SAP | Citrix | adobe | Hyundai | Kia | Kia Boys | Tiktok Challenge | Rust | Cargo

【資安日報】2023年2月16日,逾60個亞太地區組織在2021年遭駭客組織SideWinder攻擊、SAP發布2月份例行修補

將為旗下數百萬未內建防盜裝置的車輛提供防盜軟體,研究人員揭露駭客組織SideWinder於2021年的攻擊行動,半年內超過60個組織受害;SAP發布了本月份的例行修補,當中緩解了Start Service、BusinessObjects的高風險漏洞

2023-02-16

Windows 10 20H2 | EOL | 終止支援

數個版本Windows 10 20H2將在3個月後終止支援

微軟將在今年5月9日,停止對企業及教育版Windows 10 20H2用戶提供安全更新

2023-02-16

JFrog | DevOps | 程式語言 | 套件

強調記憶體安全特性的程式語言採用率增加,但防護較差的C/C++仍因IoT需求持續蓬勃發展

JFrog資料顯示Rust套件管理程式Cargo儲存庫數量兩年成長30%,有助於提升應用程式的記憶體安全,但C/C++受歡迎度並沒有因此下降,反而因物聯網裝置開發需求上升而採用增加

2023-02-15

GitHub | Codex | Copilot

GitHub更新Copilot,程式碼生成更快更安全

Copilot現在使用新版OpenAI Codex模型,能夠更快合成程式碼,而且Copilot還加入人工智慧漏洞過濾系統,可即時阻擋不安全的程式碼寫法

2023-02-15

資安日報 | Killnet | DDoS | NATO | GoAnywhere | MFT | Hancom Office | APT37 | 勒索軟體 | MortalKombat | Laplas Clipper | Beep | Anti-VM | npm | Patch Tuesday | CLFS | Publisher | XSS

【資安日報】2023年2月15日,微軟發布2月份例行修補、俄羅斯駭客Killnet阻礙北約組織救援土耳其地震

微軟於2月14日發布本月例行修補,值得留意的是,這次有3個零時差漏洞;北約組織傳出網站遭俄羅斯駭客組織Killnet攻擊,導致援助土耳其大地震任務的軍機無法正常通訊

2023-02-15

CloudFlare | DDoS | DDoS勒索攻擊

巨量DDoS紀錄再次被改寫!出現每秒7,100萬次請求的阻斷攻擊

Cloudflare在上周末,偵測到數十起大規模體積型DDoS攻擊,最大一波攻擊每秒超過7,100萬次的請求

2023-02-15