資安

資安周報

資安一周, 資安周報, IT周報

資安一周第129期:SolarWinds公布供應鏈攻擊事故過程。微軟預告Zerologon第2階段修補

1.14-1.20 一定要看的資安新聞

 

#供應鏈攻擊

2021-01-21

資安一周, 資安周報, IT周報

資安一周第128期:駭客鎖定臺灣公部門及學術機構發動釣魚信攻擊。紐西蘭央行遭駭,業務資料與個資恐遭存取

1.7-1.13 一定要看的資安新聞

 

#網路釣魚

2021-01-14

資安一周, 資安周報, IT周報, 資安大事記

2020年12月10大資安新聞

在2020年的最後一個月,美國政府爆發了史上最為嚴重的SolarWinds供應鏈攻擊事件,引起全球關注。但在此同時,關乎臺灣所有民眾的數位身分證,政府推動的狀態也出現了轉折,後續的發展更值得我們留意

2021-01-11

CISA | 多因素驗證 | MFA | 傳送cookie | pass the cookie | 攻擊手法 | Microsoft 365

駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關

美國CISA發現一起網路攻擊事件,攻擊者利用釣魚信件誘使用戶下載惡意程式,或以暴力破解帳號進入受害者網路後,成功登入一個具有多因素驗證(MFA)保護的帳號。CISA相信,攻擊者可能是在用戶電腦上,以竊密程式取得瀏覽器的cookie,以繞過MFA的防護

2021-01-14

行銷業者 | ElasticSearch資料庫 | 配置錯誤 | 配置不當 | 資料外洩

中國行銷業者「笨鳥」外洩2億名社交網路用戶資料

中國行銷業者「笨鳥」(Socialarks)因ElasticSearch資料庫配置錯誤,導致社交網站用戶個資對外曝光

2021-01-14

資安 | Google Project Zero | Chrome | Windows | 零時差漏洞 | 漏洞串聯 | 已知漏洞 | 攻擊手法 | 零時差攻擊程式

Google揭露串連Chrome/Windows零時差漏洞、Android已知漏洞的攻擊行動

研究人員揭露零時差攻擊程式細節,讓資安社群了解駭客的開採技術與策略

2021-01-14

網路詐騙 | 刑事局

刑事局公布2020年前5名網購高風險賣場,Momo購物網居冠

內政部警政署刑事警察局於1月11日,公布2020年全年前5大高風險賣場名單,不只呼籲民眾要避免被騙,也提出對於督促電商強化資安的做法

2021-01-14

資安一周 | 資安周報 | IT周報

資安一周第128期:駭客鎖定臺灣公部門及學術機構發動釣魚信攻擊。紐西蘭央行遭駭,業務資料與個資恐遭存取

1.7-1.13 一定要看的資安新聞  

2021-01-14

2021資安大預測

在全球傳染病COVID-19籠罩的陰影下,我們更加依賴資訊科技,也大幅提升各界對於資安的憂慮與重視,我們不只要積極揭露與修補安全性漏洞,及早預防與即時因應網路攻擊,在本國法遵、產業自律、跨國合作等層面都面臨更高的要求

2021-01-14

台灣大哥大 | Amazing A32 | NCC | 刑事警察局

Amazing A32手機用戶捲入遊戲點數詐騙案,淪為人頭帳戶,需跑全臺警局說明

由於台灣大哥大手機Amazing A32在產製階段遭植入惡意程式,使得這些手機用戶在不知情下,都可能成為遊戲點數詐騙的人頭帳戶,已有民眾表示因此事件收到全臺多處警局通知單,甚至因使用公司門號牽連公司。

2021-01-13

資安 | Chromium | Firefox | HTML

攻擊者可利用瀏覽器的旁路資訊洩漏,以HTML頁面竊取跨來源圖片資訊

攻擊者可利用瀏覽器的旁路資訊洩漏,以HTML頁面竊取跨來源圖片資訊

2021-01-13

資安 | SolarWinds | CrowdStrike | SolarWinds Orion Platform | sunburst | 供應鏈攻擊 | Sunspot | APT | 惡意程式

SolarWinds供應鏈攻擊的肇事源頭為Sunspot惡意程式

SolarWinds聘請CrowdStrike針對Orion Platform被植入惡意程式一案進行調查,CrowdStrike發現駭客從一年多前便開始進行滲透攻擊,利用另一隻Sunspot惡意程式,把Orion Platform其中一個檔案,置換成含有Sunburst木馬的檔案

2021-01-13

網路黑市 | DarkMarket | 歐洲刑警組織 | 美國聯邦調查局 | 網路犯罪

全球最大網路黑市DarkMarket遭歐洲多國警方拿下

DarkMarket成員將近50萬,賣家超過2400人。這個網站上已進行超過32萬次交易,種類涵括各種假藥、偽鈔、竊得或仿冒的信用卡資料、匿名SIM卡及惡意軟體,以規模論為全球最大網路黑市

2021-01-13

資安 | GitLab | DOS | API

GitLab發布更新以修復API存取權杖漏洞

GitLab 11.5以上版本,允許駭客透過GitLab Pages取得用戶API存取權杖,官方敦促用戶應立即更新GitLab版本,以修復這個高嚴重性漏洞

2021-01-13

資安 | 2021資安大預測 | 金融業 | 新興風險 | 資安強化 | 監理

【2021資安大預測】趨勢11:金融業資安|金融科技新興風險與資安水平再提升成無可避免的挑戰

隨著金融服務與型態多元化,提升金融產業資安能量,也成持續關注的重要議題。近年國際間對於金融產業資安監理更加重視,臺灣金融業在2021年也需加緊腳步跟上

2021-01-13

資安 | 2021資安大預測 | FIDO | 身分識別 | 登入安全 | 無密碼登入 | FIDO國際標準 | 生物辨識 | Line

【2021資安大預測】趨勢12:FIDO身分識別|更多網路服務重視帳戶安全性,提供FIDO無密碼登入

愈來愈多的網路服務,開始導入網路身分識別FIDO國際標準,特別是國內普及率相當高的Line,現已提供於網頁版與iPad版的登入,可用手機上的生物辨識來認證

2021-01-13

資安 | 2021資安大預測 | 製造業 | 目標式勒索 | DDoS | RDP | 弱點 | 網站漏洞

【2021資安大預測】趨勢10:製造業資安|駭客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態

駭客利用網站漏洞入侵企業後,加密系統與檔案後進行勒索;或是受到DDoS攻擊,曾有臺灣業者面臨持續8小時、100Gbps的流量

2021-01-13

資安 | 國家安全 | 2021資安大預測 | 乾淨網路 | Clean Network | 5G | 電信 | 程式市集 | 雲端儲存 | 海底電纜 | 中國

【2021資安大預測】趨勢9:乾淨網路|美國新總統拜登上臺後,5G乾淨網路能否延續值得關注

美國總統川普將中國視為首要敵人,公布5G乾淨網路名單,禁止採購中國華為5G設備,但新任總統拜登向來親中抗俄,未來美中互動發展引人注目

2021-01-13