資安

資安周報

資安一周, 資安周報, IT周報

資安一周第169期:技嘉驚傳二度遭勒索軟體駭客攻擊。車燈大廠帝寶遭遇資安事件

10/21-10/27必看資安新聞

 

#資料外洩  #高科技產業

2021-10-27

資安一周, 資安周報, IT周報

資安一周第168期:宏碁驚傳資料外洩。TWCERT/CC設立勒索軟體防護專區

10/14-10/20必看資安新聞

 

#資料外洩  #高科技產業

2021-10-20

資安一周, 資安周報, IT周報

資安一周第167期:臉書大當機7小時。資安人員揭露新的UEFI攻擊手法

10/7-10/13必看資安新聞

 

#社群網站  #網路服務中斷

2021-10-13

資安一周 | 資安周報 | IT周報 | 資安大事記

2021年9月10大資安新聞

本月最值得留意的漏洞應該就是MSHTML重大漏洞CVE-2021-40444,再者,新的攻擊手法像是竊取流量的Proxyware、使用假的網頁應用程式騙得大型服務授權的同意網路釣魚攻擊(Consent Phishing Attack),也相當值得留意

2021-09-30

ProxyLogon | Shellcode | FamousSparrow | 飯店業 | 政府機關 | Exchange | SharePoint | Oracle Opera

間諜組織FamousSparrow利用ProxyLogon漏洞入侵受害組織,植入後門程式

ESET揭露新的網路間諜組織FamousSparrow,鎖定飯店、政府單位而來,臺灣也有災情。而攻擊者入侵受害組織的管道,是透過能從網際網路連線的網頁應用程式

2021-09-29

Portpass | 疫苗護照 | 加拿大 | 資料外洩 | 資安

加拿大疫苗護照Portpass含有資料外洩漏洞

Portpass是由加拿大某家私人企業所開發,並非政府版疫苗護照,這起資安事件發生後,Portpass行動程式已呈現網路錯誤的狀態,官網也被關閉

2021-09-29

資安一周 | 資安周報 | IT周報

資安一周第165期:國內中小電商遭網釣攻擊鎖定。中國鎖定臺灣資安公司製造假新聞

9/23-9/29必看資安新聞  

2021-09-29

1Password | Fastmail | Masked Email | 電子郵件位址 | 資安 | 郵件安全防護

1Password推出可產生隨機電子郵件位址的Masked Email服務

同時使用1Password和Fastmail的用戶可使用隨機產生的電子郵件位址訂閱或註冊服務,並轉寄至指定的Fastmail郵件信箱,萬一隨機位址被駭就能直接關閉

2021-09-29

蘋果 | 安全漏洞 | 漏洞獎勵 | Bug Bounty | 資安 | 物件追蹤器 | AirTag | XSS攻擊

研究人員公開揭露蘋果Airtag遺失模式的安全漏洞

蘋果針對AirTag設計的遺失模式(Lost Mode)存在資安缺失,可能會被駭客用來欺騙拾金不昧者,在發現蘋果消極面對這項安全通報之後,貢獻者選擇對外公開漏洞資訊

2021-09-29

家用機器人 | Amazon Astro | Alexa

Amazon發表1,000美元的家用機器人Astro

整合數位語音助理功能Alexa的Astro機器人,能依據指令確認居家環境狀況、照看獨居親友,也整合了Amazon家用監視器Ring

2021-09-29

CloudFlare | 電子郵件安全 | Email Routing | Email Security DNS Wizard

Cloudflare推出兩項電子郵件安全功能

Email Security DNS Wizard可協助Cloudflare使用者建立DNS紀錄,以防範他人利用使用者的網域來遞送惡意郵件,同時也會在使用者採用不安全的DNS配置時跳出警告並提供建議,除了可預防郵件詐騙及網釣,還能改善郵件的遞送

2021-09-28

Mozilla | 擴充程式 | 程式商店 | Safepal Wallet | 惡意程式 | 資安

Firefox惡意擴充程式Safepal Wallet清空了使用者的加密貨幣錢包

一名受害者指控Mozilla未做好把關,容許偽裝成加密錢包Safepal Wallet的惡意擴充程式在Firefox官方商店上架,導致他的加密錢包被盜轉一空

2021-09-28

變形程式碼簽章 | 垃圾軟體 | OpenSUdpater | Windows | 資安 | 惡意程式 | EoC marker

惡意程式使用新的簽章手法躲避Windows檢查

Google發現名為OpenSUdpater的垃圾軟體家族,透過變造簽章讓Window系統誤認為合法程式,還能躲過安全產品的偵測

2021-09-28

微軟 | 安全漏洞 | 資安 | Windows Platform Binary Table | WPBT | Windows

Eclypsium發現微軟的WPBT含有漏洞,允許駭客植入Rootkit

基於Windows內建的Windows Platform Binary Table(WPBT)接受已過期或被撤銷的憑證,這讓駭客得以打造惡意驅動程式,來建立或修改既有WPBT表格並指定Windows執行,還能躲過防毒軟體偵測

2021-09-27

Exchange Online | 基礎驗證 | Basic Authentication | Basic Auth | 終止支援

微軟將在2022年10月關閉Exchange Online基礎驗證

微軟宣布2022年啟動分階段捨棄Basic Auth的工作,並在當年 10月永久關閉所有Exchange環境對Basic Auth的支援

2021-09-27

俄羅斯 | 網軍 | 歐盟 | 假消息 | 網路攻擊 | 竊資 | 國家級駭客

歐盟正式指控俄羅斯政府參與駭客攻擊

歐盟理事會公開指責俄國網軍駭入歐洲政治、媒體及民間組織特定對象私人帳號以竊取資料,並散布假消息操弄網路風向,以干預歐盟多國的選舉情勢

2021-09-27

釣魚郵件 | 網釣攻擊 | 木馬程式 | 竊取帳密 | 客服人員 | 電商業者 | 本土化 | 客製化 | 假客訴信

國內中小電商遭新型網釣攻擊鎖定,佯稱商品瑕疵,內容本土化且量身客製,客服員工開啟附件就被竊取帳密

近半年以來,國內出現鎖定電商客服人員盜取帳密的釣魚郵件,假冒消費者客訴來信,並清楚提及收件者公司的品牌與產品名稱,國內已有電商營運長公布遇害經歷,所幸當下能及時反應,不只相關電商同業要注意,隨著這類釣魚範本的發展,針對企業且高度量身打造的偽裝內容可能更普遍。

2021-09-24

蘋果 | 安全漏洞 | 零時差漏洞 | 資安 | iOS 12 | macOS Catalina

蘋果修補舊款裝置的零時差攻擊漏洞

9月23日釋出的iOS 12.5.5以及2021-006 Catalina,分別修補3個以及1個已遭駭客開採的安全漏洞

2021-09-24