資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, Line, 安全AI系統開發指南

【資安週報】2023年11月27日到12月01日

本星期有Google、蘋果修補零時差漏洞需重視,特別是存在於Skia繪圖引擎的漏洞又是涉及底層,影響範圍大。全球首份「安全AI系統開發指南」近日出爐,這份由美、英等國發布的AI系統開發指引,將讓開發者在安全設計、安全開發、安全部署及安全維運這4大階段,都能有有適當的安全措施可遵循

2023-12-04

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 雄獅, 中石化, 大江

【資安週報】2023年11月20日到11月24日

本星期國內有多家上市公司遭駭的消息,首先20日,雄獅旅遊與中石化相繼公告遭受駭客網路攻擊事件,一日兩起格外引人注目,23日訊連其產品「Promeo」的安裝程式中被發現惡意軟體,遭北韓駭客Lazarus發動供應鏈攻擊。上週我們報導大江生醫傳出遭勒索軟體組織列為受害者,該公司24日發布重訊證實遇網路資安事件

2023-11-27

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 中華化, 大江

【資安週報】2023年11月13日到11月17日

本週有微軟、SAP等多家每月例行安全更新修補發布需重視,特別是微軟修補5個零時差漏洞,此外,攻擊者鎖定已知漏洞發動攻擊的情形,近期呈現大幅增加情況。在國內,有兩家上市公司的資安事故消息成為外界焦點,包括中華化與泰山,還有大江也傳出遭攻擊消息但未見到該公司發布公告

2023-11-20

資安日報

【資安日報】10月31日,曝露於GitHub程式庫的帳密資料成為駭客下手的對象!有人從中收集AWS的帳密,將EC2實體拿來挖礦

研究人員揭露利用AWS EC2實體挖取門羅幣的攻擊行動EleKtra-Leak,而駭客取得帳號的來源,就是從GitHub儲存庫挖掘而得

2023-10-31

拜登 | 美國 | 人工智慧 | AI | 行政命令

拜登簽署美國首個AI行政命令

拜登指示聯邦政府機構應該建立AI安全的新標準,以保護美國民眾免受AI潛在風險的危害。包括要求強大AI系統的開發者必須與美國政府分享其安全測試結構與其它重大資訊

2023-10-31

SolarWinds | 美國證券交易委員會 | 證券交易法 | 軟體供應鏈攻擊 | sunburst | Supernova

SolarWinds在2020年被駭是因長期忽略內部安全風險,遭美國SEC提告

美國證券交易委員會(SEC)調查發現,SolarWinds高層在該公司遭到軟體供應鏈攻擊前2年,便得知內部有許多資安問題卻無積極作為,因此控告SolarWinds與該公司資安長詐欺與內控失靈

2023-10-31

勒索軟體 | LockBit | 波音

LockBit宣稱駭入波音並竊走機密

使用勒索軟體LockBit的駭客組織宣稱利用不知名的零時差漏洞攻擊波音公司並取得內部資料,而波音在安全研究業者VX Underground揭發這起攻擊事件當下,還不確定內部系統是否遭駭

2023-10-31

0ktapus | BlackCat

駭客組織0ktapus部署勒索軟體BlackCat,從事檔案加密及破壞,向受害者進行勒索

在2022年初因攻擊身分驗證業者Okta引起各界關注的駭客組織0ktapus,今年下半傳出與勒索軟體駭客BlackCat結盟,並擴大攻擊範圍

2023-10-31

NSA | Shadow Brokers | EternalBlue | StripedFly

惡意軟體StripedFly利用永恆之藍漏洞,感染百萬臺電腦

在2017年被駭客組織影子掮客公布的漏洞「永恆之藍(EternalBlue)」,有研究人員發現早在2016年上旬就被用於散布惡意程式,起初這個惡意軟體的用途,一度被研究人員以為是挖礦,而忽略駭客背後真正的動機,輕忽其帶來的影響

2023-10-30

HackerOne | 白帽駭客 | 生成式AI | OWASP | 大型語言模型 | LLM | 安全漏洞

超過6成的白帽駭客企圖利用生成式AI來發現漏洞

漏洞懸賞平臺HackerOne調查發現,有6成的白帽駭客開始利用生成式AI開發駭客工具,以找出更多的漏洞

2023-10-30

資安日報

【資安日報】10月30日,有人在2016年就利用永恆之藍漏洞,打造惡意軟體StripedFly,迄今仍有數萬臺電腦遭到感染

在2017年造成勒索軟體WannaCry大規模感染的永恆之藍漏洞,曾引發軒然大波,後續造成許多問題,也使得重視網路威脅情報武器化的議題,最近研究人員發現,有另一款利用該漏洞的惡意程式早在2016年就開始攻擊行動,直到最近才被發現

2023-10-30

CVE-2023-42846 | 蘋果 | iOS | MAC位置 | 漏洞

蘋果修補公開iOS裝置MAC地址長達3年的隱私漏洞

蘋果釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad及Apple Watch MAC位置的漏洞

2023-10-30

資安日報

【資安日報】10月27日,研究人員揭露新型攻擊手法iLeakage,可透過推測執行漏洞、用瀏覽器竊取蘋果裝置的用戶機密資訊

新型態的處理器推測執行漏洞iLeakage出現在iOS、iPadOS裝置,以及搭載M系列處理器的Mac電腦,攻擊者透過WebKit排版引擎的瀏覽器,就有機會偷取用戶的機密資訊

2023-10-27

google | AI | 漏洞獎勵 | 生成式AI

Google公布AI抓漏獎勵範圍,新增生成式AI類別

Google公開旗下AI產品的安全漏洞通報獎勵標準,徵求外界提供Google Bard等生成式AI服務的漏洞資訊

2023-10-27

醫療業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】醫療業企業資安風險圖(2023~2024)

社交工程手段對醫療業的威脅,超越了駭客攻擊的風險,與勒索軟體資安事件並列為醫療業未來一年的兩大首要風險。值得留意的是,假消息不實資訊事件的風險,開始快速提高,醫療業者未來一年也不能輕忽

2023-10-27

金融業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】金融業企業資安風險圖(2023~2024)

駭客攻擊和社交工程手段是金融業未來一年的兩大首要風險,而來自國家級攻擊組織的資安風險在今年大幅增加也是金融業未來一年的次要風險項目。隨著金管會再次鬆綁金融上雲規範,雲端供應商為跳板的攻擊,以及雲端服務資安事件的風險,可能會在2024年突然驟增,也必須留意

2023-10-27

iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長 | 一般製造業

【iThome 2023資安大調查系列2】一般製造業企業資安風險圖(2023~2024)

勒索軟體資安事件是一般製造業必須優先重視的首要資安風險,次要風險則有2項,包括了社交工程手段和釣魚網站的攻擊。來自駭客和商業郵件詐騙的風險比去年略低,但顧客資安事件和ChatGPT資安事件今年進入第一象限,成為衝擊高且發生風險高的項目

2023-10-27

高科技製造業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】高科技製造業企業資安風險圖(2023~2024)

未來一年,高科技製造業有四大首要風險,包括了勒索軟體資安事件、釣魚網站、社交工程手段和駭客的威脅,尤其,釣魚網站和社交工程手段是今年風險驟增的項目。值得注意的是,內部人員成為攻擊者的威脅,首度進入第一象限,也是高科技業者必須留意的高風險高衝擊項目

2023-10-27