| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊密軟體 | 惡意軟體 | 木馬程式 | 資料庫配置不當 | 資料外洩 | 漏洞揭露 | 資安事件 | OTP驗證碼被竊

【資安週報】2023年1月30日到2月4日

農曆年後有四個漏洞被利用攻擊的狀況需優先注意,包括Oracle電子商務套件、SugarCRM與Zoho ManageEngine的漏洞,以及網頁應用程式框架Telerik UI的老舊漏洞;國內近期有兩大消息受關注,包括汽機車共享業者iRent資料庫曝險在公開網路,以及多起信用卡以3D驗證碼通過方式盜刷且集中於永豐銀行的事件

2023-02-05

| 資安 | 風險管理 | 資料外洩 | 轉型

機會與風險的抉擇

防守端如果沒做好風險管理,未及早補救缺失,其實就是在幫攻擊者製造有利可圖的機會

2023-02-03

| GitHub | 憑證外洩 | 資料外洩 | GitHub Desktop App | GitHub Atom App

GitHub 2款App程式碼簽章憑證遭駭客竊取

由於Desktop App、Atom App的程式碼簽章憑證落入駭客手中,GitHub已撤銷外洩的憑證,呼籲用戶升級到安全版本

2023-02-01

| 資安日報 | Wiper | 資料破壞軟體 | iRent | SwiftSlicer | KeePass | QNAP | BIND | GitHub | Zendesk | 資料庫配置不當 | 資料外洩 | 供應鏈攻擊 | MFA | AI RMF | AI

【資安日報】2023年1月31日,資料破壞軟體SwiftSlicer被用於破壞AD網域、密碼管理器KeePass漏洞恐讓攻擊者取得帳密資料

鎖定烏克蘭組織的資料破壞軟體攻擊行動再度傳出,這次駭客利用名為SwiftSlicer的惡意程式一併破壞AD網域;開源密碼管理器KeePass出現CVE-2023-24055,攻擊者有可能藉此取得明文帳密資料

2023-01-31

| JD Sports | 資料外洩

運動服飾品牌JD Sports被駭,千萬客戶個資外流

JD Sports系統遭入侵,旗下Size?、Millets等品牌近千萬名顧客的網路訂單資料外洩

2023-01-31

| 資安日報 | 漏洞揭露 | 漏洞攻擊 | Python | Realtek SDK | Fortinet | Bitwarden | Google Ads | 資料外洩 | LastPass | Riot Games

【資安日報】2023年1月30日,研究人員揭露以Python打造的RAT木馬程式、密碼管理服務Bitwarden用戶遭鎖定

名為Py#Ration的木馬程式攻擊行動升溫,駭客不斷改良並用於攻擊Windows電腦;密碼管理服務Bitwarden的用戶也成為攻擊目標,駭客透過Google廣告意圖竊取帳密

2023-01-30

| 資料外洩 | 網釣攻擊 | Zendesk | 釣魚簡訊 | Coinigy

Zendesk員工被駭致用戶個資外洩

駭客去年9~10月間以釣魚簡訊攻擊手法,取得雲端客服軟體業者Zendesk員工帳號存取憑證,Zendesk直到今年1月中旬,才私下通知客戶資料可能因此外洩

2023-01-30

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊密軟體 | 木馬程式 | 資料外洩 | 漏洞揭露 | 資安事件

【資安週報】2023年1月16日到1月19日

CentOS主機網頁管理介面元件Control Web Panel(CWP)三個月更新修補的漏洞CVE-2022-44877要特別注意,已有攻擊者開始鎖定利用;研究人員發現微星主機板存在預設執行任意程式的情形,呼籲用戶變更相關配置為拒絕執行,以發揮安全開機的作用

2023-01-22

| 資安日報 | 漏洞揭露 | 漏洞濫用 | 勒索軟體解密工具 | AI資安威脅 | 資料外洩 | OT漏洞 | 資料破壞攻擊

【資安日報】2023年1月19日,Git修補3個重大RCE漏洞;印度人力銀行網站因資料庫配置不當而曝露近千萬筆個資

1月17日GitHub揭露3個漏洞,其中兩個的嚴重程度屬於重大等級,另一個屬於高度嚴重,影響2.39版的Git;資料庫系統因不當設定而在網際網路上裸奔的事故再度發生,這次是印度求職網站,在去年12月中被資安新聞網站披露,將近9百萬找工作的民眾個資面臨外洩危機

2023-01-19

| 日產 | 個資 | 資料外洩 | 軟體供應鏈 | 資安

日產汽車委外軟體業者測試資料保存不當,1.8萬北美客戶個資外洩

日產表示可能外洩的客戶個資包括姓名、生日、客戶帳號編號,至於社會安全號碼或信用卡資料則不受影響

2023-01-19

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月18日,研究人員揭露濫用GitHub Codespaces的攻擊手法,微軟修補Azure服務4項SSRF漏洞

資安業者提出警告,GitHub於去年底正式上線的雲端IDE服務GitHub Codespaces,有可能被駭客用於散布惡意軟體;微軟在2022年10月至12日,針對Azure提供的服務修補了4項伺服器端請求偽造(SSRF)漏洞,有資安業者近日說明細節

2023-01-18

| 資安月報 | 資安一周 | 資安周報 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 供應鏈攻擊 | 惡意程式 | 漏洞揭露 | 漏洞獎勵計畫 | 殭屍網路 | 個資外洩 | 駭客入侵

【資安月報】2022年12月

這一個月有三大資安議題值得仔細探討,包括針對微軟Exchange漏洞攻擊的消息,出現與CVE-2022-41080相關的攻擊手法,以及駭客利用搜尋引擎廣告散布惡意假網站的態勢,連美國FBI都提出警告,而在資安防護新聞中,包括Google新推OSV-Scanner,以及GitHub推出Secret scanning等成開發與資安人員關注焦點

2023-01-18