| Magento | Google Tag Manager
程式碼管理工具Google Tag Manager遭濫用,攻擊者用來對Magento網站側錄信用卡資料
資安業者Sucuri揭露濫用網站追蹤程式碼(Tag)管理工具Google Tag Manager的攻擊行動,目標是Magento電子商務網站,經過客戶通報及後續調查,研究人員確認至少有6個網站受害
2025-02-11
| iOS | iPadOS | CVE-2025-24200 | 零時差漏洞
本週蘋果對於電腦、行動裝置、穿戴裝置發布作業系統更新,當中針對iPhone與iPad修補一項資安漏洞CVE-2025-24200,並指出該漏洞已被用於針對特定人士發動攻擊
2025-02-11
| 資安日報
【資安日報】2月10日,150家企業組織的AD聯合身分驗證服務系統遭鎖定,駭客藉此挾持帳號
資安業者Abnormal Security揭露一起主要針對教育機構而來的大規模網釣攻擊,駭客鎖定AD聯合身分驗證服務服務(ADFS)下手,從而成功突破多因素驗證(MFA)並挾持Microsoft 365帳號
2025-02-10
| Power Platform | SharePoint connector | SSRF
Power Platform的SharePoint連接器存在SSRF漏洞,攻擊者有機會冒充使用者的名義發送請求
資安實驗室Zenity Labs公布他們去年9月向微軟通報的伺服器偽造請求(SSRF)漏洞,此弱點出現於低程式碼開發平臺Power Platform的SharePoint連接器,攻擊者一旦成功利用,就有機會冒充使用者存取SharePoint環境
2025-02-10
150家企業組織遭到鎖定,駭客藉由AD聯合身分驗證服務繞過多因素驗證,從而挾持帳號
資安業者Abnormal Security對於超過150個企業組織而來的大規模網路釣魚攻擊提出警告,駭客針對AD聯合身分驗證服務服務(ADFS)下手,透過網路釣魚誘騙使用者提供相關驗證資料,從而繞過多因素驗證(MFA)機制竊取Microsoft 365帳號
2025-02-10
DeepSeek的AI服務隱私防護遭質疑!資安業者指控恐將用戶輸入資料傳至中國國營電信業者
中國AI工具DeepSeek本身就表明會將使用者資料存放於中國,且可能會與執法機關和合作夥伴共享,但資安業者Feroot Security發現,這家AI公司竟在此項服務的用戶網頁版登入介面裡,疑似埋藏將資料後送到中國國營電信業者中國移動(China Mobile)的程式碼,此舉恐讓中國政府直接掌控DeepSeek用戶的聊天資料
2025-02-10
| 資安日報
【資安日報】2月8日,多家資安業者揭露中國AI工具DeepSeek,美國擬禁政府公務設備使用
中國AI工具DeepSeek爆紅,但資安業者陸續公布相關調查結果提出警告,指出該AI模型存在嚴重的資安風險,能被越獄並用於網路犯罪,行動裝置版本App也採用不安全的傳輸機制,恐危及用戶
2025-02-08
逾3千個曝露的ASP. NET金鑰遭到濫用,攻擊者用於散布惡意程式框架
微軟威脅情報團隊針對開發人員不慎在公開文件及程式碼儲存庫曝露ASP.NET金鑰的情況提出警告,因為去年底有人利用這種金鑰散布惡意程式框架Godzilla
2025-02-08
| DeepSeek | DeepSeek R1
DeepSeek R1大型語言模型存在資安弱點,恐被越獄用於網路犯罪
資安業者Kela、Palo Alto Networks,以及思科先後對中國AI模型DeepSeek R1提出警告,他們利用多種已知的越獄手法進行測試,結果發現攻擊者能成功要求該模型打造惡意程式、編寫釣魚信,提供製作武器的方法
2025-02-08
| DeepSeek
研究人員發現DeepSeek iOS App多項漏洞,還將資料傳送到中國
資安業者NowSecure針對DeepSeek iOS App進行安全與隱私評估,在資料蒐集/處理/加密與儲存等面向發現多項安全缺失
2025-02-08