資安

2024年即將到來，在2023年11月的資安新聞與事件中，防詐議題成為最大焦點，尤其社交工程手法不斷揉合更多詐騙伎倆，加上生成式AI讓詐騙內容可以更逼真，以及Deepfake與AI語音複製技術已開始用於既有詐騙招式，使得AI詐騙議題備受資安界關注

麻省理工學院（MIT）的個人資料洩漏調查報告指出，2022年資料外洩的事件數量是2013年的3倍，強調組織應該限制可讀格式的個人資料收集量，並採用端到端加密等技術保護敏感個人資料

Akamai揭露一種針對Active Directory整合DNS環境的攻擊，攻擊者可透過濫用微軟DHCP伺服器的不安全配置來偽造DNS紀錄，進而竊取敏感資料或是將流量導向惡意網站等攻擊

本星期有多個新型漏洞研究的公開揭露，相當值得關切，包括：涉及UEFI開機、韌體圖像解析器的LogoFAIL漏洞、AI模型資源平臺Hugging Face的API漏洞，以及針對藍牙技術底層漏洞的新型攻擊手法Bluffs

有鑑於鎖定WordPress網站外掛程式漏洞的攻擊行動頻傳，駭客竟將計就計，謊稱網站存在特定CVE編號的漏洞，要管理者套用「修補程式」

Android、Linux、macOS和iOS等多個作業系統，都被發現存在藍牙鍵盤注入漏洞CVE-2023-45866，允許攻擊者執行任意命令，從8月回報以來Apple尚未釋出更新

俄羅斯駭客山頭林立，犯案累累，本週英國、美國等5個國家組成的五眼聯盟特別提出警告，呼籲大家注意Star Blizzard的攻擊行動，指出這些駭客聽令於俄羅斯軍情單位，甚至曾干預選舉