| 資安日報

【資安日報】2023年2月22日,新加坡與中國的大型資料中心用戶帳密遭竊、殭屍網路MyloBot每天感染逾5萬臺電腦

資安業者揭露一起鎖定大型資料中心的攻擊行動,駭客疑似竊得超過2千個客戶帳密;殭屍網路MyloBot出現新的攻擊手法,將受到控制的電腦租給代理伺服器服務供應商牟利

2023-02-22

| Coinbase | 釣魚簡訊 | 釣魚攻擊 | 資料外洩

Coinbase員工密碼被竊致駭客存取系統

今年2月間有駭客針對Coinbase員工發動釣魚簡訊攻擊,甚至假冒公司IT來電而成功取得Coinbase部份員工聯絡資訊,但Coinbase強調客戶資料或加密資產未受影響

2023-02-22

| 配置不當 | 配置錯誤 | 美國國防部 | 資料外洩 | 雲端安全

美國防部將敏感電子郵件曝險於外部網路達2周

研究人員發現美國國防部的雲端郵件伺服器未設密碼,導致任何取得IP位址的第三方,都能存取軍方內部信件

2023-02-22

| 資安日報

【資安日報】2023年2月21日,葡萄牙自來水公司傳出遭到勒索軟體LockBit攻擊、加密貨幣平臺Coinbase員工帳密遭駭

勒索軟體駭客LockBit聲稱葡萄牙自來水公司1月底的資安事故是他們所為,並要脅限期支付贖金;加密貨幣平臺Coinbase揭露鎖定他們員工的網釣攻擊,駭客差點成功入侵其內部環境

2023-02-21

| GoDaddy

GoDaddy被駭客竊走公司程式碼,並在代管服務植入惡意程式多年

在去年底部分用戶反映網站遭到重導向攻擊後,GoDaddy才發現代管服務遭駭,導致公司程式碼被竊及植入惡意程式,進而波及用戶網站

2023-02-21

| 資安日報

【資安日報】2023年2月20日,WordPress網站被植入廣告詐欺外掛程式、駭客組織使用13種語言發動商業郵件詐騙攻擊

研究人員揭露針對50個WordPress網站攻擊行動,駭客利用這些網站進行廣告詐欺牟利;有人利用超過10種語言發動BEC攻擊,鎖定全球企業而來

2023-02-20

| 南山人壽 | 數位長 | 呂新科 | 境界成就計畫 | 數位轉型

前臺北市資訊局長呂新科,出任南山人壽數位長一職

數位長專注數位加值生態系與數位加值應用,工作目標要推動南山數位轉型計畫

2023-02-20

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊密軟體 | 惡意軟體 | 木馬程式 | 資料庫配置不當 | 資料外洩 | 漏洞揭露 | 資安事件

【資安週報】2023年2月13日到2月18日

本周包括微軟等多家科技大廠發布產品修補公告,當中的關注焦點是,微軟修補了3個已遭鎖定利用的零時差漏洞,此外還有蘋果與Cacti的漏洞需要優先關注;近日資安威脅焦點上,有資安業者揭露新的惡意軟體濫用微軟IIS功能建立後門,而且鎖定對象是臺灣組織,以及ChatGPT引發的濫用風險持續受到大眾討論

2023-02-20

| FIDO | Passkey | 無密碼登入

Passkey無密碼登入正夯,NTT DOCOMO首度在臺公開導入經驗

日本NTT DOCOMO產品設計部門經理Masao Kubo在臺分享了他們在導入FIDO應用的經驗,如今他們正要提供新的身份驗證方法,支援WebAuthn與Passkeys。

2023-02-20

| 2FA | 推特 | Twitter Blue | SMS

推特將移除免費用戶的簡訊2FA功能

3月底之後,推特免費版用戶便無法使用基於簡訊的雙因素驗證服務(2FA),必須改用應用程式和硬體安全金鑰進行雙重身分驗證

2023-02-20

| 抗網釣MFA | Cookie Theft | pass-the-cookie | 身分認證 | RP ID

網站應用程式MFA被突破,還有Cookie theft的不同威脅層面

駭客要突破網站應用程式的MFA,除了鎖定OTP碼的誘騙或竊取,發動MFA登入通知轟炸,還有不同層面的攻擊方式,例如繞過驗證機制、針對Web瀏覽器技術的Cookie theft,近一年半,Google與微軟也持續揭露相關威脅活動

2023-02-20

| 資安 | 無密碼 | 身分驗證 | OTP | FIDO無密碼登入 | 抗網釣MFA | MFA | 零信任

從強式MFA到抗網釣MFA

多因素驗證(MFA)的發展已近20年,讓傳統密碼驗證多一層防護,值得關注的是,隨著這些年威脅態勢的演變,使得傳統的MFA形式被突破,因而鼓吹轉向更安全的MFA

2023-02-20