| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2022年12月29日,NFT投資人遭北韓駭客鎖定、研究人員揭露由動作感知器竊聽安卓手機的手法EarSpy

北韓駭客組織鎖定NFT投資者下手,濫用近200個網域發動大規模網釣攻擊;藉由手機的揚聲器與動作感知器,也有可能對使用者通話內容進行監控

2022-12-29

| 字節跳動 | TikTok | 禁令 | 美國政府 | ByteDance

美新法案將全面禁止公務裝置安裝Tiktok

12月間美國參議院通過《No Tiktok on Government Devices Act》法案,待總統簽署生效後,美國政府或國營企業發放的公務裝置將全面禁用Tiktok

2022-12-29

| 微軟 | Azure | ACS | ACSESSED漏洞 | 權限擴充漏洞

微軟Azure修補了跨租戶存取漏洞

Azure認知搜尋(ACS)一項名為「Allow access from Portal」的功能含有權限擴充漏洞,允許攻擊者跨租戶存取ACS私有執行個體中的資料

2022-12-29

| 資安日報 | 資料外洩 | 漏洞揭露 | 新興資安威脅 | 勒索軟體 | 網釣攻擊 | 竊密軟體 | 偵測規避 | 金融安全 | 上市櫃資安

【資安日報】2022年12月28日,GuLoader惡意軟體下載器又有新Shellcode規避偵測技術;台積電在年底前設置資安長一職

為了規避資安產品的偵測,GuLoader惡意軟體下載器被發現當中用了新的伎倆,是值得關注的威脅;今天臺灣企業資安有兩個重大新聞,首先是上市櫃第一級公司設置資安長期限將至,台積電資安長任命出爐,另一個是金管會發布金融資安行動方案2.0,深化我國金融機構資安

2022-12-28

| 數位發展部 | 唐鳳 | 零信任 | T-Road | 抖音 | 資通安全研究院

數位發展部2023年施政方針,確保政府資安:力推零信任網路架構和T-Road平臺

個資A級機關透過T-Road交換資料 政府全面禁用抖音App

2022-12-28

| 美國國防部 | 生物識別設備 | 資料外洩 | 資料銷毀

eBay銷售的二手裝置包含美國軍方資料

安全研究人員透過電商平臺eBay購買的二手生物識別設備,含有數千人的指紋、相片、以及美軍作戰部署等機密資料

2022-12-28

| 加密貨幣 | 礦池 | BTC.com

BTC.com遭網路攻擊損失300萬美元等值資產

加密貨幣礦池BTC.com在12月3日遭到網路攻擊,攻擊者竊走BTC.com客戶持有約70萬美元的加密貨幣,以及BTC.com持有約230萬美元的資產

2022-12-28

| 勒索軟體 | 北韓駭客 | 網釣攻擊

北韓駭客對近9百名南韓外交專家發動竊密攻擊、以勒索軟體加密購物網站

南韓警察廳證實北韓駭客對南韓外交政策學者發動釣魚信件攻擊,並首度發現北韓駭客以勒索軟體攻擊當地電商網站

2022-12-28

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2022年12月27日,逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

有人在駭客論壇求售4億筆推特用戶資料,並要脅推特若不贖回將會面臨GDPR的高額罰款;新的竊密軟體RisePro透過惡意軟體下載器PrivateLoader散布,駭客已在地下市集兜售偷來的資料

2022-12-27

| 金融資安行動方案 | 金管會 | 零信任

金融資安行動方案發布2.0,新增14項措施,將鼓勵金融機構擁抱零信任

2.0版推動藍圖,除了在政策面和管理面新措施,如定期舉辦資安長聯繫會議,也因應金融業數位轉型需求來修訂相關自律規範,另外,為了深化資安強度,將鼓勵金融機構採用零信任架構,擴大推動資安監控機制,也要重視金融核心資料的保全。

2022-12-27

| Ruby | WebAssembly | YJIT

程式語言Ruby聖誕更新,3.2.0開始支援WebAssembly

Ruby 3.2.0以WASI為基礎,提供WebAssembly支援,使得Ruby開發人員可以簡單地開發WebAssembly應用程式,在網頁、邊緣或WebAssembly嵌入器中運作

2022-12-27

| 推特 | 資料外洩 | API漏洞

駭客宣稱取得4億筆推特用戶資料,並高調出售

根據資安網站BleepingComputer報導,有人在駭客論壇聲稱,已利用推特今年被揭露的一項API漏洞,取得4億筆推特用戶個資

2022-12-27