PyPI數位認證讓套件維護者在發布Python套件時加入經過身分驗證的數位簽章,徹底提升供應鏈安全與追溯性,替代傳統PGP簽章機制

新聞 | node.js | TypeScript

Node.js添加實驗性TypeScript支援,版本穩定性疑慮引發社群激烈討論

Node.js新增實驗性TypeScript支援,引發社群對類型剝離、版本相容性的熱烈討論,並擔憂版本可能因TypeScript頻繁變更而需經常更新

2024-07-29

新聞 | NHS | Synnovis | 勒索軟體攻擊 | 資安事故 | 關鍵基礎建設

英國國民健康服務NHS遭遇勒索軟體攻擊7週後,已造成當地近1萬件急診與手術被迫延後

上個月初英國病理學暨診斷服務供應商Synnovis遭網路攻擊,造成英國倫敦醫院的部分服務中斷,但這起事件的復原相當緩慢,中間又經歷駭客組織威脅公布3億筆病患資料,如今仍有兩家醫院需延後1千多起急診與手術

2024-07-29

新聞 | APT45

APT45成員遭美國司法部通緝,意外揭露臺灣也有國防承包商遭北韓駭客攻擊

美國司法部在7月24日起訴一名隸屬於APT45的北韓駭客Rim Jong Hyok,值得關注的是,當中不僅揭露美國國防承包商、美國空軍基地、NASA監察長辦公室,是APT45攻擊行動下的受害者,臺灣也有國防承包商受害

2024-07-29

新聞 | NIST | Dioptra | AI | 評估 | 測試

美國釋出用來評估AI安全的Dioptra平臺

美國國家標準暨技術研究院開源軟體測試平臺Dioptra,以協助外界評估、分析及追蹤AI模型風險

2024-07-29

新聞 | PKFail | Binarly | 平臺金鑰 | 韌體安全 | 供應鏈安全 | 韌體供應鏈

PKfail安全啟動繞過漏洞恐衝擊數百萬設備,影響技嘉、Supermicro、Dell等9大業者

韌體安全公司Binarly揭露關於平臺金鑰(PK)管理問題的PKfail漏洞,將讓攻擊者可以繞過數百萬臺電腦的安全啟動過程,並強調這突顯出韌體供應鏈在加密金鑰管理實務上的嚴重缺失

2024-07-29

新聞 | 資安事件 | 資安事件公告 | 燦坤 | 燦星網 | 資安事件應變

燦坤與燦星網同日發布資安重訊,說明資訊系統遭受網路攻擊,目前線上購物網站持續停擺

國內又有上市公司集團同時遭遇資安事故,在7月23日晚間10點,燦坤與燦星網接連發布資安事件公告,說明公司資訊系統遭受網路攻擊,雖然未進一步透露具體影響範圍,但燦坤線上購物網站至今仍未恢復服務

2024-07-29

新聞 | 微軟 | Azure AI | Phi-3 | 微調

微軟Azure AI推出小語言模型Phi-3微調工具、新增Llama 3.1、GPT-4o mini等模型

Azure AI開放用戶使用小語言模型Phi-3進行微調,同時上架多款新模型包括OpenAI GPT-4o mini、Meta Llama 3.1 405B、Mistral Large 2,以及Cohere Rerank

2024-07-29

新聞 | X | Grok | 公開推文 | 聊天機器人 | 模型訓練 | 個資 | 隱私

X自動蒐集用戶推文來訓練Grok

在遭到外界披露未經用戶同意,便自行蒐集公開推文來訓練聊天機器人Grok底層模型後,X官方才坦承確有此事,急忙澄清用戶可透過網頁版X關閉預設被開啟的資料分享選項

2024-07-29

新聞 | Chrome | 密碼管理器 | Password Manager | 異常 | Chrome更新

Google解決Chrome密碼管理工具的臭蟲

Google坦承部分Chrome用戶在升級瀏覽器版本後,因密碼管理工具(Password Manager)發生異常而找不到原本儲存在瀏覽器的密碼資料

2024-07-29

新聞 | 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體 | CrowdStrike

【資安週報】2024年7月22日到7月26日

關於這一星期的資安消息,先前CrowdStrike的EDR系統更新造成的Windows電腦大當機事故,持續引發熱烈關注與討論,尤其是國內外災情影響的統計,以及事故調查的揭露,甚至還有多種相關衍生議題的探討

2024-07-29

新聞 | GitHub | 惡意軟體 | Stargazers Ghost | Distribution as a Service | DaaS | RedLine | Lumma Stealer | Rhadamanthys | RisePro

逾3千個GitHub帳號遭駭客組織Stargazer Goblin濫用,作為散布惡意軟體的管道

資安業者Check Point揭露駭客組織Stargazer Goblin經營的惡意軟體散布網路,此網路由超過3千個「幽靈」GitHub帳號組織,但研究人員指出,GitHub僅是這些駭客濫用的其中一種平臺

2024-07-28

新聞 | CVE-2024-21412 | 竊資軟體 | Water Hydra | Lumma Stealer | Meduza Stealer | ACR Stealer

網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體

今年2月微軟公告的零時差漏洞CVE-2024-21412,最近有新的調查指出,駭客用來散布竊資軟體的時間遠比先前揭露的要來得久,可能超過一年

2024-07-27