資安一周[0117-0113]：FTC祭出2.5萬美元徵求最佳IoT家庭安全方案

重點新聞（01月17日-01月17日）
 

MongoDB攻擊愈演愈烈， MongoDB祭安全查核表

在網路上供公開存取的開放源碼資料庫MongoDB在傳出遭到駭客鎖定、移除資料並進行勒索的疫情迅速蔓延，除了第一個展開行動的駭客之外，還加入了另外兩個模仿犯，迄今攻擊MongoDB公開資料庫的駭客陣營已經超過了12個，而且還在持續成長當中，另外，受駭資料庫的數量已突破1萬個，且所勒索的金額從0.15個比特幣（現值約137美元）到1個比特幣（912美元）不等。揭露此一攻擊行動是白帽駭客Victor Gevers，他在網路上搜尋了MongoDB的27017與28017等通訊埠，發現潛在受駭對象高達9.9萬個，且隨著加入的駭客陣營愈來愈多，受駭資料庫的數量亦直線上升，估計已有超過2.7萬個MongoDB資料庫的內容遭到移除。而MongoDB背後的商業公司MongoDB. Inc則提供了安全查核表以協助MongoDB用戶保障資料庫安全。更多新聞

路由器、網路攝影機安全性不足，友訊遭美國政府告上法院

美國貿易委員會（FTC）控告路由器大廠友訊（D-Link）生產的無線路由器及IP攝影機安全防護不足可能遭駭，導致美國消費者資訊隱私受到侵害。FTC向加州北區法院提出告訴，友訊網站上雖然以標題為輕鬆防護及進階網路安全性的行銷文件標榜其路由器的產品安全性，但該公司的產品卻有種種常見且防護也不難的安全瑕疵。如友訊相機軟體整合寫死（Hard-Coded）的登入驗證資訊，可能導致未授權存取。指令注入（Command Injection）軟體漏洞讓遠端攻擊者可傳送未授權指令而取得路由器控制權；D-Link軟體的登入私有金鑰碼處置不當，像是暴露於公開網站上長達6個月；以及用戶登入驗證資料明明有免費防護軟體而不用，卻使其以可讀取的明碼形式留存行動裝置的App上。更多新聞

圖片來源：D-Link

電競遊戲社群ESEA遭駭，駭客勒索不成公開150萬名會員的個人資料

電子競技娛樂協會（ESEA）在去年12月底遭到駭客入侵，因拒絕支付駭客所提出的贖金，使得駭客於1月8日對外釋出了ESEA網站中150萬名用戶的個人資料，如使用者的真實姓名、帳號名稱、採用雜湊密碼、電子郵件帳號、生日、電話、Steam ID、Xbox ID與PSN ID等。根據ESEA的描述，駭客是在去年的12月27日透過抓漏獎勵專案與該組織聯繫，宣稱已經取得了該組織的使用者資料，並且向其勒索10萬美元，否則就出售或公開相關資料。ESEA隨後兩天確認被攻陷的系統，將它隔離以進行修補。資安專家警告，即使使用者密碼受加密保護，但駭客仍然可藉由詳細的個人資料展開各式攻擊，例如網釣攻擊，特別是ESEA所提供用戶填寫的欄位超過了90個。更多新聞

美國中情局資料庫遭駭，駭客公開中情局長等人個資遭判刑5年

據美國法務部檢察官辦公室近日公告，北卡羅萊納州一名24歲男子Justin G. Liverman，承認於2015年11月入侵美國政府高級官員辦公室，竊取並公開包括CIA局長John Brennan等人的網路帳號等個人資料，並電話騷擾與寄發威脅性簡訊給受害者與其家人。此外，Liverman也入侵聯邦執法資料庫（Federal Law Enforcement Database），並在網站公開相關文件。當地地方法院宣判該男子違反侵入政府資料庫和散布機密資訊，判處5年有期徒刑。更多資料

勒索軟體FireCrypt不僅會加密資料，還能夠發動DDoS攻擊

專門蒐羅惡意程式的MalwareHunterTeam發現，一支名為FireCrypt的勒索軟體，不僅會加密電腦裡的資料，還能夠利用受駭的電腦，發動DDoS攻擊。MalwareHunterTeam經過分析發現，製作這一支程式的駭客，能夠透過命令列程式自動將多個FireCrypt樣本集合在一起，讓駭客可以一次調整多個勒索軟體的基本設定，不過，駭客能否成功駭進使用者電腦，取決於用戶是否點擊含有惡意程式的EXE檔案，一旦用戶成功點擊之後，FireCrypt會使用AES-256加密法加密文件，並要求用戶支付贖金500美元，另外，該勒索軟體也會持續遠端連線到巴基斯坦電信管理局，並下載大量垃圾檔案，以儲存在用戶硬碟中的暫存文件夾裡面。更多資料

微軟、高通與花旗加入資安育成公司Team8的全球聯盟

位於以色列的資安育成公司Team8宣布，Microsoft Ventures、Qualcomm Ventures與花旗集團（Citigroup）都將加入該公司的全球網路聯盟，以協助Team8發展可解決現今各種網路安全問題的新創公司。而Team8全球網路聯盟的成員則可共同參與建立一家資安公司所需的研究、理念的形成與驗證階段。Team8表示，在正式展開商業化經營的2016年，旗下公司已創造超過2,200萬美元的營收，而所募集資金亦突破9,200萬美元，目前全球員工數為180名，而且，預計於今年擴大Team8的規模，再招募100名新員工。更多新聞

賽門鐵克推出家庭物聯網裝置專用的Wi-Fi路由器Norton Core

賽門鐵克（Symantec）發表了專為家用物聯網裝置所設計的Wi-Fi路由器Norton Core，它內建資料加密、安全DNS、病毒掃瞄功能，可自動更新韌體，並具備家長控制功能，最多可支援20個連網裝置。支援Wave 2 Wi-Fi的Norton Core搭載1.7GHz的雙核心處理器，並有充足的記憶體及Flash儲存空間以確保Wi-Fi與安全功能的最佳效能，2.5Gbps的傳輸速率可支撐4K串流與遊戲應用。此外，Norton Core內建了安全機制，可掃瞄家用網路進出數據是否藏有惡意程式、病毒、垃圾訊息或遭到入侵，一旦察覺連網裝置含有任何漏洞或威脅，Norton Core即會將該裝置隔離，並且通知使用者。更多新聞

圖片來源：賽門鐵克

Google一口氣修補逾90個Android安全漏洞，近三分之一為重大漏洞

Google分別在今年1月1日與1月5日釋出Android平臺的安全更新，總計修補了逾90個安全漏洞。當中有29個屬於重大（Critical）風險漏洞，其中，最嚴重的漏洞為藏匿在Mediaserver的CVE-2017-0381，將可帶來遠端程式攻擊。Google指出，該漏洞允許駭客藉由電子郵件、網路瀏覽或多媒體簡訊促使系統處理多媒體檔案時，執行遠端程式攻擊。除了CVE-2017-0381之外的28個重大風險漏洞中，有10個與Nvidia的GPU驅動程式有關，皆屬權限擴張漏洞，另有10個與高通的多個元件有關。雖然修補的漏洞數量眾多，不過，Google表示尚未收到任何漏洞遭到開採的通報。更多新聞

強化物聯網家庭安全，FTC祭出2.5萬美元徵求最佳的資安方案

美國聯邦交易委員會（FTC）在今年1月4日發起物聯網家庭資安檢查挑戰賽（IoT Home Inspector Challenge），祭出了2.5萬美元的獎金給予提供解決物聯網裝置安全問題的最佳技術解決方案。此一活動邀請參賽者透過打造一項工具，來檢察與解決物聯網裝置，因為軟體老舊等所造成的安全漏洞。不過，FTC並沒有限制相關技術的規格，因此該工具可以是個實體裝置，簡單地加進家中網路就能夠替所有IoT裝置進行檢查及安裝更新，也能是行動程式或雲端服務，或者只是儀表板或其他的使用者介面，此外，參賽者也可以增添解決方案的功能，像是替使用者變更物聯網裝置所內建、出廠預設或任何簡單的密碼。更多新聞
整理⊙胡瑋佳