資安一周[1118-1124]：鼎新電腦公告提醒BPM用戶留意被偷植挖礦程式，行政院將在二個月內提出推動資安產業的具體方案

重點新聞（11月18日-11月24日）

鼎新電腦貼公告，提醒BPM用戶注意挖礦程式偷算力

鼎新電腦日前在公司網站貼出一則與BPM產品EasyFlow GP相關的公告，公告中指出，有客戶發現該公司的微軟伺服器中毒後，會利用伺服器上web server（例：jboss）當跳板連上其他的網站，然後下載挖礦程式，當挖礦程式開始執行後，用戶端的電腦處理器效率大幅降低，嚴重影響電腦效能。

鼎新電腦不願意正式接受採訪，僅對外表示，有協助客戶解決被植入挖礦程式影響電腦效能的問題，且建議，如果客戶端發現電腦效能突然受到影響時，也應該事先檢查，是否有安裝防毒軟體等資安防護手段，再設法檢查是否被植入挖礦程式影響電腦效能。

也有匿名資安專家推測該起事件來龍去脈，可能出現在兩種情境，情境一就是，駭客直接利用鼎新電腦產品上面的JBOSS的漏洞，植入挖礦程式；情境二則是，駭客使用微軟SMB漏洞，進入有鼎新電腦產品安裝的伺服器，再使用JBOSS去下載挖礦程式，藉此入侵使用者端的電腦偷算力。

該名資安專家指出，情境一是比較像近期國外發生多起駭客利用JBOSS漏洞，植入挖礦程式的情況；但情境二的情境描述比較符合鼎新電腦的公告，但資安專家認為，當駭客都可以直接進入企業內部網路時，就可以直接放挖礦程式即可，並不太需要另外藉由JBOSS下載挖礦程式，更不需要特別選有安裝鼎新電腦BPM產品的伺服器。更多資料

資安再度成為國家力推的重點產業，行政院長賴清德要求：二個月內提出具體政策計畫

因為總統蔡英文一句「資安等於國安」奠定府院對於資安的重視，也帶動如何資安等於國安推動臺灣資安產業的發展議題，才舉辦維持兩天的資安產業策略會議（SRB），這也是自2009年以來，第二度針對資安產業所舉辦的策略發展會議。

對於行政院而言，只有重點推動的產業才會舉辦產業策略發展會議（SRB），資安產業有幸成為今年舉辦SRB會議的產業之一，因此，行政院長賴清德在致詞時希望，行政院以降，也在組織與政策面多方調適下，將資安視為政府推動的重點產業。賴清德也指示科技會報，要在兩個月內，推出可以執行的具體行動方案，加速推動與提升臺灣的資安產業發展。更多資料

個資法將再次修法設立個資專責機構，國發會先上vTaiwan徵求意見

從個資法正式施行的第一天開始，就一直有期待成立個資專責機構的呼聲，但當初，因為法案才剛剛過，需要一段時間的推廣和適應，所以成立個資專責機構就一直不是修法重點。

雖然說，法務部看起來像是個資法的法律解釋機關，但真正具有實權的卻是可以做行政檢查和懲處的中央目的事業主管機關，p jo4就可能發生，對於個資法的詮釋，法務部和中央目的事業主管機關有所不同。

此次在推動個資法的修正之前，國發會則在vTaiwan平臺上徵詢各界對於成立個資專責機構的看法和建議。有興趣的人，可以在12月8日前，到vTaiwan表達看法。更多資料　　

中國手機OnePlus收集手機資訊的App，預設開啟如同後門程式

中國手機打著「物美價廉」與高性價比的特色，在全球打響名號，像深圳的一加公司所推的手機OnePlus在全球有不錯銷售成績，雖然不在臺灣上市，卻也有許多愛好者。

但是，日前有法國資安研究員公開揭露，除了OnePlus原型機之外，每一款型號的OnePlus都在Android手機作業系統中，內建一個「工程師模式」的App，可以偷偷檢查使用者的GPS位置以及硬體掃描。一般而言，這樣的工程師使用工具都會在出廠前就移除或者是關閉相關功能，但OnePlus手機卻預設開啟工程師模式App。

一加公司今年十月才公開承認，的確有回傳客戶資料到中國伺服器。更多資料

Uber外洩5,700萬筆個資，安全長秘密付10萬美元要駭客刪偷走個資

雖然大家都說，不要對駭客屈服，不要成為黑色產業的幫兇。但如果，今天發生在你公司的客戶資料外洩，你願不願意付錢請駭客把偷走的資料銷毀呢？去年十月，Uber發生客戶和700萬名駕駛的個人資料外洩，總計外洩資料筆數達5,700萬筆，但是在該公司日前揭露的調查報告中發現，該公司資安長秘密支付駭客10萬美元，希望可以刪除被偷走的客戶資料。但隨著付錢給駭客刪資料的事情被揭露，安全長（CSO）Joe Sullivan也因此下臺。

Uber在去年外洩的客戶資料中，包括全球5千萬名駕駛的個人姓名、電子郵件、電話號碼，其中有700萬名駕駛資料可以被存取，還包含60萬筆美國駕駛的駕照號碼。但Uber強調，這次外洩的資料中，並沒有包括社會安全號碼、信用卡資訊以及個人旅遊的細節等。更多資料

新版OWASP Top 10出爐，微服務風潮帶來三大新安全風險

最新的OWASP Top 10 2017年版，終於在11月20日正式公布， 前三大全新入圍的資安風險中，都跟近年來微服務興起有關係，分別是常見的「XML External Entity，XXE」（XML外部處理器漏洞）、針對Java、PHP和Node.js等常見的「Insecure Deserialization」（不安全的反序列化漏洞），以及「Insufficient Logging & Monitoring」（紀錄與監控不足風險）。

若與2013相較，第一名仍然是各種的注入攻擊，第二名則是無效身分認證，但2013年第三名是常見的跨站網站攻擊（XSS），到2017年排名第七名，其中一個關鍵的原因在於，目前有許多漏洞掃描工具都內建可以掃XSS的漏洞，也讓企業用戶可以更快時間修補XSS漏洞，但OWASP表示，漏洞排名往下降，並不代表不危險，只是該資安漏洞可以因為一些產品和技術興起，而有比較好的因應與處理方式。更多資料

美國公布北韓國家駭客作案IP，近2百個臺灣IP名列其中

美國國土安全部與聯邦調查局自今年六月開始，陸續揭露北韓政府的國家駭客組織—「Hidden Cobra」，其實與其他資安公司所稱的北韓駭客組織Lazarus，是同一個團體。

Hidden Cobra駭客組織自2013年就已經利用Volgmer木馬程式，攻擊政府、金融、汽車與媒體等產業，主要以釣魚郵件的方式植入木馬程式，起碼利用了94個固定IP位址與數千個動態IP位址做為C&C中繼控制站，其中，有兩個臺灣固定IP名列其中，分別為臺灣學術網路與新世紀資通所擁有。在數千個受害動態IP中，臺灣有169個IP被利用，占整體Volgmer所挾持的動態IP總數的5.6％，排名第五；受害IP大宗，則是印度與伊朗。更多資料

桃機自動通關系統當機一小時，原因不明

許多民眾出國或回國的時候，都會選擇快速的自動通關系統，透過臉部辨識以及指紋辨識的方式，取代過往大排長龍的出關或入關。

只不過，桃園機場的自動通關系統在11月17日下午二點多發生大當機的意外，到三點多復原，也讓桃園機場出入關的通道，人滿為患。但是，桃園機場後續並沒有進一步說明系統當機的原因。更多資料

當心! 全球前5萬大網站中有482個會紀錄你的鍵盤敲擊、滑鼠軌跡

美國普林斯頓大學的資訊技術政策中心（CITP）日前公布一項研究報告，指出在Alexa全球前5萬個流量最大的網站中，有482個會利用「期間重播」（Session replay）服務來紀錄使用者的行為，包含鍵盤敲擊、滑鼠的移動、瀏覽行為、所停留的網頁內容，甚至紀錄使用者輸入的密碼等機密資訊，並將這些紀錄傳送到第三方伺服器上，可能引起上網隱私爭議。更多資料

英特爾修補影響數百萬臺電腦與伺服器的CPU韌體漏洞

英特爾修補存在於處理器韌體的8個漏洞，包括Intel ME、Intel SPS及Intel TXE上的漏洞，受影響的產品涵蓋了第6/7/8代Core處理器家族、Intel Xeon E3-1200及Scalable、W等處理器家族、Intel Atom C3000處理器家族、Apollo Lake Intel Atom Processor E3900系列、Apollo Lake Intel Pentium，以及Celeron N與Celeron J系列的處理器，估計數百萬臺電腦與伺服器可能受影響。更多資料