馬來西亞央行阻止可疑的SWIFT跨國轉帳,也間接提醒菲律賓注意類似的攻擊手法。

圖片來源: 

馬來西亞央行推特

馬來西亞央行遏止疑似SWIFT外匯轉帳詐騙

馬來西亞央行監管該國45家商業銀行,並於日前迅速遏止疑似SWIFT外匯轉帳的詐騙事件,該央行表示,主要是風險控制和其他的防禦措施,成功阻止該次駭客的假造的國際匯款轉帳事件,該行以及其他馬來西亞國內銀行,都沒有遭到任何的干擾和損失。不過,同為東南亞國家的菲律賓,緊接著向監管的銀行發出警告,以避免重蹈覆轍。更多內容

 

Drupal 6/7/8含有遠端攻擊漏洞,全球百萬網站安全拉警報

排名全球第三大內容管理系統的Drupal,近日傳出含有一個遠端攻擊漏洞,且被列為嚴重等級最高的安全漏洞,可被用來執行本地文件包含(Local file inclusion on Windows)攻擊、假冒攻擊與權限擴張攻擊,危害整個Drupal網站,全球約100萬個網站,通通會面臨這個安全漏洞的威脅。

此一編號為CVE-2018-7600的安全漏洞影響Drupal 6、Drupal 7與Drupal 8,且在最高25分的安全風險評分中取得了23分。根據Drupal組織的說明,該漏洞非常容易開採,只要要一般權限造訪Drupal網頁就能開採,所有的非公開資料都可被存取,也可更改或刪除系統資料,幸好現階段尚未傳出任何攻擊行動。Drupal為一以PHP撰寫的開源內容管理框架,名列全球第三大內容管理系統,市佔率為4.4%,落後WordPress的60.2%與Joomla的6.3%。更多內容

 

歐盟GDPR衝擊,傳蘋果將讓用戶下載所有基於Apple ID的個人資料

因應即將正式實施的歐盟GDPR(通用資料保護規則)即將於5月25日正式實施,媒體報導,蘋果將在未來幾個月內更新Apple ID的管理功能,讓用戶可下載留存在蘋果伺服器的個人資料複本,例如通訊錄、行事曆、照片,或是Apple Music的串流音樂。使用者也可以更新個人資訊,或是停用、移除個人的帳號。

外界相信蘋果不論是對Apple ID政策的更新,或是iOS 11.3對隱私說明的改善,都是為了順應即將到來的GDPR。更多內容

 

Under Armour旗下健身程式MyFitnessPal約1.5億名用戶資料外洩

美國運動品牌Under Armour日前指出,旗下健身程式MyFitnessPal與網站發生資料外洩,約影響該服務的1.5億名用戶。MyFitnessPal團隊表示,他們是在3月25日發現駭客在2月取得了攸關MyFitnessPal用戶的帳號資料,涵蓋使用者名稱、電子郵件帳號及雜湊密碼等, 不包括支付卡資料。MyFitnessPal並未公布駭客入侵的管道,但已通知受影響的用戶,同時要求用戶變更密碼。更多內容

 

快修補!思科爆重大遠端程式碼執行漏洞,850萬臺交換器拉警報

思科3月28日發佈半年一次的Cisco IOS 及IOS XE 軟體安全公告,其中最嚴重的是編號CVE-2018-0171的堆疊式緩衝溢位漏洞,它位於IOS 及IOS XE中的Smart Install功能中,成功的攻擊可能導致未經驗證的遠端攻擊者驅動裝置重新載入,而造成阻斷服務(DoS)或是任意程式碼執行攻擊。思科同時警告本項漏洞並沒有權宜方式可以避免,必須立即安裝修補程式。

思科表示,通報這個漏洞的資安公司Embedi,掃瞄偵測到網路上有25萬臺有漏洞的交換器裝置,並有850萬臺裝置開啟有漏洞的傳輸埠。曝險裝置數目如此之多,安全人員認為可能是因為Smart Install用戶端的TCP 4786預設為開啟,卻未被網管人員發現。更多內容

 

市面近1/4的VPN服務有漏洞,隱匿不成反而洩漏用戶IP

資深安全研究員以及滲透測試員Paolo Stagno,以筆名Voidsec在網路上揭露,他研究了市面上70家廠商的VPN服務,發現其中有16家的VPN服務,會透過WebRTC洩漏使用者的IP位置,占整體研究的VPN服務23%。他表示,透過瀏覽器的WebRTC技術會洩漏使用者的真實IP位置,不幸的是WebRTC在主流瀏覽器多數是預設啟用的。

他建議,如果使用者現在想保證完全的匿名瀏覽,第一優先便是停用WebRTC與JavaScript,停用畫布渲染(Canvas Rendering),並總是啟用DNS Fallback功能,禁止所有VPN供應商外的所有連線,無論在連接VPN之前與之後,都應完全關閉所有瀏覽器,清除瀏覽器暫存檔、歷史紀錄以及Cookie。更多內容

 

美國亞特蘭大市政府遭勒索軟體攻擊,員工電腦及Wi-Fi關機五天

美國喬治亞州的首府—亞特蘭大3月22日遭到勒索軟體攻擊,隔天市政府就要求員工關閉Wi-Fi與電腦,一直到3月27日才允許市政府的8,000名員工打開內部的電子郵件、Oracle、Siebel、Accela等服務,但市民仍然無法透過政府網站支付水費,也仍禁用亞特蘭大機場的免費Wi-Fi服務。

但該政府的網站功能3月29日尚未完全恢復,駭客的攻擊行動影響了亞特蘭大市的許多應用與客戶裝置,部份該市的資料遭到加密,造成市民無法使用用來支付帳單的線上服務,亦無法存取與法院相關的資訊,駭客向該市勒索了價值約5.1萬美元的比特幣。亞特蘭市市長Keisha Lance Bottoms表示,這並非只是個勒索軟體攻擊,而是鎖定政府的攻擊行動。更多內容

 

印度電廠帳戶系統被勒索軟體加密,要求1千萬印度盧比贖金

印度電廠日前傳出遭到駭客入侵帳單系統,客戶帳單資料遭到勒索軟體加密,而駭客要求該電廠必須支付1千萬印度盧比(約新臺幣448萬元),才會復原相關客戶資料。根據印度媒體報導指出,這些客戶帳單的資料庫遭到駭客加密,連必須從其他登錄系統恢復的備份資料庫,也同時被加密,這意味著,如果這些客戶資料無法順利復原,該電廠就無法精準的向客戶收費,包含前期所有帳單資料。更多內容

 

俄羅斯要求ISP封鎖1,500萬個IP,擬封殺行動對講機服務Zello

2016年俄羅斯總統普丁(Vladimir Putin)所簽署的打擊恐怖主義法案規定,ISP以及電信通訊公司需要向俄羅斯監管機構註冊,行動對講機App Zello直至今日並沒有依法申請,因此,俄羅斯政府建議ISP阻擋36個網際網路子網域,以中斷行動裝置無線對講機App Zello的連線,其中26個子網域包含了來自AWS的1,350萬個IP。更多內容

 

美國電信史上最大規模斷訊事件肇禍原因出爐,反詐騙操作意外封鎖1.1億通電話

美國聯邦通訊委員會(FCC)上月中公布了美國電信業者Level 3在2016年發生服務大規模中斷的調查報告,是因為技術人員進行反詐騙操作時,以封鎖詐騙嫌疑電話時,在原本該槙入電話號碼的欄位留白,導致系統封鎖了所有非Level 3通訊網路的來電。

當天約有1.11億通的電話被封鎖,其中有1.09億通是藉由Level 3的VoIP網路傳遞,有15個號碼要打給911被拒絕,還有117個公共安全應變中心(PSAP)無法收到使用者打來提供資訊的電話,相關服務總計中斷了84分鐘,也讓FCC旗下的公共及國土安全局(PSHSB)介入調查。更多內容

 

 

 

 

 

 

熱門新聞

Advertisement