資安一周【0627-0703】用複製&貼上把加密貨幣送到錢包沒有你想像中安全。日本天皇明年退位，年號紀元將換新，小心千禧年事件重演

6/27~0703一定要看的資安新聞

還在用複製&貼上把加密貨幣送到錢包嗎？小心加密貨幣落到駭客口袋

今年初有資安業者相繼揭露一木馬程式，它能監控Windows的剪貼簿，察看它是否存有比特幣或以太幣的地址，因此，若使用者習慣用複製及貼上把加密貨幣傳送到特定錢包地址，駭客就能竄改該地址而中飽私囊，然而，Bleeping Computer發現，該木馬程式原本只能監控數十萬的加密貨幣地址，近日出現的新版則已將監控的地址數量擴大至230萬個。

加密貨幣的錢包地址是由複雜的數字與字母字串所組成，很少人會背下自己的錢包地址，多半是在需要時先複製它，再貼至正在使用的應用程式中，這些被複製的錢包地址會短暫地停留在剪貼簿中，而該木馬程式則能持續地監控剪貼簿的內容。更多內容

日本明仁天皇明年將退位，年號紀元也會換新，微軟：小心千禧年事件重演

日本明仁天皇預計將在2019年4月30日退位，用了30年的「平成年號」也將換新，不過，微軟提醒，這可能引發當時西元2000年千禧蟲(Y2K）的問題。因此微軟也在Windows 10春季釋出的更新中，內建了在2019年5月1日的時代轉換占位符，當日本政府正式公告下一任繼位天皇紀年名稱，就會以更新的方式更換占位符，微軟提到，如因為時代轉換占位符造成應用程式失效，可以暫時先將該值從註冊表中移除。更多內容

Wi-Fi 聯盟公佈更安全的WPA3標準

一如今年初的預告，在六月底Wi-Fi聯盟（Wi-Fi Alliance）終於正式公佈最新版Wi-Fi標準WPA(Wi-Fi Protected Access) 3，宣稱比之前標準更安全、更難破解。

前一版WPA2公佈已是2004年的事。Wi-Fi聯盟表示，最新標準是在WPA2基礎之上增加新功能以簡化Wi-Fi安全、使用更安全的驗證，以及強度更高的加密技術。更多內容

愛迪達美國網站被駭，數百萬用戶個資外洩

再傳大規模資料外洩！運動用品大廠愛迪達(Adidas)近期公佈自家美國網站遭駭，使數量不明的消費者個資，包括使用者名稱、密碼及聯絡資訊等外流，但有媒體報導受害人數高達數百萬。

愛迪達是在6月26日發現其adidas.com/US網站遭到未授權人士存取，並取得了愛迪達「特定」消費者的「有限」資料。彭博及洛杉磯時報等媒體都引述愛迪達發言人表示，受影響用戶人數達「數百萬」。更多內容

LTE規格漏洞可窺探使用者流量，或將使用者導至惡意網站

多名研究人員於最近發表一研究報告，表示他們在大家所熟悉的4G LTE（Long-Term Evolution）網路的資料連結層（Data Link Layer）中發現了3種攻擊途徑，其中有兩種屬於被動攻擊，可比對使用者身分或辨識使用者所造訪的網站，另一個名為aLTEr的主動攻擊則允許駭客利用LTE標準的漏洞偽造DNS以竄改使用者的連結，由於它們屬於標準設計上的漏洞，目前無從修補，幸好攻擊成本所費不貲，較可能被應用在目標式攻擊。

資料連結層介於實體層（Physical Layer, Layer One）與網路層（Network Layer, Layer Three）之間，因此又稱為Layer Two，它負責處理用戶的網路資源存取，協助糾正傳輸錯誤，並以加密來保護資料。更多內容

Brave瀏覽器整合Tor，強化隱私瀏覽模式

由JavaScript之父Brendan Eich所建立、標榜封鎖所有分析與追蹤元件的Brave瀏覽器於最近釋出了Brave 0.23版，此一新版本整合了Tor軟體並推出隱私標籤Private Tabs with Tor，可避免用戶遭到ISP業者、Wi-Fi供應商或網站業者的追蹤。

Tor是個可供暱名通訊的軟體，為洋蔥路由器（The Onion Router）的縮寫，用戶可藉由Tor連結由全球志願者免費提供的逾7,000個中繼站來引導流量，以隱藏使用者的位置與行為，躲避監控與流量追蹤，Brave用戶只要從File選單中點選「New Private Tab with Tor」就能啟用隱私模式。更多內容

幫助用戶符合GDPR要求，AWS在臺說明相關安全法遵服務

歐盟GDPR這套號稱最嚴格的個人資料保護法，已經正式實施一個月，各雲端大型業者為了幫助用戶能對應此一法規遵循，也早已採取行動，像是去年3月26日，雲端服務廠商AWS（Amazon Web Services）就在官網宣布，旗下所有服務皆符合GDPR，他們並在去年12月底發布GDPR Center網站與相關白皮書。

對於臺灣企業用戶而言，要理解這些白皮書的內容，可能需花費許多時間。不過，近日（6月28、29日）於臺北國際會議中心舉行的AWS高峰會，也包含AWS服務與GDPR的介紹，具體說明相關事項，以及在AWS服務中，有那些工具或服務，能幫助企業用於GDPR法遵。更多內容

售票網站Ticketmaster的第三方通訊程式被駭，用戶個資、支付資訊外洩

全球最大售票網站之一 Ticketmaster在6月27日承認，受合作廠商提供的客戶支援聊天軟體被駭影響，導致曾在該公司在英國及海外網站上售票的客戶支付資訊外洩。

Ticketmaster在6月23日在由西班牙廠商Inbenta Technologies代管的客戶支援聊天軟體上發現惡意程式。一段由Inbenta專為Ticketmaster客製的JavaScript程式碼遭駭客變造，而將Ticketmaster客戶個資，包括姓名、地址、信箱、電話號碼、登入帳密及支付資訊傳送給外部不知名人士。該公司發現後已經立即關閉Ticketmaster全球所有網站上的Inbenta軟體，防止災害擴大。更多內容

臉書第三方小遊戲可能洩露1.2億用戶資訊

臉書才因一個心理測驗遊戲導致8,700萬筆用戶資料遭濫用的劍橋分析醜聞，安全研究人員又發現另一個姓名測驗遊戲app有漏洞，洩露1.2億名用戶資訊，時間長達一年。所幸漏洞已經修補。

問題出在一家名為Nametest.com開發的姓名遊戲測試「Which Disney Princess Are you」。當使用者載入這個遊戲時，它會收集大量用戶資訊，包括姓名、性別、生日、地點等，並且顯示在其公司網頁上。一般情況下，其他網站應無法存取這些資訊，但是這個網站將訊息包在Javascript中。而Javascript的特性是可以和其他網站共享，因此只要其他網站發出呼叫，用戶的資訊就會分享出去。更多內容

訂房系統FastBooking遭駭，恐殃及全球數千家飯店

專門替旅遊產業提供電子商務服務的FastBooking在本月中遭到駭客入侵，恐殃及FastBooking在全球100個國家的逾4000家飯店客戶，目前已證實日本連鎖飯店—王子大飯店（Prince Hotels）受到此波攻擊的牽連，被駭客盜走了逾12萬名的住戶資料。

FastBooking針對旅遊產業提供多種解決方案，從網站開發、搜尋引擎行銷到訂位引擎等，根據Bleeping Computer的報導，FastBooking在6月26日通知了受到影響的飯店客戶，指出駭客於今年6月14日透過伺服器上某個應用程式的漏洞入侵了該站，且於伺服器上植入了可竊取資料的惡意程式。更多內容

不付贖金就公開個資！GDPR反成勒索攻擊Ransomhack的威脅武器

保加利亞資安廠商Tad Group揭露了新型態的勒索攻擊Ransomhack，駭客這次並非以加密檔案當作威脅，而是竊取企業伺服器中的個人資料，並且威脅企業繳交贖金，否則公開這些資料，使企業受到歐盟最嚴格個資法GDPR的巨額罰款處罰。Tad Group提到，這個攻擊瞄準中大型企業，並要求支付價值1,000美元到20,000美元不等的加密貨幣作為贖金。

5月25日上線GDPR，目的用於保護歐盟居民個人隱私權，但沒想到卻被駭客用來作為威脅企業的武器。Tad Group創辦人Ivan Todorov警告，受害者是中型以及大型的保加利亞公司，被要求以無法追蹤來源的加密貨幣支付贖金，贖金從1,000美元到20,000美元不等。由於GDPR規定，觸法將被處以企業全球年度營業額的4％或是高達2,000萬歐元的罰鍰，對企業來說是個沉重的壓力。更多內容