資安一周第13期：拒絕用戶申請查詢資料，Twitter 遭查是否違反GDPR。Google+資料外洩事件傳德國、愛爾蘭也要查

1011-1017一定要看的資安新聞

＃Twitter　＃GDPR

Twitter拒向用戶說明蒐集哪些資料!? 愛爾蘭當局著手調查是否違反GDPR

根據Fortune報導，愛爾蘭的資料保護委員會已針對Twitter是否違反歐盟於今年5月實施的《歐盟通用資料保護規則》（GDPR）展開調查。

根據報導，Veale想要知道當他點擊Twitter平臺上的t.co短網址連結時，Twitter蒐集了哪些用戶資料，以及是否追蹤他的網路行為，但當他向Twitter提出請求時，卻遭Twitter所拒，原因為提供這些資料太大費周章了。

Twitter所推出的t.co短網址服務除了標榜可大幅縮小網址長度之外，也能在轉址時偵測惡意網站或行為，以避免用戶受到惡意程式的影響。Twitter只說該服務會計算短網址被點選的次數，但Veale則認為Twitter應該也紀錄了人們點選短網址時所使用的裝置與時間戳，且技術上而言，Twitter可利用這些資訊來猜測用戶位置。

在被Twitter拒絕之後，Veale決定向Twitter總部所在地──愛爾蘭的資料保護委員會投訴，該組織則回信給Veale，表示已針對此事展開正式調查。更多內容

＃Google+　＃資料外洩

Google+資料外洩事件餘波盪漾，傳德國、愛爾蘭展開調查

在華爾街日報踢爆Google隱匿Google+的隱私漏洞之後，彭博社（Bloomberg）與 CNBC報導，此一事件惹來了德國與愛爾蘭資料保護組織的注意，並已展開調查。

根據報導，德國與愛爾蘭的資料保護組織已相繼針對此事展開了調查，準備要求Google提供更多的資訊，以進一步了解該意外的細節，以及對使用者可能造成的影響。

根據Google的說法，Google+有個People API含有隱私漏洞，當Google+用戶允許基於該API的應用程式存取個人檔案之後，此一應用程式也能存取用戶友人的個人檔案，不管相關個人檔案是公開的或是僅與該名友人分享的；不當被分享的資料包括姓名、電子郵件帳號、職業、性別與年紀。

Google估計最多有438個程式使用了該API，危及50萬個Google+帳號，Google在今年3月發現並修補之後，並沒有立即對外公布或通知受影響的用戶，直到被華爾街日報披露。更多內容

＃勒索軟體　＃GandCrab

新版GandCrab結合加密服務，讓駭客取得作案所需工具更為容易

從今年1月開始出現的GandCrab勒索軟體，發展的速度可說是相當快，截至目前為止已經經過多次改版，而且，從這款勒索軟體發展的過程中，同時突顯了現在開發攻擊工具生態圈的現況，由於不同領域的惡意軟體開發團隊之間結盟，使得駭客若想使用新版GandCrab發動攻擊，可輕易藉由多種管道，像是僵屍網路、漏洞利用套件（Exploit Kit）、木馬程式，以及網路釣魚等。

這款勒索軟體現在的版本是5.0.2，根據McAfee研究團隊發現，GandCrab各版本的程式碼裡，都存在許多的臭蟲。不過，自第5版開始，由於GandCrab開發團隊與供應惡意軟體加密工具（Crypter）的組織NTCrypt結盟，提供購買GandCrab的客戶，能用較為便宜的價格取得NTCrypt，讓駭客能更容易取得所需的服務。更多內容

＃Google　＃身分存取管理　＃CICP

Google推出身分和存取管理服務CICP，還以Secure LDAP支援傳統應用程式

現在開發人員也可以在自己的應用程式中，加入Google雲端的身份和存取管理功能，透過單一身份和存取管理平臺，在傳統的應用程式中實現安全存取功能。這個將在數周內發布測試版的客戶和合作夥伴推出的雲端身份（Cloud Identity for Customers and Partners，CICP）功能。

CICP服務是一個客戶身份和存取管理（CIAM）平臺，可以幫助開發人員為其應用程式增加Google等級的身份和存取管理功能，以保護用戶帳號。CICP提供基本的身份管理功能，提供包括Google等級的認證、進階用戶安全性，還有全球規模的基礎設施三大特色。

Google等級的認證是基於Firebase和Google的身份平臺，CICP提供可客製化的身份驗證服務，能夠管理用戶註冊和登入的使用者介面流程。CICP支援多種身份驗證方法，包括匿名、電子郵件/密碼、電話、社交、SAML和OIDC等。客戶端的SDK支援網頁、iOS和Android，伺服器SDK則有支援Node.js、Java和Python等。更多內容

＃Microsoft Edge漏洞

研究人員釋出Microsoft Edge漏洞的概念性驗證攻擊程式

來自科威特的安全研究人員Abdulrahman Al-Qabandi釋出了鎖定Microsoft Edge安全漏洞的概念性驗證攻擊程式，此一程式攻擊了微軟甫於10月9日修補的CVE-2018-8495漏洞，而該漏洞也是由Al-Qabandi所發現。

CVE-2018-8495被微軟列為Windows Shell的遠端程式執行漏洞，當Windows Shell不當處理統一資源識別元（Uniform Resource Identifier，URIs）時就會觸發該漏洞，允許駭客取得與使用者同樣的權限，假設使用者是以管理員身分登入，駭客則能掌控被駭系統。

駭客只要架設一個可攻陷該漏洞的惡意網站，並誘導Microsoft Edge用戶造訪，說服用戶與之互動，就能執行任意程式。更多內容

＃WhatsApp　＃漏洞修補

WhatsApp修補只要接聽視訊就可讓駭客掌控行動程式的安全漏洞

WhatsApp於10月10日更新了Android及iOS版的行動程式，以修補一個很容易入侵的安全漏洞，使用者只要接聽一通視訊電話就能觸發該漏洞，允許駭客掌控行動程式。

該漏洞是由Google Zero專案的Natalie Silvanovich於今年8月所發現，並在WhatsApp修補之後才公布。Silvanovich表示，當WhatsApp行動程式接收一個特定的即時傳輸協定（Real-time Transport Protocol，RTP）封包時，就會造成堆積損毀，而且同時影響Android手機及iPhone用戶。更多內容

＃冰島　＃網釣郵件

太歲頭上動土！駭客冒充冰島警方寄出網釣郵件

資安業者Cyren揭露，有數千名冰島民眾在近期收到了網路釣魚郵件，而且駭客是以冰島警方的名義發送郵件，還建立了可以假亂真的官方網站，企圖於使用者電腦上植入惡意程式並側錄受害者所輸入的機密資訊。由於冰島的人口只有35萬，因此此一攻擊已被視為是冰島史上最大的網路攻擊行動。

此一攻擊行動始於今年10月6日，駭客以所入侵的帳號註冊了www.logregian.is網域名稱，與冰島警方的官網www.logreglan.is只差了一個字母，並在郵件中威脅使用者若不遵守規定可能會遭到逮捕，繼之提供來自偽造網站的連結。

當使用者造訪假冒的警察網站時，會被要求輸入社會安全碼，輸入之後，該站竟然能夠驗證使用者的身分，從而跳出使用者的姓名，還要求使用者輸入郵件中所附的驗證碼以再次驗明正身。

至此使用者幾乎已不疑有他，很容易就會聽從網頁上的指示，下載一個具密碼保護的.rar檔案，輸入網頁上所提供的密碼，解壓縮後則會出現一個Yfirvold.exe執行檔，這是個兼具鍵盤側錄功能的遠端存取木馬，執行後會開始蒐集存放於瀏覽器中的機密資訊並側錄鍵盤，再將資料上傳至駭客設於德國與荷蘭的遠端伺服器。更多內容

＃美國國防部　＃滲透測試

滲透測試報告：只要利用簡單的工具與技術就能駭入美國國防部的武器系統

美國政府責任署（GAO）針對美國國防部（DOD）的武器系統發表一滲透研究報告，指稱DOD的主要武器系統缺乏嚴密的安全機制，只要利用簡單的工具及技術就能在不被察覺的情況下掌控相關系統。

有鑑於DOD正打算支出1.66兆美元來發展現有的武器系統，潛在的對手則已開發鎖定DOD的網路間諜/攻擊技術，使得美國國會要求GAO審核DOD武器系統的網路安全狀態。

GAO表示，現在的武器系統既電腦化又網路化，因而替對手營造了更多的機會，例如維護系統、工業控制系統、飛航軟體系統、生命支援系統、通訊系統、物流系統與資料庫等，而這些只是檯面上可公開的系統，並未計算被列為機密的武器系統。

於是GAO針對DOD的各式武器系統展開滲透測試，其中有兩人一組的團隊只花了一個小時就進入了其中一個武器系統，花了另外一天取得該武器系統的完整控制權。

儘管有些系統可防範未經授權的遠端存取，卻對近端或是內部人員門戶大開。而且一旦測試人員得以進入某個系統，他們通常能在系統內暢行無阻，還能擴大權限直到取得系統的掌控權。更多內容

＃微軟　＃Patch Tuesday　＃例行性安全更新

微軟Patch Tuesday修補零時差漏洞，也修補了Windows 10 October 2018 Update意外移除檔案的漏洞

微軟在10月9日的Patch Tuesday例行性安全更新中修補了50個安全漏洞，包含了一個零時差漏洞，以及釋出了Build 17763.55，以解決Windows 10 October 2018 Update會意外刪除檔案的漏洞，而這也是Windows 10 October 2018 Update所收到的第一個安全更新。

微軟是在10月2日開放全球Windows 10用戶手動安裝最新的Windows 10 October 2018 Update（Windows 10 1809），不料卻傳出用戶在升級後硬碟檔案被刪除的慘事，儘管微軟透露安裝1809的用戶中只有1%遭遇此一意外，但已引起用戶的恐慌。

在緊急撤下Windows 10 October 2018 Update之後，微軟在10月9日分別釋出了Build 17763.17及Build 17763.55，其中，前者是供應給參與微軟測試專案（Insider Program）的Slow Ring及Release Preview Ring用戶，後者則是鎖定已經部署Windows 10 October 2018 Update的用戶，它們雖然透過不同的管道傳遞，但同樣都修補了Windows 10 October 2018 Update會意外刪除檔案的漏洞。更多內容

更多資安動態

G Suite企業服務再一發，可主動通知用戶遭遇的安全事件

Juniper修補七項重大安全漏洞

澳洲擬立法要求業者開後門及解密，蘋果出面反對

資料來源：iThome整理，2018年10月