資安一周第30期：電子郵件服務VFEmail遭駭客刪除所有資料與備份。統籌國家資安政策的行政院資安長確定由副院長陳其邁兼任

0214-0220一定要看的資安新聞

＃雲端服務安全　＃資料復原與備份

電子郵件服務VFEmail遭毀滅性攻擊，所有資料全被刪

美國的電子郵件服務供應商VFEmail，在2月11日遭到駭客的毀滅性攻擊，駭客格式化了該公司所有伺服器的硬碟，破壞了所有的虛擬機器、檔案伺服器及備份伺服器，使得VFEmail用戶的郵件全都消失。

目前，VFEmai尚未透露用戶數量與補償措施，正與資料復原服務供應商討論各種可能的因應措施。由於駭客並未向VFEmail勒索贖金，這樣的破壞性攻擊相當少見，而遺失所有客戶資料，對企業而言是一場惡夢。安全專家建議，企業或服務供應商應將備份資料離線保存。更多內容

＃行政院　＃資通安全管理法

統籌國家資安政策的行政院資安長，確定由副院長陳其邁兼任

圖片來源／擷取自行政院官方網站

本月15日行政院正式公布一項與國家資安長有關的任命，經行政院長蘇貞昌14日核定，行政院資安長將由行政院副院長陳其邁兼任。此外，依據元旦實施的資通安全管理法第11條規定，須依法設置行政院資安長，以及各機關資安長，由於行政院本身也是政府機關，在農曆年前，行政院院本部資安長一職也已指派常務副秘書長宋餘俠擔任。

行政院指出，政府資通安全事務將在此分層負責架構下，循序落實與推動，這也將更易於執行跨機關的資源整合與協調。不過，基於法源要求而兼任資安長的陳其邁，由於本身不具相關背景，未來如何與專業人才合作，由上而下帶領貫徹執行，將是未來關注重點。更多內容

＃容器安全

容器執行元件runC含有安全漏洞，波及Docker、containerd及CRI-O等眾多容器平臺

圖片來源／擷取自lwn.net

容器執行元件runC，爆出含有嚴重的安全漏洞，惡意容器可透過該漏洞覆蓋runC的二進位檔案，並進一步於容器主機上執行任意命令。由於Docker、containerd、Podman到CRI-O等，都是基於runC的容器元件，影響範圍廣大，同時也影響到採用容器的企業或各項雲端服務，例如紅帽、Google及AWS，也都立即展開修補。根據負責維護runC的Aleksa Sarai說明，此一編號為CVE-2019-5736的漏洞，將讓駭客透過掌控的映像檔建立一個新的容器，或者是把程式碼嵌入一個駭客原本就能存取的容器。更多內容

＃微軟安全更新

微軟修補74個安全漏洞，3個已被公開揭露，1個已遭開採

微軟釋出2月安全更新，共修補74個安全漏洞，其中有4個被列為應優先修補，包括先前已經披露的CVE-2019-0636、CVE-2019-0686、CVE-2019-0724，以及關於IE的CVE-2019-0676漏洞，雖然不是重大漏洞，但已經被駭客成功利用。

此外，不少資安專家也建議，像是SharePoint的CVE-2019-0594與CVE-2019-0604漏洞，以及DHCP伺服器的CVE-2019-0626漏洞，也是可以先修補的項目。更多內容

＃BadUSB

又有安全研究人員展示BadUSB攻擊

圖片來源／擷取自Mike Grover示範影片

安全研究人員Mike Grover展示BadUSB攻擊，將一條USB to Lightning的充電線，變成人機介面裝置（HID），只要將充電線接上電腦，電腦就會把它視為滑鼠或鍵盤，允許駭客透過它輸入指令，同時Grover還在USB上嵌入了Wi-Fi晶片，讓他可在一段距離內操控。根據Grover的說法，他期望讓更多人了解BadUSB的威脅，進而改善相關裝置的安全性。

由於這種BadUSB充電線與一般充電線外觀相同，因此安全研究人員建議，使用者最好購買知名品牌或經過驗證的產品，或者是加購能確保不能傳輸資料、只能充電的保險裝置。更多內容

＃資料外洩　＃帳密安全

暗網出現去年遭駭的6億筆個資

圖片來源／擷取自The Register網站

英國科技媒體The Register揭露，有駭客在暗網上銷售16個網站的外洩帳號資訊，總計約6.17億筆，總價近2萬美元，且宣稱大多數是在去年盜來，顯示這是最新的帳號資料。

這16個網站包括了Dubsmash、MyFitnessPal、MyHeritage、ShareThis、HauteLook、Animoto、8fit、EyeEm、Whitepages、Fotolog、500px、Armor Games、BookMate、CoffeeMeetsBagel、Artsy與DataCamp等。其中500px與EyeEm甚至是在The Register的詢問下，才知道資料庫被駭。更多內容

＃國家網路安全

澳洲議會遭國家級網路攻擊，三大政黨伺服器皆受影響

圖片來源／擷取自ACSC官方網站

澳洲國會電腦傳出遭國家級駭客入侵，澳洲網路安全中心（ACSC）發出公告，他們在調查此事件時，意外發現部分政黨的網路遭駭。而澳洲總理與反對黨領袖也在18日會議的談話中，指出受到攻擊的包括自由黨、國家黨和工黨。

由於澳洲在幾周後就要進行大選，這個事件格外敏感。也因為攻擊手法非常複雜，ACSC認為這次的攻擊來自外國政府，但拒絕透露駭客的位置，澳洲媒體則猜測，中國就是這次攻擊的幕後黑手。更多內容

＃雙因素認證　＃身分驗證安全

蘋果強制規定開發人員啟用雙因素認證

蘋果的開發人員在近期都收到了公司的電子郵件通知，知會他們在今年2月27日之後，都必須啟用雙因素認證才能登入開發人員帳號。蘋果在該封郵件中指出，為了讓開發人員的帳號更為安全，從2月27日起，要登入蘋果相關系統的開發人員都必須採用雙因素認證。

除了針對開發人員的硬性規定之外，一般的Apple ID用戶都可自由選擇是否採用兩階段驗證或雙因素認證。值得注意的是，蘋果雖然允許用戶關閉兩階段驗證，不過，一旦啟用了雙因素認證，就無法關閉。更多內容

＃物聯網安全　＃電動滑板車

小米滑板車M365被爆含有遠端攻擊漏洞

圖片來源／擷取自Zimperium示範影片

美國行動安全業者Zimperium揭露，小米科技旗下的米家電動滑板車Xiaomi M365含有遠端攻擊漏洞。根據Zimperium平臺研究總監Rani Idan說明，米家電動滑板車允許使用者透過程式與藍牙來操控它的功能，然而，Idan發現滑板車的認證程序不當，只有應用程式端會做密碼驗證，而滑板車本身卻沒有相關機制，因此當他們以藍牙連至電動滑板車時，並未被要求輸入密碼或執行其它認證，因此可以操控滑板車的所有功能，或是植入惡意程式。更多內容

更多資安動態
Amazon、Google要求智慧裝置業者自動回報使用者行為資料
臺灣資通安全管理法上路一個月，行政院資安處公布實施現況
為求資安法規落實，資安預算比例提高成立委關注焦點
研究：逾1.8萬款Android程式可建立裝置的活動紀錄
macOS遭爆含有可存取瀏覽器歷史紀錄的隱私漏洞
資安業者在Microsoft Store發現8款程式暗藏挖礦功能
Win 7、Server 2008電腦得在7月前支援SHA-2演算法，才能獲得後續更新