2019年6月十大資安新聞

在6月底銓敘部傳出的公務人員個資外洩事件，影響超過24萬名公務人員，成為6月國內最關注的資安事件，而後續調查仍然在進行中。

值得注意的是，臺灣8大情治單位任何之人員名單與個資的流出，包括國安局、軍情局與調查局等，都將嚴重影響國家安全，而且，最近坊間甚至還傳出，有人在LINE群組中，分享該份外洩資料的國安局情治人員身分，包含姓名與身分證字號等，因此也讓法律專家提出警告，惡意傳遞情治人員個資的人，將依個資法罰則，處以5年以下有期徒刑，併科100萬元以下罰金。

在國際間，6月中Telegram遭受DDoS攻擊也引發側目，因為這起攻擊行動與香港反送中事件有關，而Telegram創辦人Pavel Durov也在Twitter上說明，攻擊的IP位址都是來自中國。另外，還有BGP路由洩露的問題頻傳，也持續突顯電信業的路由保障措施與管理問題。

在系統漏洞方面，舊版Windows遠端桌面服務的重大漏洞BlueKeep，持續受關注。由於可能引發類似WannaCry的災情，連美國國安局都在6月初發出提醒公告，呼籲受影響的電腦用戶，應儘速安裝修補程式。甚至，Windows 10的RDP也傳出有新漏洞。至於其他重大的系統漏洞修補方面，還有值得注意的是，包括甲骨文緊急修補已遭濫用的WebLogic漏洞CVE-2019-2729，以及影響數百萬伺服器的Exim遠端指令執行漏洞CVE-2019-10149，都是CVSSv3評分在9.8分以上的重大漏洞。

較特別的是，醫療領域對於設備安全的問題，近年變得更加重視，而6月也發生多起漏洞修補，像是設備商Becton Dickinson（BD）的醫療用工作站泵浦裝置，經資安業者通報，在6月中修補的遠端攻擊漏洞，而6月底，另一家Medtronic也召回胰島素泵浦。因為這樣的漏洞，都將讓駭客可能遠端竄改藥物劑量或傳輸速度。

另外，企業也要注意網釣攻擊的威脅，像是最近有駭客透過Office文件的郵件附檔，散布FlawedAmmyy的遠端木馬程式，且臺灣也有企業傳出受害，還有使用Google Calendar的網釣攻擊新手法等。
 

01. 銓敘部個資外洩，超過20萬名中央及地方公務官員個資外流

02. Telegram創辦人指DDoS攻擊與香港反送中事件有關

03. 百萬臺系統曝險，美國安局呼籲舊版Windows用戶修補BlueKeep漏洞

04. GandCrab勒索軟體賺了20億美元後宣佈收山

05. 報告：漏洞管理、資安措施不當，導致國泰航空950萬筆個資外洩

06. 售至全球50個國家的醫療用輸液泵浦系統含遠端攻擊漏洞

07. 遠端木馬程式藉郵件Office文件巨集散布，臺灣、南韓皆傳受

08. BGP路由洩露將歐洲行動流量導至中國電信

09. Google研究人員發現微軟記事本漏洞

10. 美國太空總署遭駭調查：駭客以Raspberry Pi作為跳板滲透NASA網路