51萬臺物聯網裝置的帳號密碼遭到公布
圖片來源: 

ZDNet

0116-0122 一定要看的資安新聞

 

#漏洞攻擊  #CryptoAPI

美國國安局提報Windows簽章驗證漏洞得到修補

微軟在本月的Patch Tuesday修補49個安全漏洞,最受矚目的是涉及簽章驗證的CryptoAPI漏洞CVE-2020-0601,是第一個由美國國家安全局(NSA)發現並主動提交微軟的安全漏洞。

過往NSA飽受爭議的原因,在於該單位發現SMB協定的漏洞CVE-2017-0145,不僅沒有通報,還製作永恆之藍(EternalBlue)攻擊程式,後來該程式外洩,並遭駭客大肆濫用。

CVE-2020-0601存在於CryptoAPI驗證橢圓曲線密碼學(Elliptic Curve Cryptography,ECC),駭客只要利用偽造的程式碼憑證簽署惡意程式,讓它看起來像是來自可靠的合法來源,使得使用者幾乎無從察覺攻擊行為。詳全文

圖片來源:美國國家安全局

 

#物聯網裝置安全  #資料外洩

史上規模最大!逾51萬臺物聯網裝置Telnet帳密遭公布

根據ZDNet報導,超過51萬臺的伺服器、家用路由器,以及物聯網(IoT)裝置的Telnet登入資訊,即包括帳號與密碼,被公布於駭客論壇。

洩露這些資料的駭客指出,他是利用機器人程式,掃描開啟Telnet連接埠的物聯網裝置,並使用預設或是簡易的用戶名稱和密碼組合,來試圖存取而獲得。拿到這種資料之後,通常能讓駭客於裝置上植入惡意程式,進而成立殭屍網路大軍。這起事件洩露的帳號資料數量,遠比先前2018年出現的3.3萬臺還要多。但該名駭客公開上述資料的原因,只是因為工作轉換不再需要,資安專家也呼籲使用簡易密碼的用戶,要儘速更換。詳全文

 

#資料外洩

專門銷售外洩資料的非法網站遭到查扣

美國司法部與FBI聯手,查扣專門銷售外洩資料的非法網站We Leak Info,切斷該網站的運作。這個網站宣稱握有逾1萬起事件的外洩資料庫,內有120億筆資料,包括人名、電子郵件位址、使用者名稱、電話號碼,以及網路帳號密碼等。訂閱相關服務的使用者,即可搜尋該網站資料庫。

該網站使用的網址WeLeakInfo.com,目前亦由美國政府接管。詳全文

圖片來源:美國聯邦調查局

 

#漏洞管理  #Patch Tuesday

軟體廠商同時推出修補程式,考驗企業因應能力

漏洞情報及風險評估業者Risk Based Security警告,愈來愈多的軟體業者跟隨微軟的Patch Tuesday腳步,規畫在每個月的星期二展開漏洞修補行動,至少有6家業者的修補日撞期,將替企業帶來修補風暴,讓企業的IT人員疲於奔命。

例如,目前微軟、Adobe、SAP、Siemens,以及Schneider Electric,都明訂每個月的第二個星期二,為例行提供修補軟體的時間;甲骨文的重大修補更新則是每季一次,分別是1月、4月、7月,以及10月最接近17日的星期二,於是今年甲骨文的4次修補,就有3次與前述廠商是同一天。

Risk Based Security指出,Google、蘋果、Mozilla、英特爾、思科、F5,以及Juniper等業者,很可能也安排在Patch Tuesday提供更新軟體。為此,研究人員呼籲,企業要為日益集中的修補工作提前準備。詳全文

 

#儲存系統配置不當

超過10億張醫療影像在網路上流竄

去年9月超過7億張醫療影像因醫療影像儲存系統(PACS)配置不當,而在網路上曝光之後,德國資安業者Greenbone Networks指出,經過了2個月之後,在網路上曝光的醫療影像不減反增,從7.3億增加到11.9億張,成長60%。

研究人員也依據各國外洩的影像數量變化,進行分類,其中有些國家的情勢越演越烈,包含美國、印度、南非、巴西,以及厄瓜多爾等。2019年11月時,他們在美國發現了195個可公開存取的PACS系統,比9月時發現的184個還多。

這些曝光的醫療影像或病患資料,可能會被駭客用來執行社交工程詐騙、魚叉式網釣攻擊,或是商業電子郵件詐騙等。詳全文

 

#內部威脅  #資料外洩

海軍士官違法查詢國家機密人事資料遭起訴

利用職務之便,一名海軍吳姓士官自2016年起,取得國防部與空軍司令部多名人事主管的帳號和密碼,違法用來登入國軍人力資源管理系統,查詢高階將領及特種情報員資料,一年多內查詢數百筆。臺灣高等檢察署偵查終結並提起公訴。

最初能取得高階人士主管帳號資訊的管道,是2016年該名士官於艦隊擔任人事行政士,並利用軍艦出任務的時候,開始查詢國軍人事資料。隔年這名士官調任海軍技術學校教官,不僅持續存取人事系統,並且提升自己權限,藉此調查更為機密的資料,才被國防部發現異常,追查之下找出是該名士官所為,進行懲處並移送臺灣高等檢察署偵辦。

該名士官到案後坦承犯行,但否認將相關資料外洩及牟利。檢察官依照《國家機密保護法》「刺探國防秘密罪」,以及《國家情報工作法》「違法刺探情報人員身分罪」,提起公訴。詳全文

 

#數位身分證  #隱私疑慮

在野黨團凍結預算,民間團體要求立法院正視數位身分證隱私疑慮

立法院召開臨時會討論今年度總預算,進行朝野協商,其中內政部提列的晶片身分證(eID)4億2千萬元預算,國民黨、親民黨,以及時代力量等三個黨團,皆提出全數刪除或是凍結的提案。臺灣人權促進會等民間團體於立法院召開記者會,認為全民換發晶片身分證,仍缺乏相關法規配套,呼籲立法院不要貿然通過預算。

臺灣人權促進會副秘書長何明諠認為,所有在野黨團一致否決這項預算,要求內政部須完善相關法制,突顯晶片身分證資安風險仍未解決才是共識。雖然在2019年5月及9月,立法院有兩次專案質詢,在野黨與民進黨委員都針對臺灣的現行法律提出質疑,於保護個資與資訊安全不足,必須修法才能降低採用新式身分證的風險,然而行政院與內政部僅強調現有法律就足以因應,而不願多做解釋。何明諠認為行政機關意圖敷衍立法單位,在野黨團應堅守相關提案,同時執政黨也不應一意孤行。詳全文

圖片來源:臺灣人權促進會

 

#個資外洩

高雄市教育局驚傳洩露學生個資

一名家長在網路查詢子女姓名時,發現其身分證字號被公開,追查之下,發現源頭是2019年1月高雄市教育局網站公告的「申請非學校型態實驗教育計畫」審議結果,該單位將含有學生個資的檔案上傳,共有隸屬7所機構、共280名學生的個資,包含他們的姓名、年級、身分證字號,以及設籍學校等內容。該名家長隨即委託相關團體向教育局反映,教育局獲報也立即移除相關公告資料,並通知其他受影響的團體與機構。

不過,人本教育基金會與高雄市議員林于凱調查後發現,許多家長並未接到通知,而認為教育局失職,呼籲市政府應追究相關責任並出面補救。詳全文

 

 

更多資安動態

美國國土安全部釋出CVE-2019-19781檢測工具
全美無人機77%來自中國業者大疆!當地民用無人機恐無限期停飛
13家中國IT公司為海南省政府招募APT 40成員
Cloudflare擬為美國小型政治活動提供免費資安服務
甲骨文修補334個漏洞,近6成漏洞不需用戶憑證就能濫用!
K8s漏洞懸賞計畫正式推出


Advertisement

更多 iThome相關內容