美國國土安全部網路安全暨基礎架構安全署
1217-1223 一定要看的資安新聞
#供應鏈攻擊 #國家級攻擊
美國國土安全部警告,SolarWinds Orion並非駭客滲透公部門唯一管道
駭客透過網管平臺SolarWinds Orion下手,發動供應鏈攻擊的事故,引發美國政府的高度關注,該國國土安全部旗下的網路安全暨基礎架構安全署(CISA)在17日公告,他們發現該網管平臺並非駭客唯一入侵受害組織的管道。而這是該單位自13日祭出緊急指令,要求公部門全面停用SolarWinds Orion之後,第2次揭露有關本次事故的資訊,不過,對於其他侵入受害單位的管道為何?CISA表示仍有待釐清。
對於此起事故的受害範圍,CISA表示,他們判斷已波及州政府、地方政府、重大基礎設施,同時也有私人組織受害的情況。詳全文
#行動裝置 #漏洞攻擊 #間諜程式
半島電視臺記者iPhone遭植入Pegasus間諜程式
以致力打造阿拉伯地區新聞自由、當地影響力最大的半島電視臺(Al Jazeera),傳出員工手機疑似遭到政府單位利用間諜程式監控的情況。根據加拿大多倫多大學公民實驗室(Citizen Lab)12月20日公布,在今年的7月到8月之間,半島電視臺36名員工的iPhone被植入Pegasus間諜程式,駭客疑似利用iOS未公開的漏洞得逞。公民實驗室指出,他們看到這項漏洞尚未影響執行iOS 14的手機,使用者若是升級作業系統至iOS14,可能得以避免受到影響。詳全文
圖片來源:加拿大多倫多大學公民實驗室
#國家安全
美國再度更新實體名單,中芯、大疆等77個中國企業入列
以侵犯人權、南海軍事化,以及竊取美國商業機密為由,美國商務部於12月18日,將77個中國企業新增到實體名單(Entity List),禁止美國與這些中國業者交易。而這次受到關注的包含了中國最大晶片製造商中芯國際(SMIC),以及全球無人機製造龍頭大疆(DJI)。
針對封鎖中芯國際的原因,美國商務部工業及安全局(BIS)指出,他們掌握了該公司與中國軍事工業園區活動的證據,中芯國際利用美國技術扶植中國軍事現代化,嚴重影響美國的國家安全。詳全文
#社群網站 #密碼安全
荷蘭檢察官證實,川普推特帳號被研究人員猜中密碼
荷蘭資安研究員Victor Gevers在今年10月表示,他猜到美國總統川普推特帳號的密碼,並成功登入,他也呼籲川普啟用雙因素驗證來保護。當時,Victor Gevers聯繫川普團隊、白宮、CISA,以及推特,都沒有得到回覆,他後來將此事透露給媒體,但白宮與推特都否認此事,而荷蘭檢察官介入調查後,近日發布的結果證明Victor Gevers所述確有其事,但由於他在公開猜到的密碼之前通報了當事人,因此,荷蘭公共安全與司法部決定不予處罰。詳全文
圖片來源:Victor Gevers
#加密貨幣 #資料外洩 #網路釣魚攻擊
硬體加密貨幣錢包製造商Ledger遭駭客入侵,逾27萬用戶資料在駭客論壇上曝光
硬體加密貨幣錢包製造商Ledger於今年7月遭到駭客入侵,當時Ledger聘請了外部的鑑識專家,判斷有9,500名用戶的個資外洩。然而,駭客在12月20日駭客論壇上,公布了逾27萬名該公司的用戶資料,才讓Ledger得知當時判斷有誤,於12月20日重新發布了安全聲明。
Ledger強調,用戶的付款資訊、憑證,以及加密貨幣並未受到影響,但要用戶小心,可能會有竊取冷錢包恢復碼和短語密碼的網釣攻擊。詳全文
#社群網站 #漏洞揭露
臉書小型企業管理工具恐曝露Instagram用戶電子郵件信箱
臉書今年秋天提供給小型企業管理帳號的工具Facebook Business Suite,被研究人員Saugat Pokharel發現存在漏洞,可能讓第三方人士得知Instagram用戶的電子郵件。臉書在接獲通報後數小時內將之修補。
研究人員指出,利用這項漏洞,有心人士可將這套工具與Instagram帳號連結,再從Business Suite發出訊息,就能看到對方註冊的電子郵件帳號,即便使用者設定不提供給他人電子郵件帳號也會受到影響。詳全文
圖片來源:Saugat Pokharel
#應用程式市集亂象 #網頁瀏覽器
28款Chrome與Edge外掛程式含有惡意程式碼
資安業者Avast於12月16日,揭露了28款含有惡意程式碼的瀏覽器外掛程式,這些外掛程式出現在Chrome或Edge的外掛程式市集。這些有問題的外掛程式,其惡意程式碼可挾持使用者的流量,來竊取使用者的資料。而為何這些外掛程式能躲過市集的查核?Avast指出,駭客不僅將後門埋藏得非常隱密,後門在使用者安裝外掛程式數天後才開始運作,而使得它們能逃過安全檢查。詳全文
#資安產業動態
微軟、McAfee等公司合組對抗勒索軟體的聯盟
勒索軟體攻擊的態勢在這2年可說是越來越嚴峻,對此,有19家公司出面,組成勒索軟體特遣隊(Ransomware Task Force),訴求藉由相關領域的合作,來建立完善的勒索軟體防禦技術框架,創始成員不僅包含資安公司,如微軟、McAfee、Cybereason、Citrix,以及Rapid7,還有保險業者、法律顧問,以及非營利組織。
發起成員安全與科技研究所(IST)指出,他們成立聯盟的動機,在於勒索軟體侵犯醫院、學校、政府等產業,危害大到眾人必須合作,以整合出清楚的解決方案框架。詳全文
#臺灣資安政策
第11次全國科學技術會議登場,資安是國家科學技術發展計畫焦點議程之一
在12月21到23日,行政院舉辦第11次全國科學技術會議,集聚產學研之力,討論國家的科技施政藍圖,並持續廣納各界意見。其中,這場會議也探討到今年下半提出草案的「國家科學技術發展計畫」,相關議題可看出我國在資訊安全方面聚焦的方向。詳全文
#數位身分證
回應數位身分證質疑,內政部長與數位政委同臺直播
數位身分證(eID)即將於明年1月試辦,內政部對於新版身分證的資安防護措施,於12月21日中午由內政部長徐國勇和數位政委唐鳳在臉書直播說明,除重申eID的資訊安全,也首度鬆口民眾可停用晶片的功能。詳全文
更多資安動態
●網路服務收集用戶個資情況,臉書與IG包辦前2名
●FTC要求9家社群網站揭露收集與使用用戶個資的方式
●英國打算嚴格控制網路上的有害內容
●英特爾、思科等科技大廠皆遭植入SunBurst後門程式
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-26
2024-11-15
2024-11-25