這個週末有許多資料外洩事故發生,其中針對中國的大量資料曝光情況,相當引人注目,這些資料包含了人臉與車牌的高解析度照片,數量達到了8億筆,僅次於6月10億中國民眾資料庫外流的規模。
疫情嚴重影響到民眾生計,不少國家政府也針對這樣情況提供補助,而在臺灣,以防疫補助為幌子的詐騙行動在8月變得極為猖獗,值得留意的是,資安業者指出,駭客用於詐騙的網域多半都有gov、gov.tw的字串,而可能讓民眾以為就是隸屬政府的網域,降低戒心填寫相關資料上當。這使得該公司提出識別真假網域的方法。
Google於上週末修補了電腦版瀏覽器的零時差漏洞CVE-2022-3075,其他基於Chromium平臺開發的瀏覽器也可能會受到影響,使用者應留意相關公布並儘速更新。
【攻擊與威脅】
8億中國車牌、人臉資料曝露在公開網路上,為期數個月之久
繼6月有10億中國民眾個資出現於地下論壇,且內含犯罪記錄與就醫情形,引發全球關注,又有大量中國民眾的資料曝露在網際網路。根據新聞網站TechCrunch的報導,資安研究員Anurag Sen在阿里雲代管的伺服器上發現曝露在網際網路的資料庫,曝露時間長達數個月,直到8月相關存取才被封鎖。內容包含了民眾臉部照片,以及在車道路口拍下的車牌號碼,都是高解析度的照片。其中,這些個資會被留存的原因,主要是民眾進入工地或辦公室洽公進行登記。
此資料庫隸屬位於杭州的Xinai Electronics,資料量總共超過8億筆。研究人員表示,他還發現有人在資料庫留下勒索訊息,但不清楚資料是否有外流或是遭到破壞的情形。TechCrunch通報後,該公司已悄悄關閉存取權限。
臺灣防疫補助詐騙網址數量8月爆增,已超越上半年總和
資安業者趨勢科技提出警告,他們發現臺灣與防疫補助有關的詐騙攻擊,在8月份出現大幅增加的現象,與之相關的網址數量較7月多出20倍,且超過今年上半總和。該公司指出,今年8月出現665種與防疫補助相關的變種假網域,如:gov[.]com、wsflsgov[.]tw等,他們呼籲民眾收到相關簡訊應優先檢查網址,並透過政府網站直接申請相關業務,才能減少受騙上當的機會。
俄羅斯大型計程車叫車系統Yandex Taxi遭駭,莫斯科交通大亂
獨立新聞記者Russian Market在9月1日發現,俄羅斯大型計程車叫車系統Yandex Taxi疑似遭駭,攻擊者叫了大量計程車到莫斯科市的同一條街道上,使得當地交通大亂。Yandex也在3日向新聞網站The Verge證實確有此事,並表示當時街道壅塞現象約在1小時後得到疏通。
而對於此起事故的攻擊者身分,駭客組織匿名者(Anonymous)聲稱是他們所為,並表示此次攻擊是與烏克蘭政府號召的IT軍隊聯手,為Operation Russia攻擊行動的一部分。
美國國稅局不慎披露12萬報稅民眾個資
9月2日,美國國稅局表示,有部分應視為機密的990-T表單,不慎在免稅組織搜尋服務(TEOS)曝光。華爾街日報(WSJ)指出,這些敏感資料約影響12萬人,疑似在去年美國國稅局開始提供990-T的電子表單就出現,與程式撰寫有關,直到現在才被國稅局員工察覺,該單位開始進行補救,移除不應公開的文件,並重新提供TEOS服務。
三星美國分公司遭駭,客戶個資外洩
三星於9月2日發布資安通告,他們的美國分公司內部網路環境在7月遭不明人士存取,導致客戶姓名、生日、聯絡方式等個資外洩,並強調社會安全碼(SSN)、金融卡資料則不受影響,不過,對於外洩資料筆數、受害人數,或是攻擊者入侵的管道,該公司並未揭露。
【漏洞與修補】
Chrome、Edge瀏覽器已遭用於攻擊行動的漏洞獲得修補
Google於9月2日針對Chrome電腦版發布105.0.5195.102版更新,當中主要修補了CVE-2022-3075,此漏洞在8月30日獲報,與Mojo程式庫的資料驗證不充分有關,且已經出現攻擊行動。
由於這項漏洞很可能影響所有採用Chromium打造的網頁瀏覽器,Edge、Brave、Vivaldi等瀏覽器已發布對應的更新檔案來緩解漏洞。CVE-2022-3075是今年Chrome的第六個零時差漏洞。
【資安產業動態】
微軟防毒軟體誤將Chrome、Edge瀏覽器當作病毒
根據科技部落格BornCity的報導,微軟於9月4日發布的防毒軟體Microsoft Defender威脅情報更新檔1.373.1508.0版,竟將同廠牌的瀏覽器Edge識別為惡意軟體,並標示為Behavior:Win32/Hive.ZY威脅。
經過使用者互相討論後,發現Chrome與以Chromium為基礎的瀏覽器,以及採用Electron應用程式框架開發的軟體,如WhatsApp、Spotify、Discord,都被微軟的威脅情報視為惡意程式。微軟已發布新的威脅情報定義檔修補上述誤判現象。
【其他資安新聞】
近期資安日報
【2022年9月2日】 上千個iOS應用程式曝露系統服務者的AWS帳密、駭客以藍勾勾驗證引誘Instagram用戶發動網釣攻擊
【2022年9月1日】 思科遭駭勒索軟體駭客Evil Corp和Conti疑參與攻擊、研究人員揭露Linux核心漏洞DirtyCred
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19