公部門提供給企業使用的系統當中,不僅使用共通的預設密碼,而且這還是組弱密碼!財政部傳出在電子發票平臺上提供給企業的帳號裡,帳號名稱是該公司的統一編號,預設密碼是極為容易猜中的弱密碼,一旦任何人嘗試以此密碼搭配公司的統編,就有可能檢視該公司的發票資料,由於公司統編相當容易找到,這樣的帳密形同公開資料。經本週2家媒體報導後,財政部於今日表示,他們已緩解上述情況。
繼國光客運傳出資料外洩事故後,又有客運業者遭到攻擊。根據三立新聞臺、自由時報、中央社等國內媒體報導,統聯客運上週疑似個資外洩,導致乘客接到詐騙電話,該公司暫停線上訂票系統、手機App訂票的服務。主管機關交通部公路總局也證實此事。
針對個資法修法的部分,最近也有了新的進展。今天立法院三讀通過部分的新條文,其中主要是針對專責機關、裁罰金額與方式有了明確的新規範。
【攻擊與威脅】
財政部電子發票平臺企業帳號竟採用共通的預設密碼,恐曝露上市櫃公司營業資料
根據民報的報導,有人在財政部的電子發票平臺(E-Invoice)上,發現提供給公司行號的初始帳密資料中,竟採用了相同的弱密碼,而有很多企業與組織的帳號能透過這組密碼存取,其中一個受到影響的是國家中山科學研究院(中科院)。
而對於此事的影響範圍,另一家網路媒體READr指出,約有7%上市櫃公司的營業資料可能曝險。對此,財政部約於16日上午11時發出公告,表示此電子發票平臺的密碼弱點已改善完成,並強調中科院的電子發票主要是行政支出及紀念品,無涉及國防採購。
統聯客運於5月12日下午5時23分於臉書發出公告,要乘客提防詐騙電話。隨後有不少旅客留言表示接到這類電話,對方對於他們訂票的時間、張數皆瞭若指掌,且有民眾已受騙上當,揚言要向統聯求償。後來該公司約於半小時後再度表示,他們的網站與購票App進行系統維護,要求乘客依照指示臨櫃取票,或是於4大超商付款因應。
對此,統聯客運於15日表示,他們已協請資安人員進行初步鑑識,預計2天後會有初步結果;主管機關交通部公路總局也證實此事,並透露統聯客運接獲乘客通報自己收到詐騙訊息後,暫時關閉網站購票及App訂取票的功能,來防止災害擴大。
不過,究竟有多少乘客個資遭到外洩?統聯客運、公路總局皆未做出說明。
主要目標鎖定臺灣的駭客組織Taidoor,具備經營12個惡意程式家族的開發量能
趨勢科技資深威脅研究人員CH Lei於臺灣資安大會解析駭客組織Taidoor(亦稱Earth Aughisky、臺門)的背景及常見攻擊手法。此組織成立時間早於2007年,高達9成攻擊活動針對臺灣,當中約有6成是攻打政府單位,其餘涵蓋通訊、製造、重工業、科技業、交通、醫療等產業,自2017年駭客將攻擊範圍擴及日本。
值得留意的是,該組織自行開發且未與其他駭客組織分享的惡意軟體,就有12個家族之多,可見其實力極為強大。這些駭客一旦攻擊成功,都會造成大範圍的汙染,植入的後門難以完全根除。
研究人員指出,這些駭客在各個攻擊階段會利用不同的後門程式,一旦入侵受害組織,駭客就會更換名為Taleret的工具進行長期控制。此後門程式的特色在於,駭客將C2中繼站的配置加密並埋藏於部落格文章,待需要連線才去解析,資安人員若只針對受害裝置進行調查,就有可能找不到中繼站的設定。
臺科大資工系教授呼籲使用開源5G新風險,得小心駭客打造惡意基地臺發送偽造簡訊
資安署副署長兼臺科大資工系教授鄭欣明指出,開源軟體降低實作5G網路的門檻,讓任何人都可以建置此種網路環境,因此,駭客也能藉由開源軟體打造惡意基地臺,假冒合法基地臺發動攻擊。
他帶領的研究團隊利用開源軟體打造5G NSA網路及專網,驗證其中存在幾項資安隱憂,例如,在5G NSA網路下,駭客能運用開源軟體打造惡意基地臺,追蹤特定對象,發送偽造的簡訊或國家級警報,或是在O-RAN環境,上傳惡意xApp至靠近前端的元件,耗用網路資源達到癱瘓網路目的。
由於採用免費的開源軟體、搭配數萬元臺幣的硬體,就能建立惡意5G基地臺,和數百萬元售價的電信等級基地臺相比成本降低許多,雖然以軟體定義無線電技術(SDR)打造的基地臺,穩定度無法與一般基地臺相比,但鄭欣明認為,SDR技術使得偽基地臺攻擊手法的實現成為可能,只要通過軟體定義便能控制偽造基地臺的功能。
台達電、飛宏爆內鬼,高階主管竊取特斯拉充電樁機密投靠中國科技公司
臺灣科技大廠台達電與電力設備業者飛宏科技布局電動車充電樁市場多年,但傳出曾於2家公司任職的高階主管竊取其充電系統關鍵機密文件,帶槍投靠中國公司。
根據鏡週刊的報導,飛宏察覺自行研發的充電系統關鍵機密文件遭竊並向臺北市調處報案,調查官根據IP位址找到該公司一位員工的住家,然後發現飛宏外流的機密資料,並發現此人曾以即時通訊軟體微信,將飛宏安規部門最新的充電樁法規資料傳給前上司,而揪出主謀,2021年11月桃園地檢署帶回這位主管偵辦。
經過他們的追查,不只飛宏的營業秘密外洩,這位主管先前任職於台達電時,亦將該公司「特斯拉壁掛式交流充電樁」專案線路設計資料機密檔案上傳至Google雲端硬碟。檢方清查發現,這些外流檔案中包含特斯拉充電樁的設計數據,恐流入中國TCL通力電子公司,大幅縮短中國與我國研發技術的差距,影響臺灣相關產業發展。
針對此事,台達電、飛宏也做出回應。台達電表示外流資料為舊世代產品機密,對營運尚無重大影響;飛宏則表示他們是在資料外流前就主動報案,對於財務、業務沒有影響。
美國網路設備製造商Ubiquiti開發人員Nickolas Sharp,自2020年底竊取大量公司機密資料,並於2021年初假冒駭客的身分宣稱找到系統漏洞,向老闆勒索50個比特幣,被警方盯上後還匿名向媒體謊稱Ubiquiti遭到駭客入侵,導致該公司股價在2天大跌20%,市值蒸發了40億美元。
在Nickolas Sharp坦承犯案之後,美國法院於今年5月10日做出判決,這名Ubiquiti前員工因傳輸程式至受保護的電腦上,並故意造成損害、電信詐欺,且對美國聯邦調查局(FBI)說謊,將被處以6年徒刑,並必須賠償159萬美元。
【資安防禦措施】
立法院三讀通過個資法修正條文,明訂主管機關、非公務機關個資外洩最高可罰1,500萬元
5月16日立法院三讀通過個人資料保護法的部分條文,當中明確指定「個人資料保護委員會」為個資法主管機關,且為獨立機關,籌備處預計於今年8月成立,在正式掛牌前,個人資料保護委員會須送交組織法草案交由立法院審查。
本次修法的另一個重點,在於針對非公務機關的罰則調整,若保有個人資料檔案且未採行適當之安全措施,導致個人資料被竊取、竄改、毀損、滅失或洩漏,將處理新臺幣2萬元以上、200萬元以下罰鍰,並限期改正;若限期未改善或情節重大,將處以15萬元以上、1500萬元以下罰鍰;屆期未改正者,採按次處罰。
【其他新聞】
OpenSSF獲微軟、Google挹注500萬美元強化開源軟體安全
惡意軟體分析平臺VirusTotal為AI分析機制提供更多指令碼的支援
Follina漏洞攻擊行動再度出現,這次被用於散布木馬程式Xworm
近期資安日報
【5月15日】 誠品書店外洩個資傳出遭支持中國武統人士利用,對臺灣民眾發動心理戰
熱門新聞
2024-12-24
2024-12-22
2024-12-20
2024-08-14
2024-11-29