【資安日報】11月11日,6.1萬臺D-Link網路儲存設備存在重大層級命令注入漏洞

研究人員針對4款D-Link網路儲存設備提出警告,指出存在重大層級的命令注入漏洞CVE-2024-10914,經調查全球至少有6.1萬臺曝露於網際網路

新聞 | 殭屍網路 | P2PInfect | Redis | 挖礦劫持 | 使用者模式Rootkit | 勒索軟體 | rsagen

專門鎖定Redis伺服器的殭屍網路P2PInfect出現新的攻擊手法,駭客為其加入勒索軟體模組

資安業者Cado針對殭屍網路P2PInfect的攻擊行動提出警告,指出對方重新大幅改寫此殭屍網路病毒,不僅行蹤變得更加隱密,還能藉由勒索軟體破壞檔案

2024-06-27

新聞 | Rabbit r1 | Rabbit | 新創 | AI裝置 | API金鑰 | 金鑰外洩 | ElevenLabs | Google Maps

AI裝置Rabbit r1遭爆外洩眾多API金鑰

由新創業者Rabbit打造的AI裝置Rabbit r1,上市之後不但功能、介面被科技媒體嫌棄,如今連開發團隊的資安意識也備受質疑,研究人員踢爆其程式碼庫含有許多寫死的API金鑰,將允許任何人讀取Rabbit r1所生成的內容,或竄改Rabbit r1的回應

2024-06-27

新聞 | 漏洞揭露 | 工業控制系統 | 西門子

研究人員針對西門子修補的SICAM設備漏洞提出警告,若不修補有可能被用於針對能源產業攻擊

針對通報的西門子能源工業控制系統SICAM漏洞,研究人員公布相關細節,由於這些漏洞的存在,攻擊者得以從中竊取敏感資料、提升權限、甚至讀取特定的密碼

2024-06-27

新聞 | AI資料集 | Dataset Providers Alliance | DPA | 機器學習 | 著作權法

7家AI資料集供應商成立聯盟,推動符合著作權法的AI模型開發標準

包括全球音樂授權機構Rightsify在內的7家AI資料集供應商,宣布成立資料集供應商聯盟DPA,目標是推動訓練AI模型所使用資料的合法授權的透明度及標準化

2024-06-27

新聞 | 漏洞揭露 | 蘋果 | AirPods | Powerbeats Pro | Beats Fit Pro | CVE-2024-27867

蘋果發布AirPods韌體更新,修補藍牙耳機配對漏洞

本週二蘋果發布藍牙耳機AirPods新版韌體,修補身分驗證漏洞CVE-2024-27867,值得留意的是,除了第1代AirPods,其他裝置都可能受到影響

2024-06-27

新聞 | Nuance | 微軟 | 存取控制 | 內賊 | 資料外洩 | Geisinger

微軟IT管理不當遭利用,離職員工竊取醫院客戶百萬病患個資

微軟收購的Nuance公司一名員工在被解職後,利用Nuance系統的存取控制弱點,竊取使用Nuance服務的美國醫療集團Geisinger病患個資

2024-06-27

新聞 | LockBit | 聯準會 | HackManac

勒索軟體LockBit聲稱入侵美國聯準會,竊得33 TB敏感資料,但傳出遭駭的實際上是一家銀行

本週勒索軟體駭客組織LockBit聲稱成功入侵美國聯準會,得手超過30 TB資料卻沒有公布部分內容,許多研究人員質疑駭客只是虛張聲勢,如今有資安業者確認,這批資料實際上來自一家名為Evolve Bank and Trust的金融機構

2024-06-27

新聞 | 歐盟 | Microsoft 365 | M365 | 通訊協同軟體 | Teams | 反壟斷 | 反托拉斯

歐盟初步認定微軟Microsoft 365搭售Teams違法

去年啟動微軟M365搭售Teams行為的反壟斷調查後,歐盟執委會公布初步調查結果,認定微軟從2019年便藉此打壓通訊協同產品競爭者,即使微軟去年底開始鬆綁M365搭售Teams的政策,但仍未符合公平競爭原則,要求微軟限期改進

2024-06-27

新聞 | polyfill.io | Polyfill | 供應鏈攻擊

易主後的polyfill.io被用來執行供應鏈攻擊

知名的Polyfill函式庫polyfill.io在今年2月易主之後,被用來進行供應鏈攻擊,針對嵌入該函式庫的網站植入惡意程式,資安業者呼籲網站管理人員關閉Polyfill,或是改用其它較為可靠的服務

2024-06-26

新聞 | Anthropic | 協作 | Claude | Projects

Anthropic推出Claude協作功能Projects

Anthropic針對訂閱用戶推出能夠與AI助理Claude協作的Projects功能,讓Claude的輸出能夠建立在組織的內部知識上

2024-06-26

新聞 | 資安日報

【資安日報】6月26日,惡意軟體沙箱服務業者Any.Run遭到網釣攻擊,所有員工收到內部人員寄來的釣魚信

雲端惡意軟體沙箱Any.Run本週證實,他們的員工遭到網路釣魚攻擊,導致帳號遭到挾持,而這起事故被察覺,則是在一個月後全公司員工都收到類似的釣魚信,才浮上檯面

2024-06-26

新聞 | WordPress | 外掛程式 | 應用程式市集 | 供應鏈攻擊

5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊,被植入惡意指令碼

資安業者Wordfence針對5款WordPress外掛程式用戶提出警告,指出這些外掛程式近日遭到供應鏈攻擊,它們被植入惡意程式碼並發布到官方市集,後續等用戶下載安裝之後,再藉此控制受害網站,並將其用於增加垃圾索引

2024-06-26