| iThome

【資安日報】10月4日，駭客假借提供AI脫衣程式為誘餌，企圖散布惡意軟體

AI應用當紅，有駭客聲稱提供AI脫衣程式DeepNude的非法工具，吸引使用者上當，藉此於受害電腦部署惡意程式

【資安日報】2022年12月19日，連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊

駭客鎖定Windows、Linux連網裝置散布殭屍網路病毒MCCrash，目的是要用來發動DDoS攻擊；美國FBI、FDA提出警告，已有數家食品業者遭到BEC攻擊，駭客對其訂貨再進行銷贓

2022-12-19

新聞 | 2FA | GitHub | 憑證安全

GitHub釋出免費憑證掃描工具、新增5類用戶強制啟用2FA

GitHub準備將名為secret scanning的免費掃描工具，開放給所有公開儲存庫用戶，幫助開發人員避免經由程式碼洩露登入憑證

2022-12-19

新聞 | AWS | 微軟 | google | 甲骨文 | 美國國防部 | 雲端合約 | JWCC

美國國防部90億美元雲端訂單由AWS、微軟、Google、甲骨文共得

原本由微軟獨家拿下的《聯合企業防禦基礎設施》（JEDI）標案，因眾多因素而宣告終止後，美國防部另行規畫《聯合作戰人員雲端能力》（JWCC）合約，目前確定將交由雲端三巨頭以及甲骨文聯合執行

2022-12-19

新聞 | 臉書 | Facebook | 漏洞獎勵計畫 | 帳號接管 | 雙因素驗證繞過漏洞 | 2FA

臉書更新抓漏獎勵，RCE漏洞最高可拿30萬美金

臉書除了提高行動遠端程式碼執行漏洞的通報獎金，也將帳號接管（ATO）及雙因素驗證（2FA）繞過漏洞納入漏洞獎勵計畫

2022-12-19

新聞 | OpenAI | 模型 | 文字搜尋

OpenAI發表新的嵌入模型，效能更好且比Davinci更便宜

OpenAI新的嵌入模型（Embedding Model）text-embedding-ada-002，能夠更好地處理文字與程式碼搜尋任務，而且只要支付Davinci模型價格的0.2％，就可獲得更好或是類似的效能

2022-12-19

新聞 | 樂高 | API | PII

樂高線上市集存在兩嚴重漏洞，可洩漏用戶個資與伺服器機密資訊

樂高（LEGO）線上市集bricklink.com存在兩個API安全漏洞，可能導致使用者帳戶遭接管，還允許攻擊者存取伺服器機密資訊

2022-12-19

新聞 | NIST | SHA-1 | 碰撞攻擊

NIST宣布美國聯邦政府2030年12月31日後停用SHA-1加密演算法

由於針對SHA-1的碰撞攻擊日益嚴重，NIST宣布美國聯邦政府在2030年12月31日後，停用SHA-1加密演算法

2022-12-19

新聞 | DAO | g0v台灣零時政府 | Web 3.0 | NFT | Hypercert | SBT | da0

許多公民在g0v自主發起的專案，因為沒有提供足夠參與誘因，找不到足夠人力及資源維持運作。因應此困境，da0要用Web 3 DAO的治理方式，為g0v設計獎勵機制，來提供參與公民科技專案的具體動機。

2022-12-19

【資安週報】2022年12月12日到12月16日

本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意，已有駭客組織在攻擊行動利用這些漏洞；在其他漏洞修補新動向上，包括多家WAF產品業者修補一項漏洞，是關於WAF無法識別JSON格式，導致可能被用於發動SQL注入攻擊，以及數家防毒軟體與EDR業者修補零時差漏洞，可被用於破壞電腦資料

2022-12-19

【AWS 2023雲端關鍵戰略2】不只資料倉儲、ML服務，AWS揭露全服務資料治理的大戰略

AWS持續擴大資料治理布局，更多雲端資料產品都支援，不只擴大到資料倉儲Redshift，更從資料源頭進一步涵蓋到機器學習服務，就連新推出的資料管理服務，都主打內建資料治理的功能

2022-12-19

【AWS 2023雲端關鍵戰略1】擴大資料倉儲Redshift產品廣度，打造企業資料全能分析中心

看似今年Redshift服務沒有重大更新，其實推出了局部強化的新功能，從緊密資料整合、串流資料分析到強化安全存取，這些新功能都是為了補足資料倉儲產品完整性的一片片關鍵拼圖

2022-12-19

AWS新產品戰略以資料為主軸，更要朝全解決方案產業應用來發展

AWS今年產品策略以擴大和延續為主，許多產品發布都是對既有服務或產品的補強，不是大更新，而是回應顧客最迫切想要的功能，雖然少了酷炫，但也意味著，這家公雲龍頭開始深入企業應用，來一一把各種企業需求補齊

2022-12-19