資安周報

資安周報, IT報告

資安一周[0426-0502]:上百萬臺路由器爆發RCE漏洞,一行指令就可繞過驗證機制;資安專家發現Volkswagen及Audi兩款車可以遠端駭入的漏洞

資安公司vpnMentor日前針對大量GPON(Gigabit Passive Optical Network)家用路由器進行分析,發現存在兩個嚴重漏洞,都可讓相關裝置淪為被駭客操控的傀儡網路;資安公司Computest研究人員發現,兩款德國車Volkswagen及Audi有多處漏洞,駭客可以透過漏洞,遠端操控麥克風、揚聲器以及GPS導航系統。

2018-05-02

資安周報, 臺灣資安大會, 機器人遭駭, 資安大調查

資安一週(0310~0316):第一屆臺灣資安館正式開幕,38家國產業者大秀資安軟實力

臺灣資安館展區,共集結了38家廠商,涵蓋人工智慧、威脅情資、大數據、數位金融、滲透攻防、威脅防護、機密保護、資安服務8個面向,展現國內資安產業的自主研發實力,同時展現我國資安產業的蓬勃發展

2018-03-20

IT報告, 資安周報, 資安法, 行政檢查

【資安周報第78期】資安法草案對行政檢查定義不清,引發諸多疑慮

《資安管理法草案》雖然大幅參考個資法架構,卻因行政檢查應有的程序和作法不足,引發立委審查法案時的質疑

2017-11-09

Chrome | Chrome 68 | 新聞 | 資安

Chrome處理影音串流資訊漏洞可被用來開採使用者臉書隱私,研究人員呼籲應儘速更新

藉由Chrome瀏覽器引擎的漏洞,Imperva研究人員發現,若是駭客濫用<video>和<audio>等HTML語法標籤,便能間接取得使用者於網站上的隱私資料,例如臉書、Google,甚至是線上交易平臺等。研究人員也呼籲Chrome的使用者,將瀏覽器更新到已經修補上述漏洞的68版。

2018-08-17

IoT | 安全 | 新聞 | 資安

Avast:3.2萬個IoT伺服器在網路上門戶洞開

Avast透過掃描發現超過4.9萬台MQTT伺服器因配置錯誤而曝露於網路上,超過3.2萬台甚至沒有密碼保護,可能使駭客解智慧家庭裝置運作情形,例如掌握主人是否在家、遙控使用者家中的智慧裝置。

2018-08-17

Chrome | 新聞 | 漏洞 | 資安

Chrome漏洞可能外洩使用者隱私資料

駭客可以先建立限制存取的臉書文章,並打造一個含有惡意影片或聲音標籤的網站,當用戶同時造訪臉書、惡意網站,就能經由傳送一個測試請求,偷偷建立Chrome用戶的個人檔案。

2018-08-17

OpenEMR | 個資隱私 | 新聞 | 漏洞 | 資安 | 個資法

開源電子健康紀錄系統OpenEMR爆數個嚴重漏洞,病患隱私與系統安全拉警報

Project Insecurity在2018年7月7日通報漏洞給OpenEMR,OpenEMR官方就推送了漏洞補丁更新,修補身分驗證旁路、SQL資料隱碼、遠端程式碼執行以及任意檔案操作等漏洞。

2018-08-17

Firefox | Mozilla | 外掛程式 | 新聞 | 資安

Web Security事件發酵,Mozilla移除23個可疑Firefox外掛程式

在Web Security被指控蒐集用戶造訪網站紀錄後,Mozilla檢視Firefox其他外掛程式,包括是否蒐集不必要的資訊、以不安全方式傳送資料等,移除了包括Web Security在內23款外掛程式。

2018-08-17

新聞 | 蘋果 | 駭客 | 資安

16歲澳洲青少年駭入蘋果伺服器偷走90GB的資料

澳媒報導一名16歲青少年曾入侵蘋果伺服器,竊取90GB的資料,包含用戶的帳號金鑰,經蘋果向FBI舉報後,遭到澳洲警方逮捕。

2018-08-17

中國駭客 | 新聞 | 阿拉斯加州 | 資安

研究:中國駭客以後門程式滲透美阿拉斯加州政府及企業網路

一個名為ext4的Linux後門程式從3月底到6月底之間在阿拉斯加州政府、以及基礎服務等公司的網路上進行勘查,尋找可能的漏洞,經追查來源為清華大學的網頁伺服器,懷疑是中國駭客透過該大學進行攻擊。

2018-08-17

DepShield | DevSecOps | GitHub | Sonatype | 新聞 | 資安

DepShield可自動化監控相關開源專案程式碼漏洞

DepShield可用於GitHub私人或是公開儲存庫,持續監控專案相依開源程式碼的安全性,於發現漏洞時提醒開發人員修補。

2018-08-16

Aqua | Kubernetes | 容器安全 | 新聞 | Cloud | 資安

Aqua推出開源Kubernetes滲透測試工具Kube-hunter

目前,Kube-hunter總共有被動、主動此兩種模式。該工具預設為被動模式,可以用來探測企業用戶Kubernetes環境內潛在的存取弱點。

2018-08-16

ADFS | 微軟 | 新聞 | 漏洞 | 資安

微軟ADFS含有可繞過多因素認證的安全漏洞

這項ADFS漏洞可使取得A員工帳號、密碼及第二認證因素的駭客,當以B員工的身份,輸入帳號、密碼及A員工的第二認證因素就能登入系統,前提是A與B在同一個AD組織中。

2018-08-16

Firefox | Web Security | 外掛程式 | 新聞 | 資安

Mozilla曾推薦的Firefox外掛Web Security遭懷疑會偷偷追蹤用戶

有網友首先質疑Web Security為何需要使用者授權與其他程式交換訊息,繼之其他人發現Web Security偷偷紀錄Firefox造訪的所有網頁,並傳送到特定IP位址,且以HTTP傳送。

2018-08-16

政府資料存取 | 新聞 | 澳洲 | 資安

澳洲政府以犯罪調查、反恐為由擬要求祕密存取國內外企業資訊

澳洲政府提出《2018年協助與存取法案》修正草案,希望提高該國執法及安全單位對本國及國外企業存取資訊的權力,以利案件調查蒐證需要,不僅可以公開存取資料,也有祕密存取資料的權力。

2018-08-16

MacOS High Sierra | 新聞 | 漏洞 | 資安

利用macOS High Sierra漏洞以虛擬點擊就能繞過安全機制

研究人員發現結合漏洞,駭客可以虛擬點擊方式繞過合成點擊的安全機制,可執行不受信賴的軟體,而不需要使用者點滑鼠。研究人員曾向蘋果通報這個漏洞並獲得修補,但現在發現該漏洞再次出現。

2018-08-16

ATM遭駭 | Cosmos Bank | Swift | 新聞 | 資安

印度銀行遭駭4億元,駭客不僅入侵ATM伺服器,並用SWIFT盜轉

針對銀行ATM與SWIFT系統的攻擊不斷,印度Cosmos銀行在上週末遭受駭客入侵,自8月11日到13日這三天期間,約有9.4億盧比(超過4億元)的資金被盜,目前事件仍在調查中。

2018-08-16

Home Router | Iot Botnet | Palo Alto Networks | 新聞 | 資安

新型Mirai及Gafgyt惡意軟體現身,將鎖定家用路由器

資安業者Palo Alto Networks表示,近期出現以Mirai及Gafgyt惡意軟體衍生的殭屍網路活動,將利用IoT設備來針對特定網站發動DDoS攻擊。他們提醒使用者路由器密碼設定不要太容易,並注意設備韌體老舊的問題。

2018-08-15