資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0217~0221,中國駭客組織Salt Typhoon入侵全球電信業後續消息不斷,思科Talos公布入侵手法

回顧2025年2月第三星期的資安新聞,中國駭客Salt Typhoon攻擊全球電信業的後續消息是主要焦點,包括Recorded Future、思科Talos相繼公布最新發現;其他網路攻擊活動的揭露,以中國駭客APT41旗下Winnti入侵該國多個產業最受矚目,當地資安業者Lac指出對方從目標組織Web伺服器上執行的ERP系統漏洞入侵

2025-02-24

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0210~0214,馬偕醫院遭勒索軟體CrazyHunter攻擊,攻擊者滲透AD並使用BYOVD提權攻擊手法

在2025年2月第二星期資安新聞中,勒索軟體衝擊臺灣醫院與上市公司的消息是主要焦點;這一星期多家IT大廠發布安全性更新需趕緊因應,還有微軟、蘋果、PostgreSQL針對已遭利用零時差漏洞的修補,要特別重視

2025-02-17

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, DeepSeek

【資安週報】0203~0208,DeepSeek服務資安風險成焦點,包括資料庫裸奔、無法抵擋基本越獄手法,以及資料與隱私安全問題

回顧2025年2月第一星期的資安新聞,國內上市櫃公司的資安事故是一大焦點,從大年初四至今就有7家公司發布重訊,其中PCB業者最要注意,因為有3家都在此時遭到攻擊;春節期間成熱門話題的DeepSeek,不只因為大幅優化GPU利用效率受關注,其資安風險也如同過去ChatGPT爆紅時一樣受到多方檢視

2025-02-10

OpenAI | ChatGPT | 網頁快取欺騙漏洞 | Web Cache Deception

OpenAI修補可盜帳號、洩露個資的ChatGPT漏洞

安全研究人員Gal Nagli發現ChatGPT線上服務含有一項網頁快取欺騙(Web Cache Deception)漏洞,可讓攻擊者接管ChatGPT用戶帳號、看到對話標題及銀行帳戶資訊

2023-03-30

資安日報

【資安日報】3月30日,駭客鎖定網路電話系統3CX下手,針對電腦版用戶端程式進行供應鏈攻擊

網路電話系統3CX傳出遭到供應鏈攻擊,而使得用戶端程式受到影響,引起多家資安業者高度關注;有研究人員發現,OpenAI日前修補ChatGPT漏洞出現修補不全的情況

2023-03-30

Mandiant | 北韓 | 駭客 | APT43

北韓駭客團體APT43透過加密貨幣洗錢自給自足維持間諜行動

資安廠商Mandiant發布北韓駭客團體APT43調查報告,揭露其目標、活動、手法,還有與北韓政府的關係,並透過加密貨幣清洗非法所得贓款

2023-03-30

資安日報

【資安日報】3月29日,歐盟刑警組織提出警告,駭客大肆利用ChatGPT發動網釣攻擊、詐騙、製作惡意程式

本日有數則新聞與機器學習語言模型ChatGPT有關,其中最值得留意的,莫過於相關攻擊事故頻傳,已引起歐盟警方高度重視並提出警告

2023-03-29

蘋果 | 安全更新 | WebKit | 零時差漏洞

蘋果修補舊版iPhone、iPad的WebKit零時差漏洞

針對一項已遭利用的WebKit零時差漏洞,蘋果除了在上個月針對新款裝置發布安全更新,本周也發布iOS 15.7.4和iPadOS 15.7.4,以協助舊款iPhone、iPad裝置用戶進行修補

2023-03-29

Security Copilot | 資安 | 微軟

微軟推出資安人員用的Security Copilot

微軟強調Security Copilot整合了OpenAI的GPT-4模型,以及該公司安全情報資料庫,以對話式AI助理介面協助安全人員理解分析威脅資料、發現攻擊活動

2023-03-29

資安日報

【資安日報】3月28日,推特傳出原始碼被公布在GitHub儲存庫,疑為離職員工挾怨報復

上週推特透過加洲法院要求GitHub下架特定的儲存庫,原因是這名用戶上傳推特專有的原始碼,使得此事受到外界高度關注

2023-03-28

GitHub | 推特 | Twitter | 原始程式碼 | 資料外洩 | 裁員

推特要求GitHub撤下遭公布的網站原始碼

近日不明人士透過GitHub平臺公布推特內部原始程式碼,紐約時報推測在馬斯克對推特施行大裁員後,難免讓人懷疑是推特離職員工所為

2023-03-28

google | Flutter | Cocoon | SLSA

Flutter持續整合調度應用程式Cocoon達到SLSA Level 3供應鏈安全性

Google宣布持續整合調度應用程式Flutter Cocoon達到SLSA Level 3,其要求出處(Provenance)必須經驗證合格,這代表Cocoon擁有更強的防篡改能力

2023-03-28

資安日報

【資安日報】3月27日,SharePoint遭到濫用,駭客藉此引誘使用者下載惡意程式

有研究人員揭露濫用SharePoint來進行網路釣魚的攻擊行動,駭客先是利用該服務向目標分享檔案,再將使用者導向釣魚網站,進而規避資安系統的偵測

2023-03-27

資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊密軟體 | 惡意軟體 | 木馬程式 | 資料庫配置不當 | 資料外洩 | 漏洞揭露 | 資安事件

【資安週報】2023年3月20日到3月25日

在本周資安新聞中,以國內金融機構遭中國駭客發動釣魚郵件的攻擊活動揭露最受注目,在國際焦點中,德國與南韓聯手示警,指出北韓駭客以釣魚郵件散布惡意擴充套件,目的是竊取Gmail信件的威脅活動,還有俄羅斯駭客組織架設假冒的波蘭、義大利、烏克蘭政府網站的攻擊活動,誘使收信者前往網站以感染惡意軟體

2023-03-27

aCropalypse

微軟修補可回復圖片剪除部分的臭蟲

近期研究人員發現Windows含有可將圖片剪裁/塗改處還原的臭蟲,恐導致用戶隱私外洩,微軟趕忙修補並發布新版Windows 10及Window 11的工具軟體

2023-03-27

資安日報

【資安日報】3月25日,GitHub私鑰遭到「短暫」公開,該公司撤換部分金鑰

程式碼儲存庫GitHub表示,上週該公司持有的RSA SSH私鑰曾短暫在公開儲存庫曝光,他們緊急處理,並指出部分受影響的用戶需要採取相關措施

2023-03-25

資安日報

【資安日報】3月24日,逾5萬個網站被植入惡意JavaScript程式碼,將使用者重新導向惡意網站

大規模的網路入侵攻擊事件持續長達1年,駭客一共對於5.1萬個網站下手,並透過不同的手法來埋藏攻擊意圖;假借廠商貸款名義發動的BEC攻擊事故也值得留意,因為,駭客意圖向對方「貸款」超過3千萬美元

2023-03-24

CISA | Untitled Goose Tool

CISA釋出Untitled Goose Tool,可偵測微軟雲端服務的惡意活動

CISA在GitHub平臺釋出Untitled Goose,協助組織偵測其Azure、Azure Active Directory(AAD)與M365環境是否有潛在惡意活動

2023-03-24