| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 資料外洩 | 帳號安全

【資安週報】2024年1月8日到1月12日

2024年首個零時差漏洞攻擊消息出現,有駭客鎖定Ivanti旗下VPN與網路安全存取產品發動零時差漏洞攻擊,還要注意多個已知漏洞開始有駭客鎖定利用,以及注意修補近期微軟等公司發布的每月例行安全更新;在威脅態勢上,X社群平臺的企業組織帳號遭駭事件有擴大跡象,以及新型態的SMTP Smuggling攻擊手法的揭露

2024-01-15

| PyPI | 2FA | 帳號安全

PyPI將強制要求所有軟體出版商使用2FA

駭客入侵PyPI用戶帳號以散布惡意專案的安全事件層出不窮,促使官方決定強制該平臺今年底全面啟用雙因素身分驗證(2FA)

2023-05-29

| 資安 | 帳號安全 | MFA | OTP | 密碼 | 無密碼 | 3D驗證碼 | 簡訊 | FIDO | EMVCo | WebAuthn | SPC | Secure Payment Confirmation

【MFA無法阻止身分冒用事件的頻傳,驗證碼被竊是主因】因現行MFA仍有可乘之機,信用卡交易驗證安全需要持續強化

MFA應用是當前提升身分安全的主力,但最近臺灣發生的信用卡盜刷事件突顯其不足之處,促使大家走向無密碼登入

2023-02-20

| Signal | 供應鏈攻擊 | Twilio | 網釣簡訊 | 帳號安全

Twilio資料外洩,1,900名Signal用戶遭池魚之殃

採用Twilio服務進行電話號碼認證的端對端加密程式Signal表示,約有1,900名用戶受到Twilio駭客事件的波及,包括帳號遭駭客重新註冊

2022-08-17

| API金鑰外洩 | 行動程式 | Twitter API | 帳號安全

超過3,200個行動程式曝露Twitter API金鑰

資安業者CloudSEK分析發現有近5千款行動程式外洩了存取Twitter帳號必須具備的所有金鑰,其中3千多個程式所外洩的金鑰都是有效的,而Twitter API金鑰的外洩肇因於開發商把金鑰存放在唾手可得之處,而讓駭客有機可趁

2022-08-02

| 實體安全金鑰 | Security Key | AWS | MFA | 帳號安全 | FIDO

AWS開放免費下訂實體安全金鑰,目前限美國帳號Root User用戶

為了促進AWS用戶採用MFA,保護線上服務帳號安全,Amazon在7月11日正式宣布開放免費下訂實體安全金鑰(Security Key),目前適用對象為AWS美國帳號Root User用戶,且帳戶需最近三個月每月花費達100美元

2022-07-28

| 封面故事 | GitHub | MFA | 2FA | 帳號安全 | 帳號防護 | 開發者 | 雙因素驗證 | 軟體供應鏈安全 | FIDO

提升軟體供應鏈安全,提升開發者帳號保護將是不可或缺的關鍵

不只一般使用者需要MFA確保身分真實性與存取安全性,打造IT系統與服務的開發者,更需要正視帳號被冒用、劫持之後,對於軟體供應鏈的嚴重衝擊,並採取行動

2022-06-06

| 封面故事 | GitHub | MFA | 2FA | FIDO | 帳號安全 | 帳號防護 | 開發者 | 雙因素驗證 | 軟體供應鏈安全 | 身分暨存取解決方案 | IAM | 實體安全金鑰 | TOTP

提升開發者帳戶安全,企業應強制全面啟用2FA或建置集中管控

開發人員要有足夠的資安意識之餘,企業同樣必須付諸行動,提升與落實內部開發人員身分驗證的相關管理政策

2022-06-06

| 編者的話 | 資料遺失 | 大當機 | MFA | 帳號安全 | 高中學習歷程檔案遺失 | Atlassian | SRE

能力越大,責任越大

寫著電影《蜘蛛人》經典臺詞:「能力越大,責任越大」的T恤頗受人青睞,這是否也象徵人們對於「力量」、「能力」、「權力」的渴望?同時,也不免讓人聯想「責任」是否成為一種裝飾或是獲得更大能力的藉口,而讓人忽略扛起這個重擔所要付出的代價

2022-06-02

| NHS | 英國健保局 | 網釣郵件 | 帳號安全

英國健保局有上百名員工的帳號遭駭,被用來發送網釣郵件

駭客挾持139名英國健保局(NHS)員工電子郵件帳號,自去年秋天開始發送網釣郵件,目的是竊取微軟用戶憑證

2022-05-05

| 兩步驟驗證 | 2SV | 雙因素驗證 | 2FA | google | 帳號安全

強制1.5億用戶啟用兩步驟驗證功能後,Google宣布帳號遭駭情形減少50%

Google指出已有超過1.5億用戶帳號啟用兩步驟驗證(2SV)或雙因素驗證(2FA),也要求200多萬YouTube內容創作者使用2SV,這讓用戶帳號被入侵的情形減少50%

2022-02-09

| 醫院 | 資安 | 身分認證 | 供應鏈攻擊 | Broward Health | 帳號安全 | 供應商

美國公衛系統Broward Health外洩近136萬名用戶資料

駭客從Broward Health供應鏈下手,入侵該組織的醫療服務供應商,以取得Broward Health一百多萬名用戶的銀行帳戶資訊、駕照號碼,以及電子郵件帳號等個資

2022-01-04