| 2021臺灣資安大會 | 資安人才 | AIS3 | 資安 | 資安教育 | 鄭欣明

【臺灣資安大會直擊番外篇】臺灣資安人才超搶手,政府民間紛紛出招培育人才

看見資安人才搶手盛況,政府、學校、企業與社群都向前推了一把,不只要培育資安人才,更要讓人才接軌產業,甚至擁有海外求職的能力

2021-06-25

| SonicWALL | CVE-2021-20019 | 漏洞 | 資安

去年影響80萬臺SonicWall產品的VPN漏洞修補不全引發新漏洞,本周SonicWall發布修補通知

因去年SonicWall針對安全漏洞CVE-2020-5135修補不全,而衍生的CVE-2021-20019,可讓攻擊者傳送改造過未經驗證的HTTP呼叫,造成部份記憶體外洩, SonicWall目前已修補大部份受影響平臺

2021-06-23

| Python Package Index | PyPI | 惡意軟體 | 供應鏈攻擊 | 資安

Python專案遭挖礦程式滲透

惡意軟體企圖仿冒Python合法軟體名稱,當開發者粗心大意輸錯名稱時,就會讓自家伺服器淪為挖礦機器

2021-06-23

| 資安 | 勒索軟體 | Clop | 烏克蘭

烏克蘭警方逮捕6名涉及操作Clop勒索軟體的嫌犯

金融時報分析,這應該是史上首個針對勒索軟體集團大規模展開逮捕行動的國家,將對其它國家造成壓力,例如被視為勒索集團中心的俄羅斯

2021-06-21

| 資安 | 勒索軟體 | 美國

報導:美企業被勒索軟體勒索可減免稅賦

據美聯社報導,美國當地企業如果因勒索軟體攻擊而支付贖金,繳稅時可獲得減免,但國稅局並未對此有過正式聲明

2021-06-21

| 軟體供應鏈 | 網路威脅 | 供應鏈安全 | SLSA | 安全框架 | 資安

Google推動軟體供應鏈安全框架SLSA

Google提出旨在確保軟體供應鏈安全的框架SLSA,是以該公司內部所有營運作業都採用的部署時強制檢查機制為基礎發展而成

2021-06-18

| 物聯智慧 | SDK | 修補 | 安全漏洞 | 資安 | Kalay | CISA | ThroughTek

CISA警告:臺廠物聯智慧的SDK含有可能遭第三方竊聽的嚴重漏洞

針對美國政府CISA警告的CVE-2021-32934漏洞,物聯智慧已於2018年釋出的SDK 3.1.10提供修補,但部分客戶並未升級,使漏洞問題一直存在於市面,該公司強烈建議客戶查看產品所採用的SDK版本,並儘快升級

2021-06-18

| 一起抗疫靠IT | iThome 2021 CIO大調查 | 資安 | 財政資訊中心 | 張文熙 | 財政部 | 遠端工作

【iThome 2021 CIO大調查 (下)|IT抗疫實例:財政資訊中心主任張文熙】財政部為遠端工作層層把關,避免成為資安破口

除了使用SSL VPN遠端辦公,財政資訊中心還規畫第二層、第三層防護機制,確保遠端登入者身分的合法性,也加強對遠端登入行為的監控側錄,搭配SOC的24小時監控

2021-06-18

| Peloton | 健身設備 | Peloton Bike+ | Peloton Tread | 安全漏洞 | 資安 | 供應鏈攻擊

Peloton健身App漏洞可能使駭客接管裝置

McAfee發現健身器材製造商Peloton的Android版健身App含有安全漏洞,讓攻擊者得以遠端存取健身飛輪的相機或麥克風,甚至在設備出廠前就植入後門,Peloton獲報後於6月初完成修補

2021-06-17

| CVS Health | 資料庫 | 配置錯誤 | 配置不當 | 資料外洩 | 資安 | 個資

美健康照護商CVS Health外洩逾10億筆營運資料

CVS Health外洩的資料包含訪客ID、連線ID、消費者姓名以及Email帳號,研究人員以此搜尋比對網路上已外洩個資,便能辨識出CVS Health部分消費者身分

2021-06-17

| BEC | 商業電郵詐騙 | 網釣 | 資安 | 釣魚郵件 | Microsoft 365 | IMAP/POP3 | MFA

BEC詐騙信件對Microsoft 365用戶進行攻擊

微軟發現攻擊者使用舊式郵件協定如IMAP/POP3,以繞過Exchange Online帳號的MFA

2021-06-16

| CVE-2021-21985 | 資安 | 安全漏洞 | VMware vCenter Server | VMware Cloud Foundation

VMWare被開採的零時差漏洞仍有數千臺系統未修補

儘管安全公司及美國政府呼籲企業修補,不過網路上仍然有大量VMware主機曝險

2021-06-16