| 國際紅十字會 | ICRC | 網路攻擊 | 資料外洩

紅十字會遭大規模網路攻擊,51萬弱勢民眾資料外洩

駭客攻擊紅十字會使用的第三方資料中心,導致紅十字會旗下60個據點所持有的弱勢民眾個資外洩

2022-01-20

| FCC | 美國聯邦通訊委員會 | 資料外洩 | 電信業 | 資安事件通報

FCC主席提出更嚴格的資料外洩通知規定

美國聯邦通訊委員會主席擬要求境內電信業者在資料外洩事件發生後,取消通知客戶的7天強制等待期

2022-01-13

| 資安日報 | APT攻擊 | 關鍵基礎設施 | 醫療機構 | 資料外洩 | 電玩產業

【資安日報】2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

針對俄羅斯駭客APT29、APT28、Sandworm Team,屢屢攻擊關鍵基礎設施(CI)的情況,美國政府多個單位特別提出警告;再者,中國品牌億聯(Yealink)的IP電話,傳出會向中國傳輸資料,美國參議員認為,可能和中國政府要求當地企業配合收集資料有關

2022-01-13

| 資安日報 | 勒索軟體 | 資料外洩 | Log4Shell | Patch Tuesday | NetUSB | RedLine

【資安日報】2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

微軟2022年發布第一次的例行修補(Patch Tuesday),修補漏洞的數量為過往1月的2倍之多;此外,Log4Shell漏洞的威脅仍在持續,今日傳出有數起事故

2022-01-12

| FTC | Log4j | 資安裁罰 | 個資外洩 | 資料外洩 | 漏洞修補 | TWCERT

從保護消費者資料權益出發,美FTC對無視Log4j漏洞的企業示警,若因此發生個資外洩將訴諸法律追究

美國聯邦交易委員會(FTC)在1月初警告,若因未能修補log4j漏洞而致客戶個資外洩或財務損失,FTC將採法律行動提告求償。FTC指出之前Equifax資料外洩就是一例,後續該公司即遭FTC控告,最終以7億美元和解。

2022-01-12

| 資安日報 | 勒索軟體 | 資料外洩 | dnSpy | Pegasus | 挖礦軟體 | RAT

【資安日報】2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

網站的URL解析程式庫各自對於網址的解讀有所不同,而可能被駭客用於攻擊行動;此外,熱門的NPM(Node Package Manager)套件colors、faker遭到竄改,而影響眾多採用的應用系統,原因與大型企業只有使用而沒有投入資源有關

2022-01-11

| 資安日報 | 勒索軟體 | 資料外洩 | Google Voice | Rug Pull | Log4Shell

【資安日報】2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

鎖定遠端工作平臺VMware Horizon,並針對尚未修補Log4Shell漏洞的伺服器下手的攻擊行動再度傳出;此外,Google提供的網路電話服務Google Voice,也成為歹徒用來挾持用戶帳號的管道,而使得美國聯邦調查局(FBI)特別提出警告

2022-01-10

| 資安日報 | NCC | 小米 | 勒索軟體 | 資料外洩 | 雲端資料庫配置不當

【資安日報】2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

國家通訊傳播委員會(NCC)針對小米Mi 10T 5G手機發出警告,因為該產品可能過濾令中國政府不悅的詞彙,恐有回傳資料給中國政府之虞;有研究人員針對Java程式語言常用的遠端方法呼叫(RMI)協定提出警告,呼籲IT人員留意相關組態

2022-01-07

| 資安日報 | Microsoft Pluton | 資料外洩 | Web Cache Poisoning | CES

【資安日報】2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

有研究人員一口氣揭露70個網站快取中毒(Web Cache Poisoning)漏洞而引起關注,財務管理公司摩根史坦利(Morgan Stanley)針對2016年的客戶集體訴訟,決定祭出賠償進行和解

2022-01-05

| 摩根史坦利 | Morgan Stanley | 伺服器 | 個資處理不當 | 資料外洩

伺服器報銷未清除客戶資料,摩根史坦利以6千萬美元和解資料外洩官司

基於摩根史丹利在資料處理不當的重大缺失影響了1千6百多萬名用戶,美國貨幣總稽核辦公室對該行判處6千萬美元的民事罰金

2022-01-05

| 資安日報 | 勒索軟體 | 資料外洩 | 國家級攻擊 | 物聯網裝置 | IoT

【資安日報】2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

從教學網站複製指令並貼上終端機,有可能被攻擊者用來執行惡意指令;而針對物聯網裝置的資安威脅偵測,則是出現透過裝置的電磁波進行檢查的新手法

2022-01-04

| 資安日報 | Log4Shell | 漏洞揭露 | 資料外洩 | doorLock | LastPass

【資安日報】2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

駭客組織利用Log4Shell漏洞發動攻擊的事故,有資安業者發現鎖定學術單位而來;而網路叫車系統Uber郵件系統驚傳漏洞,恐被用於詐騙信用卡資料的攻擊

2022-01-03