| 資安日報 | 勒索軟體 | 資料外洩 | Log4Shell | Patch Tuesday | NetUSB | RedLine

【資安日報】2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

微軟2022年發布第一次的例行修補(Patch Tuesday),修補漏洞的數量為過往1月的2倍之多;此外,Log4Shell漏洞的威脅仍在持續,今日傳出有數起事故

2022-01-12

| FTC | Log4j | 資安裁罰 | 個資外洩 | 資料外洩 | 漏洞修補 | TWCERT

從保護消費者資料權益出發,美FTC對無視Log4j漏洞的企業示警,若因此發生個資外洩將訴諸法律追究

美國聯邦交易委員會(FTC)在1月初警告,若因未能修補log4j漏洞而致客戶個資外洩或財務損失,FTC將採法律行動提告求償。FTC指出之前Equifax資料外洩就是一例,後續該公司即遭FTC控告,最終以7億美元和解。

2022-01-12

| 資安日報 | 勒索軟體 | 資料外洩 | dnSpy | Pegasus | 挖礦軟體 | RAT

【資安日報】2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

網站的URL解析程式庫各自對於網址的解讀有所不同,而可能被駭客用於攻擊行動;此外,熱門的NPM(Node Package Manager)套件colors、faker遭到竄改,而影響眾多採用的應用系統,原因與大型企業只有使用而沒有投入資源有關

2022-01-11

| 資安日報 | 勒索軟體 | 資料外洩 | Google Voice | Rug Pull | Log4Shell

【資安日報】2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

鎖定遠端工作平臺VMware Horizon,並針對尚未修補Log4Shell漏洞的伺服器下手的攻擊行動再度傳出;此外,Google提供的網路電話服務Google Voice,也成為歹徒用來挾持用戶帳號的管道,而使得美國聯邦調查局(FBI)特別提出警告

2022-01-10

| 資安日報 | NCC | 小米 | 勒索軟體 | 資料外洩 | 雲端資料庫配置不當

【資安日報】2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

國家通訊傳播委員會(NCC)針對小米Mi 10T 5G手機發出警告,因為該產品可能過濾令中國政府不悅的詞彙,恐有回傳資料給中國政府之虞;有研究人員針對Java程式語言常用的遠端方法呼叫(RMI)協定提出警告,呼籲IT人員留意相關組態

2022-01-07

| 資安日報 | Microsoft Pluton | 資料外洩 | Web Cache Poisoning | CES

【資安日報】2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

有研究人員一口氣揭露70個網站快取中毒(Web Cache Poisoning)漏洞而引起關注,財務管理公司摩根史坦利(Morgan Stanley)針對2016年的客戶集體訴訟,決定祭出賠償進行和解

2022-01-05

| 摩根史坦利 | Morgan Stanley | 伺服器 | 個資處理不當 | 資料外洩

伺服器報銷未清除客戶資料,摩根史坦利以6千萬美元和解資料外洩官司

基於摩根史丹利在資料處理不當的重大缺失影響了1千6百多萬名用戶,美國貨幣總稽核辦公室對該行判處6千萬美元的民事罰金

2022-01-05

| 資安日報 | 勒索軟體 | 資料外洩 | 國家級攻擊 | 物聯網裝置 | IoT

【資安日報】2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

從教學網站複製指令並貼上終端機,有可能被攻擊者用來執行惡意指令;而針對物聯網裝置的資安威脅偵測,則是出現透過裝置的電磁波進行檢查的新手法

2022-01-04

| 資安日報 | Log4Shell | 漏洞揭露 | 資料外洩 | doorLock | LastPass

【資安日報】2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

駭客組織利用Log4Shell漏洞發動攻擊的事故,有資安業者發現鎖定學術單位而來;而網路叫車系統Uber郵件系統驚傳漏洞,恐被用於詐騙信用卡資料的攻擊

2022-01-03

| 配置不當 | 配置錯誤 | AWS S3 | Sega歐洲 | 安全弱點 | 雲端儲存 | 憑證 | 金鑰 | 資料外洩

Sega歐洲雲端系統防護不足,致用戶資料及公司資產曝險

VPN Overview研究人員發現Sega歐洲的S3儲存貯體因配置錯誤,導致該單位的多項服務憑證、RSA金鑰、用戶個資在網路上曝光

2021-12-31

| 資料外洩 | 個資 | 阿爾巴尼亞 | 內賊 | 內部威脅

阿爾巴尼亞逾1/5人口個資外洩,總理道歉

該國總理表示有內賊將大批民眾個資透過WhatsApp平臺散布,政府系統並未遭到外部網路攻擊

2021-12-28

| 資安日報 | 勒索軟體 | 資料外洩 | 遊戲產業 | Log4Shell | Fleeceware | Just Dance

【資安日報】2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

Log4Shell漏洞突顯軟體材料清單(SBOM)的需求,而專門提供賣家透過竊密軟體銷售帳密資料的暗網市集也值得留意

2021-12-22