資安廠商發現大量醫療影像在網路上儲存,全無保護,任何人都可以輕易取得,患者隱私遭到極大威脅。
- 1月 11 週六 202009:09
近十二億張醫療影像在網路上曝光,而且全無保護
資安廠商發現大量醫療影像在網路上儲存,全無保護,任何人都可以輕易取得,患者隱私遭到極大威脅。
- 1月 10 週五 202016:48
美國政府所屬網站遭駭,放置伊朗國旗
一個美國聯邦政府所屬網站,近日遭到親伊朗駭客入侵。美國官員警告,伊朗可能發動更大規模的網路攻擊行動。
美國聯邦政府轄下的「聯邦寄存圖書館」(Federal Depository Library)的一個政府出版品免費借閱計畫網站,日前遭親伊朗的駭客駭入。駭客將該站首頁的內容置換成伊朗國旗。
該網站在上周六遭駭後,目前被迫下線;截至發稿為止,該網站仍無法正常運作。
美國國土安全部所屬的網路與基礎架構安全局,已經開始調查整起駭侵事件。不過該局官員表示,目前仍無證據可以證實駭侵者受伊朗官方指使或支持,也有可能是親伊朗分子自行發動的攻擊。
美國官員警告,這起事件很可能只是冰山之一角;伊朗隨時可能發動更大規模的網路攻擊行動。
美國在上周以無人機攻擊行動,致美伊對立情勢再度昇高。網路攻擊將會是實體攻擊之外,伊朗可能採取的報復手段。
資安專家警告,伊朗駭侵團體對美國公私單位的駭侵行動,很可能因而加強。
網路與基礎架構安全局的官員也指出,伊朗網軍有能力針對美國重要的基礎設施,發動強力網路攻擊,使這些重要設施為之癱瘓。
官員重申,美國各公私單位都應該加強資安戒備,強化監控與備份機制,並且提高各系統的安全控管層級,以防來自伊朗的報復攻擊真的發生。
- 1月 09 週四 202016:22
Google Chrome 被發現含有可被遠端執行程式碼的一系列漏洞
資安專家近期發現五個 Google Chrome 的資安漏洞,可能遭駭侵者利用,進而在受害系統上遠端執行任意程式碼。
這批漏洞被資安研究人員稱為「麥哲倫 2.0」(Magellan 2.0),主要存在於 Google Chrome 瀏覽器的 SQLite 資料庫管理系統中。
由於 SQLite 資料庫體積小、運作速度快,因此有很多瀏覽器、手機或作業系統都廣泛採用 SQLite。
據 Mitre.org CVE 的報告指出,這五個 SQLite 漏洞,可以透過一個特製的 HTML 加以利用;駭客只要布署含有惡意程式碼的 HTML 檔讓瀏覽器讀取,即可透過這些漏洞遠端執行任意程式碼,並且毫無障礙地存取受害系統的機敏資訊。
據資安專家指出,任何採用 SQLite 的系統,如果沒有更新到最新版本,都可能含有這五個在 Google Chrome 中被發現的漏洞。
這一系列漏洞在 2019 年 11 月 16 日提報給 Google,Google 隨即於 2019 年 12 月 11 日推出修補過後的新版,版本號碼為 79.0.3945.79;任何早於這個版本的 Google Chrome 如果也啟用了內建的 SQLite 資料庫,就存有因為此一系列漏洞而遭攻擊的風險。
資安專家也指出,目前並未觀察到利用此一系列漏洞的大規模攻擊行動。
據 NVD 資料庫的評估,CVE-2019-13751 的嚴重程度為 6.5 分,危險評級為中度。
所有使用 Google Chrome 的用戶,應立即更新到最新版本,以修補這一系列漏洞。
- 1月 09 週四 202011:55
IoT 設備業者 Wyze 外洩近 240 萬用戶個資
IoT 廠商 Wyze 一個存有 240 萬名用戶個資的資料庫,被發現未經任何保護,在網路上曝光,嚴重影響用戶隱私。
- 1月 06 週一 202014:58
新年伊始,勒贖軟體繼續在美國各地傳出災情
勒贖軟體繼續在美國各地傳出災情,包括密西根州的學校系統、德州城鎮的市政系統,都因為勒贖軟體攻擊而宣告停擺。
新年伊始,勒贖軟體的危害仍不斷傳出災情。
據美國媒體報導,密西根州所屬的多個學校系統,日前遭到不明勒贖軟體攻擊;歹徒要求高達一萬美元等值的比特幣贖金,若不支付,便不解鎖遭加密的市政相關重要檔案。
密西根州相關官員指出,勒贖攻擊是在耶誕假期將結束時發動,該州學校體系的多個系統都遭到攻擊,包括影印機、電話和教室內的資訊系統均無法運作。
官員指出,雖然和師生相關的個人資料都平安無事,但仍有三所學校因為攻擊事件而被迫關閉;相關資訊人員已開始復原被攻擊的系統,但復原所需時間將會相當漫長。
官員表示,他們不會支付贖款,因為就算付了贖款,也無法保證受到攻擊的系統和檔案就能完全復原。
無獨有偶,德州的英格賽市(City of the Ingleside)近日也遭到勒贖軟體攻擊,造成部份市政系統停止運作。該市正在努力恢復受損的資料和系統。
根據一份 2019 年十二月底由資安公司 Emsisoft 發表的統計,全美在去年一共有113個州級和城市等級的政府單位、764 個醫療單位、89 所學校遭到勒贖軟體攻擊,造成的損失難以估計。
Emisoft 也警告,2019 年沒有任何人因為勒贖軟體而死,這純粹只是因為運氣好,;2020 年全球各地因為勒贖攻擊造成的損失,恐將有過之而無不及。
美國聯邦調查局網路犯罪相關官員也表示,去年光是某一支勒贖軟體,其所有變種襲擊範圍,就廣達全美 50 州,不法贖金所得達六百萬美元,造成的損失更高達三千萬美元。他警告人人都應有可能遭到勒贖軟體攻擊的準備。
- 1月 02 週四 202016:34
Ruckus 無線路由器發現多個資安漏洞
資安專家 Gal Zror 日前發現 Ruckus 品牌的多款無線路由器,存有多個安全漏洞,可能遭駭侵者利用,並駭入路由器中。
TechCrunch 報導指出,存有漏洞的是 Ruckus 的 Unleashed 系列路由器產品的用戶 Web 界面。駭侵者可利用這些漏洞,在無須知悉路由器管理密碼的情形下進入管理界面,藉以自外部網路完全掌控路由器的設定。
資安專家指出,許多小型公司行號或家庭,都使用這種簡單的路由器做為網路連線的闡道,因此很容易遭駭侵者單點突破;以這類事件而言,駭侵者將可輕易監聽攔截用戶的所有網路通訊封包,進而取得用戶的各種資訊,甚至進一步駭入用戶的裝置,竊取更多資料,或將用戶裝置當做發動大規模網路攻擊的節點或跳板。
Zror 表示,這次 Ruckus 的資安漏洞,讓駭侵者只要用一行指令碼就可以成功入侵路由器。Zror 估計受這批資安漏洞影響的路由器,總數恐有數千台之多。
Zror 也在12月底舉辦的第36屆「混沌通訊會議」(Chaos Commuication Congress)中展示了如何利用 Ruckus 的這批資安漏洞入侵該路由器。
Ruckus 在接獲通報後,很快就發表修補軟體;用戶只要更新到韌體版本 200.7.10.202.92,即可將這批安全漏洞修補完成。Ruckus 也呼籲用戶應檢視目前的路由器韌體版本,如果還在使用舊版韌體,應立即更新至最新版本。
Ruckus 官網上提供了關於這一系列資安漏洞的簡要說明,主要的漏洞類型以 RCE(Remote Code Execution,遠端程式碼執行)為主,另外也包括指令注入、存取控制錯誤等等。
- 12月 27 週五 201914:09
藏有惡意程式之PDFReader,竊取使用者Facebook金融及廣告資訊
近日發現有駭客透過含有惡意程式的PDFReader應用程式,竊取使用者Facebook Ads Manager以及Amazon的相關資訊,包含使用者的金融資訊、聯絡資訊、廣告發佈對象等,作為惡意行為之用。
日前,資安團隊Malware Hunter Team發佈了一項資訊,指有駭客試圖透過惡意程式竊取使用者社群媒體的資料。首先,駭客製作了一款功能性高的PDF軟體「PDFReader」,並透過各種方式讓受害者連入該網站後下載安裝。然而,該軟體卻有木馬程式藏於其中,因此只要使用者進行安裝,該主機便會被木馬程式入侵,與駭客主機連線,接受駭客的指令和操縱。
- 12月 24 週二 201912:00
資安專家發現網頁上的明星圖像資料中暗藏挖礦機器人程式碼
英國資安廠商Sophos 的資安專家,發現一個稱為 MyKingz 的加密貨幣挖礦機器人的最新散布手法,係將惡意軟體程式碼夾藏到流行歌曲明星 Tylor Swift 的網路相片中。
Sophos 的專家指出,這種透過影像或聲音檔案夾帶惡意程式碼的手法,其實先前早已出現過;透過這種方法「偷渡」,往往能夠有效逃避系統防毒防駭機制的檢查,成功入侵受害者的電腦。
專家也指出,這個 case 的重點並不在於用了誰的相片,而是惡意軟體總會用盡各種手段企圖入侵。特別是近兩年來 MyKingz 對 Windows 系統的為害甚大,特別是沒有定期更新修補漏洞的 Windows 主機。
據估計,MyKingZ 幕後的主使者,每日因為挖礦所得到的不法利益約在 300 美元;自 MyKingZ 開始流行至今的不法利益,高達 300 萬美元以上。
- 12月 22 週日 201911:50
專家警告高達四百萬枚比特幣,可能遭量子計算攻擊
勤業眾信警告,高達四百萬個比特幣處在易受量子電腦極高速計算的攻擊之下。
全球四大會計師事務所之一的勤業眾信(Deloitte)的資安專家,日前發表研究報告,指出有近四百萬枚比特幣,恐有遭到量子電腦高速攻擊的危險。
據比特幣目前的現值,這四百萬枚比特幣,相當於 286 億美元的巨款。
根據勤業眾信的報告指出,以「可接受付款的公鑰」(Pay-to-Public-Key)加密形式的比特幣,較其他加密類型的比特幣,更容易遭到量子電腦高速計算的攻擊。
這類比特幣理論上可用其公鑰推導計算出私鑰,再加上預設公開的帳本,因此特別容易遭到攻擊。早期比特幣大都屬於這種類型,之後比特幣才推出新加密標準。
量子電腦是近來全球高科技業者傾力研究的新形態電腦,與傳統在矽晶片上運作的奈米級二進位電腦不同,量子電腦可在原子分子層級運作;且由於量子本身具備的疊加態特性,使得一個量子可以同時表示多個狀態,大大加快運算速度。
2019 年十月,Google 宣布已達到「量子優勢」(Quantum Spremacy);該公司研製的量子電腦在三分鐘內能解出的複雜計算,若由一般傳統電腦執行,需要的解題時間長達一萬年。
資安專家指出,現行由傳統電腦進行加密的演算法,在面對極快的量子計算時,都可能在很短時間內遭到破解;包括各種加密貨幣都面臨量子電腦快速破解的威脅。
勤業眾信估計,一次量子電腦高速計算攻擊,就可以威脅全球 25% 的比特幣。
電腦科學界已經開始正視這個問題,並且發展全新的加密技術與演算法,以對抗未來可能日益普及的高速量子電腦帶來的威脅。
- 12月 19 週四 201917:00
超過一百種 Android App 內含詐騙廣告,少數仍在 Play Store 架上
資安廠商 White Ops 發表研究報告,指出有超過 100 種以上 Android App 內含詐騙廣告機制,會在用戶手機上顯示各種詐騙廣告,或在背景進行詐騙廣告點擊,以詐取廣告點擊佣金。
White Ops 指出,這一百多個 Android App 都內含兩個分別稱為「Soraka」和「Sogo」的惡意廣告程式庫,以及一個稱為 AppsFlyer 的行銷分析套件;透過這三個元件,惡意廣告將可在用戶不知情的狀況下不斷顯示並製造假點擊。
據指出,這些詐騙廣告 App 的總下載量超過 460 萬次,多半藏身於用戶最喜歡的幾種應用類型,例如算命、戲、美拍或系統最佳化工具等。
這類詐騙廣告點擊,除了讓用戶的手機可能面臨更多資安風險外,也詐取大筆廣告抽佣。今年二月美國司法部門起訴某個廣告詐騙網,指出該詐騙行動於一年之間騙取的廣告佣金高達三千萬美元,受害裝置數多達 170 萬台。
White Ops 的報告中詳述了這些詐騙 App 的運作流程。
資安宣導 (2)