日前 LINE 發生中國關聯會社開發者任意存取日本用戶個資事件後,已有眾多日本各級政府單位與私營企業,宣布暫停使用 LINE。
免費通訊軟體 LINE,日前發生其母公司所屬的中國關聯會社開發者任意存取日本用戶個資事件後,在日本社會引發高度衝擊;至今已有眾多日本各級政府單位與私營企業,宣布暫停使用 LINE。
事件發生後,日本 LINE 公司除了配合行政當局和第三方機構展開調查外,也完全禁止來自中國的網路存取;但該公司也被發現將用戶上傳的圖片和影片等多種資料儲存於南韓境內的伺服器,風暴因而愈演愈烈。
日本 LINE 公司於 2021 年 3 月 23 日針對資料外洩與境外儲存問題,召開記者會加以說明;該公司指出,除了日本之外,包括台灣和其他市場用戶上傳的圖片和影像等資料,確實都儲存在位於韓國境內的伺服器。
LINE 也指出,不只是影像資料,包括在日本推出的診斷服務「LINE DOCTOR」,也將相關的資料,例如醫療保險證、收據、診斷明細、醫師確認過的相關文件,甚至合作醫師的相關證照資料等,也存放在韓國伺服器中。
LINE 說,這些資料在儲存時都經加密,也非永久存放,不過並未具體說明存放期限;LINE 也說由於其韓國母公司有許多資料中心的人才和完善的基礎建設,從成本考量上,將資料存放在韓國伺服器是很合理的。
不過 LINE 在記者會中也承諾,今後會逐步將存在韓國伺服器中的資料,移回日本境內的伺服器,社長也在記者會上致歉。
由於 LINE 日本公司的個資保護問題,許多日本原本使用 LINE 與用戶溝通的公私單位,近期紛紛表示將暫停使用;宣布停用的日本各級政府包括內閣官房長官、總務省、厚生勞動省、京都府、大阪市、廣島市、岐阜縣、千葉縣、鳥取縣等,私營企業則包括日本趨勢科技、日本郵便、日本航空、全日空等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家近期發現一個假冒為 Android 版 Clubhouse 的惡意行動應用程式,會竊取用戶手機內儲存的 458 種網路服務的登入資訊。
資安廠商 ESET 旗下的資安專家近期發表研究報告,指出該單位發現一個假冒為 Android 版 Clubhouse 的惡意行動應用程式;這支假 app 會竊取用戶手機內儲存的 458 種網路服務的登入資訊。
報告指出,這個惡意 Android app 假冒目前廣受歡迎,仍為邀請制,且僅推出 iOS 版本行動應用程式的 Clubhouse,將 Clubhouse 官網上的資訊和外觀包裝在 app 中,但內含一個稱為「BlackRock」的特洛依木馬惡意程式。
用戶一旦受騙安裝了這個假冒的 Android app,不但無法如 iOS 版官方 app 一樣進行社群聊天,還會被 BlackRock 在手機中搜刮多達 458 種不同網路服務的登入帳號與密碼;會被竊取登入資訊的服務包括 Twitter、Facebook、WhatsApp、Amazon、Netflix、Outlook、eBay、Coinbase、Plus500、Cash App、BBVA、Lloyds Bank 等。
資安專家指出,一般正常的官方網站,如果讓用戶下載行動應用程式,通常都會導向到 Google Play 或 Apple App Store 等官方應用程式商店,但像這次假冒 Clubhouse Android 版 app 的案例,用戶在按下「Get it on Google Play」按鈕後,並不會被導向到 Google Play 商店,而是會直接下載 apk 應用程式安裝套件。
用戶一旦發現自己沒有被導向到官方應用程式商店,而是直接下載安裝套件,就應立即提高警覺,不要安裝該套件。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家近期發現一個惡意的 Xcode 開發計畫案,專門針對 iOS 軟體開發者下手,可在開發者的電腦中安裝後門,發動供應鏈攻擊。
資安廠商 SentineOne 旗下的資安研究人員,近期發現命名為「XcodeSpy」的一個惡意 Xcode 開發計畫案;這個計畫案專門針對 iOS 軟體開發者下手,可在開發者用以撰寫 iOS 應用程式的 Mac 電腦中安裝後門,發動供應鏈攻擊。
研究人員發現某個沒有問題且常被使用的 Xcode 開發計畫「TabBarInteraction」,有部分版本被植入了 XcodeSpy 惡意程式碼;駭侵者在 TabBarInteraction 正常的程式碼之外,另外加入了用以執行惡意攻擊的一段 Run Script 程式碼。
當程式開發人員建置含有 Run Script 的開發計畫案時,Xcode 會自動執行 Run Script,並且在開發人員用的電腦上開啟一個可遠端控制的後門,並且連上駭侵者布置的控置伺服器,其網址為 cralev.me。
研究人員指出,這段指令碼會在 /tmp 目錄中製作一個檔名為 .tag 的隱藏檔,其中包含了 :mdbcmd 指令,以便連上駭侵者布置的控制伺服器,發動各種後續攻擊。
不過 SentineOne 也表示,當他們發現 XcodeSpy 的存在時,程式碼指向的控制伺服器已經無法連線,因此目前不知道駭侵者會透過這個後門,發動何種類型的攻擊活動。
據研究人員指出,XcodeSpy 開啟的後門稱為 EggShell 後門,可以讓駭侵者上傳或下載檔案、遠端執行各種指令,同時竊取用戶透過鍵盤、麥克風與攝影鏡頭的活動資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
兩個波蘭政府擁有的網站,於日前遭到駭侵攻擊,用以散布不實的輻射污染訊息。
兩個由波蘭政府擁有的網站,於 2021 年 3 月 17 日遭到來源不明的駭侵攻擊,駭侵者利用這兩個網站散布不實的輻射污染訊息,企圖製造恐慌與混亂。
據波蘭警方表示,波蘭國家原子能管理署和衛生部的官方網站,被駭侵者駭入後,於網站上張貼不實的核子污染物外洩假消息,假消息內容指波蘭鄰國立陶宛發生幅射外洩事件,波及波蘭境內。
不只是兩個政府網站遭駭侵者用以散布這類輻射污染不實訊息,一個經常撰寫俄羅斯與東歐各國事務的記者,其 Twitter 帳號也同時遭駭,同樣用來散布相同的假訊息。
這波假訊息要求波蘭境內居住在鄰近立陶宛邊境「災區」的人員,要提高警覺,注意自己是否遭到輻射污染;所幸這則不實訊息並未引起民眾的過度反應。
波蘭資安最高官員 Stanislaw Zaryn 在接受媒體採訪時指出,這是典型的不實訊息攻擊案例,意圖升高波蘭與其他西方盟國之間的歧見,是一種分化的手段。
Zaryn 指出,2020 年時發生過類似的假訊息認知攻擊,當時駭侵者散布的不實訊息內容,是指發生於 1980 年代發生在今烏克蘭境內的車諾比爾核能電廠爐心熔毀事件,當時的輻射物質飄散到波蘭境內,但這並非事實。
twcert 發表在
痞客邦
留言(0)
人氣()
通訊軟體 LINE 日本公司發生個資控管失當事件,其中國關係企業的開發人員,自 2018 年以來多次存取 LINE 日本用戶多項個資和對話内容。
在日本、台灣與東南亞各國擁有大量用戶的通訊軟體 LINE,其日本公司發生個資控管失當事件。該公司的母公司在中國設立的子公司開發人員,自 2018 年以來多次在未經用戶同意的情形下,不當存取 LINE 日本用戶多項個資與對話内容。
據日本媒體報導,LINE 在關係企業開發廠商旗下的開發人員,自 2018 年起在未經用戶同意的情形下,不當進入日本 LINE 伺服器存取日本 LINE 用戶各項資訊的次數,達到 32 次以上。
據報導指出,被不當存取的日本 LINE 用戶個資,至少包括使用者姓名、Email 地址與手機電話號碼,甚至包括對話内容等。
報導指出,LINE 是透過母公司 Z Holdings(ZHD)委託位於上海的關係企業技術開發公司,共同研發用於多項新業務的人工智慧技術;可以接觸到日本 LINE 用戶的開發者共有 4 名。
日本 LINE 公司在二月發現這件資安事件後,除了取消中國開發人員的資料存取權限外,也已在日前向日本政府的個人情報保護委員會提出報告,並且會同第三方單位成立調查委員會,對整起事件進行調查,並做出改善命令。
LINE 指出,目前的調查結果並未顯示個資遭到不當濫用;在 LINE 日本的個人情報保護說明中雖然提到,用戶的個資可能會移轉到第三國進行處理,但並未說明會移轉到哪個國家。
此外,日本的個人情報保護法(相當於台灣的個人資料保護法)中,雖然規定日本企業若將用戶個人資料移轉給日本國内業者處理時,無需經過用戶同意,但若移轉到外國廠商時,則需取得用戶同意。
日本個人情報保護委會員指出,目前正在修訂中的新版個人情報保護法,將增列個人情報轉移至海外處理時,必須載明轉移目的國名稱的條款;新版法案預定於 2022 年 6 月開始生效。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發表研究報告指出,駭侵團體已發展出多種手法,可以對應二階段驗證,使其失去保護能力。
資安廠商 SlashNext 日前發表研究報告指出,駭侵團體已發展出多種不同的手法,可以對應二階段驗證(Two-Factor Authentication, 2FA),使其失去原有的保護能力。
報告指出,二階段驗證過去一直被視為個人或企業保護登入過程的有力武器,可以有效阻隔各種意圖取得登入資訊的駭侵攻擊行動;然而所有的防護手法不可能是萬靈丹,駭侵團體已經發展出多種可使二階段驗證保護失去效力的手法:
1、中間人攻擊(Man-in-the-Middle Attacks):許多公司行號允許員工在工作用電腦的瀏覽器中安裝多種外掛程式和擴充套件,藉以提升生產力。這類外掛程式和擴充套件雖然方便好用,但也潛藏資安風險,因為有些外掛程式和擴充套件內藏惡意程式碼,可以直接從瀏覽器畫面中取得所需資訊。
SlashNext 在報告中指出,該公司發現不少在外掛程式和擴充套件中暗藏惡意軟體的案例;這類惡意軟體只要坐等受害者完成二階段驗證流程,進入企業或網銀等重要系統網站後,再開始透過惡意程式碼,進行畫面截圖或資料竊取,再傳送給外部的惡意軟體控制伺服器,即可令二階段驗證的安全關卡完全失效。
2、詐騙技術支援(Techncal Support Scams):在這類攻擊中,駭侵者會假扮成技術支援提供者,要求受害者安裝 TeamViewer 或 LogMeIn 之類的遙控登入軟體,接著就可以在受害者電腦中暗中植入各式惡意軟體,甚至感染整個內部網路。
3、二階段驗證詐騙視窗:駭侵者可藉由幾可亂真的詐騙二階段驗證視窗,取得受害者輸入的二階段驗證碼和用戶的登入資訊,甚至可藉由登入失敗畫面,向用戶騙取更多登入身份驗證所需的機敏資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
美國大型啤酒廠 Molson Coors 日前疑似遭到勒贖攻擊,導致啤酒生產流程中多個系統無法正常運作。
美國大型啤酒廠 Molson Coors 日前疑似遭到不明駭侵團體發動的勒贖攻擊,導致啤酒生產流程中多個系統無法正常運作,包括釀造、包裝和出貨等部門的工作都受到阻礙。
Molson Coors 是在 2021 年 3 月 11 日遭到駭侵攻擊,隨即向美國證管會(Securities and Exchange Commision, SEC)遞交 8K 重大訊息通報文件;文件中指出該公司「因為資安事件而發生系統故障」;該公司已經會同外部資安廠商進行事件調查,然而並未揭露調查所得的相關資訊。
雖然 Molson Coors 並未揭露該公司遭到哪一種類型的駭侵攻擊,但資安專家根據各種跡象研判,很可能是勒贖攻擊所致;資安廠商 Nozomi Networks 指出,攻擊這類大型企業的利潤十分豐厚,特別是像 Moslson Coors 這類全球啤酒廠之類的大型企業,最近經常成為勒贖攻擊的對象。
另一家資安廠商 Red Canary 則指出,勒贖攻擊造成的資料損失,對製造業者的傷害非常嚴重;一方面不只是無法存取過往的各種資料,在製造流程上累積的各種最佳化參數一但流失,將對整個製造和出貨的流程造成嚴重打擊,以致影響公司獲利能力。
近年來這類針對大型製造業發動攻擊,造成受害者生產受阻的案例愈來愈頻繁;三月初法國 Groupe Beneteau 造船廠遭到攻擊後,造成生產停頓數日之久,而在二月時包裝大廠 WestRock 也遭到駭侵攻擊,導致該公司的 IT 系統與生產管理系統無法運作。
Molson Coors 生產多種暢銷品牌啤酒與各式飲料,包括 Coors Light、Miller Lite、Molson Canadian、Carling、Coors Banquet、Blue Moon 等。
twcert 發表在
痞客邦
留言(0)
人氣()
F5 Networks BIG-IP與BIG-IQ產品存有多個資安漏洞,允許駭侵者遠端執行任意程式碼,建議相關產品用戶更新至已修復版本。網路和網安設備廠商F5 Networks發布了安全性更新,共7個漏洞,影響多數BIG-IP和BIG-IQ版本,其中包含四個嚴重的遠端執行任意程式碼(Remote Code Execution, RCE)漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
一家提供企業級雲端影像監控業務的新創公司,其布署在多家客戶的錄影監視器畫面遭駭侵者取得並公開,受害者包括電動車廠 Tesla、雲端服務提供者 Cloudflare、監獄、以及多家銀行和醫院等。
一家名為 Verkada,提供企業級雲端影像監控業務的新創公司,其布署在多家客戶的錄影監視器畫面遭駭侵者取得並公開;受害者包括電動車廠 Tesla、雲端服務提供者 Cloudflare、監獄、以及多家健身房、銀行和學校、警局、醫院、診所等。
在駭侵者公開的畫面中,可以清楚看到 Tesla 與 Cloudflare 辦公室内的影像,此外被公開影像的 Verkada 用戶還包括幾家婦科診所、精神科門診、健身中心、銀行分行等等。
該駭侵團體其中一名負責逆向工程的成員,日前在 Twitter 上發表一系列該團體取得的監視器畫面;該團體宣稱握有可存取 Verkada 所有監視器畫面與影像資料庫的帳號密碼,同時在 Twitter 上貼出一張據稱是 Verdaka 管理系統以 Linux root 帳號登入的畫面,其中可以看到網路卡的 MAC adress,該 MAC address 即屬於 Verkada 研發的監控裝置網路界面所有。
該駭侵團體也宣稱,發動 Verkada 駭侵攻擊的目的,是要提醒世人更加關切監視系統無所不在,但極為脆弱,很容易遭到駭入的現實。
Verkada 在獲知該公司的系統遭駭侵攻擊後,便取消了駭侵者持有的帳號密碼與其存取權限 ;在 Verkada 發表的資安通報中,指出該公司的一台用於客服系統進行大量裝置維護管理的 Jenkins 伺服器,於 2021 年 3 月 7 日到 9 日間遭到不當存取,駭侵者取得的帳號與權限,有能力跳過該公司的各項安控機制,包括二階段驗證。
但該公司也在通報中強調,目前調查結果並未顯示用戶帳號密碼遭竊,Verkada 本身内部網路和財務等營運系統也未遭駭侵攻擊;至於可能被取得的資訊,則包括部分客戶的影像資料與客戶端系統管理人員的姓名、Email 地址、Verkada 本身的一些銷售資訊等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發表 2020 年針對 Windows 系統的全球惡意軟體駭侵攻擊統計結果,指出在去年一整年期間,一共偵測到高達 1.11 億起的感染事件。
資安廠商 Malwarebytes 與 VPN 服務商 Atlas VPN,日前聯合發表一分研究報告;報告中主要分析 2020 年針對 Windows 系統的全球惡意軟體(Malware)駭侵攻擊統計結果,並指出在去年一整年期間,Malwarebytes 一共偵測到高達 1.11 億起的感染事件。
報告中說,在各種作業系統中,Windows 是最常受到惡意軟體植入攻擊的對象,所以這份報告也以 Windows 系統的資料為主。
報告指出,在 2020 年一整年中偵測到的 Windows 惡意軟體植入攻擊中,有高達 9230 萬次攻擊,是針對消費者等級的 Windows 裝置發動攻擊,佔整體 1.11 億次攻擊事件的佔比高達 83%;而針對企業用 Windows 裝置的惡意軟體植入攻擊有 1670 萬次,佔總體約 15%。其餘 2% 的攻擊目標不明。
但值得注意的是,儘管 2020 年針對 Windows 的惡意軟體植入攻擊發生總次數高達 1.11 億次,但和 2019 相比,這個數字卻是下降的;2019 年同類攻擊的總次數高達 1.25 億次,2020 年比 2019 年下降了多達 12%。
針對消費性 Windows 的裝置,同類攻擊數量下降了 11%,而針對企業用 Windows 裝置的同類攻擊,降幅更高達 24%。
報告也分析了各種不同惡意軟體攻擊的次數與佔比。以 2020 年的統計來看,廣告軟體的攻擊次數最多,將近 3600 萬次,接下來依序是特洛伊木馬(近 3000 萬次)、駭侵工具軟體(近 1845 萬次)、高資安風險軟體(Riskware)(近 1411 萬次)、間諜軟體(288 萬次)等。
twcert 發表在
痞客邦
留言(0)
人氣()
挪威國會的電腦系統遭到駭侵者利用微軟 Exchange Server 日前新發現的 ProxyLogon 漏洞攻擊,部分資料疑遭竊取。
挪威國會的電腦系統,日前遭到駭侵者利用微軟 Exchange Server 日前新發現的 ProxyLogon 漏洞攻擊,部分資料疑遭竊取。
挪威國會發表的資安通報指出,目前雖已針對此次駭侵攻擊事件展開調查,但目前尚無法確認受損範圍與損失程度,僅能確認有部分資料已遭駭侵者竊取;目前挪威國會已經會同該國司法機關與資安單位積極調查本次事件。
駭侵者用以攻擊挪威國會的 Microsoft Exchange Server ProxyLogon 漏洞,就是微軟在(2021年)3 月 2 日緊急推出修補更新的四個嚴重漏洞,包括存於 Exchange Control Panel,可讓駭侵者透過特製的伺服器端連線要求,取得電子郵件與機密檔案内容的 CVE-2021-26855、可讓駭侵者遠端執行任意程式碼的 CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 三個漏洞。
針對這四個嚴重漏洞,美國網路安全暨基礎設施安全局(Cybersecurity & Infrastructure Security Agency, CISA)曾在當時發布緊急修補命令,要求美國政府各單位儘速安裝 Microsoft 推出的修補程式;微軟也在隨後發布資安通報,指出可能已有駭侵團體 Hafnium 利用這批漏洞,針對美國公私單位發動駭侵攻擊。
不過,以挪威國會的駭侵攻擊事件來說,目前沒有直接證據指出 Hafnium 與攻擊事件的關連性;資安廠商 ESET 也指出,除了Hafnium 之外,該公司也觀察到其他駭侵團體如 Tick、LuckyMouse 和 Calypso 等,也在 Microsoft 發表修補程式之前,就開始利用 ProxyLogon 漏洞發動駭侵攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
Adobe於2021年3月9日發布了安全性更新,修復存於Adobe Creative Cloud Desktop、Connect和Framemaker的資安漏洞。Adobe修復了1個Adobe Framemaker遠端執行任意程式碼漏洞、3個Adobe Creative Cloud Desktop嚴重漏洞,以及4個Adobe Connect的資安漏洞,共修復了8個漏洞,大部分漏洞因允許遠端執行任意程式碼,故被評為嚴重等級。
twcert 發表在
痞客邦
留言(0)
人氣()
