約有 10,000 名美國運通信用卡用戶的資料,遭駭侵者於網路上免費公開。
金融資安研究單位 Bank Security 日前發表資安通報,指出約有 10,000 名美國運通信用卡用戶的多項機敏資訊,遭不明駭侵者於網路上免費公開,任何人皆可下載取得這些個資。
Bank Security 在其 Twitter 帳號中發表一則推文,指出美國運通在墨西哥的一萬名信用卡持卡用戶,其個人資料遭到駭侵者在某個駭侵相關論壇上免費公開;該則推文同時附有一張論壇貼文畫面的截圖,內有大量用戶資料的樣本。
該則推文也指出,不僅是美國運通的用戶資料被公開,該不明駭侵者還持有另外兩家墨西哥金融機構 Santander 與 Banamex 的顧客資訊,並且試圖在論壇上出售更多駭侵自其他金融機構的個資。
資安專業媒體 BleepingComputer 分析這批資料指出,在這 10,000 名美國運通信用卡用戶的外洩資料中,資料欄位包括信用卡卡號、持卡人姓名、完整郵寄地址、電話號碼、出生年月日、性別等個人可識別資訊(Personally Identifiable Information)。
不過 BleepingComputer 指出,該批資料內不包括信用卡到期日、密碼及其他財務相關機敏資訊,因此無法用於信用卡盜刷。
BleepingComputer 分析指出,雖然這批個資和信用卡資訊無法用來盜刷,但取得這些資料的有心人士,仍可利用這些資料進行各種攻擊,例如發送垃圾郵件,或以釣魚信件或社交工程,從而騙取更多機敏資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
在 SolarWinds 攻擊事件中,美國司法部的電子郵件亦遭駭侵者不當存取;據調查指出約有 3% 的 Email 帳號可能遭到不當存取,但機密檔案系統目前沒有遭到侵入的跡象。
日前在美國爆發的 SolarWinds 大規模駭侵攻擊事件中,美國司法部的 Email 系統,證實亦遭駭侵者不當存取;據目前的調查指出,約有 3% 的司法部 Email 帳號可能遭竊,但司法部所屬的機密檔案系統,目前尚未發現遭到駭侵者侵入的跡象。
美國司法部於 2021 年 1 月 7 日發表資安通報,指出該部所屬的 Microsoft Office 365 Email 帳號,可能在日前的 SolarWinds Orion 駭侵事件中,遭到疑似 APT 駭侵團體不當存取;但司法部指出目前沒有證據顯示機密檔案系統也受到影響。
美國司法部旗下單位眾多,轄有聯邦調查局(FBI)、緝毒局(Drug Enforcement Agency)、美國司法警察(US Marshall Services)等重要情治單位,所屬人員更多達十萬人以上;3% 的帳號遭到不當存取,亦即有超過 3000 個帳號內的資訊可能外洩。
資安專家指出,Microsoft Office 365 帳號並不僅提供 Email 服務,同時還有雲端辦公軟體與資料儲存分享服務;因此這些帳號遭到不當存取,外洩的資訊並不只是往來的 Email 內容、通訊錄與行事曆,可能也包括這些帳號內儲存的各種檔案與資料。
美國司法部發言人在面對媒體詢問時,拒絕透露遭不當存取的確切帳號數字,但表示該部正在擴大對 SolarWinds Orion 駭侵事件的調查,有任何最新資訊,都會立即公開並通報相關單位。
twcert 發表在
痞客邦
留言(0)
人氣()
美國行動電信業者 T-Mobile 於日前發表資安通報,指出該公司發現其顧客資料庫有遭不法入侵的跡象,但重要顧客個資並未外洩。
美國行動電信業者 T-Mobile 於日前發表資安通報,指出該公司內部的資安團隊,最近發現其顧客資料庫有遭駭侵者未經授權入侵存取的跡象,但該公司強調,重要的顧客個人資訊並未外洩。
T-Mobile 在資安通報中說,在該公司內部團隊與外部資安專家的協助下,正在調查該起事故;目前的調查結果指出,駭侵者可能已經取的資訊,包括電話號碼、單一帳號名下申請的各支電話號碼、以及部分與電話通聯相關的資訊,T-Mobile 說這些資訊是在其無線通訊服務營運進行時收集的。
T-Mobile 公司也在通報中強調,這批外洩的資料中,不包括帳號中登記的用戶姓名、實體郵件寄送地址、Email 地址、財務資訊、信用卡卡號、到期日等資訊,也不包括用戶的社會安全碼(Social Security Number)、稅務編號、密碼、SIM 卡密碼等等較敏感的個資。
T-Mobile 說,受到此次資料外洩事故影響的用戶,約佔全體用戶的 0.2%;以 T-Mobile 的總體用戶註冊量來計算,受影響人數約在 200,000 人上下。
這次資料外洩相較於過去 T-Mobile 曾發生過的資料外洩事件,以目前掌握的情資來說,由於受害人數較少,資料欄位也比較局限,影響與嚴重程度不若過去幾次事件。T-Mobile 曾分別在 2018 年 8 月、2019 年 11 月、2020 年 3 月發生過三次資料外洩事件,情節均遠較此次嚴重得多;包括員工與用戶的各種機敏個資都遭駭侵者竊取,受害用戶人數也達 2,000,000 人以上。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現駭侵團體 APT 27,自去年起改變其攻擊目標與手法,轉向以勒贖方式攻擊全球各大遊戲廠商。資安廠商 Prefero 與 Security Joes 日前聯名發表研究報告,指出該公司旗下的資安研究團隊,發現駭侵團體 APT 27,自去年稍早開始大幅改變其攻擊目標與手法,轉向以勒贖方式攻擊全球各大遊戲廠商。
Profero and Security Joes 在報告中指出,該公司去年在調查一起資安勒贖攻擊事件時,在攻擊其核心伺服器的惡意程式碼中發現一些片斷,非常接近過去曾被趨勢科技發現的 DRBControl 惡意軟體;而 DRBControl 正是駭侵團體 APT 27 與 Winnti 慣用的駭侵工具。
之後該公司亦在多次針對全球遊戲廠商的勒贖攻擊事件中,發現類似的攻擊技巧與惡意程式碼;這些攻擊事件通常會使用內建於 Windows 系統中的 BitLocker 磁碟加密程式,這非常不尋常,因為傳統駭侵者多半會使用自製的駭侵攻擊工具,不會使用原本就內建在作業系統中的應用程式來發動攻擊。
以過去 APT 27 / Emissary Panda 駭侵團體的攻擊案例來說,多半都是利用各種駭侵攻擊進行監控或資料竊取,並非以勒贖取財為重點;Prefero and Security Joe 在報告中分析指出,該公司發現由 APT 27 發動的勒贖攻擊,其時間點正好在肺炎疫情剛開始快速蔓延,各地紛紛採取封城因應的當時,因此很有 APT 27 很有可能因為財務需求而轉向發動勒贖攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
多款國內網通設備商生產之防火牆、VPN 闡道器等裝置遭發現內含硬式編碼認證漏洞。
國內網通設備商生產的多款網通產品,如硬體防火牆、VPN 闡道器、網路存取點控制器等裝置,遭資安廠商發現內含硬式編碼認證漏洞,這個帳號主要用途是透過 FTP 向連接的AP提供自動韌體更新。
發現這個嚴重問題的,是荷蘭資安廠商 Eye Control 旗下的資安研究人員;該單位日前發表研究報告,指出研究人員在以 root 登入自己使用的 USG40 整合安全闡道器(Unified Secuirity Gateway)時,發現在當時最新版的韌體 4.60 patch 0 版本中,有硬式編碼的一個管理者權限帳號,密碼以明文寫在程式碼之中。
該研究員繼續研究,還發現這組管理者登入資訊,同時可以用來登入 USG40 的 Web 和 SSH 管理界面;而這組登入資訊並未出現在較舊的韌體版本中。
這個漏洞的 CVE 編號為 CVE-2020-29583,其 CVSS 危險程度評分高達 7.3 分,屬「高危險」等級;原廠已於官方網站發布新版韌體,修復這個漏洞。請採用下列網通產品的用戶,立即下載並更新至最新版本,或暫時避免使用,以免遭到駭侵者透過該漏洞發動攻擊。CVE編號:CVE-2020-29583
twcert 發表在
痞客邦
留言(0)
人氣()
微軟表示,SolarWinds 駭侵攻擊事件中的駭侵者,很可能已經攻破公司的防護系統,掌握一部分內部帳號控制權,同時取得部分微軟產品的原始碼。
微軟於 2020 年 12 月 31 日表示,SolarWinds 駭侵攻擊事件中的駭侵者,很可能已經在這波長達數月的攻擊行動中,突破該公司的防護系統,掌握一部分內部帳號控制權,同時取得部分微軟產品的原始碼。
在微軟發表的調查報告中指出,微軟發現在公司內部環境中出現了部分 SolarWinds 攻擊行動的惡意程式碼,顯示至少有一個微軟公司內部的帳號,曾遭駭侵者用以檢視微軟內部的產品原始碼程式庫。
微軟說,該帳號僅有資料檢視權限,無法針對程式碼與相關檔案進行任何編輯或增刪動作,也沒有改變任何工程系統設定的能力;微軟在調查後確認並沒有任何程式碼遭到更動,而疑似遭到竊取的帳號也遭停用,並進行密集調查。
微軟說,公司各種產品的程式碼,在內部都是公開的,微軟員工均可檢視,如同開放源碼社群的運作模式;公司並不依賴程式碼的秘密性營利,因此程式碼遭駭侵者檢視,並不影響公司的營運。
微軟在報告中也強調,目前沒有發現任何顧客相關資料遭到竊取的跡象,也沒有發現公司的電腦系統被駭侵者用以攻擊他人的證據。
這波疑似由俄國 APT 駭侵團體 Cozy Bear 發動的 Solarwinds 攻擊事件,自 2020 年 3 月起即針對美國各級政府與中大型企業使用的 Solarwinds Orion IT 管理系統發動大規模駭侵攻擊,利用供應鏈攻擊手法,在 Solarwinds Orion 的更新程式中植入惡意軟體,並發動長期監控並竊取各種資訊,據統計受害者多達近 18,000 個公私營單位。
微軟在去年 12 月中也發表多次關於 SolarWinds 攻擊的資安通報,表示 SolarWinds 公司為其 Office 365 雲端辦公軟體服務的客戶,而微軟本身也有採用 SolarWinds Orion IT 管理解決方案,因此也無法倖免於此波大規模攻擊行動。
twcert 發表在
痞客邦
留言(0)
人氣()
Dell近期修補了兩個關於Dell Wyse Thin Clients的資安漏洞。Dell Wyse Thin Clients是一種適合用來連接遠端桌面的小型設備。資安廠商CyberMDX表示,這些漏洞使得攻擊者可遠端執行任意程式碼、存取設備上所有文件與憑證。這兩個漏洞的CVSS漏洞嚴重性得分均為10 (滿分10分)。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 推出的 macOS 更新版,修復多達 59 個軟體漏洞,其中更包括 30 個遠端執行任意程式碼的漏洞。其他裝置也同時推出更新版。
Apple近期推出 macOS Big Sur 11.1 更新版,新版修復多達 59 個軟體漏洞;其中更包括 30 個可能導致駭侵者遠端執行任意程式碼(RCE)的嚴重漏洞;Mac 電腦系統用戶,均應立即更新至最新版本。
同時推出的更新版本,還包括 macOS Catalina 與 macOS Mojave 兩個較舊主要版本 macOS 的更新,同樣也修復了多個已知漏洞。
在這些獲得修復的漏洞中,比較嚴重的遠端任意程式碼執行漏洞包括:CVE-2020-27941:發生於 AppleGraphicsControl 子系統,駭侵者可取得核心執行權限;CVE-2020-27910、CVE-2020-27916:發生於 macOS Mojave 與 Catalina 的 Audio 子系統,駭侵者可利用特製聲音檔案取得 RCE 權限。CVE-2020-9960、CVE-2020-27980、CVE-20200-27948:發生於 CoreAudio 子系統中,駭侵者可利用特製聲音檔誘發越界讀寫錯誤,藉以取得 RCE 權限。CVE-2020-27922:發生於 CoreText,駭侵者可利用特製字型檔案,藉以取得 RCE 權限。
twcert 發表在
痞客邦
留言(0)
人氣()
串流音樂服務大廠 Spotify 日前通知部分用戶,其原本使用的密碼被重置,應重新設定新密碼;原因是該公司再度發生資料外洩事件。
串流音樂服務大廠 Spotify 日前發送通知給部分用戶,告知其原本使用的密碼被重置,應重新設定新密碼;原因是該公司再度發生資料外洩事件。
Spotify 在寄給受影響用戶的 Email 中指出,該公司儲存的部分用戶資料,被外洩給該公司的某個合作伙伴;遭到外洩的資料欄位,包括登入用的 Email、密碼、用戶設定的顯示名稱、性別、出生日期等個人資訊。
Spotify 指出,在 11 月 12 日時,該公司發現其系統中的某個漏洞,造成部分用戶的帳號註冊資訊曝露給該公司的某個第三方合件伙伴;該公司推測整個漏洞的影響時間,自今年 4 月 9 日起,到發現問題的 11 月 12 日止,長達七個月以上。
Spotify 說,該公司已經修正這個系統錯誤,而且這些洩露給第三方合作伙伴的資料也沒有外流;然而 Spotify 除了要求被重置密碼的用戶更換密碼外,也建議用戶如果將同樣的登入資訊(登入用的 Email 與密碼)使用在其他網路服務時,也應一併更新密碼,以降低登入資訊外洩可能造成的資安風險。
事實上,Spotfy 近來屢次遭到駭侵攻擊;就在 Spotify 對外發布這波資料外洩事件的數日前,才發生過一個名為「Daniel」的駭侵者竊走 Spotify 站內最熱門歌手專頁的事件。數月前也發生過駭侵者利用在別處取得的其他服務用戶登入資訊,用以登入並竊取用戶帳號控制權的事件。
twcert 發表在
痞客邦
留言(0)
人氣()
為對抗近來造成嚴重衝擊的 SolarWinds 後門攻擊行動,FireEye、微軟與 GoDaddy 聯合起來,共同對抗該攻擊行動,避免其惡意軟體持續蔓延。
為對抗近來造成嚴重衝擊的 SolarWinds 後門攻擊行動「Sunburst」,FireEye、微軟與 GoDaddy 共同成立聯合行動組織,依各公司的不同專長,一同對抗該攻擊行動,避免其惡意軟體持續蔓延。
據專業資安媒體 BleepingComputer 報導指出,FireEye 在日前公布了一份關於 Sunburst 攻擊行動的分析報告,報告中明確列出 Sunburst 如何利用供應鏈攻擊手法進行惡意軟體的植入,以及其後門的運作方式;報告並指出 Sunburst 成立了一台控制伺服器,用以接受駭侵團體的指令,並控制受到木馬植入的受害設備。
該報告同時也列出了多個 IP 位址,一旦控制伺服器發現有來自這些 IP 的回傳資訊,就會立即停止來自這批 IP 裝置中惡意軟體的運作。
在 12 月 15 日,在域名商 GoDaddy 的協助下,該控制伺服器使用的網域名稱控制權被微軟取得,同時將其對應 IP 轉移到微軟控制的 IP;這使得微軟得以掌握控制伺服器與惡意軟體間的通訊,並且進行進一步的分析,同時阻止該惡意軟體的進一步感染。
不過 FireEye 也表示,此波攻擊行動幕後的 APT 駭侵團體 Cozy Bear,也很快針對防制行動做出因應,正在積極建置新的攻擊網路基礎建設,以繼續控制遭到植入木馬的受害系統。
twcert 發表在
痞客邦
留言(0)
人氣()
近期爆出的美國多個政府單位,因 IT 設備監控軟體 SolarWinds Orion 漏洞而遭俄羅斯駭侵團體駭入的事件,受害單位與範圍持續擴大。
近期爆出的美國多個政府單位,包括美國財政部、商務部、國土安全部等重要政府單位,因 IT 設備監控軟體 SolarWinds Orion 漏洞,而遭俄羅斯 APT 駭侵團體 Cozy Bear 以木馬駭入的事件,目前受害單位與範圍仍在持續擴大。
據紐約時報於 12/15 的報導指出,美國國防部與美國國務院也在這波大規模駭侵攻擊行動中受到影響;受影響的單位包括部分軍事單位、情報單位,甚至還包括核能相關研究機構在內。
另外,包括美國疾病預防管制中心( Centers for Disease Control and Prevention)、美國司法部,以及多家製造業在內的公私單位,也都在這波遭 Cozy Bear 駭侵的名單之列。
負責主管美國資安事務的網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),儘管一再對外呼籲資安防護的重要性,但該局也在這波針對 SolarWinds Orion 的駭侵攻擊中遭到入侵。
據先前 SolarWinds 提出的通報指出,這波受到 SolarWinds Orion 漏洞影響的該產品用戶多達 18,000 個單位以上,其中有很多客戶屬於美國政府與名列財星 500 大名單之中的大型企業;可以預見隨著案情調查日漸明朗,受害單位範圍仍將不斷擴大。
目前這波駭侵行動造成的具體損失,包括受害政府或民間單位是否有資料外洩、哪些資料可能被竊、駭侵者在駭入各單位系統後,是否發動進一步攻擊等細節資訊,都還沒有對外公開。
twcert 發表在
痞客邦
留言(0)
人氣()
美國國土安全部資安中心日前發布通令,要求美國政府旗下所有單位,立即停用所有 SolarWinds Orion 產品,以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。
美國國土安全部資安中心日前發布 21-01 號通令,要求美國政府旗下所有單位,立即停用所有使用中的 SolarWinds Orion IT 監管平台產品,以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。
上周美國商務部與財政部驚傳遭到特定國家支持的駭侵攻擊事件,事件原因與其採用的 SolarWinds Orion Platform 遭到 APT 駭侵團體 Cozy Bear 滲透有關;APT 駭侵團體 Cozy Bear 於今年三月間在 SolarWinds Orion 的更新程式中植入木馬,取得遠端控制受駭系統的能力。
採用 SolarWinds Orion IT 管理平台的客戶,據估計有一萬八千個左右;而在經過調查之後發現,美國國土安全部本身的系統也遭到入侵;國土安全部旋即在 12 月 13 日發布通令,要求所有使用 SolarWinds Orion 系統的美國各級政府機構旗下的非軍事性質單位,應立即將所有執行 SolarWinds Orion 的電腦離線,甚至關閉其電源,以避免遭駭規模進一步擴大。
但資安專家指出,Cozy Bear 於三月起就成功於 SolarWinds Orion 中植入木馬,至今超過半年以上,很可能早已駭入並掌握重要機構的 SAML 或 Active Directory 主機,因此即使將執行 SolarWinds Orion 的主機斷網隔離,也無法有效防止駭侵者注入的其他惡意軟體在內網中傳散。
twcert 發表在
痞客邦
留言(0)
人氣()
