S3储存权限设错外泄资料又一起,Verizon逾1,400万用户个资恐外泄
资安公司UpGuard于7月14日揭露,美国最大电信公司Verizon由于外包商NICE△Systems在AWS△S3权限设定不良,造成超过1,400万笔Verizon用户个资外泄,包含用户姓名、地址、电话号码、帐号,以及验证密码(PIN)等,研究人员Chris△Vickery指出,骇客可以利用PIN假冒用户的身份,来欺骗Verizon客服人员修改或删除用户的帐号资料。但Verizon发言人澄清,仅600万笔用户资料外泄。这是美国今年发生第3起S3委外权限设定不当,导致大量个资外泄的案件,先前美国国防部在6月也发生军事卫星资料外泄,以及美国共和党2亿笔选民资料曝光。更多资料
广告木马Magala绑架IE浏览器首页,还遥控滑鼠偷点广告赚千万
卡巴斯基实验室研究人员Sergey△Yunakovsky近期指出,今年3月出现广告木马Magala,强制变更受害者的浏览器设定,包括在浏览器安装虚拟桌面、广告软件、MapsGalaxy工具列程式,以及特定首页,甚至Magala为了赚取广告收入,暗中遥控受害电脑点选搜寻结果显示的前10个网站连结(通常会包括了广告连结),每隔10秒还会再点选一轮。Sergey△Yunakovsky推估计,一般来说,一个僵尸网络大约有1,000台受害电脑,骇客可从一台电脑获得350美元广告收入,Magala作者约可赚到35万美元(约新台币1,068万元)的高额收入。更多资料
网络密码窃贼竟然成了一项云端服务,7美元就能雇得到
资安研究公司Proofpoint于7月13日揭露,近日出现一种新型态的恶意软件即服务(MaaS)网站Ovidiy△Stealer,专门提供网络凭证偷窃的服务。只要支付7至13美元(约新台币213元至396元),就可以窃取指定对象在特定浏览器上的网络凭证或网络密码,例如Google△Chrome、Opera、FileZilla、Amigo、Kometa、 Torch和Orbitum等,目前发现英国、荷兰、印度和俄罗斯等国已有使用者。更多资料
后门程式蠕虫GhostCtrl诡譎多变,不仅窃听Android用户的通话內容也能发动勒索攻击
趋势科技资安研究人员于7月17日发现一支后门程式蠕虫GhostCtrl,专门感染Android行动装置,不仅窃取装置內档案,包含通话纪录、联络人、通话纪录、SIM号码、位置、装置版本、Wi-Fi、多媒体档案和搜索纪录等,还会暗中窃听受害者的通话內容,甚至利用受害装置来攻击其他装置。研究人员进一步指出,GhostCtrl经常伪装成受欢迎App,例如WhatsApp和 Pokemon△GO,而且GhostCtrl已经出现能够锁定Android行动装置,发动勒索攻击的变种。更多资料
Cisco紧急修补WebEx外挂漏洞,Chrome和Firefox恐遭经授权取得使用权限任意执行程式码
思科于7月17日发布漏洞修补公告指出,旗下线上会议服务Cisco△WebEx的浏览器外挂程式有漏洞(CVE-2017-6753),恐让攻击者不需授权就能在受影响的浏览器Google△Chrome和Firefox上,任意执行恶意程式码,包括WebEx△Meetings△Server和Cisco△WebEx△Centers的外挂都受影响。这是Google△Zero专案发现通报的漏洞。更多资料
北市单一陈情系统App传输资料未加密,6万笔民众个资曝光
近日北市一位议员踢爆,台北市政府在去年11月推出的“HELLO△TAIPEI△台北市单一陈情系统”App,资料在传输过程中未加密,造成6万笔陈情民众的个资暴露在外,包含姓名、帐密和身份证字号。台北市资讯局回应坦承,去年合作厂商原先开发此Android版本的App使用GCA政府凭证来加密用户资料,但无法相容于Google△Play,为了能够在Google△Play顺利上架,厂商承诺会用其他方式来加密资料,后来在市府经费有限情况下,北市府没有在改版后执行原始码检测,今年7月检测才发现厂商使用加密方式防护不足,可能造成攻击者利用中间人攻击(Man-in-the-Middle△Attack)截取资料,目前已要求厂商改用其他商业凭证。更多新闻
研究人员仅利用7,000元设备搜集电磁波,来破解AES256密钥
资安公司Fox-IT与Riscure两家研究人员近日共同发表一篇攻击报告揭露,他们利用一组名为“Van△Eck△phreaking”攻击设备,放置在攻击目标装置附近,发动旁路攻击(side-channel),破解装置使用的AES256密钥。研究人员使用成本仅230美元(约新台币7,020元)的破解工具,包括磁力回路天线(magnetic△loop△antenna)、外部功率放大器(external△amplifier)、 带通滤波器(bandpass△filters△)和有安装无线电接收软件的USB装置,搜集目标装置发出的电磁波来破解,破解过程最短只要花费50秒。更多资料
NSA攻击工具可攻击Windows△XP到Windows△8.1之间版本的SMB漏洞
勒索蠕虫WannaCry和NotPetya利用美国国家安全局(NSA)外泄攻击工具Eternalblue,锁定Windows△8以前版本的SMB漏洞(CVE-2017-0143)发动攻击,另一个外泄的攻击工具Eternal△Synergy也攻击相同漏洞。微软研究人员Worawit△Wang近日改造Eternal△Synergy发现,Eternal△Synergy也能够攻击Windows△8.1以后版本的SMB漏洞,包括Windows△8.1(x86和X64版)和Windows△Server△2016(x64版)。目前,Windows作业程式从XP到Server△2016都受到NSA攻击工具的危害,Windows用户必须立即安装MS17-010版本的安全更新。更多新闻
勒索软件伪装自动回复邮件,受害者开启含PowerShell档案立即遭加密攻击
资安博客MyOnlineSecurity的研究人员揭露,最近出现一种网络钓鱼邮件,伪装成全球快递公司UPS的自动回复退件通知邮件,隐藏勒索软件PoshCoder在信件內的ZIP档,受害者一旦开启ZIP档內含PowerShell脚本程式的.js文件,PoshCoder立即启动勒索攻击,加密受害装置內的档案,除了加密一般常见的档案类型外,也加密比特币钱包的档案类型。更多资料
Google防止简讯双因素认证的密码遭拦截,通知用户启动手机提示验证
今年1月发生骇客利用SS7协议漏洞,拦截西班牙电信用户的行动交易认证码简讯,盗领用户银行存款的事件,突显简讯式双因素认证机制存在风险。Google为强化帐户的安全性,7月17日通知仍使用简讯双因素认证的用户,建议立即更换成Google△Prompt手机提示方式,能够在加密连线下完成身份验证,避免密码遭骇客拦截破解。更多新闻
整理⊙黄泓瑜