金管会为了强化银行的内部稽核与控管流程,特别修正法规,要求兆元以上资产银行,必须在六个月内,设立专责的资安和法遵单位。
金管会修法明定,资产兆元银行应于六个月内设法遵、资安专责单位
金管会日前修正“金融控股公司及银行业内部控制及稽核制度实施办法”部分条文,对于资产规模超过1兆元以上的大型银行,即日起,应该在六个月内,设置专责的法令遵循单位,兼办防制洗钱及打击资恐相关事项,但不得兼办与法令遵循制度的规画、管理及执行等利益冲突事项。另外,金管会也要求银行应该设置职权行驶独立性的资讯安全专责单位,且应该与资讯单位组织地位非常,并指派协理或以上职级的人,担任资讯安全专责单位主管,且明定资讯安全专责单位及主管权责。更多内容
?证券商下单系统出包狂卖台塑化,证交所:错帐高达6.8亿元台塑化日前遭券商大量卖出股票,在股市尾盘遭到约1.5万张卖压,导致其股价下跌近8%,股价跌至106元。证交所指出,主要是因为法银巴黎证券下单系统有漏洞(Bug),导致客户重复下单,估计错帐金额高达6.8亿元,经向券商了解,法银巴黎证券将以申报错帐方式处理。这并非首次因为系统问题导致股市动荡。去年1月大立光也曾因证交所的计算公式有臭虫,导致当时股价冲上4000多元的大立光触发价格稳定措施警讯多达22次,当时证交所为引发市场紧张出面道歉,并且表明,投资人若有损失可向证交所求偿。更多内容
AMD证实CTS△Labs提报的漏洞确实存在,正着手修补
AMD于日前公开回应以色列资安业者CTS△Labs先前所公布的安全漏洞,证实了相关漏洞的存在,根据AMD的调查,CTS△Labs所提报的漏洞与嵌入式安全处理器的韧体管理,以及某些Socket△AM4及Socket△TR4桌面平台有关,并未涉及AMD△Zen架构,所有的漏洞开采都需先取得管理权限,并已着手展开修补。CTS△Labs将所发现的AMD漏洞分为MASTERKEY、FALLOUT与RYZENFALL,以及CHIMERA等类别。其中的MASTERKEY漏洞可绕过AMD平台安全处理器(PSP)的签章检查,让骇客以自己的韧体更新PSP;至于FALLOUT与RYZENFALL开采的是PSP的APIs,以于PSP或系统管理模式(SMM)上执行程式;CHIMERA则是滥用AMD△Promontory晶片组介面,也能在晶片组处理器上执行程式。更多内容?
资料外泄风暴,祖克柏亲上火线澄清:是厂商与脸书之间的背信
在经过几天的神隐后,脸书执行长祖克柏(Mark△Zuckerberg)终于针对Cambridge△Analytica不当取得脸书5000万笔用户资料一事,做出回应。祖克柏表示,此次资料外泄事件是厂商和脸书间的背信行为,但也是脸书和用户之间的背信,用户分享资料且相信脸书会保护它。祖克柏强调当时已采取了重要措施,防止不肖人士存取用户资料,但仍有不足。未来,脸书将针对2014年以前放上脸书平台的App,实施总体检,并对有可疑活动的App进行严格稽核,任何拒绝稽核的App将遭到拉黑,而如果有任何厂商被发现滥用用户个资,脸书将拉黑且通知用户。再者,他们将紧缩App厂商对用户资讯的存取行为。例如用户超过3个月未使用的App将无法存取用户资料。最后,为让用户知道有存取其个人资料的App,原本脸书在隐私设定内,提供显示这些App并取消存取的工具,4月起,脸书将把它拉到动态消息上方,让用户一目了然。更多内容
?
骇客攻击危及工安!工控安全最后防线,制程安全系统入侵成真
根据资安公司FireEye子公司Mandiant,以及工控安全厂商Dragos各别的调查,发现2017年底,位于中东的一家石油工厂突然发生设备故障的紧急事件,导致生产流程被迫中断的业者,所使用的施耐德(Schneider)Triconex制程安全系统(Safety△Instrumented△System,SIS),被植入特别设计的恶意程式,让攻击者可由远端控制制程安全系统。他们分别将此恶意程式命名为Triton与TRISIS。当时,该石油业者发生一些制程安全控制器自动切换至失效保护模式,让该公司察觉事态不对劲,遂寻求资安公司协助事件调查。结果,终于揭发第一起入侵制程安全系统的工控系统安全事件。更多内容
?
越开放越安全,Private△Internet△Access开源VPN客户端程式码
知名VPN服务Private△Internet△Access在官网上宣布,开放其客户端应用程序原始码。在接下来6个月,将会陆续释出各客户端应用程序程式码,而在目前Private△Internet△Access上开放了在Chorme上提供VPN服务的扩充套件程式码。该公司赞助、活动与社交拓展总监Christel△Dahlskjaer表示,开源软件是Private△Internet△Access服务的基础,而作为开源社交的长期受惠者,虽然现在可能有点晚,但是他们想要通过开源自家程式,表达对开源社交的支持与热情,并将他们的服务品质往前推进。而在宣布开源的同时,Private△Internet△Access先公开了在Chorme上的VPN扩充套件程式码,该套件能让Chorme使用者,通过Private△Internet△Access代理伺服器浏览网页,借由WebRTC技术,附带了禁用麦克风、摄影机、闪光灯及隐藏IP的功能,并且利用Private△Internet△Access的PIA△MACETM系统,自动阻挡广告追踪。更多内容
中国政府打造社会信用体系,没信用者5月起禁搭火车及飞机中国国家发展及改革委员会近日宣布,为了推动社会信用体系,自今年5月1起,将禁止严重的失信者搭乘火车及飞机,包括曾伪造车票、冒用优待身份证件、强占座位,或者是曾挪用公款、未缴社会保险费的,都会被列入禁搭名单,这意谓着如果你过去做错事,可能连大众运输都坐不得。根据该规定,中国铁路客户服务中心、中国民航网站与信用中国网站,在每个月都会列出禁搭名单,公布姓名、旅行证件号码、禁搭原因,以及相关的法律文件编号等,他们也允许被列入名单的个人,提出异议并申请复审。如果曾严重影响铁路运行安全的,会被禁止购票180天,若曾严重影响飞安,则会被禁搭一年。更多内容
印度陆军警告,中国骇客渗透当地WhatsApp群组印度陆军通过官方Twitter发出警告,指中国骇客利用+86开头的中国号码,闯入WhatsApp群组,并开始搜集资料。他们建议群组管理员,应注意陌生的电话号码加入群组,公开警告当地的WhatsApp用户应小心中国骇客的入侵。该官方帐号,先是以印度文提醒当地的社交媒体用户,要注意资安,因为骇客就在眼前。接着制作了一段以“小心,WhatsApp成为骇客的新媒介”为主题的英文视频。视频中描述,中国正利用各式各样的平台来渗透使用者的数位世界,WhatsApp群组是个骇进使用者系统的新途径,他们以+86开头的中国号码闯入群组,接着开始收集所有资料。因此,用户应定期检查群组,并要求群组成员应以名字命名,持续监控是否有不明的电话号码入侵,而且,群组用户在变更电话号码时应通知管理员,并且销毁SIM卡及以该号码申请的WhatsApp。更多内容
?
美国知名医疗组织因云端储存配置错误,3万多名病患个资恐外泄
美国位于密苏里州圣路易斯的知名非营利医疗组织BJC,近日传出超过3万名病患的个资恐外泄,且起因不是受到骇客攻击,而是云端储存配置错误而导致。该医疗组织近期执行内部安全扫描时发现,2017年5月9日到2018年1月23日的期间,在没有适当的安全控制下,外界可以通过网络直接储存医院病患的档案,在发现这状况后,BJC马上重新配置伺服器,也调查了这个问题。根据初步统计,有33,420名病患的资料可能有外泄的疑虑,伺服器储存了病患的驾照、保险卡,和2003年到2009年期间诊断相关文件,可能外泄的个资,包含姓名、住址、电话、生日、社会安全码、驾照编号、保险资讯和诊断相关的资讯。更多内容
美国指控俄罗斯锁定电厂等重大基础建设发动网络攻击,冻结骇客组织资产美国国土安全部旗下的美国电脑紧急事件应变小组(US-CERT)日前指出,根据美国国土安全部(DHS)及联邦调查局(FBI)的调查与分析,俄罗斯政府从2016年开始,便针对美国的政府单位与重大基础建设展开网络攻击,并揭露了俄罗斯政府与骇客的战术、技术与程序(Tactics、Techniques△and△Procedures,TPPs)。同一天,美国财政部即宣布,将针对参与俄罗斯骇客行动的19名个人与5个组织展开制裁,冻结他们的资产。更多内容
?