资安一周[1105
米阳 2016-11-14 10:49:37
全球城市风险报告指出,台北网路攻击风险指数为全球第11名
图片来源:Lloyd
重点新闻(11月05日-11月11日)
思科应徵网站有漏洞,导致应徵者个资外洩近1年思科近日传出旗下的应徵网站有发现漏洞,导致应徵者的个人资料外洩。一位匿名资安研究人员发现了这个漏洞,并且通报思科。思科表示,清查后发现2015年8月至9月,以及2016年7月至8月期间,有不正常的连线状况。在这段期间,应徵者的姓名、登入帐号、密码、住址、电话等个人资料都会曝露在网站上面。目前思科已通知受影响用户,建议他们修改帐号跟密码,也向个人信用纪录评分机构申请诈欺警讯服务,要求徵信公司在任何金融机构提出新增信用要求时,进行额外的身分确认步骤。更多新闻
?
纽约成网路攻击风险最高的城市,台北则是全球第11高英国保险机构Lloyd与剑桥大学联合共同发表2015~2025年城市风险指数报告指出,未来10年全球网路攻击风险将损失2,941亿元美元(约新台币9兆元),纽约目前是全球网路攻击风险最高的城市,将损失约140亿元美元(约新台币4,435亿元),其次是洛杉矶、圣保罗、巴黎和伦敦。而且,这份报告指出台北位居网路风险损失第11名的城市,未来将损失51亿元美元(约新台币1,615亿元)。该报告也建议,国家应该有能力保护关键基础措施来阻止攻击,也可以实施保险政策,加强对网路攻击影响的抒解,并且有助于帮助灾后回复的经济。更多资料
Svpeng木马伪装App合法植入手机窃取银行帐号,31万Android用户遭骇卡巴斯基近日揭露,从7月以来已经有318,000位用户感染了金融木马Svpeng。这支木马程式会隐藏在Google广告网路服务AdSense的广告中,尤其锁定使用Android系统的Google Chrome使用者。Svpeng会伪装成一个要求浏览器更新的应用程式,或是一个较受欢迎应用程式来说服用户同意安装,暗中植入恶意程式。木马会要求用户授予设备管理权限,藉此可让骇客窃取用户的银行资讯和个人资料。目前卡巴斯基已向Google回报此问题,Google将会在最近Android更新版本中发布此漏洞的修补程式。更多资料What's App将与脸书共享用户资讯,英国资讯委员会强烈反对英国资讯委员会于11月7日公开反对Facebook提出的资讯共享计画。脸书为了派送广告,从9月25日开始在Whatt's App上蒐集用户相关资料,此举引起英国政府强烈抗议。英国资讯委员会资讯专员Elizabeth Denham认为,担心消费者无法得到适当的个资保护,将要求Facebook与Whatt's App共同签属承诺,需将个资利用情形告知用户。目前Facebook先行停止对Whatt's App英国用户蒐集资料的行为。更多资料赖比瑞亚疑遭DDoS攻击全国网站大断线,兇手也是殭尸网路Mirai一名英国Princes食品公司的资安专家Kevin Beaumont,从一个监控Mirai殭尸网路攻击的推特帐号Mirai Attacks推文中发现,近日赖比瑞亚国家网路曾遭到Mirai殭尸网路的DDoS攻击,导致整个国家的所有网站都无法连线,攻击指令还将这次攻击行动命名为Shadows Kill。Mirai曾在10月底攻击美国网路服务商Dyn,造成许多知名网站无法浏览。但此次受害规模更大,攻击的对象不只是单一网路业者,而是整个国家的网路。Kevin Beaumont认为,这类攻击已足以影响整个国家网路运作,未来影响更令人担忧。更多资料Gmail惊报验证程序有漏洞,骇客可盗取停用帐号的控制权一名网路安全研究部落客Ahmed Mehtab发现,Gmail验证机制有漏洞,恐让骇客从中挟持停用帐号的电子邮件。除了能窃取用户的帐号资料之外,甚至可以重新启用来冒名收发信件。骇客可透过Gmail验证程序申请获取用户信箱帐号的所有权,当Google另外向用户发送电子邮件来确认时,由于用户已停用导致无法收到确认信,骇客可以拦截到该封确认信,进而利用信中验证码来获得帐号的所有权。更多资料中国强化网路直播管理,新闻直播须先审后发中国国家互联网信息办公室近日发布了《互联网直播服务管理规定》,要求要在网路上直播新闻必须先取得资格,服务供应商必须针对新闻直播内容先审后发,也必须建立发布者的信用等级与黑名单,同时必须纪录及保留直播内容60天。这份规定还要求,直播服务商在直播新闻时,也规定新闻直播商必须设定总编辑,提供公正、客观且準确的新闻。此规定预计于12月1日开始实施。更多新闻英国3家医院系统感染病毒得断网清除,上千病患被迫停止看诊英国林肯郡NLAG(Northern Lincolnshire and Goole NHS Foundation Trust)连锁医疗体系旗下医院系统感染病毒导致系统失效,包括3家位于Goole、Grimsby和Scunthorpe三地的医院的系统受到影响。为了清除系统内的电脑病毒,医院决定关闭内部网路,至少影响数千名病患无法看诊,以及35件手术无法进行。NHS发言人证实了这网路感染事件,目前还在调查原因,但还不知遭何种病毒或恶意程式感染。英卫生部的发言人也表示,NHS已经组成紧急应变小组CareCERT,未来可以帮助医院减少会被遭受网路攻击的漏洞,并且可以立即採取行动降低攻击流量。更多资料英零售Tesco旗下银行惊传遭骇,2万帐户存款遭盗领英国零售业Tesco旗下的银行事业Tesco Bank传出遭骇客攻击,超过4万个帐户遭锁定、2万个帐户被成功骇入,用户存款遭到盗领。Tesco Bank目前已在官网道歉,并已暂停所有银行用户的线上交易以预防损害进一步扩大。该案件的调查工作已经由英国国家犯罪调查局(NCA)接手主导,初步推测应是犯罪组织所为,与国家级骇客或有特定政治主张的行动骇客无关。更多新闻中国通过网路安全法案,限制传讯服务不得匿名中国第十二届全国人大会议近日通过《中国人民共和国网路安全法》,其中第24条规定「网路营运商除了在替用户办理网路存取、域名注册、固网、行动电话时必须要求用户提供真实的身分资讯之外,即使只是提供讯息发布与即时通讯等服务,也都必须取得用户的真实身分,否则不得提供相关服务。」儘管中国政府解释实名制有助于发展电子身分认证,推动不同身分认证间的互动,人权观察组织(Human Rights Watch)批评,强制要求各种网路服务都必须使用真实身分将会使得人民噤声,造成寒蝉效应。更多新闻