APP開發設計

【資安日報】5月11日,資安業者Dragos遭到網路攻擊,駭客企圖假冒即將就職的員工入侵[轉載自IThome]

文/周峻佑 | 2023-05-11發表 員工就職的流程竟成為駭客意圖入侵資安業者的管道!資安業者Dragos證實近日遭到使用勒索軟體的駭客組織攻擊,駭客假冒尚未就職的員工,通過相關流程並取得部分存取權限,所幸該公司察覺異狀採取行動而沒有成功。但離譜的是,駭客事後竟向其高階主管開口索討贖金,揚言不付錢就會對其家人不利。WordPress網站的外掛程式漏洞也相當值得留意,有資安業者揭露外掛程式Advanced Custom Fields的漏洞CVE-2023-30777,並指出至少7成網站曝險,呼籲網站管理者要儘速處理。 【攻擊與威脅】資安業者Dragos證實遭遇資安事故,駭客企圖入侵其網路環境並進行勒索專精工控領域的資安業者Dragos證實,5月8日有已知的網路犯罪組織企圖對他們發動攻擊及勒索,所幸駭客沒有成功,該公司亦表示旗下系統皆未遭到入侵。該公司指出,駭客針對即將任職的業務人員下手,在該名員工尚未到職之前藉由其電子郵件信箱取得存取權限,並完成入職流程,然後存取新進業務人員的SharePoint系統、合約管理系統,駭客讀取其中1份含有客戶IP位址的調查報告,該公司已對此客戶進行通報。而對於攻擊者的身分,Dragos透露該組織會使用勒索軟體加密檔案,但這些駭客在尚未得手的情況下,竟向Dragos高階主管進行勒索,並聲稱要對他們的家人不利。對此,Dragos對於就職員工的流程加入額外的驗證程序,以防類似的攻擊事件再度發生。 WordPress外掛程式Advanced Custom Fields出現漏洞,百萬網站曝險資安業者Patchstack揭露WordPress外掛程式Advanced Custom Fields的漏洞CVE-2023-30777(未提供CVSS風險評分),此為跨網站指令碼(XSS)漏洞,影響免費版與付費版用戶,攻擊者若是具備存取此外掛程式的權限,就有可能在採用預設配置部署的網站上觸發漏洞,且無需通過額外的身分驗證,開發者獲報後發布6.1.6版予以修補。由於有超過2百萬個網站安裝了此外掛程式,但截至5月11日仍有逾7成使用6.0以下的版本,使得研究人員呼籲網站管理者應儘速升級。北韓駭客Kimsuky利用惡意軟體ReconShark跟蹤使用者資安業者SentinelOne揭露北韓駭客組織Kimsuky的攻擊行動,駭客透過特製的網路釣魚郵件,假借政治議題來引誘收信人上當──例如,中國與北韓之間的核武協商,或是俄羅斯與烏克蘭之間仍在進行的戰爭等,意圖散布惡意軟體ReconShark。在其中一起事故裡,駭客針對名為Korea...

Read More

Google帳號支援Passkey登入,強調比密碼、2SV安全方便[轉載自IThome]

繼Android、Chrome後,Google帳號也將支援通行密鑰(Passkey),讓用戶不需記憶密碼或執行兩步驟驗證就能登入旗下服務。文/林妍溱 | 2023-05-04發表圖片來源: Google 繼去年10月宣布Android和Chrome支援通行密鑰(Passkey),以及12月釋出的Chrome M108穩定版已開始支援後,Google昨(3)日再宣布,Google帳號將支援以通行密鑰(Passkey)登入旗下服務,讓用戶不需再記憶或管理密碼,也不需再執行兩步驟驗證(2-Step Verification,2SV)。從即日起,用戶就可以在個人Google帳號加入Passkey。和由一串數字、字母或符號組成的密碼不同,Passkey是由一組金鑰組成,其中的公鑰用於註冊網站或App,私鑰則是存放在用戶裝置上,省去用戶記憶或管理密碼的麻煩。Passkey是基於FIDO 2/WebAuthn標準,可在所有主要平臺及瀏覽器使用,允許用戶透過指紋、臉部及本地端個人識別號碼(PIN)解鎖電腦或手機來登入。Passkey比傳統密碼更安全,它只存放在用戶裝置中,無法寫下來,也不會被不小心傳給歹徒,比密碼安全,而且也比2步驟驗證安全而方便;2SV不但多一道手續,也無法完全防範釣魚攻擊(例如可能被攔截簡訊)及SIM卡交換(SIM swap)等精準攻擊。但使用Passkey登入Google帳號,可有效證明用戶使用自己的裝置來登入。少了傳送密碼及驗證碼的過程,讓Passkey可防止網釣攻擊或密碼管理不善,如密碼外洩或同一組密碼重覆用於多個網站,解決了2SV的問題。當用戶在Google帳號加入Passkey,Google會在用戶一開始登入,或是執行敏感行動時要求建立Passkey。Passkey本身儲存在手機或電腦上,因此這機制會要求用戶輸入螢幕解鎖的生物辨識(如指紋、臉部辨識)及PIN碼,證實是用戶本人。這生物辨識資料目的在解鎖Passkey,不會分享給Google或其他單位。由於每把Passkey只會用於單一帳號,因此也不會有多個帳號共同一組密碼的風險。Google帳號(或其他帳號)也就不會有因共用密碼而被駭的問題。針對在多種裝置或不同裝置上使用Passkey是否會很麻煩,Google也做出說明。如果用戶有很多臺裝置,包括PC、筆電或平板,可以為不同裝置建一個passkey。有些平臺則可將用戶Passkey備份到雲端並同步給其他裝置,例如iPhone的Passkey可透過登入iCloud帳號同步給其他蘋果裝置,防止用戶被鎖住無法使用,也能升級Passkey到其他iOS/Mac裝置。使用者可以用Passkey/Password同步服務,如Google Password Manager、iCloud...

Read More

小心借用ChatGPT名義來竊取臉書帳號的Chrome擴充套件[轉載自IThome]

一款名為「Quick access to ChatGPT」的Chrome擴充套件,濫用了ChatGPT、Google與Facebook的合法API,可於背景竊取受害者使用服務的已授權對話Cookie,並接管受害者臉書帳號。文/陳曉莉 | 2023-03-15發表圖片來源: Guardio 當紅的ChatGPT持續遭到駭客利用,資安業者Guardio在上周揭露了一款名為「Quick access to ChatGPT」的Chrome擴充套件,它同時濫用了ChatGPT、Google與Facebook的合法API,其中一個主要目的是為了挾持並接管臉書用戶的帳號,特別是存有廣告額度的臉書企業帳號。Guardio是在今年的3月3日偵測到此一變種的惡意ChatGPT擴充套件,發現每天都有超過2,000名使用者安裝該擴充套件,且每一名受害者的臉書帳號都遭竊,無一倖免。Google則是在收到Guardio的通知後,於3月9日將它自Chrome...

Read More

工作用ChatGPT查資料、做摘要?資安專家:千萬不要 [轉自自由時報]

聊天機器人ChatGPT爆紅後,出現越來越多應用方式,也有企業開始用來查資料、做摘要。但資安專家、DEVCORE執行長翁浩正表示,「千萬不要」,因為AI可能會拿來做學習,使得公司資料出現在回答別人的答案中。台灣攻擊型資安公司DEVCORE(戴夫寇爾)迎來創業10週年,今(10日)舉辦 DEVCORE CONFERENCE 2023,以研討會的形式分享白帽駭客經驗。DEVCORE執行長翁浩正提醒,大家使用AI前應留意服務條款(Terms of Use) ,若把ChatGPT應用在職場中,將工作上的資料傳給AI,它會如何運用?是否拿來做學習?或者傳送給其他人?這是許多企業沒有思考過的。翁浩正說,最近在1場和企業資安長的聚會中,資安長就提到,公司會將內部文件上傳到ChatGPT做分析、抓重點;他的想法是「千萬不要、先等一等」,企業可以自建伺服器,但若直接用在雲端上,AI可能拿來做學習,企業資料可能因此外洩。若企業還是想使用AI協助工作,翁浩正建議,可以選擇資料中心不會和別人共享的聊天機器人,以維護資安。不過,生成式AI對資安專家其實具有好處,DEVCORE資深副總徐念恩說,過去資安專家和攻擊者必須自己分析如何入侵網站,現在可以把內容餵給ChatGPT,請它盤點其他攻擊手法,成為資安專家的助手。原文出處:https://3c.ltn.com.tw/news/52444...

Read More

FB與IG「藍勾勾」收費新制上路!需符合3大資格限制[轉載自3C科技]

繼推特社群平台推行「藍勾勾」身分認證訂閱服務後,FB臉書母公司Meta稍早也在官方新聞室宣佈,本週起將推出名為「Meta Verified」身分認證訂閱制服務,這項新制將為通過認證真實身份的用戶,提供取得藍勾勾徽章的認證資格,並可綁定於FB臉書與Instagram帳戶使用,且本週起將率先於澳洲和紐西蘭實施測試階段。並預告之後將會「很快地」陸續於其他國家地區上路。針對用戶於臉書與IG版帳號實施的「Meta Verified」身分認證訂閱新制,該費用於網頁版申辦的費用為每月 11.99 美元(約合新台幣365元)。另,「Meta Verified」身分認證訂閱制亦可於iOS系統手機版申辦,但費用稍貴3美元,iOS手機版、Android手機版的「Meta Verified」身分認證訂閱費用為14.99美元(約合新台幣456元)。Mark...

Read More

微軟強制關閉Windows 10 PC上的IE,6月將完全移除[轉載自IThome]

微軟昨(14)日宣布釋出Internet Explorer(IE)更新,目的並非修補安全或功能瑕疵,而是要把自己從Windows 10電腦上關閉,並預計6月完全移除IE圖示。微軟從2021年5月就宣布IE生命周期終點,並在2022年6月15日終止,大部分版本Windows 10上使用舊渲染引擎MSHTML的IE11桌機版本。不過大部份Windows 10還是可保留並存取IE11,直到昨日最新IE更新為止。微軟指出,這個版本更新將永久關閉大部份Windows 10的IE11桌機版App。此外,試圖開啟IE11的用戶會被導向Microsoft Edge。此外,到了2023年6月,IE11的視覺參考包括開始選單及工作列上的IE11圖示,也會在預計6月13日釋出的Windows安全更新中予以移除。屆時對大部份Windows...

Read More
})(jQuery)