資安動態Releases Distribution Changes - OpenSSL Blog : OpenSSL 宣佈了以後會以 GitHub 為主要發佈平台[Google 第三度延後 cookie 淘汰計畫! 新時間點將設在 2025 Q1 - INSIDE] : 商業問題會讓此時間點再延!?Netflix 的 helloworld : 可以做什麼 ? api check 還是工程師的埋梗 ?Upgrading jQuery: Working Towards a Healthy Web 官方鼓勵更新 jQuery,主要是3個原因都跟資安相關,(1) Security Vulnerabilities (2) Security Best Practices (3) Compliance RequirementsSo long jQuery, and thanks for all the fish | Gitea Blog Gitea 將在 v1.22 移除 jQuery, Fomantic-UI, and Semantic-UI 改用 Tailwind + HTMX 英國祭出新法令,禁止IoT裝置採用容易被猜到或可在網路上找到的預設密碼 | iThome 英國的《產品安全暨電信基礎設施法案》(PSTI Act)於4/29 正式生效,當中規定了IoT裝置的最低安全標準,包括不得使用容易猜測或是在網路上可找到的預設密碼,也是全球首個導入相關規範的法令# 美國方面,聯邦通訊委員會(FCC)去年下半宣布針對**智慧裝置祭出 US Cyber Trust Mark安全標章**;在亞洲方面,南韓今年初宣布與新加坡簽署**物聯網安全認證體系MOU**員警涉嫌內神通外鬼,查詢165反詐騙平臺示警銀行帳號,將相關資料洩露給詐騙集團 利用派出所內公務電腦,登入內政部警政署警政知識聯網系統,存取165反詐騙系統平臺,查詢警示帳戶通報情形、受理案號,以及被害人姓名、銀行帳號等資料。接著,該名員警利用即時通訊軟體,將上述資料傳送新莊裕民里前里長曾榆期,該名前里長再提供給詐騙集團,目的是讓對方了解被害者是否報案,他們的銀行帳號是否遭到警示或是凍結。這些被流出的個資,至少有24筆。 IoT設備身分識別FDO標準,即將有4家廠商取得首波認證 : 首批通過FDO標準認證的名單將於近1到2月內公布,有4家廠商進度最快,臺灣工業電腦廠東擎科技也包括在內電子簽章法三讀通過!跨境貿易使用具法律效力 - INSIDE : 只要有政府許可憑證機構所簽發的數位簽章,也能「推定」成本人親自簽名、蓋章效力金管會公布金融業運用AI指引最新進度,6月發布正式指引5月2日世界密碼日,微軟宣布開始支援微軟消費者帳戶的通行密鑰資安事件(公司被駭)Dropbox發生重大資安事件導致客戶和第三方資訊外洩,攻擊主要影響Dropbox Sign電子簽名服務05/01 Dropbox官方回應身分驗證解決方案業者Okta提出警告,鎖定該公司用戶的帳號填充攻擊爆增 | iThome究竟對方如何取得使用者的帳密資料? 該公司認為,駭客很可能是透過其他資料外洩事故,或是藉由網路釣魚及惡意軟體攻擊取得。(Credential Stuffing)[台廠遭駭 SpaceX 資料外洩 現在連馬斯克都知道了](https://money.udn.com/money/story/5612/7927627) 04/30 群光還是沒有付錢05/01 被公布SpaceX 跟專案預算等資料 (被公開的資料是否在合約保密條款裡? 即使 群光有 ETFs 撐腰... )05/03 被公布客戶 Bosch 與三星(Samsung) 資料05/04 被公布客戶 Sony, Dell, Google, Lenovo 資料長榮航遭駭 388筆旅客個資受影響 : 透過惡意IP登入,並有388筆旅客資料可能遭不當瀏覽;包含姓名、行程及聯絡資訊等 個資,不含信用卡資訊 (用旅客A的登入卻可以看其他旅客的資料,不太可能吧!!!)傳福斯汽車遭駭客竊取機密資料逾1.9萬檔案 | iThome : 駭客可能在2010年即開始研究福斯汽車的IT基礎架構,尋找可能濫用的漏洞,他們成功在2011年存取福斯IT基礎架構,並在2014年之間,多次將機密文件傳送到外部伺服器。在犯案後,還刪除了作案跡證。三波攻擊來自同一組人,至於駭客的身份,根據福斯文件,研究人員從駭客的IP位址、使用的軟體工具及時區,推測駭客來自中國。雖然沒有確切證據,但資料指向源自中國政府、甚至解放軍。美國德州小鎮供水系統遭到攻擊而失控,疑俄羅斯駭客所為 : 根據防火牆的事件記錄,他們在4天裡遭遇3.7萬次的嘗試存取。市府人員決定停用相關系統因應,並改以手動操作漏洞捷克、德國證實去年遭遇俄羅斯駭客APT28入侵,對方利用Outlook重大漏洞發起攻擊 | iThome : Outlook權限提升漏洞 CVE-2023-23397,CVSS風險評為9.8分CVE-2023-7028 未修補GitLab重大漏洞且暴露在網際網路的伺服器,目前還有兩千多臺 | iThome : 5月1日CISA將GitLab於1月修補的重大漏洞 GitLab揭露與修補CVSS滿分10分的重大漏洞CVE-2023-7028 列入KEV型錄,並表示已有惡意活動採用,而且受到影響的版本不少,涵蓋GitLab社群版與企業版的16.1版至16.7.1版科技相關TypeSpec 微軟又出了一個語言,目的是簡化 API Spec 的撰寫可以提升 API 開發效率,可以編譯為符合標準的 OpenAPI、JSON Schema...[Felo Search](https://search.glarity.ai/ : 整合AI 的搜尋引擎,整合來自不同來源的資訊。