2024.04-NOTE #1

資安動態

1. Releases Distribution Changes - OpenSSL Blog : OpenSSL 宣佈了以後會以 GitHub 為主要發佈平台
2. [Google 第三度延後 cookie 淘汰計畫！ 新時間點將設在 2025 Q1 - INSIDE] : 商業問題會讓此時間點再延!?
3. Netflix 的 helloworld : 可以做什麼 ? api check 還是工程師的埋梗 ?
4. Upgrading jQuery: Working Towards a Healthy Web 官方鼓勵更新 jQuery，主要是3個原因都跟資安相關，(1) Security Vulnerabilities (2) Security Best Practices (3) Compliance Requirements
5. So long jQuery, and thanks for all the fish | Gitea Blog Gitea 將在 v1.22 移除 jQuery, Fomantic-UI, and Semantic-UI 改用 Tailwind + HTMX 
6. 英國祭出新法令，禁止IoT裝置採用容易被猜到或可在網路上找到的預設密碼 | iThome 英國的《產品安全暨電信基礎設施法案》（PSTI Act）於4/29 正式生效，當中規定了IoT裝置的最低安全標準，包括不得使用容易猜測或是在網路上可找到的預設密碼，也是全球首個導入相關規範的法令
   # 美國方面，聯邦通訊委員會（FCC）去年下半宣布針對**智慧裝置祭出 US Cyber Trust Mark安全標章**；在亞洲方面，南韓今年初宣布與新加坡簽署**物聯網安全認證體系MOU**
7. 員警涉嫌內神通外鬼，查詢165反詐騙平臺示警銀行帳號，將相關資料洩露給詐騙集團 利用派出所內公務電腦，登入內政部警政署警政知識聯網系統，存取165反詐騙系統平臺，查詢警示帳戶通報情形、受理案號，以及被害人姓名、銀行帳號等資料。接著，該名員警利用即時通訊軟體，將上述資料傳送新莊裕民里前里長曾榆期，該名前里長再提供給詐騙集團，目的是讓對方了解被害者是否報案，他們的銀行帳號是否遭到警示或是凍結。這些被流出的個資，至少有24筆。
8. IoT設備身分識別FDO標準，即將有4家廠商取得首波認證 : 首批通過FDO標準認證的名單將於近1到2月內公布，有4家廠商進度最快，臺灣工業電腦廠東擎科技也包括在內
9. 電子簽章法三讀通過！跨境貿易使用具法律效力 - INSIDE : 只要有政府許可憑證機構所簽發的數位簽章，也能「推定」成本人親自簽名、蓋章效力
10. 金管會公布金融業運用AI指引最新進度，6月發布正式指引
11. 5月2日世界密碼日，微軟宣布開始支援微軟消費者帳戶的通行密鑰

資安事件(公司被駭)

1. Dropbox發生重大資安事件導致客戶和第三方資訊外洩，攻擊主要影響Dropbox Sign電子簽名服務
   05/01 Dropbox官方回應
2. 身分驗證解決方案業者Okta提出警告，鎖定該公司用戶的帳號填充攻擊爆增 | iThome究竟對方如何取得使用者的帳密資料？ 該公司認為，駭客很可能是透過其他資料外洩事故，或是藉由網路釣魚及惡意軟體攻擊取得。(Credential Stuffing)
3. [台廠遭駭 SpaceX 資料外洩 現在連馬斯克都知道了](https://money.udn.com/money/story/5612/7927627)
   04/30 群光還是沒有付錢
   05/01 被公布SpaceX 跟專案預算等資料 (被公開的資料是否在合約保密條款裡? 即使 群光有 ETFs 撐腰... )
   05/03 被公布客戶 Bosch 與三星(Samsung) 資料
   05/04 被公布客戶 Sony, Dell, Google, Lenovo 資料
4. 長榮航遭駭 388筆旅客個資受影響 : 透過惡意IP登入，並有388筆旅客資料可能遭不當瀏覽；包含姓名、行程及聯絡資訊等 個資，不含信用卡資訊 (用旅客A的登入卻可以看其他旅客的資料，不太可能吧!!!)
5. 傳福斯汽車遭駭客竊取機密資料逾1.9萬檔案 | iThome : 駭客可能在2010年即開始研究福斯汽車的IT基礎架構，尋找可能濫用的漏洞，他們成功在2011年存取福斯IT基礎架構，並在2014年之間，多次將機密文件傳送到外部伺服器。在犯案後，還刪除了作案跡證。三波攻擊來自同一組人，至於駭客的身份，根據福斯文件，研究人員從駭客的IP位址、使用的軟體工具及時區，推測駭客來自中國。雖然沒有確切證據，但資料指向源自中國政府、甚至解放軍。
6. 美國德州小鎮供水系統遭到攻擊而失控，疑俄羅斯駭客所為 : 根據防火牆的事件記錄，他們在4天裡遭遇3.7萬次的嘗試存取。市府人員決定停用相關系統因應，並改以手動操作

漏洞

1. 捷克、德國證實去年遭遇俄羅斯駭客APT28入侵，對方利用Outlook重大漏洞發起攻擊 | iThome : Outlook權限提升漏洞 CVE-2023-23397，CVSS風險評為9.8分
2. CVE-2023-7028 未修補GitLab重大漏洞且暴露在網際網路的伺服器，目前還有兩千多臺 | iThome : 5月1日CISA將GitLab於1月修補的重大漏洞 GitLab揭露與修補CVSS滿分10分的重大漏洞CVE-2023-7028 列入KEV型錄，並表示已有惡意活動採用，而且受到影響的版本不少，涵蓋GitLab社群版與企業版的16.1版至16.7.1版

科技相關

1. TypeSpec 微軟又出了一個語言，目的是簡化 API Spec 的撰寫可以提升 API 開發效率，可以編譯為符合標準的 OpenAPI、JSON Schema...
2. [Felo Search](https://search.glarity.ai/ : 整合AI 的搜尋引擎，整合來自不同來源的資訊。