更新於 2024/12/05閱讀時間約 8 分鐘

2024.06-Note #3

資安動態

  1. Google 資安人員疾呼:不要再用「釣魚信」測試員工了!適得其反
  2. 訊連人臉辨識快 4.7 倍!FaceMe 整合聯發科 Genio 510,釋放 AI 運算效能,打造更智慧的物聯網世界 (AI 運算效能提升 4.7 倍!訊連臉部辨識擴大整合聯發科 Genio 510)
  3. 公司資安事件揭露範圍擴大,現在不論是否涉及核心、機密都要發布重訊 : 「重大性標準」放得更寬。只要「公司之資通系統、官方網站等,遭駭客攻擊或入侵,致無法營運或正常提供服務,或有個資、內部文件檔案資料外洩情事」,都要依照26款規定發布重大訊息。至於櫃買中心是否也會跟著修訂,有待關注。
  4. 微軟新 AI 功能「Recall」能記得電腦所有使用紀錄,卻引發隱私爭議 : Recall 讓使用者滑動一條時間軸來搜尋特定時間點,再呈現該時段的電腦快照(snapshot)-> 細想有點可怕~~~
  5. Windows 11 Recall 的日誌系統只是一個 SQLite 資料庫 ? : 在這一篇有提到這一句話 "Every few seconds, screenshots are taken. These are automatically OCR’d by Azure AI, running on your device, and written into an SQLite database in the user’s folder. Stealing everything you’ve ever typed or viewed on your own Windows PC is now possible with two lines of code — inside the Copilot+ Recall disaster
  6. Gogolook以1.5億元併購荷蘭防詐服務商ScamAdviser,盼加速企業服務推向全球市場: 臺灣資安業者併購國外公司並不多見,併購案相當吸引產業目光
  7. 日本行動西瓜卡大當機、乘客喊「不想睡車站內」 JR東日本證實遭網攻5/30 日本行動西瓜卡又當機無法加值 發行公司致歉 : 5月10日也曾發生大當機;JR東日本隔天表示,受到網路攻擊,已向警方備案。
  8. Zoom Workplace導入後量子全程加密 : 採用了 Kyber 768
  9. 防範簡訊詐欺 聯卡中心OTP驗證6月起將新增「識別碼步驟」: 聯卡中心更進一步提供「進階版」的識別碼驗證,就是在發卡行寄給持卡人的驗證簡訊中,有4個不同英文字母組合的「識別碼」,持卡人除了需比對「識別碼」是否相符外,還需於付款頁面點選出相符選項,再回傳發卡機構
  10. TAICS 及 TCA 推動在地物聯網資安測試規範之制定,為視訊監控系統建立了台灣物聯網網路安全標準
  11. Your API Shouldn't Redirect HTTP to HTTPS : 內文說明了 Fail-fast Principle + Google Bug Hunter Team 的回覆(VirusTotal API)
  12. google/osv-scanner : v1.7.4 釋出,Support scanning gradle/verification-metadata.xml
  13. microsoft/sbom-tool : v2.2.6 釋出
  14. Spring Boot 3.3 Release : 支援 SBOM
  15. web-check v1.0,AI 的網站安全檢查服務 : 免費且開源的線上分析工具,也有self-hosting docker 版。

資安事件 | 公司被駭

  1. 大立光 10 高層遭起訴!被控「破解」正版軟體安裝至千台電腦,官方重訊回應了: 德國 MVTec 接獲吹哨者檢舉,指控大立光破解並盜拷 HALCON 軟體,用於大立光內部數千台電腦,嚴重侵犯智慧財產權,檢方正式起訴大立光及高層等 10 人,求償金額上看 10 億元。
    5/31 侵權爭議今開庭 大立光二度急發聲明提出澄清 : 盜用軟體被抓包以後大立光才要協商,但原廠踩得硬不願意協商,應是內鬼 (自身員工) 參與 !?
  2. 臺藝大校友網站個資驚傳外洩,校方緊急關閉網站 : 校友聯絡中心網站存在資安問題,任何人透過Google搜尋就有機會看到申請校友證的個資,他們緊急將網站關閉,並對於含有機敏個資的中級系統,全面進行弱點掃描
  3. 桃園市政都計變更爆嚴重個資外洩 議員:太扯!無法接受 | 桃竹苗 | 地方 | 聯合新聞網 : 個人資料流出,名字、身分證、地址等重要個資外洩
  4. 針對精品拍賣業者佳士得遭駭,勒索軟體駭客組織RansomHub聲稱是他們所為 | iThome : 該公司全球逾50萬名客戶的個資,檔案大小為2 GB。這些資訊包括出生地、生日、全名、性別、聯絡地址、身高、種族等敏感資料。對方要脅,若是這些資料流出,佳士得將面臨巨額GDPR罰款,而且客戶會對其失去信任
  5. 保險經紀人公司「台名」發布資安重訊,坦承遭供應鏈攻擊,外洩客戶個資,影響人數恐達5萬 | iThome : Supply Chain Attack
  6. 臺灣電腦硬體製造商Cooler Master傳出資料外洩,50萬會員個資流出 | iThome : 竊得103 GB資料。這批資料包含了公司、供應商、銷售、保固、盤點、人力資源的資料,並包含50萬名註冊Fanzone帳號的客戶資料。個人資料,包含姓名、地址、生日、電話號碼、電子郵件信箱,以及明文的信用卡資料,當中包含信用卡卡號、有效日期,以及3位數的授權碼。
  7. 邦交國帛琉遭駭,2萬份政府文件流入暗網,疑為中國政府意圖孤立臺灣 : 包含註明僅供政府官方單位使用的資料,涉及美國於當地部署雷達、日本海軍造訪該國的成員名單,以及臺灣與帛琉關係的數百份文件,而有可能左右臺海安全

漏洞

  1. Chrome本月修補第4個零時差漏洞,也是2024年以來第8個零時差漏洞 | iThome : 2024年以來第8個零時差漏洞 修補高風險漏洞CVE-2024-5274,並表示已發現該漏洞已受到廣泛濫用。 回顧整個2024年5月,Chrome至今已累積發布4個零時差漏洞
  2. Arbitrary JavaScript execution in PDF.js : CVE-2024-4367 可藉由特定參數觸發PDF.js漏洞,插入任意的JavaScript程式碼並執行

科技動態

  1. ICQ will stop working from June 26: 時代的眼淚,依稀還記得20年前曾收到不明人士送我的奇怪訊息(內容看起來卻應該認識我),造成了影響
  2. JetBrains正式推出Rust專用IDE RustRover,提供非商用免費授權
  3. The CEO and the Three Envelopes - Kevin Kruse : 蠻有趣也寫實的三個信封
  4. 桃園機場新世代e-Gate啟用 未來通關更便利 : 自動查驗通關系統(e-Gate),目前已完成第一階段e-Gate汰換及更新工程,新世代e-Gate擁有閘道內註冊及通關二合一,以及支援多國語言模式,桃園國際機場第一航廈及第二航廈入出境大廳分階段陸續進行
分享至
成為作者繼續創作的動力吧!
© 2024 vocus All rights reserved.