2024.11 Note#14

資安動態

1. Linux 移除俄羅斯維護人員
2. Meta測試「臉部辨識技術」防範假冒名人詐騙，加速身分驗證取回遭盜用帳號
3. 【遊戲點數Passkey應用實例：智冠科技】App登入有FIDO加持 : FIDO2是陌生的新技術，他們因此找到工研院，請專家提供協助，讓公司能夠順利導入。而且，該公司也開發對應FIDO2標準的驗證伺服器，並取得FIDO聯盟的認證
4. 【觀光旅遊服務業Passkey應用實例：可樂旅遊】FIDO快速登入B2C與B2B: 技術導入並不熟悉的他們，是採用資訊業者網際威信（HiTrust）提供的FIDO認證系統，但其他方面規畫，他們主要依靠自身IT團隊完成，包括介面、流程等
5. 【C2C電商平臺業Passkey應用實例：露天市集】: 滿20年的數聯資安找上露天市集合作，嘗試零信任之身分鑑別機制的場域驗證，雙方合作包含Passkey導入認證
6. NCC 新規定 - 簡訊發送連結需要是自己的網域 : 發送「帶有網址的簡訊」皆需申請網址(網域)白名單 NCC要求自2024年11月15日起，發送帶有網址(網域)的簡訊，皆需符合為企業申請專屬的網址或網域，否則將無法發送，請會員盡快申請專屬的網址或網域，以免影響簡訊正常發送

公司被駭/資安事件

1. 駭客組織稱不付贖金10/31公開機密 華新科：將報案 : 稱握有華新科150GB機密資料，華新科若不交付贖金，將在10月31日公開資訊
2. 駭客濫用DocuSign API大量傳送假發票: 駭客先建立一個合法且付費的DocuSign帳戶，接著模仿合法公司的發票範本，再大量寄出，一旦受害者簽署了該文件，駭客就能利用該簽名檔來請款。危險的是，由於發票是直接自DocuSign平臺發送的，所以並不會被企業的過濾機制攔截。
3. UnitedHealth承認當初有1億用戶資料遭竊 : Q3財報中已認列超過20億美元的網路攻擊損失，如今美國衛生及公共服務部（HHS）的公開資料顯示，Change Healthcare所外洩的用戶資料高達1億筆，成為美國醫療領域最嚴重的資料外洩事件
4. 駭客聲稱從Nokia合作廠商竊得原始碼 ：包含了SSH金鑰、RSA金鑰、BitBucket帳密資料、SMTP帳密、Webhook掛鉤組態，以及寫死的帳密資料

程式/工具

1. osv-scanner ·v1.9.1

漏洞

1. 全景軟體 IDExpert - OS Command Injection : 更新至 2.8.1.240731(含)以後版本，並建議管理者介面啟用 連線IP白名單功能
2. 全景軟體 IDExpert - Reflected XSS
3. 全景軟體 IDExpert - Arbitrary File Read through Path Traversal
4. GitLab HTML injection in Global Search may lead to XSS: CVE-2024-8312，Patch Release: 17.5.1, 17.4.3, 17.3.6，8.7(High)
5. MatterMost MMSA-2024-00386(High)， high severity level，security Fix Versions 10.1.2 / 10.0.2 / 9.11.4 (ESR) / 9.5.12 (ESR)
6. Mattermost server allows authenticated user to delete arbitrary post : CVE-2024-50052，
7. Mattermost Server Path Traversal vulnerability that leads to CSRF : CVE-2024-46872
8. QNAP 修補兩個零日漏洞 : CVE-2024-50387 : QNAP 的 SMB 服務中，是一個 SQL 注入漏洞。攻擊者可利用此漏洞取得 root 權限，完全控制受影響的設備

AI 動態

1. SynthID :浮水印系統，專門用於 AI 生成的各種內容上，除可套用在常見的圖表上，還能嵌入到聲音波形、影片幀數中而不影響 User 的體驗
2. 美國發布首個AI國家安全備忘錄: 國家安全備忘錄（National Security Memorandum，NSM），其三大重點為確保美國引領全球的AI發展
3. OSI發布開源AI定義，確立AI系統四大開源標準 : OSI 發布全球第一個開源人工智慧定義OSAID v1.0，明確規範人工智慧系統使用、研究、分享和修改的自由，並強調透明性及重現性
4. Apple 萬眾矚目的 AI 系統 Apple Intelligence : Apple 提供了能改寫、校對文字、摘要內容的書寫工具、電話裡進行錄音與其對話內容的整理
5. Meta 正在研發自己的 AI 搜尋引擎 :
6. ChatGPT search : 極類似 Perplexity 和 Felo Search, Exa.ai，一樣不靠關鍵字，每一個文字在前後文不同的條件下有著完全不同的權重比
7. 瞄準AI代理人應用願景，永豐銀先從三大策略打基礎 永豐銀行決定成立專責開發團隊。為了加速GAI應用落地普及，AI應用開發團隊中，額外成立一支GAI應用開發團隊，專責開發數位幕僚的GAI需求，輔助全行發展GenAI