2024.06-Note #3

資安動態

1. Google 資安人員疾呼：不要再用「釣魚信」測試員工了！適得其反
2. 訊連人臉辨識快 4.7 倍！FaceMe 整合聯發科 Genio 510，釋放 AI 運算效能，打造更智慧的物聯網世界 (AI 運算效能提升 4.7 倍！訊連臉部辨識擴大整合聯發科 Genio 510)
3. 公司資安事件揭露範圍擴大，現在不論是否涉及核心、機密都要發布重訊 : 「重大性標準」放得更寬。只要「公司之資通系統、官方網站等，遭駭客攻擊或入侵，致無法營運或正常提供服務，或有個資、內部文件檔案資料外洩情事」，都要依照26款規定發布重大訊息。至於櫃買中心是否也會跟著修訂，有待關注。
4. 微軟新 AI 功能「Recall」能記得電腦所有使用紀錄，卻引發隱私爭議 : Recall 讓使用者滑動一條時間軸來搜尋特定時間點，再呈現該時段的電腦快照（snapshot）-> 細想有點可怕~~~
5. Windows 11 Recall 的日誌系統只是一個 SQLite 資料庫 ? : 在這一篇有提到這一句話 "Every few seconds, screenshots are taken. These are automatically OCR’d by Azure AI, running on your device, and written into an SQLite database in the user’s folder. _{Stealing everything you’ve ever typed or viewed on your own Windows PC is now possible with two lines of code — inside the Copilot+ Recall disaster}
6. Gogolook以1.5億元併購荷蘭防詐服務商ScamAdviser，盼加速企業服務推向全球市場: 臺灣資安業者併購國外公司並不多見，併購案相當吸引產業目光
7. 日本行動西瓜卡大當機、乘客喊「不想睡車站內」 JR東日本證實遭網攻5/30 日本行動西瓜卡又當機無法加值 發行公司致歉 : 5月10日也曾發生大當機；JR東日本隔天表示，受到網路攻擊，已向警方備案。
8. Zoom Workplace導入後量子全程加密 : 採用了 Kyber 768
9. 防範簡訊詐欺 聯卡中心OTP驗證6月起將新增「識別碼步驟」: 聯卡中心更進一步提供「進階版」的識別碼驗證，就是在發卡行寄給持卡人的驗證簡訊中，有4個不同英文字母組合的「識別碼」，持卡人除了需比對「識別碼」是否相符外，還需於付款頁面點選出相符選項，再回傳發卡機構
10. TAICS 及 TCA 推動在地物聯網資安測試規範之制定，為視訊監控系統建立了台灣物聯網網路安全標準
11. Your API Shouldn't Redirect HTTP to HTTPS : 內文說明了 Fail-fast Principle + Google Bug Hunter Team 的回覆(VirusTotal API)
12. google/osv-scanner : v1.7.4 釋出，Support scanning gradle/verification-metadata.xml
13. microsoft/sbom-tool : v2.2.6 釋出
14. Spring Boot 3.3 Release : 支援 SBOM
15. web-check v1.0，AI 的網站安全檢查服務 : 免費且開源的線上分析工具，也有self-hosting docker 版。

資安事件 | 公司被駭

1. 大立光 10 高層遭起訴！被控「破解」正版軟體安裝至千台電腦，官方重訊回應了: 德國 MVTec 接獲吹哨者檢舉，指控大立光破解並盜拷 HALCON 軟體，用於大立光內部數千台電腦，嚴重侵犯智慧財產權，檢方正式起訴大立光及高層等 10 人，求償金額上看 10 億元。
   5/31 侵權爭議今開庭 大立光二度急發聲明提出澄清 : 盜用軟體被抓包以後大立光才要協商，但原廠踩得硬不願意協商，應是內鬼 (自身員工) 參與 !?
2. 臺藝大校友網站個資驚傳外洩，校方緊急關閉網站 : 校友聯絡中心網站存在資安問題，任何人透過Google搜尋就有機會看到申請校友證的個資，他們緊急將網站關閉，並對於含有機敏個資的中級系統，全面進行弱點掃描
3. 桃園市政都計變更爆嚴重個資外洩 議員：太扯！無法接受 | 桃竹苗 | 地方 | 聯合新聞網 : 個人資料流出，名字、身分證、地址等重要個資外洩
4. 針對精品拍賣業者佳士得遭駭，勒索軟體駭客組織RansomHub聲稱是他們所為 | iThome : 該公司全球逾50萬名客戶的個資，檔案大小為2 GB。這些資訊包括出生地、生日、全名、性別、聯絡地址、身高、種族等敏感資料。對方要脅，若是這些資料流出，佳士得將面臨巨額GDPR罰款，而且客戶會對其失去信任
5. 保險經紀人公司「台名」發布資安重訊，坦承遭供應鏈攻擊，外洩客戶個資，影響人數恐達5萬 | iThome : Supply Chain Attack
6. 臺灣電腦硬體製造商Cooler Master傳出資料外洩，50萬會員個資流出 | iThome : 竊得103 GB資料。這批資料包含了公司、供應商、銷售、保固、盤點、人力資源的資料，並包含50萬名註冊Fanzone帳號的客戶資料。個人資料，包含姓名、地址、生日、電話號碼、電子郵件信箱，以及明文的信用卡資料，當中包含信用卡卡號、有效日期，以及3位數的授權碼。
7. 邦交國帛琉遭駭，2萬份政府文件流入暗網，疑為中國政府意圖孤立臺灣 : 包含註明僅供政府官方單位使用的資料，涉及美國於當地部署雷達、日本海軍造訪該國的成員名單，以及臺灣與帛琉關係的數百份文件，而有可能左右臺海安全

漏洞

1. Chrome本月修補第4個零時差漏洞，也是2024年以來第8個零時差漏洞 | iThome : 2024年以來第8個零時差漏洞 修補高風險漏洞CVE-2024-5274，並表示已發現該漏洞已受到廣泛濫用。 回顧整個2024年5月，Chrome至今已累積發布4個零時差漏洞
2. Arbitrary JavaScript execution in PDF.js : CVE-2024-4367 可藉由特定參數觸發PDF.js漏洞，插入任意的JavaScript程式碼並執行

科技動態

1. ICQ will stop working from June 26: 時代的眼淚，依稀還記得20年前曾收到不明人士送我的奇怪訊息(內容看起來卻應該認識我)，造成了影響
2. JetBrains正式推出Rust專用IDE RustRover，提供非商用免費授權
3. The CEO and the Three Envelopes - Kevin Kruse : 蠻有趣也寫實的三個信封
4. 桃園機場新世代e-Gate啟用　未來通關更便利 : 自動查驗通關系統（e-Gate），目前已完成第一階段e-Gate汰換及更新工程，新世代e-Gate擁有閘道內註冊及通關二合一，以及支援多國語言模式，桃園國際機場第一航廈及第二航廈入出境大廳分階段陸續進行