原标题:资安一周第7期:加拿大航空2万笔App用户个资外泄。研究:四成安全专家声称能骇进任职企业
加拿大航空在8月22日到24日发现该公司App出现异常登入行为,估计约有2万名客户资料遭到非法存取,包括用户的姓名、电话、电子邮件、生日等。
0830~0905一定要看的资安新闻?
#加拿大航空 #资料外泄加拿大航空遭骇,外泄2万名App用户个资加拿大航空(加航,Air△Canada)八月三十日以电子邮件通知约2万名App用户,由于遭不明人士存取,用户个资可能外泄。
加航用户在推特上展示收到的邮件显示,加拿大航空在今年8月22日到24日之间侦测到该公司的手机App有不寻常的登入行为。加航立即采取拉黑并实施额外措施来防止进一步的非授权存取行为。为安全预防性考量,加航已拉黑了所有手机App帐号以确保用户资讯。
加拿大航空官网上要求App用户重设密码。不过雪上加霜的是,用户抱怨无法在App上变更密码,每次试图变更密码App就当掉。
加航表示客户帐户下的信用卡资讯并未受到影响,因为有经过加密处理,此外加航的飞行常客计划密码也不储存在App上。但同时加航仍建议用户最好留心自己的信用卡是否有异常交易情况。更多内容
?
#内部控管 #资料外泄家贼难防!研究:43%的安全专家称可以骇进自己的组织专门提供网络服务的Imperva针对179名安全专家进行调查后发现,有43%的安全专家认为能够成功地骇进自己的组织,约35%认为这并不容易,另有22%觉得成功的机率大概是50%。调查也显示有接近三分之二的组织具备可侦测恶意内贼的解决方案,只是有三成的组织可能要花上数周或是好几个月才会发现有内贼,另外也有14%的组织,也许永远也不会察觉内贼的存在。
Imperva建议企业应该要监控哪些人存取了哪些资料,以及这些用户如何使用这些资料,借由分析这些资料来建立使用者的资料存取活动底线,以察觉可疑的资料存取。更多内容
?
#反追踪技术 #Firefox△63强化反追踪技术,Firefox将拉黑拖慢网页载入速度的第三方追踪器Mozilla宣布,在接下来几个月,Firefox将预设启用一系列防追踪功能来保护使用者,另外还提供一组透明的控制元件,让使用者选择愿意与网站共享的讯息。
广告追踪会大幅降低网络速度,Mozilla引用Ghostery的研究,提到载入一般网站的总时间,其中有55.4%用于载入第三方追踪器,对于网络速度原本就较慢的使用者,造成很大的负担。而较长的页面载入时间,对于使用者以及网站本身都非好事,Firefox△Nightly现在加入了一项新功能,可以阻挡降低页面载入速度的追踪器,在9月时将以Firefox的Shield△Study机制来测试该功能,一旦测试效果良好,Mozilla将会在Firefox△63正式部署该功能。更多内容
?
#Google△#Tink△#加密软件函式库Google释出内部Tink加密软件函式库,Google△Pay和智慧助理都有用Google为了帮助自家发展加密服务应用,为开发人员提供了安全的跨平台加密函式库Tink。而Tink的设计重点特色在于,易用而且难以被误用。Google提到,Tink中有许多防呆设计,来减少用户误用函式库,像是如果底层加密模式需要nonce,但重复使用nonce反而造成不安全,Tink就不会允许开发者传递nonce。
Tink建立在既有的函式库上,包括BoringSSL和Java△Cryptography△Architecture,不过,他们在开发Tink的过程,发现了这些函式库的弱点,因此也顺便修补了这些弱点。Tink在介面宣告了例如抵御选择密文攻击等安全属性,让安全稽核人员和自动化工具,能快速发现与安全保证不符的安全需求。Tink还为潜在危操作隔离API,使用者无法进行从硬盘载入明文金钥等行为,Tink提供开发者发现、限制、监控以及纪录函式库使用的功能。更多内容
?
#Google△#技术支援诈骗Google扩大打击冒牌技术支援诈骗广告愈来愈多诈骗广告冒充合法公司技术支援诱骗使用者上当,Google对此表示将出手整飭。Google产品政策总裁David△Graff指出,为防用户遭误导性、不适当及不良广告所害,该公司致力于打击滥用广告系统的业者。单单去年Google已移除了32亿则违反其广告政策的广告。现在Google将把矛头转向第三方技术支援业者,而且计划将范围扩大到全球。
技术支援诈骗广告通常是结合诈骗歹徒与恶意程式业者,由恶意程式业者寄出诈骗邮件、或在合法网站上植入伪造广告、借由Google等搜寻引擎接触使用者,让使用者电脑跳出含有客服专线的警告视窗。等不知情的受害者拨打电话后,就由诈骗人士假冒合法业者特别是HP、Dell等电脑商、或微软的客服人员“指导”受害者下载安装木马或其他恶意程式,以利未来的窃取银行密码或其他恶意行为。更多内容
?
#Google△#AI△#儿童色情犯罪Google免费释出可分辨儿童色情内容的AI工具为防止儿童色情及性侵犯的视频或照片通过网络散布,Google免费释出人工智能(AI)工具,协助服务供应商、非政府组织和科技业者等通过API存取,以加速分辨儿童色情犯罪内容(child△sexual△abuse△material)。
这项工具是Google现有自用的AI图片分辨技术,希望以深度神经网络为基础的图像处理技术,可以更快过滤出儿童色情犯罪的图片供人工检阅。过去的作法包括微软发展、并获脸书、推特使用的PhotoDNA技术,乃依赖比对现有已知儿童色情内容的杂凑值,但无法分辨没有标示的内容。新的过滤方法则还能锁定之前尚未被认定为儿童色情的内容,这也有助于发现需要保护的儿童受害者。更多内容
?
#金融骇客集团 #Cobalt恶名昭彰的金融骇客集团Cobalt攻势再起,这次锁定俄罗斯及罗马尼亚银行专门销售网络安全暨网络监控软件的Arbor△Networks指出,恶名昭彰的金融骇客集团Cobalt在八月中旬展开新一波的攻击行动,初期锁定的对象为俄罗斯与罗马尼亚的银行。
至少从2016年底就展开攻击的Cobalt,又被称为Carbanak或FIN7集团,该集团主要锁定全球的金融组织,经常使用ATM恶意程式发动攻击,研究人员也相信Cobalt也是针对SWIFT银行系统进行一连串攻击的主谋,受害的金融组织估计已超过100家,包括台湾的第一银行在内。
Arbor△Networks是在今年8月中旬发现Cobalt集团再度发动攻势,针对俄罗斯的NS△Bank与乌克兰Patria△Bank两家银行寄出网钓邮件,在寄件人部份伪装成这两家银行的合作伙伴或供应商,这些邮件内容看起来是良性的,却在邮件中夹杂着两个恶意连结。
其中一个连结指向一个含有恶意程式的Word档案,另一个则是指向假冒为JPG档的恶意程式,这两个档案所执行的恶意程式连结两个不同、但都由Cobalt掌控的C△C伺服器,它们都是后门程式,目的是建立一个入口,以供未来载入其它恶意程式所用。更多内容
?
#苹果App△Store△#隐私政策苹果App△Store规定:所有新程式都要明列隐私政策苹果宣布自今年10月3日起,所有新提交或更新的程式都必须明列隐私政策,不管是要直接于App△Store上架或是通过TestFlight展开外部测试的行动程式,都受到此一新的App△Store审核原则的规范。
过去苹果只要求那些提供订阅服务的行动程式制定隐私政策,现在则将范围扩及所有新提交与更新的程式。
根据苹果App△Store的审核原则,所有的行动程式都必须在App△Store△Connect的元资料栏位或程式中含有隐私政策连结,并清楚说明程式所搜集的资料,以及如何搜集及使用;也必须确认与程式共享资料的第三方,采用了一致的标准来保障用户隐私;以及描述保留或删除用户资料的相关策略。
尽管苹果目前并未要求App△Store中现有的程式都必须符合该规定,但外界相信该规定某种程度仍与今年5月上线的GDPR有所关联。更多内容
?
#OpenSSH△#用户名称枚举漏洞OpenSSH连续被踢爆两个用户名称枚举漏洞开源的加密通讯专案OpenSSH在最近接连被踢爆两个用户名称枚举(Username△Enumeration)漏洞,它们分别是CVE-2018-15473与CVE-2018-15919,虽然OpenSSH团队已经修补了前一个漏洞,但他们认为这并不是什么大不了的漏洞。
SSH为市场上最受欢迎的远端存取协议,可用来执行远端登入及建立安全通道,而OpenSSH即为最普及的SSH应用软件。用户名称枚举漏洞将允许骇客输入各种用户名称,从系统的回应来判断用户名称的正确与否,接着再以暴力破解法找出相对应的密码,以取得用户凭证。
其中,CVE-2018-15473漏洞自1999年发表的OpenSSH版本就存在了,当骇客送出身份验证请求时,若所使用的用户名称并不存在,OpenSSH伺服器即会回复“验证失败”,反之,当确实有该用户名称时,OpenSSH伺服器就会直接关闭连线,这样的差异将有利于骇客判断于该伺服器上所注册的有效用户名称。
由于OpenSSH广泛被应用在许多云端代管伺服器上,也让资安社交担心该漏洞将影响数十亿的IoT装置。更多内容
?
#Android△#Wi-Fi广播Android△Wi-Fi广播漏洞可能导致用户被追踪安全研究人员发现Android△OS的Wi-Fi广播功能存在漏洞,让手机上的App可以暗中取得用户Wi-Fi网络名称、IP位址及MAC位址等隐私资讯,进而遭到定位或追踪、甚至网络攻击。
编号CVE-2018-9489的漏洞是位于Android△OS中称为intents的内部系统广播功能,它能允许OS本身或是上面的App传送内部系统讯息让所有App或OS某些功能读取。
Nightwatch△Cybersecurity研究人员发现Android△OS可经由二个intents,包括WifiManager的NETWORK_STATE_CHANGED_ACTION△and△WifiP2pManager的WIFI_P2P_THIS_DEVICE_CHANGED_ACTION传送Wi-Fi连线及网络介面资讯,包括手机的MAC位址、BSSID(Basic△Service△Set△ID)和Wi-Fi的AP网络名称,以及其他网络资讯如本地IP位址范围、闸道IP、DNS伺服器位址等。
虽然在Android△6以上版本已不再允许通过API读取到MAC位址,而其他资讯普通情况下也需要经过核准,但是App只要能听取这些广播资讯,就能绕过任何权限检查机制或现有缓解方式而搜集到用户个资,因为他们在安装App时可能已经允许了App权限。更多内容
?
?更多资安动态?
资料来源:iThome整理,2018年9月
相关:
9月4日下午,彭博社援引知情人士的话称,中国正评估合并中国联通集团和中国电信集团的计划。受此消息影响,联通集团旗下香港上市中国联通(0762.HK)和中国电信旗下的香港上市中国电信(0728.HK)股价出现异动,中国联通
示意图,与新闻事件无关。 专门提供网络服务的Imperva针对179名安全专家进行调查后发现,有43%的安全专家认为能够成功地骇进自己的组织,约35%认为这并不容易,另有22%觉得成功的机率大概是50%。当询问这些安全专家
现在人们几乎人手一台手机,有的甚至更多,但是手机用户对于手机产品的使用体验却一直在下降,尤其是苹果手机的消费者,垃圾短信轰炸不停,这让不少消费者都苦恼不已,据说苹果手机用户举报后客服也没辙!苹果手机常
随着社会生活的方式的改变,手机已经成为我们生活中不可缺少的一部分,但是因为使用手机而泄露个人信息的事件频频发生,所以每个用户都在担心自己的隐私被泄露的问题。近日,苹果公司对外公布,苹果颁布新规,其中一
Google 与 Mastercard 达成协议 购买用户离线交易数据 | 香港 UNWIRE.HK 玩生活.乐科技
网上的交易平台大多都会保留交易数据以进行大数据分析,而 Google 就不满足于取得网上交易的资料,最近更与 Mastercard 达成协议,取得其离线交易的资料作分析之用。据报道指,Google 与 Mastercard 经过四年的磋商,