美國醫療照護軟體供應商Welltok外洩逾800萬病患資料

美國醫療照護產業的軟體即服務(SaaS)供應商Welltok近日警告,該公司受到MOVEit零時差漏洞的影響,外洩了8,493,379名病患資料,是迄今受到該漏洞影響的第二大受害者,僅次於政府服務機構Maximus所外洩的1,130萬筆個資。 勒索軟體集團Clop是在今年5月開始針對MOVEit的零時差漏洞CVE-2023-34362展開攻擊。MOVEit為Progress Software所提供的檔案管理軟體,可加密並傳輸檔案,並提供自動化、分析與故障轉移功能,CVE-2023-34362是個SQL注入漏洞,允許未經授權的使用者存取MOVEit Transfer資料庫,其CVSS風險評分高達9.8,而Progress Software則是在5月31日修補了該漏洞。 根據資安業者Emsisoft的統計,Clop利用該漏洞總計入侵了2,636個組織, »

駭客利用NVR視訊監控影像儲存主機與路由器的零時差漏洞,散布變種Mirai殭屍病毒

資安業者Akamai本周揭露,他們發現駭客正在利用網路監視器(NVR)與路由器的零時差漏洞來散布JenX Mirai變種病毒,以將這些裝置納入名為InfectedSlurs的殭屍網路,並且已分別通報相關裝置的製造商,業者預計於今年12月修補漏洞。 Akamai長期利用誘捕系統來觀察網路上的惡意活動,今年10月下旬起開始發現小規模且頻率不一的攻擊探測行動,駭客先藉由POST請求以通過身分驗證,成功後再企圖注入命令。 這家資安公司的安全研究人員Larry Cashdollar向《Ars Technica》解釋,這些IoT裝置通常不允許於管理介面執行程式碼,因此駭客必須透過命令注入、以便遠端執行程式,而且必須先進行身分驗證。 研究人員在駭客於NVR植入的酬載找到所用的憑證,發現它們屬於裝置的常用預設帳號密碼,有許多不同的品牌與產品都採用這組帳號密碼,但有某個品牌在多個NVR產品操作手冊明列預設帳號密碼。繼之針對該品牌的漏洞管理進行調查, »

臺灣多媒體軟體業者訊連科技遭北韓駭客Lazarus發動供應鏈攻擊

供應鏈攻擊事故最近幾年有越來越氾濫的現象,隨著臺海情勢不斷升溫,針對臺灣IT製造商而來的攻擊行動,已成為不容忽視的資安威脅。4年前,華碩更新伺服器遭駭的資安事故曾引起各界高度關注,該廠牌的筆記型電腦自動更新工具程式Asus Live Update,部分版本遭駭客植入惡意程式碼,並上傳至檔案伺服器,最近又有其他廠商遭遇類似攻擊。 微軟威脅情報團隊揭露北韓駭客組織Lazarus旗下團體Zinc(亦稱Diamond Sleet)發起的供應鏈攻擊,這些駭客約從10月20日開始,竄改臺灣多媒體應用程式開發商訊連科技(CyberLink)應用程式安裝檔案,植入惡意功能,一旦執行將會於受害電腦下載、解密、載入攻擊第2階段的惡意程式碼。 而對於駭客團體Zinc的來歷,研究人員指出, »

【SRE工程主管4年實戰首度在臺分享】Zalando千人平臺工程演化歷程大公開Part 1

當企業的應用系統超過3千套,背後的微服務更超過4千隻,開發團隊規模超過了2千人,如何做到一天能夠發布上百次?這正是歐洲科技電商Zalando花了15年才做到的成就。 Zalando成立才約15年, 卻已經是歐洲最大的電商,20多國的官網一年總流量超過了50億人次,今年單季的網路訂單達到了5,800萬張,年營收更是超過了臺幣5千億元,是臺灣電商龍頭年營收的5倍。 但是,Zalando不只是一家電商,更是一家徹徹底底的科技公司,技術團隊規模超過2千人,超過半數是開發人力,分散在全歐5個據點,組成了200個跨部門敏捷開發小組,負責3千套應用系統,還有一套由4千隻微服務組成的基礎架構。 2008年,Zalando只是一家小型網路商城,用PHP套裝電商軟體,搭配MySQL資料庫打造而成的網站(就跟臺灣許多電商十多年前的發展一樣) »

美國醫療照護軟體供應商Welltok外洩逾800萬病患資料

美國醫療照護產業的軟體即服務(SaaS)供應商Welltok近日警告,該公司受到MOVEit零時差漏洞的影響,外洩了8,493,379名病患資料,是迄今受到該漏洞影響的第二大受害者,僅次於政府服務機構Maximus所外洩的1,130萬筆個資。 勒索軟體集團Clop是在今年5月開始針對MOVEit的零時差漏洞CVE-2023-34362展開攻擊。MOVEit為Progress Software所提供的檔案管理軟體,可加密並傳輸檔案,並提供自動化、分析與故障轉移功能,CVE-2023-34362是個SQL注入漏洞,允許未經授權的使用者存取MOVEit Transfer資料庫,其CVSS風險評分高達9.8,而Progress Software則是在5月31日修補了該漏洞。 根據資安業者Emsisoft的統計,Clop利用該漏洞總計入侵了2,636個組織, »

竊資軟體Lumma開發者聲稱能復原Google帳號的連線階段,挾持受害者帳號

駭客為了挾持特定服務的使用者帳號,最近幾年經常會利用對手中間人(AiTM)攻擊手法,藉由代替受害人存取、進行身分驗證,取得登入過程建立的cookie、連線階段(Session),從而在無需知道密碼,也不需通過雙因素驗證(MFA)的情況下,掌握他們的帳號。但如今,有駭客聲稱能藉由過期的cookie,照樣能入侵特定服務的使用者帳號。 照理而言,上述連線階段所使用的cookie,主要的用途是讓使用者一段時間裡能自動登入某向網站服務,無須逐次手動登入,基於安全性考量、避免遭竊而被濫用,這種cookie都具備有效期限。在AiTM攻擊手法當中,攻擊者也是竊取使用者當下登入網站服務的cookie加以濫用。 »

新版木馬程式SysJoker改採Rust程式語言

資安業者Check Point Research近日發現了新版本的跨平臺木馬程式SysJoker,它原本使用C++撰寫,但最新版本卻是採用Rust程式語言,且已被與哈馬斯(Hamas)有關的駭客集團用來對付以色列。 SysJoker最早現身於2021年,當時它就是一個跨平臺的木馬程式,可用來攻擊Windows、Linux與macOS平臺。它偽裝成系統更新檔,再解碼存放於Google Drive的檔案來產生C&C,根據當時揭露它的資安業者Intezer分析,SysJoker會不斷變更其C&C伺服器,意味著駭客非常積極且監控著遭到危害的裝置,相信它是在尋找特定的目標。 SysJoker在不同平臺上的行為都很類似,Intezer認為其攻擊目的是為了間諜活動, »

配置錯誤讓微軟AI研究單位的GitHub儲存庫外洩38TB私有資料

資安業者Wiz周一(9/18)揭露,微軟AI研究部門於GitHub公共儲存庫所提供的一個含有共用存取簽章(Shared Access Signature,SAS)權杖的URL,原本是想讓開發者存取開源的AI學習模型,卻因配置錯誤,而讓開發者得以存取多達38TB的額外私有資料,包括兩名員工的工作站備份、私有金鑰與密碼等,同一天微軟也發表了說明,指出已修復所有的錯誤,改善SAS權杖,同時提出SAS權杖的最佳實作。 甫於2020年成立的美國雲端資安新創Wiz,是在掃描網路上錯誤配置的儲存容器時發現,有一個隸屬於微軟AI研究部門的GitHub儲存庫中,含有一個SAS權杖URL,供開發者連結以下載開源碼及AI模型,然而,Wiz團隊卻發現, »

最新版小畫家終於支援圖層與透明度功能

微軟將開始向Windows Insider的Canary與Dev頻道的使用者推出小畫家(Paint)更新,Windows測試版11.2308.18.0或是以上版本中的小畫家,添加支援圖層與透明度兩大好用功能。 使用者現在可以在畫布上新增、刪除和管理圖層,以更方便與靈活的方式,堆疊形狀、文字和其他圖像元素,創建出更複雜豐富的畫作。點擊工具列新圖層按鈕,即可在畫布側邊開啟圖層面板。在這面板中,用戶可以隨意變更面板中的圖層順序,甚至複製或是合併圖層。 另外,小畫家現在終於支援PNG透明度通道,用戶可以正常開啟和儲存具有透明度資訊的PNG圖檔,也就是說,用戶在新版小畫家使用橡皮擦抹除內容時,會真正擦除顏色, »

面對大50倍的中國駭客人數,FBI局長呼籲公私聯防

【mWISE 2023美國華盛頓特區報導】 「就算集結FBI所有網路安全專家與情報分析師,全數應付中國的網路攻擊,在人數上仍遠遠不足。」美國聯邦調查局(FBI)局長Christopher Wray在於華盛頓特區舉辦的mWISE資安會議上說:「中國駭客人數是FBI所有資安專家的50倍以上。」面對攻防失衡局勢,他呼籲政府、執法機關與民間產業要合作,公私聯防,情資分享,並善用AI人工智慧技術以對抗日益嚴重的網路攻擊。 中國策畫的駭客攻擊規模,遠比其他所有主要駭客國家加起來還要大。Christopher Wray說:「我們一直告訴任何肯聽的人,中國政府多年來一直在竊取美國的智慧財產與資訊,可以肯定中國的攻擊絕對不會停止,他們不會坐等美國公司開發出可以改變這個局面的技術。」中國會利用其已獲得的廣泛駭客攻擊成果,再以AI技術發展更強大的駭客攻擊手法, »

發展腦機介面裝置的Neuralink,開始接受人類大腦植入臨床試驗申請

由馬斯克(Elon Musk)及一群科學家於2022年共同創立的Neuralink在周二(9/19)宣布,已經得到獨立機構審查委員會的許可,即將開始招募首批的人類臨床試驗,可把腦機介面裝置植入人腦,讓四肢癱瘓的病人得以透過思考來控制外部裝置。 此一研究名為「精確機器人植入腦機介面」(Precise Robotically Implanted Brain-Computer Interface,PRIME),過去都以猴子或豬隻進行測試,於動物腦中植入裝置,以利用腦部活動的訊號來控制諸如電腦等外部裝置,在今年5月先通過美國食品藥物管理局(U.S. Food »

PC的AI時刻來了!英特爾揭未來2年三大AI處理器平臺發展藍圖

【 美國聖荷西現場報導 】「我們正在推動AI的大規模應用,從企業端到邊緣端設備。」英特爾執行長Pat Gelsinger這麼說道。他在英特爾創新日第一天主題演說中揭露更多關於AI處理器產品的布局,涵蓋消費端的PC、Xeon伺服器處理器和AI訓練加速器。 Pat Gelsinger在會中表示,AI正從根本上重塑科學和許多領域,帶來新的應用、新的體驗、生產力和創造力,甚至開創了PC的下一個時代,即AI PC時代。 他也以「技術創新的翻天覆地的時刻」來形容因為AI PC帶動的AI應用浪潮,正如同20年前英特爾Centrino行動運算平臺出現,使Wi-Fi進一步普及,建構出如今的無線網路世界。 在第一天主題演說中,英特爾現場示範在搭載Core »

趨勢科技揭露端點解決方案的零時差漏洞

趨勢科技周二(9/19)揭露了一個已經遭到駭客利用的零時差漏洞CVE-2023-41179,該漏洞存在於第三方AV卸載模組中,可允許駭客執行任意指令,因採用該模組而被影響的則有Trend Micro Apex One與Worry-Free Business Security(WFBS)端點保護解決方案,且不管是本地部署或是SaaS版本都遭波及。 根據趨勢科技的說明,此一漏洞將允許駭客操縱該模組,進一步於受影響的系統上執行任意命令,屬於重大(Critical)等級的漏洞,其CVSS風險評分高達9.1,迄今已觀察到至少一次針對該漏洞的攻擊嘗試。 不過,駭客要利用該漏洞之前, »

Spotify調漲美國等數十個國家的訂閱費率

全球音樂串流龍頭Spotify周一(7/24)宣布,即日起調漲包括美國在內的數十個市場的訂閱費率,這是Spotify自2011年發表以來,首次調漲美國市場的費率,把個人月租費從9.99美元調漲至10.99美元,雙人月租費從12.99美元調漲至14.99美元,適用於6人的家庭方案從15.99美元漲至16.99美元。在Spotify列出的漲價市場中,並未包含臺灣。 Spotify提供基於廣告的免費方案,以及不同組成的付費訂閱方案,付費用戶得以享受無廣告的音樂播放,也能離線下載音樂,並支援更高品質的音樂串流服務,目前在全球擁有超過2億的付費訂閱用戶。 2020年Spotify即曾變更費率,但當時僅調高7個市場的家庭方案費率, »

【資安日報】7月25日,中華汽車發布重大訊息證實遭到網路攻擊,並著手恢復受影響系統

國內製造業近期陸續傳出遭到攻擊的情況,有些影響到供應商,有些則攻入企業環境,例如,先前有勒索軟體駭客LockBit聲稱竊得台積電內部資料的事故(台積電否認遭到入侵),但今天傳出有其他公司遭遇網路攻擊,甚至影響正常營運。昨日中華汽車在股市公開觀測站發布重大訊息,表示遭遇資安事故,有資安專家認為很可能就是勒索軟體攻擊,且疑似關閉防火牆而讓駭客有可乘之機。 蘋果針對行動裝置、電腦、穿戴裝置發布作業系統更新也相當值得留意,因為,其中一項零時差漏洞涉及卡巴斯基6月揭露的零點擊攻擊行動Operation Triangulation。 廣泛受到警消單位運用的無線電,有資安業者發現其通訊協定存在一系列漏洞TETRA:Burst,並指出他們已向多個國家的相關單位,以及無線電設備製造商進行通報。 【攻擊與威脅】 中華汽車遭遇網路攻擊,傳出部分產線停工 »

微軟正在測試Bing Chat執行於Chrome、Safari等瀏覽器

微軟證實,正在小範圍測試可在Google Chrome、蘋果Safari上執行的Bing Chat服務。 本周稍早網路媒體《Windows Latest》發現,Windows 10及11上顯示跳出視窗,邀請用戶在Google Chrome試用Bing.com AI聊天機器人。上個月甚至有人發現可在Safari使用Bing Chat服務的通知。 微軟官方也證實,已經將由Safari及Chrome存取Bing Chat的功能部署給特定用戶,作為該公司測試第三方瀏覽器的一環。 根據媒體測試,Chrome版執行的Bing Chat支援深色背景模式,可透過Bing的三橫線漢堡選單選取白色模式、深色模式及系統預設( »

趨勢科技為知名電動賽車麥拉倫車隊NEOM McLaren Formula E Team官方合作夥伴

速度、創新以及確保資料從車輛至雲端皆安全無虞為雙方共同承諾 【2023年7月26日,台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704 )今日宣布獲知名電動賽車麥拉倫車NEOM McLaren Formula E Team挑選為官方合作夥伴 (Official Partner)。這項為期多年的合作非常符合兩大品牌的創新文化、對速度和加速的專注,以及對保護複雜動態環境的堅持。 【圖說一】趨勢科技為電動賽車麥拉倫車隊NEOM McLaren Formula E Team官方合作夥伴。.png NEOM McLaren »

法院判定蘋果App Store不需開放用戶使用第三方支付

本周美國第9巡迴上訴法院裁定,可暫緩實施要求蘋果允許開發商提供App Store用戶第三方支付的命令,引發遊戲開發商Epic Games的不滿。 此事起於App開發商因Google Play Store及蘋果App Store強制他們使用Google及Apple的程式內支付(in-app payment)機制,抱怨他們藉其平臺權力徵收30%的分潤費,又稱為「Google稅」或「蘋果稅」,並以「限制引導」(anti-steering)條款不許他們提供用戶連結,導向第三方支付或訂閱機制。遊戲開發商Epic因此在App中使用自家支付機制,企圖繞過兩大平臺,被雙雙下架。 »

傳聞蘋果也在打造Apple GPT

不讓Open AI的Chat GPT與Google Bard專美於前,《彭博社》(Bloomberg)本周引述消息來源報導,蘋果內部已經打造了名為Ajax的內部框架,並據此建立了聊天機器人Apple GPT。 根據報導,AI為蘋果最近這幾個月的發展重心,有不同的團隊參與,而Ajax則是蘋果在去年底集結內部所有機器學習的成果所建立的,作為所有AI服務的基礎。此外,蘋果也已於搜尋、Siri及地圖等服務上導入了AI,並正利用Ajax來建立各種大型語言模型以創造聊天機器人。 被許多蘋果工程師暱稱為Apple GPT是去年底才出爐,目前仍處實驗階段,僅有部分員工可存取該服務,已可用來建立原型,回答問題,或是摘錄文章。 »

雅詩蘭黛遭BlackCat、Clop勒索軟體駭客攻擊

美國化妝保養品業者雅詩蘭黛(Estée Lauder)近日遭到分別來自Clop及BlackCat二個組織以勒索軟體攻擊勒索。 雅詩蘭黛本周稍早公告發生網路安全事件,一個未經授權的第三方組織存取了公司某些系統。該公司立即關閉系統,並和外部專家展開調查。這家美容保養品業者相信這個組織已經從系統取得一些資料,但資料類型及範疇則還在了解中。此外,雅詩蘭黛也坦承,這次事件已經造成部分公司業務運作中斷,而且可能會持續一段時間。 不確定雅詩蘭黛所指是哪一個事件,因為有研究人員發現二個不同的網路犯罪組織分別將雅詩蘭黛列為受害者。Clop本周在其暗網網站公告取得雅詩蘭黛131GB的公司資料的勒索信件。Clop可能取得了雅詩蘭黛的客戶資料,因為駭客在暗網上宣稱該公司不在乎客戶也不重視安全性。 雅詩蘭黛很有可能是MOVEit Transfer漏洞攻擊事件的受害者。5月底檔案共享及傳輸服務MOVEit Transfer一項漏洞遭到Clop勒索軟體駭客組織濫用以存取用戶網路,後者也公布受害企業及政府用戶,包括殼牌石油、美國能源部、 »

網飛財報出爐,移除美國與英國的廣告版方案

全球最大影片串流平臺網飛(Netflix)周三(7/19)公布今年第二季營收,該季創下了81.87億美元的營收,比去年同期成長2.7%。由於網飛今年5月於全球超過100個國家推出付費分享方案,促使該季的付費訂閱會員數成長了8%,單季增加589萬名新會員,達到2.38億。同一天網飛也宣布將取消美國與英國的廣告版方案。 為了吸引更多的訂閱用戶,網飛去年11月於全球12個國家推出Basic with Ads方案,在影片開始前及影片中間播放廣告,月租費為6.99美元,低於最便宜的無廣告方案(9.99美元) »

挽救美軍百億訂單,微軟送測改良版軍用HoloLens裝置

《彭博》(Bloomberg)報導,在被抱怨造成頭暈、噁心等症狀近一年後,微軟最近改善了軍用HoloLens頭戴裝置,以減輕美國士兵配戴時的不舒適感,將決定微軟是否還能固守百億美元訂單。 報導指出,微軟計畫在7月底交付20臺以HoloLens打造的整合式視覺擴增系統(Integrated Visual Augmentation System,IVAS)1.2版原型給美國陸軍,預計8月中交由2個班的士兵測試。這次測試將用於決定,微軟是否守得住美國軍方百億美元採購案合約。 微軟2021年拿下美國陸軍220億美元以HoloLens打造整合式視覺擴增系統(IVAS),以支援軍事訓練及作戰用途。IVAS具備抬頭顯示器、高解析度夜視、熱感測及穿戴式感測數據、 »

統一超商攜手工研院聯手,打造第一家拿了就走小七無人店,結帳完全免排隊

統一超商最新科技概念店X-Store 7號店亮相,這次最大亮點是利用工研院技術實現拿了就走(Grab and Go),消費者拿取商品後不須手動掃描任何商品,也不用經過自助結帳機。X-Store 7 整個店面都是無人區域,不須相鄰母店店員看顧,減少人力成本。不僅如此,工研院還透過特殊設計,來節省拿了就走科技背後的運算效能需求,進而降低店面建置成本。 本次發表,統一超強調無人商店模式的可複製性,積極考量建置成本,以降低未來開設更多無人店的門檻,不過小小10坪店面中,就安裝了30多座影像追蹤感應器、15臺IOT智能貨架、1,300以上個重量感測器, »

微軟Teams加入Copliot,Google Meet以AI產生視訊通話背景

微軟和Google分別為其協同軟體加入AI功能。Teams的通話和聊天功能整合Copilot,而Google Meet則以AI產生視訊通話的背景。 微軟昨日除了宣布Microsoft 365 Copilot價格外,也公布為Teams Phone及Teams Chat加入AI助理。Teams Phone加入Copilot後,用戶將能從任何裝置上的Teams app撥打及接聽電話,並且以自然語言讓Copilot即時整理重點,像是姓名、日期、電話號碼或工作。這用在客服上十分有用,例如能抓住客戶的產品功能、效能及價格等問題,還能紀錄客戶的回饋,並建議接下來的步驟。Teams Phone with »

如何不讓你的 IG、FB 等社群網站貼文,在假期間出賣你的個資?

網路騙子和駭客會利用社群網站,在假日期間進行各種網路犯罪。不幸的是,社群媒體對網路犯罪分子來說相當有價值,近年來甚至超過更傳統的目標。比方說,一個有效的 社會安全號碼在暗網上只賣2美元 ,而被入侵的 Instagram和Facebook帳號 價格分別高達 45美元和65美元 。即使是拷貝的萬事達卡(帶密碼)也只賣到25美元! 在假期期間保護社群帳號的六個建議 📌1. 出遊期間不要分享照片、打卡,同時與提醒同行友人 注意分享的內容並避免包含個人細節。在社群媒體上分享寵物名字可能看起來無害,不過有研究顯示寵物名字是常見的密碼選擇。不要說自己會出遠門的日期,而且 打卡 »