台灣資安新聞彙整 2022.08.22 - 08.28

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

8/22

分析工具顯示 Tiktok、IG App 內建的瀏覽器會蒐集用戶資料

一家安全業者提供的工具發現，數個知名 iOS App，包括 Tiktok、Instagram（IG）、Facebook 等內建的瀏覽器會悄悄蒐集用戶資料。不過 Tiktok 和 Meta 皆否認有不當蒐集的行為。

https://www.ithome.com.tw/news/152616

Google 在 Chronicle 網路安全平臺添加更多漏洞偵測功能

Google 更新 Chronicle SecOps 套件，強化企業安全營運團隊掌握威脅情報的能力，提供經過仔細策畫的安全偵測功能，目的是在當前企業面臨越來越複雜的威脅，以及不斷擴大的攻擊面，藉由更全面的威脅情報，來減輕企業安全人員的工作負擔。

https://www.ithome.com.tw/news/152633

8/23

資訊外滲成為比勒索病毒更大的威脅

資訊外滲（Information Exfiltration）會將大量的專有數據轉移到攻擊者所控制的系統中。然後，攻擊者會威脅受害人要將這些機密資料公諸於世，或者賣給不道德的第三方。也因為勒索病毒的要求一般可透過付款解決，這種資訊的公開暴露可能會是比加密式勒索病毒更大的威脅。

https://thehackernews.com/2022/08/the-rise-of-data-exfiltration-and-why.html

8/24

假 Cloudflare 的 DDoS 防護頁對 Wordpress 用戶發動掛馬攻擊

安全廠商 Sucuri 發現，近日 Wordpress 用戶遭冒充 Cloudflare 的 DDoS 保護訊息攻擊，誘使他們下載竊密或綁架電腦的遠端存取木馬（trojan access trojan，RAT）程式。

https://www.ithome.com.tw/news/152667

串流媒體平台 Plex 警告所有使用者應立即更換密碼

串流媒體平台 Plex 在他們的資料庫察覺可疑活動，並且發現一個第三方能夠存取有限的資料子集，其中包含了 Email、使用者名稱及加密過的密碼。所有帳戶的密碼都經過雜湊處理，但 Plex 仍建議所有使用者應該立即更換密碼。

https://www.theverge.com/2022/8/24/23319570/plex-security-breach-exposes-usernames-emails-passwords

8/25

密碼管理軟體 LastPass 的原始碼在資料洩漏事件中被竊取

密碼管理軟體公司 LastPass 公告，有未經授權人士透過一個被洩漏的開發者帳號取得 LastPass 開發環境的部分存取權，並且盜走部分的原始碼以及 LastPass 專有的技術資訊。

https://www.securityweek.com/lastpass-says-source-code-stolen-data-breach

Google 正式推出 Certificate Manager，供用戶大規模管理 TLS 憑證

Google 雲端現在正式推出 Cloud Certificate Manager 服務，該服務可供用戶大規模取得、管理和部署 TLS 憑證，用於 Google 雲端需要 TLS 憑證保護的瀏覽器連接和交易等工作負載。

https://www.ithome.com.tw/news/152701

8/28

駭客在 Twilio 外洩事件後接觸到 Okta 的一次性 MFA 密碼

身分與存取管理公司 Okta 提供多種形式的驗證方式，其中 Twilio 的服務則被用來寄送一次性密碼的簡訊。經由 Twilio 所提供的系統日誌，Okta 已證實駭客曾經存取了其客戶的電話號碼與一次性密碼。

https://www.bleepingcomputer.com/news/security/twilio-breach-let-hackers-see-oktas-one-time-mfa-passwords/