台灣資安新聞彙整 2022.12.19 - 12.25

巨變時代,掌握資安資訊必不可少!HENNGE 為您彙整每週資安新聞,快速洞悉產業趨勢、資安新知!

12/19

臉書更新抓漏獎勵,RCE 漏洞最高可拿 30 萬美金

Meta 旗下臉書(Facebook)部門上周宣布更新漏洞獎勵計畫支付指引,重點加強包括行動遠端程式碼執行(mobile RCE)、帳號接管、2FA 繞行,以及 VR 產品漏洞的檢查,其中 RCE 最高可拿 30 萬獎金。

https://www.ithome.com.tw/news/154777

GitHub 釋出免費憑證掃描工具、新增 5 類用戶強制啟用 2FA

GitHub 宣布名為 secret scanning 的免費掃描工具,開放給所有公開儲存庫用戶,可幫助開發人員避免經由程式碼洩露登入憑證。此外 GitHub 再新增 5 類用戶,要求在 2023 年 3 月底前強制啟用雙因素驗證(2FA)。

https://www.ithome.com.tw/news/154779

12/20

Google 開放大型企業及教育用戶測試 Gmail 用戶端加密

Workspace Enterprise Plus、Education Plus、Education Standard 客戶可在 2023 年 1 月 20 日前申請測試這項功能。Gmail 使用用戶端加密可確保郵件主體和附件無法從 Google 伺服器解讀,用戶可保管加密金鑰,以及存取這些金鑰的身分服務。

https://www.ithome.com.tw/news/154785

12/21

Okta 宣布其原始碼遭竊取

身分識別與存取管理服務供應商 Okta 宣布,他們的私有 GitHub 儲存庫遭到駭入。本月,GitHub 就曾警告 Okta 其程式碼儲存庫有可疑的存取行為。不過,Okta 表示儘管原始碼遭竊,攻擊者仍然無法對 Okta 之伺服器或顧客資料進行未經授權的存取。

https://thehackernews.com/2022/12/hackers-breach-oktas-github.html

12/22

企業密碼管理器 ​Passwordstate​ 中的高嚴重性漏洞被披露

在密碼管理解決方案 ​Passwordstate​ 中,被發現有數個高危險性漏洞,讓未經驗證的遠端攻擊者可利用這些漏洞獲取使用者的明文(plaintext)密碼。Passwordstate 是由一間名為 Click Studios 的澳洲公司所開發,擁有超過 29,000 名客戶、被超過 370,000 位 IT 專業人員所使用。

https://thehackernews.com/2022/12/critical-security-flaw-reported-in.html

駭客組織 FIN7 創建自動攻擊系統來攻擊 Exchange Servers

Prodaft 的威脅情資團隊發現,以俄語為主的金融駭客組織 FIN7 使用了一種自動攻擊系統,利用 Microsoft Exchange 和 SQL 植入漏洞以破壞企業網路、進而竊取資料,並依照財務規模選擇勒索病毒攻擊的目標。

https://www.bleepingcomputer.com/news/security/fin7-hackers-create-auto-attack-platform-to-breach-exchange-servers/

高達 75% 工業控制裝置未進行資安修補,暴露於高度駭侵風險中

Microsoft 近日指出,近 75% 製造業使用的物聯網系統(Internet of Things, IoT)、資訊科技(Information Technology,IT)系統與營運科技 (Operational Technology,OT)系統,沒有進行必須的資安漏洞修補,因此暴露在高度資安風險中。

https://www.twcert.org.tw/tw/cp-104-6818-3f782-1.html

12/23

LastPass 證實顧客密碼庫遭駭客竊取

密碼管理器大廠 LastPass 證實,網路犯罪者竊取了其顧客加密密碼庫,其中儲存了顧客的密碼以及其他機密。不過, LastPass 表示,該密碼庫經過加密,因此必須透過只有顧客知道的主密碼才能夠解鎖。

https://techcrunch.com/2022/12/22/lastpass-customer-password-vaults-stolen/



訂閱電子報

我們將每週彙整台灣資安新聞,寄至您的信箱。