###### tags: `資安事件新聞週報` # 資安事件新聞週報 2020/6/15 ~ 2020/6/19 1.重大弱點漏洞/後門/Exploit/Zero Day GeoVision門禁控制設備 - Shared cryptographic keys https://www.twcert.org.tw/tw/cp-132-3696-6601c-1.html 中華資安國際發現CVE弱點，日本知名電子郵件系統具有跨網站指令碼漏洞 https://www.chtsecurity.com/news/ca1c22e7-d523-4c8d-86c2-ebb43aa193df WordPress 多個漏洞 https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/ 蘋果電腦存在硬體漏洞？黑客5分鐘就可以入侵 https://kknews.cc/digital/x4elgmo.html Intel CPUs Vulnerable to New 'SGAxe' and 'CrossTalk' Side-Channel Attacks https://thehackernews.com/2020/06/intel-sgaxe-crosstalk-attacks.html CVE-2020-13844 | ARM CPU SLS漏洞通告 https://www.venustech.com.cn/article/1/11830.html 79款Netgear路由器被曝遠程劫持0day，暫無補丁 https://www.secrss.com/articles/20405 Cisco WebEx 被發現記憶體傾印資安漏洞 https://www.twcert.org.tw/tw/cp-104-3717-c993a-1.html 多款Cisco產品輸入驗證錯誤漏洞（CNVD-2020-32900） http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3228 IBM QRadar SIEM代碼問題漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4509 CVE-2020-10541 ZOHO ManageEngine OpManager安全漏洞-漏洞情報，漏洞詳情，安全漏洞 https://bit.ly/30YeHL8 UPnP協定漏洞波及數十億連網裝置，可造成DDoS攻擊 https://www.ithome.com.tw/news/138230 UPnP 安全漏洞危及數十億裝置　資料外洩 + DDoS 攻擊 https://unwire.hk/2020/06/17/upnp-attack/tech-secure/ LoRaWAN首曝通用安全漏洞，數億物聯網設備倍感“威脅” https://tech.sina.com.cn/roll/2020-06-18/doc-iircuyvi9206277.shtml Ripple20漏洞曝光：全球數億物聯網設備受到影響 https://www.cnbeta.com/articles/tech/992031.htm 恐危害工業、醫療、企業與家用數十億連網裝置，嵌入式TCP/IP函式庫含有Ripple20漏洞 https://www.ithome.com.tw/news/138291 Patch Tuesday 造成多廠牌印表機運作失常、找不到連接埠 https://www.ithome.com.tw/news/138231 快更新！美國國安局：駭客利用微軟舊漏洞掀攻擊潮 https://newtalk.tw/news/view/2020-06-15/421691 快回頭按更新！舊微軟 Windows 10「嚴重漏洞」掀攻擊潮 https://3c.ltn.com.tw/news/40714 【安全性更新又出包】Win10 更新傳災情，修補漏洞卻登出用戶帳號 https://buzzorange.com/techorange/2020/06/17/windows-10-bugs/ Microsoft Patch Tuesday for June 2020 — Snort rules and prominent vulnerabilities https://blog.talosintelligence.com/2020/06/microsoft-patch-tuesday-for-june-2020.html 安全：Microsoft在.NET Core中更新DoS漏洞 https://news.sina.com.tw/article/20200617/35497028.html WebAuthn Passwordless Authentication Now Available for Atlassian Products https://thehackernews.com/2020/06/webauthn-passwordless.html D-Link路由器存在六個資安漏洞，請儘速確認並進行更新 https://www.tcrc.edu.tw/new/new-list/d-link D-Link 路由器多個漏洞 https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10174 D-Link家用路由器被曝多個嚴重漏洞未修復 https://www.freebuf.com/column/240395.html GTP協議存在漏洞，可被利用對蜂窩網絡進行DoS攻擊 https://www.venustech.com.cn/article/1/11824.html Xiaomi MIWiFi Xiaomi_55DD資源加載漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16307 Zoom 緊急修補 2 個可導致遠端執行任意程式碼的嚴重漏洞 https://www.twcert.org.tw/tw/cp-104-3686-02709-1.html Vulnerability Spotlight: Two code execution vulnerabilities in Microsoft Excel https://blog.talosintelligence.com/2020/06/vuln-spotlight-excel-code-execution-june-2020.html Vulnerability Spotlight: Remote code execution vulnerability in Firefox’s SharedWorkerService function https://blog.talosintelligence.com/2020/06/vuln-spotlight-firefox-shared-service-june-2020.html Vulnerability Spotlight: Multiple vulnerabilities in Siemens LOGO! PLC https://blog.talosintelligence.com/2020/06/vuln-spotlight-siemens-logo-june-2020.html Zero-day flaws in widespread TCP/IP library open millions of IoT devices to remote attack https://www.helpnetsecurity.com/2020/06/16/flaws-tcp-ip-library/ New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking https://thehackernews.com/2020/06/new-critical-flaws-put-billions-of.html Oracle E-Business Suite Flaws Let Hackers Hijack Business Operations https://thehackernews.com/2020/06/oracle-e-business-suite.html Dijit 跨站脚本漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4051 Docker for windows 版本出現遠程控制漏洞 https://www.21ic.com/article/786866.html 2.銀行/金融/保險/證券/支付系統/ 新聞及資安 行動銀行用量大增！ FBI警告：小心駭客針對金融App攻擊 https://bit.ly/2Y1uZ41 台新金控資訊長孫一仕：金融機構也開始得重視IoT資安風險，可用3步驟因應 https://www.ithome.com.tw/news/138221 數位理財通／開放銀行新階段 安控成關鍵 https://money.udn.com/money/story/9740/4632045 黃天牧任金管會主委 朝野一致按讚 https://times.hinet.net/news/22936662 黃天牧： 開放純網保 有五大前提 https://ctee.com.tw/news/insurance/286146.html 黃天牧：五招強化金融戰力 https://money.udn.com/money/story/5613/4637998 黃天牧提疫後「振興IPO」 https://udn.com/news/story/7239/4638174?from=udn-catelistnews_ch2 《金融》科技人轉戰金融 擬正面表列 https://bit.ly/2BbvFe6 金管會新主委首次與科技業者對話，更揭露金融科技發展藍圖3大構面與4業務重點 https://www.ithome.com.tw/news/138290 中銀香港客戶資料「被送中」　開戶借貸審查文件交廣西附屬公司處理　金管局批准 https://bit.ly/3hkZSYK 純網銀Line Bank年底開業 辦公室搶進信義區點石大樓 https://udn.com/news/story/7239/4638673?from=udn_ch2_menu_v2_main_cate LINE Bank 進駐，共享辦公空間 JustCo 點石中心正式開幕 https://technews.tw/2020/06/16/the-largest-justco-centre-dian-shih-in-taiwan/ 銀行業補破網 「應不會再發生」 https://tw.appledaily.com/headline/20200618/E6RDP4AFICTNTCIDPTP2ZFIFT4/ 知名飾品Claire's官網遭植入信用卡側錄程式 https://www.ithome.com.tw/news/138258 從Visa併購Plaid案件談台灣開放銀行的發展 https://www.bnext.com.tw/article/58109/visa-plaid-open-banking 【小心電腦裡的 Chrome】駭客利用擴充功能上傳惡意程式，竊取用戶電郵、銀行資料 https://buzzorange.com/techorange/2020/06/19/google-chrome-security-weakness/ 銀行業亞洲徵才增溫 https://money.udn.com/money/story/5599/4645596 金管會「金融科技發展路徑圖」四大重點、五大面向 http://iknow.stpi.narl.org.tw/Post/Read.aspx?PostID=16742 South African bank to replace 12m cards after employees stole master key https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/ 3.電子支付/電子票證/行動支付/ pay/新聞及資安 黑掉雷蛇支付電子錢包APP（Razer Pay Ewallet） https://www.sohu.com/a/401602020_354899 《2020全球付款研究報告》指出 台灣企業準時付款比例居亞洲之首、全球第四 https://www.storm.mg/stylish/2769519 Russian hacker releases at least 14,000 Mexican taxpayer IDs https://www.scmagazine.com/home/security-news/apts-cyberespionage/russian-hacker-releases-at-least-14000-mexican-taxpayer-ids/ 4.虛擬貨幣/區塊鍊/數位貨幣/相關新聞及資安 創始人意外身亡被曝 2.15 億美元財務漏洞，加拿大最大的交易所竟是“龐氏騙局” https://www.chainnews.com/zh-hant/articles/970219876772.htm 礦池龐氏騙局 BitClub｜創辦人潛逃印尼被逮補，以「投資挖礦名目」吸金 207 億 https://www.blocktempo.com/bitcoin-ponzi-scammer-arrested-by-jakarta-police-for-sexual-assault/ 駭客冒充 SpaceX 頻道詐騙，2 天獲利 150 萬美元的比特幣 http://technews.tw/2020/06/14/hackers-posing-as-spacex-channel-to-scam-1500-thousand-usd-in-bitcoin/ 三個 YouTube 頻道被駭，用以假借 SpaceX 名義進行比特幣詐騙 https://www.twcert.org.tw/tw/cp-104-3704-e1e6c-1.html 5.資安事件新聞 A.病毒木馬 / 殭屍網路 / 勒索軟體 / Adware /APT /後門程式/IOC 勒索病毒全球橫行！資安專家建議企業這麼做避免受害 https://newtalk.tw/news/view/2020-06-14/420741 勒索軟體防禦評估 https://www.fireeye.com/content/dam/fireeye-www/regional/zh_TW/services/pdfs/ds-ransomware-defense-assessment.pdf QNAP NAS 設備漏洞遭勒索軟體攻擊，建議立即更新至最新版本 https://www.twcert.org.tw/tw/cp-104-3690-6ee46-1.html 美國頂尖航太供應商遭 Maze 勒贖軟體攻擊，損失資料量達 1.5TB https://www.twcert.org.tw/tw/cp-104-3698-4a73f-1.html 本田汽車遭勒贖軟體攻擊，全球部分業務停擺 https://www.twcert.org.tw/tw/cp-104-3706-620d6-1.html HONDA停工資安事件 疑EKANS新勒索病毒所為 https://news.cnyes.com/news/id/4492876 第一支手機病毒16歲了！誕生於2004年6月15日　靠發送加值服務簡訊撈錢 https://www.ettoday.net/news/20200615/1737888.htm 超過 300 種以上惡意軟體，利用肺炎全球大流行藉機肆虐 https://www.twcert.org.tw/tw/cp-104-3693-7456a-1.html 小心了，新版Thanos勒索軟體服務採用了可繞過大多數防毒軟體的RIPlace技術 https://ithome.com.tw/news/138229 Chrome擴充功能爆「資安漏洞」！　Google急下架70↑惡意軟體 https://www.ettoday.net/news/20200618/1740841.htm Android 間諜軟體ActionSpy, 用新聞網頁為餌進行漏洞攻擊 https://blog.trendmicro.com.tw/?p=64859 Ransomware: Hackers took just three days to find this fake industrial network and fill it with malware https://www.zdnet.com/article/ransomware-hackers-took-just-three-days-to-find-this-fake-industrial-network-and-fill-it-with-malware/ India: Human Rights Defenders Targeted by a Coordinated Spyware Operation https://www.amnesty.org/en/latest/research/2020/06/india-human-rights-defenders-targeted-by-a-coordinated-spyware-operation/ Valak Malware and the Connection to Gozi Loader ConfCrew https://labs.sentinelone.com/valak-malware-and-the-connection-to-gozi-loader-confcrew/ Tor2Mine is up to their old tricks — and adds a few new ones https://blog.talosintelligence.com/2020/06/tor2mine-is-up-to-their-old-tricks-and_11.html Global Malicious Spam Campaign Using Black Lives Matter as a Lure https://www.fortinet.com/blog/threat-research/global-malicious-spam-campaign-using-black-lives-matter-as-a-lure Deep Analysis of a QBot Campaign – Part I https://www.fortinet.com/blog/threat-research/deep-analysis-of-a-qbot-campaign-part-1 CRYSTALBIT / APPLE DOUBLE DLL HIJACK -- FROM FRAUDULENT SOFTWARE BUNDLE DOWNLOADS TO AN EVASIVE MINER RAGING CAMPAIGN https://blog.morphisec.com/crystalbit-apple-double-dll-hijack Cobalt: tactics and tools update https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/cobalt_upd_ttps/ IcedID Banker is Back, Adding Steganography, COVID-19 Theme https://threatpost.com/icedid-banker-adding-steganography-covid-19-theme/156718/ COVID-19 and FMLA Campaigns used to install new IcedID banking malware https://blogs.juniper.net/en-us/threat-research/covid-19-and-fmla-campaigns-used-to-install-new-icedid-banking-malware B.行動安全 / iPhone / Android /穿戴裝置 /App 我政府仍禁用Zoom 學者：資安治理落後他國 https://udn.com/news/story/6885/4632439 全球只剩台灣教育單位禁用 Zoom：已逐步改善資安 https://udn.com/news/story/6885/4632859 視訊軟體Zoom佮中國密切 咱國政府部門禁用 https://news.pts.org.tw/article/483429 你傳的訊息會被 LINE 看光光嗎？從通訊軟體的隱私議題，看中心化解法的極限 https://www.bnext.com.tw/article/58070/line-message-blockchain 德國推出匿名新冠App 可自願下載 https://bit.ly/2CeE4hk WhatsApp點擊對話功能出包！３０萬用戶電話號碼網上曝光 https://www.cheers.com.tw/article/article.action?id=5097095 散布疫情不實言論 推特大砍17萬個帳號 https://www.ftvnews.com.tw/news/detail/2020612W0115 【港版國安法】薯伯伯：資訊安全慎用通訊軟件 https://bit.ly/3cYmnQ0 手機充電站1分鐘收1元 民眾鑽漏洞狂印200張發票 https://www.ftvnews.com.tw/news/detail/2020613C07M1 手機竊聽準確率可達90%? 這一安全漏洞如何堵 https://kknews.cc/tech/zra4ypq.html 玩美移動聲明 App不會將用戶資料傳陸伺服器 https://udn.com/news/story/7238/4637032 最新協議漏洞或影響所有4G/5G手機 https://www.freebuf.com/news/240382.html 【發現漏洞！】當前 GPRS 隧道通訊協定，讓駭客找到機會攻擊 4G/5G 用戶 https://buzzorange.com/techorange/2020/06/17/mobile-internet-protocl-vulnerabilities-5g/ 行動廣告軟體 已成為常見網路威脅形式 https://udn.com/news/story/7240/4636993 新詐騙？LINE傳「謎片」你點開「DIY」駭客側錄勒索 https://www.setn.com/News.aspx?NewsID=763122 Facebook Messenger 曝安全漏洞，攻擊者可利用該漏洞“爲所欲爲” https://www.chainnews.com/zh-hant/articles/626495971500.htm A Bug in Facebook Messenger for Windows Could've Helped Malware Gain Persistence https://thehackernews.com/2020/06/facebook-malware-persistence.html New Mobile Internet Protocol Vulnerabilities Let Hackers Target 4G/5G Users https://thehackernews.com/2020/06/mobile-internet-hacking.html C.事件 / 駭客 / DDOS / APT / 雲端/ 暗網/ 徵才 / 國際資安事件 公務機關面臨空前駭侵攻擊　五大防線守護資訊安全 http://www.netadmin.com.tw/netadmin/zh-tw/snapshot/B61054A543294D118A7D682FB5A790FF 暗網潛航——洋蔥路由—Tor潛航安全注意事項（上） https://bit.ly/3fvTts6 暗網潛航——洋蔥路由—Tor潛航安全注意事項（下） https://bit.ly/2UYcMCG 駭客狂攻5G 「暗黑騎士」資安基金夯 https://www.chinatimes.com/realtimenews/20200615004391-260410?chdtv 不是蘋果電腦還跑MacOS?敢賣黑蘋果小心被蘋果告到哭 https://news.sina.com.tw/article/20200615/35466424.html 惡搞警公務電腦／輕則懲處 重則吃洩密等罪 https://news.ltn.com.tw/news/society/paper/1379823 跨國網路賭博專騙中國賭客 半年賭資約台幣20億元 https://m.ltn.com.tw/news/society/breakingnews/3200651 博奕遊戲APP 半年坑殺大陸民眾20億台幣 https://udn.com/news/story/7321/4641963?from=udn-catebreaknews_ch2 全國1850犯罪集團 安省洗錢網絡先進 https://bit.ly/3ftUIbb 美光案啟示：內賊難防加強資安（廖宜恩） https://tw.appledaily.com/headline/20200615/KFAIS2PBDDMKOL347AGC2Q5TIY/ 聯電判罰1億理由曝光　美光檔案儼然「不能說的公開機密」 https://tw.appledaily.com/property/20200612/BI7VGI3XU3IEWCS3EMJYXI6K2I/ 酒吧餐廳剛復業 紐澳最大啤酒公司遭網攻停擺 https://money.udn.com/money/story/5599/4631948 為守護台灣安全 資訊戰專家：大同應切割國安業務 https://www.secretchina.com/news/b5/2020/06/15/936644.html 大同案中資疑雲》 這些個資一旦被拿走 台灣資訊戰直接投降輸一半 https://bit.ly/37wNW1A 德國會遭俄駭客入侵 梅克爾擬制裁 https://udn.com/news/story/6809/4636888?from=udn-catebreaknews_ch2 專家告訴你，就算把密碼設置為「jK8v!ge4D」仍然不安全 https://www.techbang.com/posts/78988-experts-tell-you-that-even-setting-the-password-to-jk8vge4d-is-still-not-secure 史上最大的僱傭間諜活動之一？不知名印度 IT 工作室 7 年入侵上萬電子信箱 https://technews.tw/2020/06/13/obscure-indian-cyber-firm-spied-on-politicians-investors-worldwide/ 稱澳洲遭受大規模駭客攻擊　總理：有國家在背後主使 https://tw.appledaily.com/international/20200619/OCPX3V3EYWAACFQOFZN7HQRFFI/ CIA史上最大遭駭案 網路武器部門被竊22億頁文件 https://newtalk.tw/news/view/2020-06-17/422579 美CIA報告：駭客工具研發小組連自身都未保護好 https://money.udn.com/money/story/10511/4641588 CIA史上最大資訊外流案 源於「資安管制太寬鬆」 https://www.ydn.com.tw/News/386777 中國黑客攻擊拜登競選團隊 是為竊取情報還是干預美大選 https://www.secretchina.com/news/b5/2020/06/13/936397.html 日本與歐洲多國製造業最近大舉遭駭，尤以能源產業為甚 https://www.twcert.org.tw/tw/cp-104-3691-9edc8-1.html 欲左右輿論 中共對臺開展「認知戰」 https://bit.ly/3da6Dta 前谷哥CEO：華為路由器傳輸的資訊 「毫無疑問」被中國掌握 https://ec.ltn.com.tw/article/breakingnews/3201977 港國安法曝漏洞！美司法部要求 Google 海底電纜繞過香港 https://technews.tw/2020/06/18/us-department-of-justice-requires-google-submarine-cable-to-bypass-hong-kong/ Hackers Target Military and Aerospace Staff by Posing as HRs Offering Jobs https://thehackernews.com/2020/06/military-aerospace-hacking.html InvisiMole Hackers Target High-Profile Military and Diplomatic Entities https://thehackernews.com/2020/06/invisimole-hackers.html AWS said it mitigated a 2.3 Tbps DDoS attack, the largest ever https://www.zdnet.com/article/aws-said-it-mitigated-a-2-3-tbps-ddos-attack-the-largest-ever/ Cybersecurity risks in a possible US manufacturing resurgence https://www.techrepublic.com/article/cybersecurity-risks-in-a-possible-us-manufacturing-resurgence/ 中華電信校園資通訊人才線上招募開跑 https://www.storm.mg/article/2689030 培育新世代人才 中華電信祭出超過500萬高額獎金 https://www.chinatimes.com/realtimenews/20200616003489-260410?chdtv 中華電信子公司-資訊處(總部)-網路管理工程師 https://www.104.com.tw/job/6vcfd?jobsource=hotjob_chr 資安管理師 https://www.104.com.tw/job/5ii0u?jobsource=n104bank2 資安管理專業人員 https://www.104.com.tw/job/6nthj?jobsource=n104bank2 【資安】資安管理專業人員 https://www.104.com.tw/job/67bcx?jobsource=n104bank2 資安管理專才 https://www.104.com.tw/job/6hov3?jobsource=n104bank2 【資安】初階資安管理專業人員 https://www.104.com.tw/job/67bgp?jobsource=n104bank2 資深資安管理師 https://www.104.com.tw/job/6ylu4?jobsource=n104bank2 【資安】資深資安管理專業人員 https://www.104.com.tw/job/67b9e?jobsource=n104bank2 資訊_資安管理師 https://www.104.com.tw/job/6r1br?jobsource=n104bank2 LI3001-資安管理資深工程師/基礎資訊資深工程師-新竹區力行廠 https://www.104.com.tw/job/6mvmh?jobsource=n104bank2 網路管理及資安管理人員 https://www.104.com.tw/job/6c7x3?jobsource=n104bank2 D4000 資安管理工程師/資深工程師 https://www.104.com.tw/job/6yqfq?jobsource=n104bank2 資安管理師（資安防禦） https://www.104.com.tw/job/5ii28?jobsource=n104bank2 D08-資訊資安管理專員/主任(越南、緬甸) https://www.104.com.tw/job/6pi20?jobsource=n104bank2 網路暨資安管理師 https://www.104.com.tw/job/6smcw?jobsource=n104bank2 科技廠資安管理員 https://www.104.com.tw/job/5gljg?jobsource=n104bank2 網路管理/資安工程師 https://www.104.com.tw/job/6rzay?jobsource=n104bank2 【資訊管理部】資安顧問 https://www.104.com.tw/job/6jwy5?jobsource=n104bank2 儲備5G能量 中華電 8月招募600人 https://www.chinatimes.com/realtimenews/20200616000259-263401?chdtv [台北] 臺灣大學計資中心誠徵碩士級資安人員 https://pttcareer.com/job/M.1592277816.A.B26.html 網路資安軟體服務工程師 https://www.104.com.tw/job/6yzqj 資訊安全工程師【SE三部】 https://www.104.com.tw/job/6ywg9 Software Security Engineer-資訊安全工程師 https://bit.ly/2Bpr1JO D.資料外洩/個資法/GDPR/網路詐騙/網路釣魚/盜刷/假新聞 黑客利用Google免費程式 偷用戶瀏覽記錄數據 https://hk.appledaily.com/international/20200618/KNZDYMRSNSGCACRHJ5EIJJ2GRQ/ 國際外送平台Foodora用戶個資72萬筆遭外洩！遍及全球14個國家 https://3c.ltn.com.tw/news/40721 Foodpanda母企逾72萬用戶資料遭洩露！香港亦有份 https://bit.ly/2ASiwqt 國際外送Foodpanda及其他國際外送平臺顧客資料外洩 https://www.twcert.org.tw/tw/cp-104-3711-3dcf1-1.html 才爆發駭客事件！「閃亮亮」60萬IG慘遭盜用「被消失」　7年回憶全毀 https://www.ttshow.tw/kol/69691/ 盜號頻傳！鼓鼓IG慘遭盯上 一個動作成功救回 https://ent.ltn.com.tw/news/breakingnews/3201262 鯰魚哥粉專遭盜勒索2000美金 全靠這兩招完璧歸趙 https://bit.ly/3hl9WRr 被勒索2千美金！男星差點掰了57萬粉　2招成功擊退駭客 https://star.setn.com/News/760920 網購個資外洩差點被詐騙？他錄下對話全過程霸氣反擊 https://bit.ly/2BjDHld 男網傳防疫雙標假訊息 調查局約談送辦 https://news.sina.com.tw/article/20200612/35453780.html 網傳陳時中說「投罷韓」居家檢疫可外出　1網友遭送辦 https://www.setn.com/News.aspx?NewsID=760715 抗議引發網路襲擊：美國大量警察個人資訊遭駭客泄露 https://ek21.com/news/tech/200033/ FBI親授密碼這樣設最安全…全球最爛密碼一併大公開 https://cnews.com.tw/137200614a01/ 防疫實聯制被刷身分證 蒐集個資亂象多 https://www.cna.com.tw/news/ahel/202006140106.aspx 駭侵者針對 Office 365 遠距工作用戶發動釣魚郵件詐騙攻擊 https://www.twcert.org.tw/tw/cp-104-3689-33dfd-1.html Covid- 19 目標式釣魚郵件攻擊事件說明 https://www.twcert.org.tw/tw/cp-104-3703-f3aea-1.html 散播台港假消息　推特關閉17萬個中國網軍帳號 https://tw.appledaily.com/international/20200612/4TV3RUPV76OSWHOXQVZO3EDN7Q/ 「快篩」釣魚郵件不上鉤：4模式、8破綻、3鐵則、6對策 https://secbuzzer.co/post/203 臉書提告歐美網路服務商！違法搜刮資料超過5千名受害者 https://bit.ly/3fI2heD 刑事局公布詐騙高風險平台 盼消費者提高警覺 https://udn.com/news/story/7320/4646848 Dating Apps Exposed 845 GB of Explicit Photos, Chats, and More https://www.wired.com/story/dating-apps-leak-explicit-photos-screenshots/ Report: Niche Dating Apps Expose 100,000s of Users in Massive Data Breach https://www.vpnmentor.com/blog/report-dating-apps-leak/ E.研究報告 錯誤配置K8s機器學習框架Kubeflow易招來挖礦攻擊 https://www.ithome.com.tw/news/138238 繞過WAF運行命令執行漏洞的方法大全 https://www.anquanke.com/post/id/208398 SSRF 漏洞危害大，應避免被利用攻擊內網應用！| 原力計劃 https://www.sohu.com/a/401419323_115128 洩漏機密的連結：Google 文件共享的資安意外 https://www.isecurity.com.tw/news-and-events/accidental-exposure-in-google-link-sharing/ SRC漏洞挖掘信息收集與挖掘技巧 https://www.freebuf.com/articles/web/237876.html 一行代碼引來的安全漏洞，就讓我們丟失了整個服務器的控制權 http://www.cocoachina.com/articles/898898?filter=rec 漏洞代碼調試(一):Strtus2-048代碼分析調試-(CVE-2017-9791) https://zhuanlan.zhihu.com/p/146515591 小米Redmi 5 Plus 身份驗證繞過漏洞分析 https://www.4hou.com/posts/yMmg Pwn2Own撰寫：感應自動化產品的突破利用三重奏 https://www.anquanke.com/post/id/208464 CVE-2020-5410 Spring Cloud Config目錄穿越漏洞 https://xz.aliyun.com/t/7877 空客安全團隊對SMBLost 漏洞的分析(CVE-2020-1301) https://www.4hou.com/posts/Km58 CVE-2020-9296-Netflix-Conductor-RCE-漏洞分析 https://xz.aliyun.com/t/7889 D-Link DIR878路由器命令執行漏洞分析 https://www.freebuf.com/vuls/237533.html D-Link 路由器曝多個安全漏洞 https://www.chainnews.com/zh-hant/articles/521238681170.htm RCE姿勢學習：從存儲型XSS漏洞到RCE利用 https://zhuanlan.zhihu.com/p/148946753 攻擊者可利用'USB for Remote Desktop'中的漏洞添加虛假設備 https://www.freebuf.com/column/240749.html OSSのSOAR『Shuffle』 Workflow作成 https://fatsheep.hateblo.jp/entry/2020/06/19/143907 Updates to Snort setup guides https://blog.talosintelligence.com/2020/06/updates-to-snort-setup-guides.html Real-time third-party code injection https://medium.com/cloud-security/real-time-third-party-code-injection-4ac081acaac5 Dark Basin Uncovering a Massive Hack-For-Hire Operation https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/ malware-indicators/202006_DarkBasin https://github.com/citizenlab/malware-indicators/tree/master/202006_DarkBasin SQLMap – Testing With SQL Injection https://linuxsecurityblog.com/2016/03/12/sqlmap-testing-with-sql-injection/ EvilDLL - Malicious DLL (Reverse Shell) Generator For DLL Hijacking https://www.kitploit.com/2020/06/evildll-malicious-dll-reverse-shell.html Discover & Attack Raspberry Pi’s on a Network https://linuxsecurityblog.com/2020/06/16/discover-attack-raspberry-pis-on-a-network/ IPv6 Exploitation in AD environment https://medium.com/@browninfosecguy/ipv6-exploitation-in-ad-environment-b22a7c3ec8af 15 Best Security Tools You Should Have on Linux https://medium.com/nuevas-ideas-digitales/15-best-security-tools-you-should-have-on-linux-327ef1681e8e #BugBounty — Compromising User Account- ”How I was able to compromise user account via HTTP Parameter Pollution(HPP)” https://bit.ly/30Ladr0 EvilPDF v1.1 https://github.com/thelinuxchoice/evilpdf F.商業 光纖上網進入1G時代！中華電信「頻寬分流」、「上網守衛」滿足智慧生活需求 https://www.bnext.com.tw/article/57852/hinet202006 Bureau Veritas IoT資訊安全評等為客戶嚴密把關 https://www.digitimes.com.tw/tech/dt/n/shwnws.asp?cnlid=14&id=0000586604_IGO5EMR91EUVWW3ARMOBR 精誠用這3大策略進取全球 要挑戰千億市值 https://www.wealth.com.tw/home/articles/26152 ASRC 2020年第1季電子郵件安全趨勢 https://www.digitimes.com.tw/tech/dt/n/shwnws.asp?cnlid=13&id=0000586707_bet64b9y1qf8eg6bkjvsa 遠端工作資安評估 https://www.fireeye.com/content/dam/fireeye-www/regional/zh_TW/services/pdfs/ds-remote-security-assessment.pdf 零壹科技宣布成為Lucent Sky AVM台灣授權代理商『攜手強化並縮短客戶端應用程式開發流程』 https://www.zerone.com.tw/Content/Product/6B52AC959AFCA6D6 F5發布2019應用安全報告　有價資料外洩災情頻傳 攻擊者砲火瞄準API　試探漏洞弱點入侵竊資 http://www.netadmin.com.tw/netadmin/zh-tw/trend/2EAE8CF0A28E46449C9BA0F1F19D40C8 英特爾 Tiger Lake CPU「將」內建 CET 安全技術，白帽專家已研發出規避方法 https://technews.tw/2020/06/17/intel-will-soon-bake-anti-malware-defenses-directly-into-its-cpus/ 維運工程師的救星來了！奔騰網路打造自動化維運平台，IT不必再 24 小時全年無休 https://meet.bnext.com.tw/articles/view/46531 Check Point揭密企業步入「新常態」後的首要資安任務 https://www.techbang.com/posts/79268-check-point-unveils-the-first-task-of-capital-security-after-companies-enter-the-new-normal 「鴻海研究院」正式成立 F3.0轉型升級全面啟動 https://money.udn.com/money/story/5612/4640910 資安業者Fortinet澄清非中國背景　保證絕對合法 http://www.netadmin.com.tw/netadmin/zh-tw/market/5065525FE78F42D48F24C30ECB57F51C Solution Providers Can Now Add Incident Response to Their Services Portfolio For Free https://thehackernews.com/2019/09/msp-incident-response.html UEFI scanner brings Microsoft Defender ATP protection to a new level https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/ Purposefully Insecure and Vulnerable Android Application (PIVAA): Part 1 https://medium.com/@timmccann222/purposefully-insecure-and-vulnerable-android-application-pivaa-part-1-6af8941b54d3 BurpCrypto https://github.com/whwlsfb/BurpCrypto G.政府 沈榮津接副閣揆 在野黨肯定也期待 https://bit.ly/37rYKhz 新任國安會資安諮詢委員由臺科大資工系教授李漢銘接任 https://tnews.cc/038/newscon141685.htm 經濟部組檢測團隊 助企業把關資安 https://money.udn.com/money/story/10860/4637615 李副總長慰勉外島駐軍 勉高科技守護數位國土 https://www.ydn.com.tw/News/386567 國家資安漏洞？ 綠委：政府供應商具中國背景 https://udn.com/news/story/6656/4641036 國安大漏洞？綠委爆：國防、國安、調查局都採購這家有中共背景資安公司產品 https://www.cmmedia.com.tw/home/articles/21938 立委踢爆資安業者Fortinet產品來自中國，政府清查中，Fortinet喊冤 https://www.ithome.com.tw/news/138272 林俊憲：下架並禁購中國製疑慮資安產品 https://bit.ly/2AGqOSw 國安再爆漏洞！3名前立委助理涉犯共諜案 部會機密情資外洩中國 https://newtalk.tw/news/view/2020-06-18/423045 國安又出漏洞！前國會助理涉共諜案　3嫌深夜遭移送約談 https://www.ettoday.net/news/20200618/1740370.htm 鼻子過敏變死亡、驗孕變流產？健康存摺App就醫紀錄漏洞百出，健保署回應了 https://www.bnext.com.tw/article/58114/myhealthbank-error 我業者籲政府單位 全面盤點護資安 https://m.ltn.com.tw/news/politics/paper/1380591 資策會推廣物聯網資安認證 建立產業標準 https://money.udn.com/money/story/10860/4639731 16校採購1089支「海康威視」監視器 政院禁購清單無下文 https://news.ltn.com.tw/news/politics/breakingnews/3199928 超商買口罩會不會個資外洩？財政部告訴你安啦 https://udn.com/news/story/7238/4645022 斥資2.5億元跨國科技合作！台灣與瑞典37位研究員投入計畫 https://bit.ly/2Yhx2RM 談台灣數位身分證New eID、港版身分證、中國公安部eID https://www.peoplenews.tw/news/bcb81f56-f3e4-4a3c-ba03-f1f59cbd0ff3 H.工控系統/SCADA/ICS 工業4.0重大駭客手法/假解密工具,真勒索/監視攝影機成第二受歡迎智慧家庭裝置 https://blog.trendmicro.com.tw/?p=64819 頂象發現並協助施耐德修復PLC漏洞，獲官方致謝頂象獲得施耐德致謝 http://china.qianlong.com/2020/0615/4285679.shtml Siemens LOGO! Controllers存在超危漏洞，尚未修復 https://www.freebuf.com/column/240265.html Mitsubishi控制器存在安全漏洞，攻擊者可干擾生產過程 https://www.freebuf.com/column/240264.html Schneider Electric Easergy T300 安全漏洞 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7508 I.教育訓練 109資安人才培訓課程審查結果-遴選結果公告 https://www.acwacademy.org.tw/109anrencaipeichengchaguo-linguogonggao/ Free Cybersecurity Training https://www.fortinet.com/training/cybersecurity-professionals How to use NMAP Script to find Vulnerabilities https://hackingpassion.com/how-to-use-nmap-nse-scripts-to-find-vulnerabilities/ J.物聯網/IOT/人工智慧/車聯網/光聯網/深度學習/機器學習/無人機/人臉辨識 以色列最新間諜技術：「監聽」你家的燈泡 https://www.inside.com.tw/article/20056-Spies-can-eavesdrop-by-watching-a-light-bulb-variations Spies Can Listen to Your Conversations by Watching a Light Bulb in the Room https://thehackernews.com/2020/06/lamphone-light-bulb-spy.html 人工智慧用於高仿視覺詐欺　混淆視聽易陷信任攻擊 Deepfake技術親手實驗　感受深度造假影片威力 http://www.netadmin.com.tw/netadmin/zh-tw/technology/DCF13461B4D24363A7BBE6CE61A19788 How an IoT botnet attacks with DDoS and infects devices https://internetofthingsagenda.techtarget.com/feature/How-an-IoT-botnet-attacks-with-DDoS-and-infects-devices 6.近期資安活動及研討會 數位轉型攻略：後疫時代企業生存法則 全球化沒有消失而是變形更數位了 6/22 https://event.ithome.com.tw/live/20200601/signup.html?v=1590718274?v= 設計新興雲端安全防護架構: Container & Serverless Security安全藍圖 6/23 https://bit.ly/2VzDodV 交通大學駭客書院 - 企業網域控管-Active Directory攻擊與防禦 6/27 https://hackercollege.nctu.edu.tw/?p=1164 CompTIA Security+ 國際網路資安認證班 7/4 ~ 7/12 https://www.iiiedu.org.tw/courses/msa293t2002/ 數據分析與機器學習案例實務(三)影像分類技術 7/20 https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3897&from_course_list_url=course_index CYBERSEC 2020 臺灣資安大會 8/12 https://cyber.ithome.com.tw/ 認證系統安全從業人員 SSCP 輔導班 9/5 ~ 9/13 https://www.iiiedu.org.tw/courses/asq902t2001/ 邊緣計算系統之大數據與深度學習應用 9/11 https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3895&from_course_list_url=course_index 數據分析與機器學習案例實務(四)應用實例 9/14 https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3898&from_course_list_url=course_index