資安事件新聞週報 2020/7/27 ~ 2020/7/31
1.重大弱點漏洞/後門/Exploit/Zero Day
美英資安機關警告,全球約6萬餘台NAS遭感染,QNAP提醒用戶須回復出廠預設後再作更新
https://www.twcert.org.tw/tw/cp-104-3817-d8539-1.html
US, UK Agencies Warn: QNAP NAS Devices Vulnerable
https://www.bankinfosecurity.com/us-uk-agencies-warn-qnap-nas-devices-vulnerable-a-14719
QSnatch Data-Stealing Malware Infected Over 62,000 QNAP NAS Devices
https://thehackernews.com/2020/07/qnap-nas-malware-attack.html
Grub2含有BootHole安全漏洞,PC、伺服器、工作站或IoT裝置都遭殃
https://www.ithome.com.tw/news/139133
安全啟動功能曝出BootHole新漏洞影響大量Linux與Windows系統
https://m.cnbeta.com/view/1009469.htm
德國信息安全局發現醫療設備存在安全漏洞
http://big5.sputniknews.cn/science/202007271031845268/
Git 分析公司 Waydev 公布安全漏洞,聲稱駭客竊取其 GitHub 和 GitLab OAuth 登入憑證
https://www.wangan.com/articles/272
Palo Alto Networks addresses another high severity issue in PAN-OS devices
https://securityaffairs.co/wordpress/105693/hacking/palo-alto-networks-pan-os-flaw.html
華碩RT-AC1900P路由有固件升級安全漏洞,目前已被修復
https://wxn.qq.com/cmsid/20200724A082E400
資安廠商發現DJI無人機app,其系統設計可能導致用戶資訊外洩
https://www.twcert.org.tw/tw/cp-104-3816-9716f-1.html
國內網通設備廠商修補路由器漏洞
https://www.twcert.org.tw/tw/cp-104-3814-b9cf7-1.html
US govt confirms active exploitation of F5 BIG-IP RCE flaw
https://www.bleepingcomputer.com/news/security/us-govt-confirms-active-exploitation-of-f5-big-ip-rce-flaw/#.Xxs6G8qP6zc.twitter
CISA: Attackers Are Exploiting F5 BIG-IP Vulnerability
https://www.bankinfosecurity.com/cisa-attackers-are-exploiting-f5-big-ip-vulnerability-a-14710
F5 Networks BIG-IP : Intel MCE vulnerability (K17269881)
https://www.tenable.com/plugins/nessus/138230
歐美研究揭發 DJI 航拍機操作 App 保安漏洞,黑客可完全奪取手機控制權或盜竊機內資料
https://reurl.cc/aro3X3
研究人員:大疆無人機控制軟件存在安全漏洞
https://hk.aboluowang.com/2020/0725/1481049.html
被指控手機 App 存在資安漏洞 DJI 反駁:阻止逃避飛安功能之破解
https://reurl.cc/vDVDal
被指控手機App存在安全漏洞DJI反駁:阻止破解飛行安全功能
https://www.hangpai.org/24552.html
Chinese-made drone app in Google Play spooks security researchers
https://arstechnica.com/information-technology/2020/07/chinese-made-drone-app-in-google-play-spooks-security-researchers/
DJI Drone App Riddled With Privacy Issues, Researchers Allege
https://threatpost.com/dji-drone-app-riddled-with-privacy-issues-researchers-allege/157730/
Citrix fixes 11 flaws in ADC, Gateway, and SD-WAN WANOP appliances
https://www.bleepingcomputer.com/news/security/citrix-fixes-11-flaws-in-adc-gateway-and-sd-wan-wanop-appliances/#.XwRuHzB75Gg.twitter
全國流量免費領取,聯通用戶趕緊薅羊毛,官方漏洞隨時修復
https://www.sohu.com/a/409731696_116157
注意!多款智能家居Hub存在遠程代碼執行漏洞
https://www.4hou.com/posts/0OD5
Red Hat Enterprise Linux 8.3 beta released
https://www.zdnet.com/article/red-hat-enterprise-linux-8-3-beta-released/#ftag=RSSbaffb68
D-Link DIR-816L
https://nvd.nist.gov/nvd.cfm?cvename=CVE-2020-15893
Google Chrome CVE-2020-6513 CVE-2020-6515 CVE-2020-6518 CVE-2020-6524 CVE-2020-6520(7/14)
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html
IBM WebSphere Application Server CVE-2020-4464(7/16)
https://www.ibm.com/support/pages/node/6250059
Juniper Networks SRX CVE-2020-1654(7/8)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11031&actp=METADATA
Critical GRUB2 Bootloader Bug Affects Billions of Linux and Windows Systems
https://thehackernews.com/2020/07/grub2-bootloader-vulnerability.html
Industrial VPN Flaws Could Let Attackers Target Critical Infrastructures
https://thehackernews.com/2020/07/industrial-vpn-security.html
Zoom Bug Allowed Snoopers Crack Private Meeting Passwords in Minutes
https://thehackernews.com/2020/07/zoom-meeting-password-hacking.html
2.銀行/金融/保險/證券/支付系統/ 新聞及資安
開放銀行第二階段 銀行將有條件開放客戶資料查詢
https://money.udn.com/money/story/5613/4731585
開放銀行第二階段試辦行列 8銀行躍躍欲試
https://reurl.cc/D9G9x5
自動櫃員機廠商警告,近來發現新型態「中獎」駭侵攻擊,可快速令 ATM 吐光所存鈔票
https://www.twcert.org.tw/tw/cp-104-3811-27f49-1.html
兼職新制!金管會:金控、子壽險法遵主管禁同一人
https://tw.appledaily.com/property/20200728/L2G66KYVX74PVKTAK4T6J2JT3A/
日澳台韓對港金融業猛拋媚眼 金融業:要搬也是選新加坡
https://www.rti.org.tw/news/view/id/2073757
「轉智成金」 中小信保與26家銀行推技術加值融資保證專案
https://ec.ltn.com.tw/article/breakingnews/3243347
《金融》研訓院:國銀前進柬埔寨 要當心
https://reurl.cc/oLl65v
Diebold Nixdorf warns banks of compromised ATMs
https://www.finextra.com/newsarticle/36242/diebold-nixdorf-warns-banks-of-compromised-atms
North Korea's Lazarus Group Diversifies Into Card Skimming
https://reurl.cc/8GKE3y
Here’s Why Credit Card Fraud is Still a Thing
https://krebsonsecurity.com/2020/07/heres-why-credit-card-fraud-is-still-a-thing/
Swiped: Analyzing Ground-truth Data of a Marketplacefor Stolen Debit and Credit Cards
https://krebsonsecurity.com/wp-content/uploads/2020/07/nyu-cardshop.pdf
Is Your Chip Card Secure? Much Depends on Where You Bank
https://krebsonsecurity.com/2020/07/is-your-chip-card-secure-much-depends-on-where-you-bank/
3.電子支付/行動支付/pay/資安
德央行行長:將加強監管 確保Wirecard醜聞不重演
https://www2.hkej.com/instantnews/international/article/2532312
中國不可能被踢出SWIFT 但單個機構有可能被精準制裁--學者
https://www.finet.hk/newscenter/news_content/5f17b098bde0b33df4743d75
德國家情報:勿用中國行動支付
https://news.ltn.com.tw/news/world/paper/1387124
與日本官方系統直連,「FreePay」將赴日旅遊消費退稅業務升級
https://www.sohu.com/a/408203411_114778
布朗士地鐵全面啓用「OMNY」感應付款系統
https://www.epochtimes.com/b5/20/7/17/n12262610.htm
上海一企業支付網站線上“裸奔” 被黑客盜走
https://finance.sina.com.cn/chanjing/cyxw/2020-07-17/doc-iivhvpwx5912110.shtml
騙取20億元3人被判無期,全國首例電票系統詐騙案追踪
http://sh.xinhuanet.com/2020-07/08/c_139197392.htm
解題「跨境理財通」:跨境支付、數據共享成「痛點」
https://news.sina.com.tw/article/20200708/35688270.html
ConsenSys被指控竊取支付服務公司的競爭對手服務代碼
http://bc.jrj.com.cn/2020/07/17064130266031.shtml
新加坡區塊鏈支付系統 Ubin 將準備商用化
https://technews.tw/2020/07/17/singapore-sponsored-finance-blockchain-ready-to-run-international-payments/
香港工银亞洲稱獲准成為人民幣跨境支付系统(CIPS)直接参加行
https://reurl.cc/rxMZ0O
金管會推大平台 整合各種電子支付
https://news.pchome.com.tw/living/awakening/20200730/index-15960881042723743009.html
行政院會通過「電子支付管理條例」修正草案
https://www.ey.gov.tw/Page/9277F759E41CCD91/cca2bb19-b8a4-4536-838f-cd4cc9923866
蘇揆拍板 整合電子支付可儲值外幣
https://reurl.cc/7XOdrQ
電子支付不流行了?金管會:年底難達成預期目標,將加強跨平台便利性
https://www.storm.mg/article/2897671
4.虛擬貨幣/區塊鍊/數位貨幣/相關新聞及資安
日本成立專責小組、法國央行擴大佈局、泰國啟動測試!全球CBDC競賽風起雲湧
https://reurl.cc/O194y3
傳中共將擴大數字人民幣試水範圍 引入美團等公司
https://www.soundofhope.org/post/401308?lang=b5
交易絕非功能開發完就管用 忽視法規定義恐損害賠償不完 區塊鏈智能合約也是契約 程式設計攸關法律效力
http://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/38B66871BFC2498CA831556FE9EC023F
你的加密貨幣資產「保險」了嗎?判斷交易所安不安全,有兩種簡單方法
https://www.blocktempo.com/crypto-assets-insurance-exchange-secutity/
5.資安事件新聞
A.病毒木馬 / 殭屍網路 / 勒索軟體 / Adware /APT /後門程式/IOC
卡巴斯基:VHD勒索軟體出自北韓駭客集團Lazarus之手
https://www.ithome.com.tw/news/139107
Garmin遇駭客勒索軟體攻擊 全球服務大當機事件摘要剖析
https://www.issdu.com.tw/news_detail.php?id=126&type=security
該替電腦買防毒軟體?內行人一看秒搖頭 曝「這事」更重要
https://www.setn.com/News.aspx?NewsID=785711
Garmin疑遭勒索軟體攻擊 稱用戶個資安好
https://money.udn.com/money/story/5599/4731466
Garmin疑似遭到勒索軟體攻擊,地圖及軟體更新、相關APP應用服務全部暫停
https://reurl.cc/kdDdnd
台灣國際航電 (Garmin) 駭客勒索事件全過程回顧
https://vitomag.com/tech/vadvcu.html
Garmin遇駭服務斷線 網路功能逐步恢復正常
https://udn.com/news/story/7086/4736118
駭入Garmin勒索千萬美金 俄羅斯駭客奢華生活遭起底
https://www.ctwant.com/article/64215
Garmin遇駭!遭勒索一千萬美元虛擬貨幣,服務中斷五天後部分重新上線
https://www.abmedia.io/garmin-has-been-operating-at-less-than-full-capacity-following-a-ransomware-attack/
拍照、修圖軟體易藏毒?下載量破50萬 惡意程式Joker變種捲土重來
https://reurl.cc/KkNEnR
美、英政府:感染6.2萬臺QNAP的惡意程式QSnatch會阻撓更新
https://times.hinet.net/news/22990296
殭屍網路病毒Emotet被惡搞,惡意程式被換成無害GIF檔
https://www.ithome.com.tw/news/139049
導入犯罪學理論 TTC惡意軟體偵測系統獲矚目
https://www.mem.com.tw/arti.php?sn=2007300001
マルウェア「Emotet」が再度、日本の組織を標的に
https://sugitamuchi.hatenablog.com/entry/2020/07/23/120000
Kaspersky、サイバー攻撃グループ「Lazarus」がデータ窃取とランサムウェア攻撃に、マルチプラットフォーム対応のマルウェアフレームワークを使用していることを発見
https://prtimes.jp/main/html/rd/p/000000199.000011471.html
A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs
https://reurl.cc/1xyKQV
FBI warns US companies about backdoors in Chinese tax software
https://www.zdnet.com/article/fbi-warns-us-companies-about-backdoors-in-chinese-tax-software/
MATA: Multi-platform targeted malware framework
https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/
WastedLocker Ransomware: Abusing ADS and NTFS File Attributes
https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/
Enter the Maze: Demystifying an Affiliate Involved in Maze (SNOW)
https://labs.sentinelone.com/enter-the-maze-demystifying-an-affiliate-involved-in-maze-snow/
Lockscreen Ransomware Phishing Leads To Google Play Card Scam
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/lockscreen-ransomware-phishing-leads-to-google-play-card-scam/
City is ready to generate utility bills after malware attack
https://reurl.cc/R4p51g
Newly discovered Mac malware combines ransomware and spyware into one
https://www.livemint.com/technology/tech-news/newly-discovered-mac-malware-combines-ransomware-and-spyware-into-one-11594110493035.html
.CRIMSON Ransomware Module Shipped With Java STRRAT
https://securityintelligence.com/news/new-malware-crimson-ransomware/
FBI Warns US Firms Over Malware in Chinese Tax Software
https://www.bankinfosecurity.com/fbi-warns-us-firms-over-malware-in-chinese-tax-software-a-14705
Lazarus Group Deploying Fresh Malware Framework.
https://www.bankinfosecurity.com/lazarus-group-deploying-fresh-malware-framework-a-14704
Ensiko: A Webshell With Ransomware Capabilities
https://blog.trendmicro.com/trendlabs-security-intelligence/ensiko-a-webshell-with-ransomware-capabilities/
Cerberus banking Trojan team breaks up, source code goes to auction
https://www.zdnet.com/article/cerberus-banking-trojan-team-breaks-up-source-code-goes-to-auction/#ftag=RSSbaffb68
Lazarus on the hunt for big game
https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/
US Local Government Services Targeted by New Magecart Credit Card Skimming Attack
https://blog.trendmicro.com/trendlabs-security-intelligence/us-local-government-services-targeted-by-new-magecart-credit-card-skimming-attack/
The Golden Tax Department and Emergence of GoldenSpy Malware
https://trustwave.azureedge.net/media/16929/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf
Emotet malware now steals your email attachments to attack contacts
https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/
Undetectable Linux Malware Targeting Docker Servers With Exposed APIs
https://thehackernews.com/2020/07/docker-linux-malware.html
Malspam campaign caught using GuLoader after service relaunch
https://blog.malwarebytes.com/threat-analysis/2020/07/malspam-campaign-caught-using-guloader-after-service-relaunch/
Linux warning: TrickBot malware is now infecting your systems
https://www.bleepingcomputer.com/news/security/linux-warning-trickbot-malware-is-now-infecting-your-systems/#.XyPRvX0MooY.twitter
An Analysis of Emotet Malware: PowerShell Unobfuscation
https://medium.com/picus-security/an-analysis-of-emotet-malware-powershell-unobfuscation-4f46b50dcf2b
B.行動安全 / iPhone / Android /穿戴裝置 /App / 5G
部份「快速充電器」曝漏洞遭駭客攻擊!手機、平板裝置恐受損壞
https://3c.ltn.com.tw/news/41136
手機、平板危機! 惡意軟體入侵快速充電器「恐引發自燃」
https://www.ettoday.net/news/20200726/1769737.htm
我的 Android 手機有惡意軟體嗎? 4 大徵兆與預防惡意軟體齊步走
https://www.kocpc.com.tw/archives/334831
降低對中國依賴!印度通訊部長: iPhone 11 正在印度生產
https://reurl.cc/j7LG6n
開統戰後門?雙城論壇提「兩岸5G互通標準」挨批
https://www.secretchina.com/news/b5/2020/07/27/941027.html
Google removes 25 apps for stealing Facebook login credentials – Here is the complete list of apps
https://reurl.cc/Qdyr3M
TikTokも念頭、中国発アプリ制限を提言へ…自民議連
https://www.yomiuri.co.jp/politics/20200728-OYT1T50078/
Wi-Fi聯盟要求認證裝置必須支援WPA3
https://www.ithome.com.tw/news/139089
安裝「加料」App 手機容易被入侵
https://hk.appledaily.com/local/20200730/RU56GU7R6K76KU4DOU7FPTOH5A/
5G競賽全員到齊 NCC核發台灣之星亞太電信執照
https://www.cna.com.tw/news/firstnews/202007290153.aspx
juiker起訴了對外出售登入憑證的駭客Fxmr
https://disp.cc/b/163-cA9l
工信部開展縱深推進APP侵害用戶權益專項整治行動——堵住手機APP資訊安全漏洞 40萬款主流應用程序將被檢測
http://finance.people.com.cn/n1/2020/0730/c1004-31803090.html
WeChat users look to Japan's Line for alternative as US ban looms
https://asia.nikkei.com/Business/Companies/WeChat-users-look-to-Japan-s-Line-for-alternative-as-US-ban-looms
C.事件 / 駭客 / DDOS / APT / 雲端/ 暗網/ 徵才 / 國際資安事件
國際高峰會 台專家談5G、交通、醫療等前景
https://www.epochtimes.com/b5/20/7/30/n12295454.htm
ClassNK加入海事運輸資訊分享與分析中心攜手降低資安風險
https://reurl.cc/O19z5R
資安防禦新思維 專家:董事會也要懂資安
https://reurl.cc/V6KgM5
研究揭露網路犯罪營運基礎架構,犯罪集團也需要主機代管服務與網路資安防護
https://reurl.cc/KkZD0p
趨勢科技研究機構揭露網路犯罪營運基礎架構
https://www.techbang.com/posts/80201-trend-micro-research-institutions-expose-cybercrime-operating-infrastructure
研究:27款PDF閱讀程式中有15款可能遭受影子攻擊
https://www.ithome.com.tw/news/139032
PDF 簽名機制中存在漏洞,可引發 Shadow 攻擊
https://www.chainnews.com/zh-hant/articles/943978752079.htm
當機當了3天 Garmin疑遭攻擊
https://reurl.cc/AqoqOd
Garmin服務全球大當機破3天,疑似攻擊程式樣本曝光,官方也終於回應用戶資料無損
https://www.ithome.com.tw/news/139043
Garmin疑遭網攻 軟體更新與商城等服務暫停
https://www.cna.com.tw/news/firstnews/202007260012.aspx
推特遭駭不意外?前員工:擁有內部權限的人太多
https://inanews.tw/archives/228959
前推特員工:年初有超千人可用內部工具更改用戶賬戶設置
https://reurl.cc/g7K7M4
駭客鎖定配置不當的公有雲Docker環境建置殭屍網路,利用區塊鏈技術隱匿其連線行蹤
https://www.ithome.com.tw/news/139140
【網軍揭密】北韓網軍要情報也要錢 差點偷走美國10億美元
https://tw.appledaily.com/international/20200725/2VQTXLDPWP7CZKQPO6TQ36F3GA/
傳中國駭客竊取科技資料 比利時展開調查
https://reurl.cc/GVWVED
中國全球情蒐 比利時受駭 星男淪中諜
https://news.ltn.com.tw/news/world/paper/1388869
比利時軟體公司成中共駭客攻擊對象 已展開調查
https://www.bannedbook.org/bnews/zh-tw/comments/20200726/1366431.html
反情報官員警告 多國試圖干預美總統大選
https://www.ydn.com.tw/News/391012
美國公佈量子網絡藍圖 聲稱無法被入侵
https://unwire.hk/2020/07/25/us-unveils-blueprint-for-unhackable-national-quantum-internet/fun-tech/
疑欲竊新冠疫苗機密 陸休士頓領館遭美關閉
https://reurl.cc/V6k61b
簡報:港大解僱佔中領袖戴耀廷;中國駭客被指攻擊梵蒂岡
https://cn.nytimes.com/morning-brief/20200729/hong-kong-university-benny-tai-china-vatican-hack/zh-hant/
中國駭客侵入梵蒂岡電腦系統 疑為9月中梵會談竊取資料
https://tw.appledaily.com/international/20200729/Y77NZ45JK7ADW2IMYDLUKGW52E/
中國遭爆入侵梵蒂岡電腦系統 北京不認帳自封「資安維護者」
https://tw.appledaily.com/international/20200729/Y77NZ45JK7ADW2IMYDLUKGW52E/
爆中國駭客侵入梵蒂岡電腦系統 疑竊取9月梵中會談資料
https://m.ltn.com.tw/news/world/breakingnews/3243381
中共操縱黑客 攻擊梵蒂岡和香港教區網絡
https://www.ntdtv.com/b5/2020/07/29/a102905631.html
美禁TikTok內幕 中共洩洪祕密曝光
https://www.epochtimes.com/b5/20/7/25/n12283622.htm
比利時展開調查中共駭客 巴西開始警覺中共
https://gnews.org/zh-hant/277444/
港警國安處首度執法鎮壓!4名學生在網路上宣揚「港獨」遭捕,恐怖寒蟬效應蔓延
https://reurl.cc/E7kyXg
美澳擬擴大「五眼聯盟」情報系統!部長級磋商今登場 料談南海印太合作
https://www.ettoday.net/news/20200727/1770142.htm
在美被捕3中國學者軍醫出身 專家憂醫學交流成漏洞
https://www.setn.com/News.aspx?NewsID=786968
促白宮列中共為跨國犯罪組織 數百團體活動家聯署
https://www.ntdtv.com/b5/2020/07/29/a102905815.html
哈佛教授涉中國千人計畫 再依稅務罪名起訴
https://reurl.cc/Y1Lp8a
FBI局長:北京是美國國家安全最大的威脅
https://www.secretchina.com/news/b5/2020/07/24/940700.html
歐盟首針對網路攻擊制裁 中方︰反對動輒單邊制裁
https://tw.appledaily.com/international/20200731/VEY662AGSG2RLFJ7DH6DCWGNVA/
Moderna遭狙擊?路透爆陸駭客為新冠疫苗下手
https://www.chinatimes.com/realtimenews/20200731003250-260410?chdtv
美國控中國駭客攻擊疫苗研發公司 欲偷貴重資料
https://money.udn.com/money/story/10511/4745033
目標疑為武肺疫苗 路透:中國駭客攻擊莫德納藥廠
https://tw.appledaily.com/international/20200731/MB3HOOMJ7REP4STPF4ODWGWQVI/
美參衆兩院推新法案禁外國間諜及家屬入美 重點指向中共間諜
https://www.soundofhope.org/post/406276?lang=b5
FBI警告4種可能發生DDoS攻擊的新興網路協定
https://www.ithome.com.tw/news/139074
FBI warns of new DDoS attack vectors: CoAP, WS-DD, ARMS, and Jenkins
https://www.zdnet.com/article/fbi-warns-of-new-ddos-attack-vectors-coap-ws-dd-arms-and-jenkins/#ftag=RSSbaffb68
German authorities seize 'BlueLeaks' server that hosted data on US cops
https://www.zdnet.com/article/german-authorities-seize-blueleaks-server-that-hosted-data-on-us-cops/
KnowBe4 Finds as Cyber Attacks Soar U.S. State and Local Government Entities Struggle to Keep Up
https://reurl.cc/9EjeZd
Hackers stole GitHub and GitLab OAuth tokens from Git analytics firm Waydev
https://www.zdnet.com/article/hackers-stole-github-and-gitlab-oauth-tokens-from-git-analytics-firm-waydev/#ftag=RSSbaffb68
The UK's cybersecurity agency is getting a new boss
https://www.zdnet.com/article/the-uks-cybersecurity-agency-is-getting-a-new-boss/
US defense and aerospace sectors targeted in new wave of North Korean attacks
https://www.zdnet.com/article/us-defense-and-aerospace-sectors-targeted-in-new-wave-of-north-korean-attacks/#ftag=RSSbaffb68
Industrial VPN Flaws Could Let Attackers Target Critical Infrastructures
https://thehackernews.com/2020/07/industrial-vpn-security.html
Hong Kong may postpone election, citing coronavirus: Reports
https://www.financialexpress.com/world-news/hong-kong-may-postpone-election-citing-coronavirus-reports/2041025/
[台北] 聚碩科誠徵 資安技術工程師
https://pttcareer.com/job/M.1595597850.A.B81.html
資安工程師
https://job.taiwanjobs.gov.tw/Internet/jobwanted/JobDetail.aspx?EMPLOYER_ID=1134770&HIRE_ID=9841087
資安主任工程師/專案經理
https://www.104.com.tw/job/6z8fm?jobsource=n104bank2
資安鑑識工程師
https://www.104.com.tw/job/6isjn?jobsource=n104bank2
資安技術工程師
https://www.104.com.tw/job/2x79x?jobsource=n104bank2
資安技術經理(資安技術支援顧問)
https://www.104.com.tw/job/6kyxs?jobsource=n104bank2
資安監控中心(SOC)資深資安工程師
https://www.104.com.tw/job/6dgaa?jobsource=n104bank2
資安專案經理/Project Manager
https://www.104.com.tw/job/2w0gs?jobsource=n104bank2
一線資安監控工程師(日班長期約聘,表現優良轉正職)
https://www.104.com.tw/job/3iqxk?jobsource=n104bank2
資安檢測工程師
https://www.104.com.tw/job/64myq?jobsource=n104bank2
【資安】資深資安科技專業人員
https://www.104.com.tw/job/67cr4?jobsource=n104bank2
資安人員
https://www.104.com.tw/job/6zl9w?jobsource=n104bank2
D.資料外洩/個資法/GDPR/網路詐騙/網路釣魚/盜刷/假新聞
電信詐騙年增46%!詐騙奇招千萬種 美司法部要電信業也負起責任
https://reurl.cc/O191Q7
Twitter洩露130個用戶敏感信息Vanity URL功能存在漏洞
https://zhuanlan.zhihu.com/p/163408533
任天堂資料外洩連環爆,現在連遊戲開發 data 都外流
https://www.inside.com.tw/article/20512-an-alleged-nintendo-leak-has-reportedly-unearthed-early-game-prototypes
網站安全漏洞導致百萬人基因檔案洩露
http://www.chinesetoday.com/big/article/1296073
坪林茶博館粉專遭駭 數千貼文全刪光、粉絲數腰斬
https://udn.com/news/story/7320/4741908?from=udn-catebreaknews_ch2
「資安很重要,台灣人忙起來卻常常不要」 不想被壞人偷走個資? 專家傳授3口訣
https://reurl.cc/oLl60Q
假冒「胡瓜」借錢,騙董至成85萬!心理師教你破解:詐騙集團常用的「驗證偏誤」手法
https://reurl.cc/9EMqpv
陳自瑤IG賬戶被駭客入侵 勒索500美元「贖金」
https://reurl.cc/62WM06
釣魚郵件設陷阱 遠距上班需克服資安風險
https://news.tvbs.com.tw/life/1359891
基因資料庫GEDmatch遭駭客攻擊,120萬用戶基因檔案全曝光
https://www.ithome.com.tw/news/139033
駭客竟用不像樣的偽聲明 一招騙走臉書粉專管理權
https://gotv.ctitv.com.tw/2020/07/1353461.htm
Fortress和Pimco等公司的基金行政因提供商遭駭客攻擊而資料外洩
https://reurl.cc/4RZqLj
漏洞太大?美國男子騙400萬美元疫情救助金,去買蘭博基尼跑車
https://news.sina.com.tw/article/20200728/35881642.html
中澳緊張之際 澳洲針對中國留學生假綁票詐騙案激增
https://www.rti.org.tw/news/view/id/2073762
美軍機來回飛越屏東上空? 空軍:假訊息
https://reurl.cc/3Dv94X
DevOps應用程式配置不當,微軟、Adobe等50家知名企業原始碼全都露
https://www.ithome.com.tw/news/139076
Netflix 釣魚郵件騙案出沒注意 目標竊取個人及信用卡資料
https://reurl.cc/Y1Lbpx
Twitter hackers used “phone spear phishing” in mass account takeover
https://arstechnica.com/information-technology/2020/07/twitter-hackers-used-phone-spear-phishing-in-mass-account-takeover/
Fawkes protects your identity from facial recognition systems, pixel by pixel
https://www.zdnet.com/article/pixel-by-pixel-fawkes-tries-to-protect-your-identity-from-facial-recognition-tools/
Flashy Nigerian Instagram star extradited to US to face BEC charges
https://nakedsecurity.sophos.com/2020/07/07/flashy-nigerian-instagram-star-extradited-to-us-to-face-bec-charges/
NEW PHISHING SCAM TARGETS COLLEGE COMMUNITIES
https://msutoday.msu.edu/news/2020/new-phishing-scam-targets-college-communities/
Dave: Mobile Banking App Breach Exposes 3 Million Accounts
https://www.bankinfosecurity.com/dave-mobile-banking-app-breach-exposes-3-million-accounts-a-14708
15 billion credentials available in the cybercrime marketplaces
https://securityaffairs.co/wordpress/105698/hacking/cybercrime-marketplaces-account-access.html
Business giant Dussmann Group's data leaked after ransomware attack
https://www.bleepingcomputer.com/news/security/business-giant-dussmann-groups-data-leaked-after-ransomware-attack/#.XyDGL2UgpaU.twitter
Anatomy of a Breach: Criminal Data Brokers Hit Dave
https://www.bankinfosecurity.com/anatomy-breach-criminal-data-brokers-hit-dave-a-14715
SEI Investments: Vendor Hit by Ransomware, Data Leaked
https://www.bankinfosecurity.com/sei-investments-vendor-hit-by-ransomware-data-leaked-a-14722
Phishing Campaign Uses Fake SharePoint Alerts
https://www.bankinfosecurity.com/phishing-campaign-uses-fake-sharepoint-alerts-a-14721
OkCupid Dating App Flaws Could've Let Hackers Read Your Private Messages
https://thehackernews.com/2020/07/hacking-okcupid-account.html
Source code from dozens of companies leaked online
https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/?&web_view=true
Canadian MSP discloses data breach, failed ransomware attack
https://www.bleepingcomputer.com/news/security/canadian-msp-discloses-data-breach-failed-ransomware-attack/#.XyPR8DxaoYg.twitter
E.研究報告
H5頁面漏洞挖掘之路-加密篇
https://www.anquanke.com/post/id/211562
臟牛Linux本地提權漏洞(CVE-2016-5195)
https://www.cnblogs.com/xiaozi/p/13370721.html
Jboss未授權訪問漏洞復現
https://www.cnblogs.com/rnss/p/13377321.html
Apache ActiveMQ任意文件寫入突破(CVE-2016-3088)復現
http://bbs.learnfuture.com/topic/15387
“可蠕蟲級”高危漏洞攻擊來了
https://zhuanlan.zhihu.com/p/159908493
Windows遠端桌面執行漏洞 CVE-2019-0708
https://www.freebuf.com/articles/paper/244558.html
CVE-2020-1362 漏洞分析
https://paper.seebug.org/1276/
DNS RPZ:讓DNS成為另一層防護網
https://blog.twnic.tw/2020/07/27/14198/
多款Ruckus Networks產品漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13913
IBM MQ Appliance爆出多個漏洞,或殃及政府和銀行等部門
https://news.sina.com.tw/article/20200729/35894240.html
WebSphere遠端程式碼執行漏洞(CVE-2020-4450)風險通告
https://s.tencent.com/research/bsafe/1061.html
Vulhub之Weblogic漏洞復現
https://www.ershicimi.com/p/7eebdadf25058f1d73e15ae08c796ade
挖掘VirtualBox漏洞,以3個CVE為例
https://www.anquanke.com/post/id/212096
郵件伺服器安全性:潛在漏洞和保護方法(上)
https://www.4hou.com/posts/n8XW
郵件伺服器安全性:潛在漏洞和保護方法(下)
https://www.4hou.com/posts/rX54
TorBot - Open Source Intelligence Tool for the Dark Web
https://hakin9.org/torbot-open-source-intelligence-tool-for-the-dark-web/
OWASP Mobile Security Testing Guide
https://github.com/OWASP/owasp-mstg
DNS Rebinding Headless Browsers
https://alex.kaskaso.li/post/dns-rebinding-headless-browsers
Exploiting Imported Libraries to Bypass WAF
https://medium.com/bugbountywriteup/exploiting-imported-libraries-to-bypass-cloudflare-waf-7aed99186c5a
Shopping Spree: Cybercriminals Target Retail as Stores Reopen to the Public
https://wow.intsights.com/rs/071-ZWD-900/images/Cybercriminals%20Target%20Retail%20as%20Stores%20Reopen%20to%20the%20Public.pdf
Pi Sniffer is a Wi-Fi sniffer built on the Raspberry Pi Zero W
https://hakin9.org/pi-sniffer-is-a-wi-fi-sniffer-built-on-the-raspberry-pi-zero-w/
Exploiting blind SQL injections in 'UPDATE' and 'INSERT' statements without stacked queries by Sina Yazdanmehr
https://pentestmag.com/exploiting-blind-sql-injections-update-insert-statements-without-stacked-queries-sina-yazdanmehr/
Company web names hijacked via outdated cloud DNS records
https://nakedsecurity.sophos.com/2020/07/07/company-web-names-hijacked-via-outdated-cloud-dns-records/
Attacking MS Exchange Web Interfaces
https://swarm.ptsecurity.com/attacking-ms-exchange-web-interfaces/
Analysing Fileless Malware: Cobalt Strike Beacon
https://newtonpaul.com/analysing-fileless-malware-cobalt-strike-beacon/
Watch Your Containers: Doki Infecting Docker Servers in the Cloud
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
APT trends report Q2 2020
https://securelist.com/apt-trends-report-q2-2020/97937/
Operation (노스 스타) North Star A Job Offer That’s Too Good to be True
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/
F.商業
遭質疑系統服務異常 關貿網路做出說明澄清
https://money.udn.com/money/story/5635/4728653
認識APT攻防概念有新招,資安新創奧義智慧設計卡牌類桌遊,將在8月臺灣資安大會首登場
https://www.ithome.com.tw/news/139029
Fortinet收購OPAQ Networks 增強多方雲端網路存取安全
https://udn.com/news/story/7086/4731291
合勤控整合軟硬體資源拚資安,疫情催化需求加快浮現
https://reurl.cc/vDVDQe
合勤控拓資安顧問服務 獲晶圓代工大廠、中央機關導入
https://reurl.cc/62rZRd
國研院國網中心x合勤基金會 首屆資安大賽全力培育國家資安人才
http://n.yam.com/Article/20200727589123
微軟更新Windows預覽者BUG賞金計劃, 獎金最高可達10萬美元
https://news.xfastest.com/microsoft/83449/microsoft-updates-the-bug-bounty-program-for-windows-previewers-with-bonuses-up-to-100000/
多K8S架構混合雲福音 版更擴展打破叢集邊界限制 實作Tanzu Service Mesh 量身打造跨叢集服務
http://www.netadmin.com.tw/netadmin/zh-tw/technology/A8ACEE4AD7F946158104017171CA4D64
VMware發表網路安全威脅調研報告 居家辦公潮讓資安挑戰加劇
https://www.chinatimes.com/realtimenews/20200729003291-260412?chdtv
Check Point 推出 IoT Protect 整合解決方案,提供強大的安全管理功能
https://www.techbang.com/posts/80216-check-point-introduces-iot-protects-integrated-solution-providing-powerful-security-management-capabilities
資安風暴蠢動 VMware:近1年網路攻擊升溫
https://ctee.com.tw/news/tech/309296.html
資安點線面 企業要學的三堂課
https://money.udn.com/money/story/5648/4741195
G.政府
移民署舉辦「海底科技探索趣」 新住民免費參加
https://www.chinatimes.com/realtimenews/20200725003409-260402?chdtv
資安危機?新身分證卡廠曾與中公安合作
http://www.nexttv.com.tw/NextTV/News/Home/LatestNews/2020-07-25/213825.html
台灣推新版身分證 傳製作商曾與大陸公安合作
https://m.secretchina.com/news/b5/2020/07/25/940802.html
打造數位政府 中市府勾勒數位藍圖強化資訊合作
https://www.storm.mg/localarticle/2882902
教部暑期資安課 科大生盼幫企業找漏洞圓駭客夢
https://www.cna.com.tw/news/ahel/202007270081.aspx
【啊我們的數位身分證有下文嗎?】德國找了三星做 eID,把駕照跟身分證綁在手機上
https://buzzorange.com/techorange/2020/07/28/samsung-supports-german-eid/
電子連署成空談?羅智強:明年8月公投門檻恐難過關
https://udn.com/news/story/6656/4739266
國發會建置MyData今起上線試營運 減少臨櫃紙本需求
https://www.ettoday.net/news/20200729/1772081.htm
數位身分證明年試辦 專家:小心你的隱私成了政府的方便
https://udn.com/news/story/120884/4739832
中研院學者邱文聰、劉靜怡憂「數位身分證 eID」遭濫用 籲「專法化」防數位極權
https://musou.watchout.tw/read/fpLszwVXQxteIIe2WVQL
資訊戰專家沈伯洋:數位身分證規劃不周,台灣面對中國威脅「死更快!」
https://musou.watchout.tw/read/GTjDRLVYGEXfkZWTBc6m
H.工控系統/ICS/SCADA 相關資安
美國國家資安單位警告:製造業應嚴防針對Triconex資安漏洞進行的駭侵攻擊
https://www.twcert.org.tw/tw/cp-104-3812-f0188-1.html
Schneider Electric Easergy Builder 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7516
Schneider Electric Software Update 輸入驗證錯誤漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7520
OT 資安搞不定?工業通訊專家 Moxa 從基礎開始告訴你該怎麼做
https://buzzorange.com/techorange/2020/07/29/moxa-talks-about-ot-security/
攻防實戰演練:六大課程、四部曲強化工控資安戰力
https://secbuzzer.co/post/205
工業級VPN安全路由器存在重大漏洞,臺廠Moxa接獲通報並修補
https://www.ithome.com.tw/news/139118
工業級VPN產品爆RCE漏洞,危及工控系統
https://www.ithome.com.tw/news/139092
NSA Urgently Warns on Industrial Cyberattacks, Triconex Critical Bug
https://threatpost.com/nsa-urgent-warning-industrial-cyberattacks-triconex/157723/
I.教育訓練
CISSP PRACTICE QUESTIONS – 20200725
https://wentzwu.com/
プライム・ストラテジー、「PHP 7 技術者認定初級試験」模擬試験無償公開
https://news.mynavi.jp/article/20200728-1179387/
ログ分析トレーニング用コンテンツの公開
https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html
Log Analysis Training
https://jpcertcc.github.io/log-analysis-training/
ログ分析トレーニング
https://github.com/JPCERTCC/log-analysis-training
Pen Testing ROI: How to Communicate the Value of Security Testing
https://www.darkreading.com/vulnerabilities---threats/pen-testing-roi-how-to-communicate-the-value-of-security-testing/a/d-id/1338257
J.物聯網/IOT/人工智慧/車聯網/光聯網/深度學習/機器學習/無人機/人臉辨識
物聯網裝置存在多項隱藏漏洞安全性問題被一一證實
https://www.21ic.com/article/825549.html
The Hacker Battle for Home Routers
https://www.bankinfosecurity.com/hacker-battle-for-home-routers-a-14706
6.近期資安活動及研討會
夏日轉職工作坊-UI/UX 08/01(六)
https://www.meetup.com/TaipeiWomeninTech/events/271913121/
COSCUP 2020 8/1
https://coscup.org/2020/zh-TW
TWJUG 202008 聚會 8/1
https://www.meetup.com/taiwanjug/events/272115926/
Coffee & Code 8/2
https://www.meetup.com/Innovate-Taiwan/events/272039322/
中華電信學院 無人機操控證照輔導班 基本級2KG以下(台北平日全科班) 8/3 ~ 8/6
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=163
#33 Azure Data Explorer 彎道超車 Elasticsearch - 五倍的馬士現身說法 8/5
https://www.meetup.com/Azure-Taiwan/events/271347892/
中華電信學院 資通安全專業課程訓練 網路安全檢測 8/5 ~ 8/6
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=169
【AWS】Security Engineering on AWS 雲端資訊安全認證課程 8/5 ~ 8/7
https://www.accupass.com/event/2005270919111855176110
109年度教育訓練 — 從系統層級來看聯網裝置資安 8/6
https://www.hcrc.edu.tw/education_detail/102
SITCON 2020 8/8
https://sitcon.org/2020/
中華電信學院 無人機操控證照輔導班 基本級2KG以下(台中平日全科班)
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=165
CYBERSEC 2020 臺灣資安大會 8/12
https://cyber.ithome.com.tw/
AI/BigData技能養成班系列課程-白帽駭客認知班(確定開課) 8/14
https://www.accupass.com/event/2005060928471871405427
高雄場-資安趨勢暨物聯網(IoT)資安探討 8/17
https://tacert.mis.nsysu.edu.tw/p/404-1257-207359.php
DevDays Asia 2020 Online 亞太技術年會 8/19 8/20 8/21 8/25 8/26
https://seminar.ithome.com.tw/public/live/devdays/
【資安初階課程】Google hacking & Shodan實務 上課時間: 2020/8/20 (四) 09:30 ~ 16:30
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3905&from_course_list_url=homepage
臺北場-資安趨勢暨網路攻防技術 8/20
https://tacert.mis.nsysu.edu.tw/p/404-1257-237050.php
自然語言處理技術再進化,Google BERT讓聊天機器人更能理解人類意圖,進入全新境界 8/22
https://www.techbang.com/posts/78985-course-bert-technology-practice
SDN x Cloud Native Meetup - Webinar 海外篇 #5 8/22
https://www.meetup.com/CloudNative-Taiwan/events/272097499/
NISRA Enlightened 2020 8/24
https://nisra.kktix.cc/events/2020enlightened
中華電信學院 109 年 暑期 CCNA 網通證照實戰營(高雄) 8/24
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=172
中華電信學院 無人機操控證照輔導班 基本級2KG以下(高雄平日全科班) 8/225 ~ 8/28
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=166
開源碼網管軟體實作(高雄上機實作)8/26
https://tacert.mis.nsysu.edu.tw/p/404-1257-207353.php
中華電信學院 資通安全專業課程訓練 勒索軟體與釣魚平台防護實務 8/27 ~ 8/28
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=63
交通大學亥克書院 新世代企業資安治理: 現今企業經營所面臨之挑戰 8/28
https://hackercollege.nctu.edu.tw/?p=1190
中華電信學院 資通安全專業課程訓練 網站弱點偵測與防護管理 9/4
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=58
交通大學亥客書院 電子郵件之偽造攻擊與防護措施 9/5
https://hackercollege.nctu.edu.tw/?p=1203
台灣駭客年會 HITCON Training 2020 9/5
https://hitcon.kktix.cc/events/hitcon-training-2020
台灣駭客年會 HITCON Training 2020 - 學生報名 9/5
https://hitcon.kktix.cc/events/hitcon-training-2020-student
認證系統安全從業人員 SSCP 輔導班 9/5 ~ 9/13
https://www.iiiedu.org.tw/courses/asq902t2001/
中華電信學院 資通安全專業課程訓練 物聯網資安威脅與實務 9/9 ~ 9/11
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=54
邊緣計算系統之大數據與深度學習應用 9/11
https://reurl.cc/62OD9k
HITCON 2020 台灣駭客年會 9/11
https://hitcon.kktix.cc/events/hitcon-2020
交通大學亥客書院 基礎網頁安全與滲透測試 9/12
https://hackercollege.nctu.edu.tw/?p=1205
數據分析與機器學習案例實務(二)應用實例 上課時間: 2020/9/14 (一) 09:30 ~ 16:30
https://reurl.cc/1xAoMp
中華電信學院 資通安全專業課程訓練 Web應用滲透測試 9/16 ~ 9/17
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=167
邊緣計算系統之大數據與深度學習應用 上課時間: 2020/9/18 (五) 09:30 ~ 16:30
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3895&from_course_list_url=homepage
交通大學亥客書院 緩衝區溢位攻擊與預防 10/17
https://hackercollege.nctu.edu.tw/?p=1207
中華電信學院 自主式移動機器人ROS開發實戰班 10/20 ~ 10/23
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=188
交通大學亥客書院 入侵行為發覺與應變指南 10/24
https://hackercollege.nctu.edu.tw/?p=1214
交通大學亥客書院 進階網頁滲透測試 10/31
https://hackercollege.nctu.edu.tw/?p=1216
交通大學亥客書院 阻斷服務攻擊/分散式阻斷服務攻擊/Botnet 11/7
https://hackercollege.nctu.edu.tw/?p=1218
交通大學亥客書院 基礎網站安全建構實務 11/14
https://hackercollege.nctu.edu.tw/?p=1220
交通大學亥客書院 系統防護及內網威脅通報應變實戰班 11/17、11/24
http://service.tabf.org.tw/tw/user/409646/course1-4.htm
交通大學亥客書院 惡意程式檢測實務 11/21 11/28
https://hackercollege.nctu.edu.tw/?p=1222
交通大學亥客書院 高階網頁滲透測試 12/5 12/12
https://hackercollege.nctu.edu.tw/?p=1224
交通大學亥客書院 系統滲透測試與漏洞利用 12/19
https://hackercollege.nctu.edu.tw/?p=1226
交通大學亥客書院 AI於資訊安全之應用 2021/1/9 1/16
https://hackercollege.nctu.edu.tw/?p=1228
交通大學亥客書院 企業網域控管-Active Directory攻擊與防禦 2021/1/23
https://hackercollege.nctu.edu.tw/?p=1230
沒有留言:
張貼留言