2014年2月25日 星期二

全球知名購物網站密碼效能評比

全球知名購物網站密碼效能評比


密碼管理服務公司 Dashlane 以提供線上購物服務的 100 家知名品牌為樣本,進行了密碼安全調查,提醒網購族在這些購物網站消費時,必須謹慎注意密碼設定,以防止所提交的個人機密隱私,像是信用卡等資訊被不肖人士竊取,並遭非法利用。

以下為該調查結果:

●密碼強弱度未被強制規範
55% 接受調查品牌仍然允許用戶建立強度較弱的密碼,像是屢獲糟糕密碼排行榜常勝軍的 123456 及 password 仍然被允許使用。

●密碼登入次數應被規範
51% 業者允許用戶進行 10 次以上的密碼登入嘗試,其中包含:Amazon、Dell、Best Buy、Macy’s 及 Williams-Sonoma 等業者。一般來說,嘗試登入網站超過 5 次,該站應該進行用戶封阻,以防止潛藏地資安風險。

●多數業者評比分數不佳
64% 業者在該調查中的評比數據皆為負值,顯示其用戶密碼建立政策存有高風險。

●密碼建立過程未被正確導引
61% 業者在用戶註冊帳號、建立密碼的過程,並沒有提供適當的建議,並有高達 93% 業者在這過程中,未於屏幕顯示密碼為強或弱之提示。

●蘋果(Apple)為唯一滿分業者
只有 10% 業者在這項評比中的分數為正值,其中蘋果獲得滿分,是這次調查中的資優生。

●傳輸密碼資訊需加密
該調查亦指出,有 8 家業者未以未加密郵件寄發密碼資訊,成為被駭客覬覦的目標。
以下為該評比之資訊圖表,哪些品牌的密碼政策較佳,哪些則該列入觀察名單呢?下表將給你一個清晰的輪廓。




文/ Chienyi Liu, Director at Online Business Department 02/07/2014
參考資料:INFOGRAPHIC: The Illusion of Personal Data Security in E-Commerce
圖片來源:Gts / Shutterstock.com
轉載自《WIS Blog》

竊聽風暴:Android平台https嗅探劫持漏洞

竊聽風暴:Android平台https嗅探劫持漏洞

0x0 前言
       去年10月中旬,騰訊安全中心在日常終端安全審計中發現,在Android平台中使用https通訊的app絕大多數都沒有安全的使用google提供的API,直接導致https通訊中的敏感信息洩漏甚至遠程代碼執行。終端安全團隊審計後發現,騰訊部分產品及選取的13款業界主流app均存在此漏洞。

      此外,通過這個漏洞,我們發現了國內整個行業處理安全問題存在諸多不足,例如安全情報滯後、安全警告未得到應有的重視、安全行業缺乏良性的溝通環境等等。騰訊安全中心希望通過TSRC這個平台,跟業界同行和白帽子共同探討、共同提高,打造一個良性的安全生態環境,提升自己產品的安全性的同時也給我們的用戶帶來更好的安全保障。

0x1 原理分析
       在google的官方文檔中,詳細給出了若干種Android平台中使用https的方法。開發小夥伴在使用了這些代碼開發測試自己產品的https功能時,會發現發生很多種類型的https異常,相信不少有經驗的白帽子也遇到過類似的問題。簡單來說,根本原因是google的API會檢查https證書進行合法性。而開發或者測試環境的https證書,基本上都無法通過合法性檢查。

 API的檢查內容包括以下4方面的內容:
1.簽名CA是否合法
2.域名是否匹配
3.是不是自簽名證書
4.證書是否過期

      一旦發現任何異常,則會終止請求並拋出相應的異常。那小夥伴們在產品開發或者測試時怎麼辦呢?終端安全團隊審計後發現,絕大多數產品都採用了覆蓋google默認的證書檢查機制(X509TrustManager)的方式來解決這個問題。一個很典型的解決方案如下所示:



      相信許多白帽子看到這段代碼,已經發現問題在哪裡了:覆蓋默認的證書檢查機制後,檢查證書是否合法的責任,就落到了我們自己的代碼上。但絕大多數app在選擇覆蓋了默認安全機制後,卻沒有對證書進行應有的安全性檢查,直接接受了所有異常的https證書,不提醒用戶存在安全風險,也不終止這次危險的連接。實際上,現在所有的網頁瀏覽器,都會對這類https異常進行處理並提醒用戶存在安全風險,一個典型的提醒如下圖所示,相信不少小夥伴都曾經見到過這類提醒頁面吧。





      類似的問題,還有證書域名檢查(HostnameVerifier)部分,情況和上面說到的及其類似,因此不再贅述。

0x2 惡意場景
       想要利用這個漏洞進行攻擊,我們需要能夠進行流量劫持,去截獲並修改https握手時數據包:將握手時的服務器下發的證書,替換成我們偽造的假證書。隨後,全部的https數據都在我們的監控之下,如果需要,甚至可以隨意篡改數據包的內容。下面我們看看典型的惡意場景。

1.偽造公眾wifi進行劫持
       某日,一名黑客帶著他那台裝滿了「武器」的筆記本,激活了早已準備好的aircrack,靜靜的在星巴克坐了一個下午,夕陽西下,黑客握著一杯星巴克咖啡,消失在人群中,深藏功與名。隨後,下午在星巴克進行過網上購物的人都發現,自己銀行卡中所有的現金被無聲無息的轉走了。這並不是危言聳聽,本文探討的這個漏洞,完全就能夠做到這個效果。小夥伴們參考下圖我們審計時發現的某app信用卡綁定的https漏洞,所有的信用卡信息(卡號,有效期,CVV,密碼,驗證碼)全部洩漏。有了這些信息,盜走你的現金有什麼難度?

      從技術層面講,使用成熟的wifi偽造工具(如aircrack),黑客能夠製造出和星巴克官方一摸一樣的wifi信號。SSID,MAC地址,路由參數,統統都可以偽造。對於普通用戶而言,根本沒法分清楚眼前的wifi是星巴克還是猩巴克。



      2013台灣黑客大會中,主辦方建立的wifi「綿羊牆」(即通過偽造的wifi收集周圍人的密碼明文),旨在提醒人們注意公眾wifi的安全性。整個會議過程中,它抓到了很多密碼明文,其中不乏像phpMyAdmin的管理密碼(如下圖)。



      所以,小夥伴們,在不可信的wifi環境中,千萬別做敏感操作。或者,乾脆就不使用不信任的app。

1.城域網、DNS等其他形式的流量劫持
      相比而言,偽造wifi是比較容易實施的流量劫持方案。而城域網出口的流量劫持、DNS請求劫持、路由鏈路劫持等攻擊形式雖然相對困難,一旦成功實施,其影響將會是災難性的。大家還記得2010年伊朗黑客的那次dns劫持攻擊嗎?假如配合上我們今天所討論的https漏洞,會造成怎麼樣災難性的後果?



0x3 漏洞現狀
      為瞭解此漏洞的業界現狀,我們選取了13款使用https通訊的Android app進行分析,這些app全部來自業內大公司。分析結果顯示全部的13款app都存在上文描述的敏感信息洩漏漏洞。而洩漏的信息中,密碼明文,聊天內容,信用卡號,CVV號隨處可見。我們甚至還發現某些app的自動升級過程中使用的https通訊存在同樣的問題,劫持流量後替換升級包的url後,該app會下載惡意的升級包並自動升級,直接造成了遠程代碼執行。
      我們相信,業界絕大多數使用https的app都存在類似的漏洞。在發現此漏洞後,我們已經第一時間將漏洞的技術細節同步給國家互聯網應急中心(CNCERT)以及發現存在此漏洞的友商。

0x4 後記
       我們在發現、修復、溯源此次漏洞的過程中,發現了國內整個行業處理安全問題存在諸多不足。

轉載自《騰訊安全應急響應中心》

愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

網路犯罪份子之前就利用過RTF(Rich Text Format)檔案,不過看來最近他們又更有創意的去利用這個格式。

Trojan 木馬

趨勢科技之前談論過CPL檔案如何被嵌入到RTF文件,並且以附件檔的方式傳送給目標受害者。這些CPL檔案接著會下載惡意檔案並執行在受影響的系統上。

早期樣本裡的指示使用的是葡萄牙文,不過現在較新的樣本則是使用德文:


圖一、德文的RTF文件

總的來說,所用的手法還是一樣 – RTF檔案內含一個嵌入的「收據」,並指示使用者去打開這份收據。打開該檔案會執行CPL惡意軟體,它會接著下載其他的惡意檔案。


圖二、RTF文件碼

在此案例裡,該網址已經無法存取,所以我們無法百分百地肯定接著會下載的是什麼。不過之前的案例使用過資料竊取程式,所以這次很有可能也是一樣。我們將這CPL惡意軟體變種偵測為TROJ_CHEPRTF.SM2 木馬病毒。

另一起案例也將惡意軟體嵌入RTF檔案,但這次的嵌入惡意軟體屬於ZBOT惡意軟體家族。這個ZBOT變種被偵測為TSPY_ZBOT.KVV 木馬病毒,它會竊取使用者名稱和密碼,像是電子郵件、FTP和網路銀行。

這些事件強調了網路犯罪技術一直在提升。RTF文件可能已經被用在許多案例之中,只是使用者並不知道RTF檔案可以被用來散播惡意軟體。即使他們知道,他們也未必能夠很容易地確認哪些檔案是惡意的,而哪些不是。

此外,使用RTF檔案來散播ZBOT並不尋常,因為它通常是透過其他的方式(如下載程式、惡意網站或垃圾郵件)散播。這顯示出網路犯罪份子是如何地願意接受新方法來達到自己的目的。

趨勢科技強烈建議使用者在打開電子郵件和附件檔時要小心謹慎。在可以確認之前,絕對不要下載並打開附件檔。企業應該在網路上部署郵件掃描解決方案,並啟動對電子郵件的掃描。

原文出處:More Malware Embedded in RTFs 作者:Jeffrey Bernardino(威脅研究員)
轉載自《雲端運算與網路安全趨勢部落格》

歐盟2014個人資料保護日,倡議資料可攜權及個資規範革新

歐盟2014個人資料保護日,倡議資料可攜權及個資規範革新

  歐盟將2014年1月28日定為「2014個人資料保護日」(Data Protection Day 2014),倡議推動個人資料修法及規範革新,主要係位因應數位化時代,個人資料權利保護越形重要,並且為了強化保護線上隱私權利,歐盟執委會首於2012年1月25日所提出個人資料保護指令的修正草案─「保護個人關於個人資料處理及此等資料自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL(General Data Protection Regulation));該修正草案於2013年6月進入歐洲議會、理事會及執委會的三方協商,同年10月21日歐洲議會公民、司法與內政委員會(Committee on Civil Liberties, Justice and Home Affairs)審議通過,若進程順利預計將於2014年獲得通過,並於2016年生效施行。

  歐盟「2014個人資料保護日」會議中,特別提到此次修法,係為歐盟跨時代的個人資料保護規範革新工作,具有特別重要意義,並且倡議應對於資料可攜權(Right to Data Portability),明文法制化加以落實保障,包括加強資料當事人控制及近取個人資料的權利,資料當事人更容易近取(aceess)個人資料(第14、15條);資料當事人有資料可攜的權利(第18條),當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料(第18條(1)),且更容易自不同服務提供者間移轉個人資料。

  國際間對於「資料可攜」議題,正反意見均陳,並未達成共識。歐盟執委會提出個人資料保護指令的修正草案第18條,倡議將「資料可攜性」明文法制化,並要求資料蒐集、處理與利用者對以電子化方法持有的個人資料,需使用結構性、通用的格式,以便利並確保後續個人資料可攜性。此修正草案一提出,隨即引發國際間各重要國家的熱烈探討:有反對者認為,此舉無異將形成未來國際間貿易障礙;有贊成者從確保使用者權益觀點,認為未來智慧聯網(IoT)環境下,資料可攜性是不可避免的趨勢,賦予資料當事人法律權利,有助於個人資料的保護。各重要國家對歐盟修正草案立場及意見,值得加以探究,以觀察未來法制發展趨勢。

轉載自《資策會科技法律研究所》

2014年2月24日 星期一

CEH認證(道德駭客)官方網站遭駭客入侵

CEH認證(道德駭客)官方網站遭駭客入侵

CEH(Certificated Ethical Hacker)被業界稱之為道德駭客(正派黑客)認證。它是一個中立的技術認證,延自美國聯邦調查局(FBI)訓練人才課程。駭客攻防是信息安全領域中,最引人注意的部分,CEH就是學習如何面對並防範駭客的攻擊行為,不但要瞭解病毒、木馬或蠕蟲入侵行為,更要培養駭客的攻防技巧。

日前,國外駭客入侵EC-Council官網,這次攻擊造成了6萬多名安全工作人員的護照及照片ID曝光,其中包括了來自美國軍方、FBI、聯合國及NSA的成員。令人詫異的是,人們居然在這份曝光的信息中看到了由愛德華-斯諾登提交的個人護照及申請郵件。如下圖:


駭客在首頁留言如下:
Defaced again? Yep, good job reusing your passwords morons jack67834#
owned by certified unethical software security professional Obligatory link: http://attrition.org/errata/charlatan/ec-council/ -Eugene Belford P.S It seems like lots of you are missing the point here, I'm sitting on thousands of passports belonging to LE (and .mil) officials.

轉載自《FreebuF.COM》

2014年2月23日 星期日

滲透測試工具流行性大調查

滲透測試工具流行性大調查

全球有260萬信息安全專業人士,滲透測試工具是他們「安全軍火庫」中最常使用的裝備,但直到最近,可用的滲透測試工具才豐富起來,但這也帶來一個問題,挑選合適的滲透測試工具成了一件麻煩事,一個最簡單的方法就是參考同行們的選擇。

近日一位國外信息安全專家發起了一項滲透測試工具線上調查,來自世界各地超過700名安全專家參與了調查,目前調查尚在進行中,但是一些類別工具的流行度差異已經可以比較明顯地看出來。我們將其中一些調查結果摘錄在下面供大家參考:

01.參與調查人員的職業分佈,滲透測試專業人士居多


02..滲透測試時使用的操作系統,Kali Linux最受歡迎(41%),Windows(19%)和BackTrack(19%)次之。


03.最常使用的滲透測試框架,Metaspoit遙遙領先(82%)


04.最常使用的計算終端,筆記型電腦佔大多數(71%)


05.最常使用的密碼/網絡破解工具,John The Ripper最受歡迎(37%)


06.最受歡迎的網絡掃瞄工具,Nmap遙遙領先(74%)


07.最受歡迎的嗅探工具,Wireshark一騎絕塵(69%)


08.最受歡迎的藍牙測試工具,BlueScanner優勢明顯(49%)


09.最受歡迎的無線測試工具,Aircrack-ng遙遙領先(68%)


10.最受歡迎的Web應用/網站專業掃瞄工具,接近半數選擇Burp Suite


轉載自《FreebuF.COM》

2014年2月20日 星期四

約有五分之一手機等行動裝置惡意軟體會竊取用戶資料!!

約有五分之一手機等行動裝置惡意軟體會竊取用戶資料!!

在2013年,Android的惡意軟體不僅僅是在成長,而且還變成全面性的威脅情勢。不僅是威脅數量上的增加,這些威脅的複雜性和能力也都更加提升。


趨勢科技以前所提過的,手機平板等行動惡意軟體威脅數量已經跨越了一百萬大關,到了2013年底,已經有近140萬的惡意和高風險應用程式出現。我們相信到了2014年底,這個數字將會超過300萬。

哪些 2013 年的手機平板等行動裝置惡意程式會繼續向2014 邁進?

正如趨勢科技以前所提過的,行動惡意軟體威脅數量已經跨越了一百萬大關,到了2013年底,已經有近140萬的惡意和高風險應用程式出現。我們相信到了2014年底,這個數字將會超過300萬。

手機平板等惡意和高風險應用程式數量
圖一、惡意和高風險應用程式數量

不僅有更多威脅出現,這些威脅也變得更加多樣化。行動平台上的網路犯罪內容不再只是加值服務濫用而已,具備某些資料竊取能力的手機惡意軟體比例也從2013年初的17%成長到了年底的近四分之一。整體而言,行動惡意軟體約有五分之一具備某種形式的資料竊取功能

手機平板行動惡意軟體威脅類型分佈
圖二、行動惡意軟體威脅類型分佈

新的威脅和問題也在2013年冒出頭來。趨勢科技看到誘騙付費惡意應用程式成長了十倍,這類應用程式會試圖替使用者註冊他們通常不感興趣的付費服務。此外,我們還看到一個嚴重的漏洞 – 「master key」,它讓幾乎所有的Android使用者都陷入危險,只要安裝了攻擊者所修改過包含惡意程式碼的應用程式。惡意行動網站也在2013年出現。

展望2014年

這些將會持續發展到2014年,讓行動威脅情勢跟一般個人電腦上已經充分發展和成熟的狀況更加類似。行動威脅將會繼續在數量上成長,事實上會出現「大量製造」。此外,趨勢科技也預期會看到更多混淆和原生程式碼試圖躲避防毒軟體的偵測。

原文出處:Looking Forward Into 2014: What 2013′s Mobile Threats Mean Moving Forward
作者:Jonathan Leopando(技術交流)
轉載自《雲端運算與網路安全趨勢部落格》

2014年2月14日 星期五

Load Impact 網站壓力測試,你的網站能承受多少人,不掛掉?

Load Impact 網站壓力測試,你的網站能承受多少人,不掛掉?

這對一些有自行架站的朋友來說,你的網站能同時承受多少訪客人數,而不會讓你的網站掛掉,因為當人數一多會影響到網友開啟網站的速度,有可能就因為網友等過久白白損失了非常多客戶或影響到整個網站優化。

網站名稱:Load Impact
網站網址:http://loadimpact.com/

PS.免費版可測試至50 User同時在線上

第一步:在Load Impact首頁右方表格填入你的網站網址,並點擊「Run free test」按鈕。
Load Impact網站壓力測試


第二步:這時回跳出小視窗詢問你,要不要「讓你的測試結果不公開」,如果你不想要公開對外公開你的網站壓力測試,可以點擊「Yes,Sign up!」註冊會員。
Load Impact網站SEO優化
PS.但需要購買Load Impact的服務才可選擇不公開資訊。
如果想要免費測試你的網站,直接點擊「No, Start Test!」立刻進行測試。

第三步:接著就開始進行測試你的網站,會需要幾分鐘時間。下圖為跑完的網站壓力測試結果。
Load Impact壓力測試教學
主要是要觀察你的網站會不會因為訪各同時在線上增加,而造成網站的回應時間變慢,再透過這些數據將網站優化。
load impact網站測試結果

轉載自《黑馬寫不停》

2014年2月12日 星期三

卡巴斯基:發現世界上最狡猾的APT攻擊,病毒暗中傳播已有7年!

卡巴斯基:發現世界上最狡猾的APT攻擊,病毒暗中傳播已有7年!

卡巴斯基以「世界上最狡猾的APT行動」來形容The Mask。卡巴斯基並指出,有很多原因讓他們相信這是個國家級的間諜活動,例如在操作過程中的高度專業化,不論是架構管理、行動的中止,或是移除紀錄檔的方式等。


資安業者卡巴斯基實驗室(Kaspersky Lab)周一(2/10)揭發一個名為The Mask(Careto)的APT攻擊行動,自2007年起就涉及全球的間諜行動,迄今才被發現。

The Mask主要鎖定政府機關、外交辦公室、大使館、能源或石油企業、研究單位,特別是政府機關和能源企業,而且都是透過精密的工具進行攻擊。攻擊目的是竊取機密資料,諸如辦公室文件、加密金鑰、VPN配置、SSH金鑰,或是可用來開啟遠端電腦連結的RDF檔案。卡巴斯基並以「世界上最狡猾的進階持續性滲透攻擊(APT)行動」來形容它。

根據卡巴斯基實驗室的發現,The Mask團隊的主要語言為西班牙文,受害者遍布全球31個國家,從中東、歐洲、非洲到美洲,所使用的工具涵蓋極為複雜的惡意程式、rootkit、bootkit,鎖定平台除了Mac OS X與Linux外,還可能包括Android與iOS。

該實驗室表示,他們是在去年發現有人嘗試攻擊卡巴斯基產品於5年前修補的漏洞時注意到The Mask,因而展開進一步的調查。而且判斷被The Mask入侵的對象應該災情慘重,因為The Mask除了能夠攔截所有的通訊管道且蒐集重要資訊外,所使用的惡意程式能夠隱身、有額外的間諜模組,還內建許多功能。

卡巴斯基指出,The Mask在這幾年中起碼入侵了380個受害者,而且使用非常高階的攻擊程式、很精密的惡意程式,還能針對卡巴斯基的產品進行客製化的攻擊。The Mask的命令暨控制伺服器已在卡巴斯基展開調查後關閉。

卡巴斯基實驗室的全球研究暨分析總監Costin Raiu表示,有很多原因讓他們相信這是個國家級的間諜活動,例如在操作過程中的高度專業化,不論是架構管理、行動的中止,或是移除紀錄檔的方式等,這並非不是尋常網路犯罪集團的手法,也是迄今最先進的威脅之一。

原文出處:The Mask – Unveiling the World’s Most Sophisticated APT Campaign
轉載自《IThome》

行動App安全檢測 (Mobile App Security Testing)

行動App安全檢測
 (Mobile App Security Testing)

■ 課程簡介
本課程延續「 行動App在Android功能手機的應用基礎班」、「 Android 創意手機程式設計APP」課程,熟悉App開發後,在實際開發 App的過程中最常遇到的問題就是如何有效的測試,不同的裝置面板尺寸對應以及Use Case牽涉到GPS、陀螺儀、NFC等資訊輸入的介面,面對OWASP Top10 Mobile Risks常見的十大行動應用程式安全風險如何有效地進行測試?本課程將深入了解測試常見問題與安全注意項目,以縮短開發生命週期、提供更棒、更優質的App。

了解OWASP組織所公布的十大行動風險,在開發的過程中如何將安全規格置入、避免發生十大風險,在測試時如何檢測、利用合適的工具檢測與驗證。同時也探討時下流行的HTML5及Mobile Web在安全上的注意項目。

■ 課程特色
透過實機演練與講解的方式,使學員認識OWASP Top10 Mobile Risks,在開發的過程中可以將安全規格置入、避免發生十大風險,在測試階段具備檢測、利用合適的工具檢測與驗證的能力。提升行動安全的人才素質。

■ 適合對象
1. 欲了解行動裝置應用程式安全與BYOD行動裝置管理的人員
2. 對行動裝置應用程式安全有興趣的人員
3. 資訊產業對行動裝置應用程式安全要入門的從業人員
4. 欲培養行動裝置應用程式安全新產品與新服務開發之企業
5. 欲提昇未來『就業競爭力』,掌握企業界行動裝置應用程式安全實務的在學學生、研究生;

■ 課程大綱
日期
時間
課程大綱
5/8()
09:30-12:30
●探討 OWASP Top 10 Mobile Risks與行動裝置安全威脅現況
13:30-16:30
Mobile App檢測: 安全測試計畫與劇本
Mobile App檢測: 靜態安全分析
5/9()
09:30-12:30
Mobile App檢測: 動態安全檢測方法
Mobile App檢測: 自動化測試工具操作
13:30-16:30
HTML5Mobile Web安全注意項目
●行動個人隱私與個資安全注意事項與檢測方法
BYOD企業行動裝置管理

■ 上課地點:工研院產業學院 台北學習中心(實際地點依上課通知為準!)

■ 舉辦日期:2014/05/08(四)、2014/05/09(五) 9:30~16:30 ,共計12小時

■ 課程費用:
每人 7,600元整(原價NT$15,200,政府補助 NT$7,600,學員自付 NT$7,600)
本課程經工業局補助,上課學員皆需依工業局規定填寫相關資料,且學員出席時數需達報名課程時數八成以上,方可適用工業局補助,若未符合規定者,則需將其政府補助費用繳回。

■ 繳費方式:
ATM轉帳(線上報名):
繳費方式選擇「ATM轉帳」者,系統將給您一組轉帳帳號「銀行代號、轉帳帳號」,但此帳號只提供本課程轉帳使用,各別學員轉帳請使用不同轉帳帳號!!轉帳後,寫上您的「公司全銜、課程名稱、姓名、聯絡電話」與「收據」傳真至02-2381-1000梁小姐 收。

信用卡(線上報名):
繳費方式選「信用卡」,直到顯示「您已完成報名手續」為止,才確實完成繳費。
銀行匯款(公司逕行電匯付款):
土地銀行 工研院分行,帳號156-005-00002-5(土銀代碼:005)。戶名「財團法人工業技術研究院」,請填具「報名表」與「收據」回傳真至02-2381-1000梁小姐 收。

■ 預計招生名額:15名為原則,依報名及繳費完成之順序額滿為止(本班預計10人即開課)
■ 培訓證書:學員出席率達總時數八成以上,由工業技術研究院發給培訓證書
■ 連絡人:(02)2370-1111#317  梁小姐, 傳真號碼:(02)2381-1000
■ 報名方式:線上報名,或請將報名表傳真02-2381-1000

2014年2月10日 星期一

英國銀行個資外洩 2.7萬存戶受害

英國銀行個資外洩 2.7萬存戶受害


倫敦巴克萊銀行發生英國最大的銀行存戶個資失竊案,有2萬7000筆存戶的理財、健診、保險等個人資料檔案被偷,可能已經在黑市轉賣圖利。

銀行存戶資料是不肖交易業和黑市業務員眼中的巨大「金礦」。存戶資料不只戶頭號碼和存款金額而已,還包括其他敏感數據,像客戶的抵押貸款情況、他們的健診問題與保險細節,以及他們的護照與全國健保號碼。

這些資料流到黑市,動輒價值數百萬、數億元,因為資料泄漏的存戶成為各種投資騙局的目標而不自知。

巴克萊銀行7日晚上展開內部緊急調查,承諾全力配合警方偵辦,以及盡快通知受害人。

巨量個資如何被竊,目前還不清楚,但巴克萊如果被查出有使客戶個資陷入風險之失,可能面臨沒有上限的罰款。這類疏失違反英國的〈資料保護法〉。

本案是由一位匿名「吹哨者」揭發,吹哨者傳給倫敦《郵報》一個記憶卡,裡面有二千位巴克萊客戶的檔案。

他表示,這些只是樣品,總共有2萬7000筆檔案失竊,在不肖業務員手裡的每筆轉賣價格可能高達50鎊(台幣2500元)。他並表示,他從去年9月開始發現問題。

吹哨者自言當過商品經紀,他說:「這是我碰過的最大筆銀行存戶個資泄漏,這些非法交易在倫敦一直都存在,我要揭發,以免事情更惡化。」

《郵報》檢視那些「樣品」,每筆平均有20頁,受害者包括區公所、企業人士、科學家、音樂家和清潔工。

他們都曾向巴克萊尋求理財諮詢,在過程中透露詳細個資,包括心理、性向、習慣、嗜好方面的資料。吹哨者說,黑市營業員拿到這些資料,簡直成為受害人肚子裡的蛔蟲,很容易說服他們陷入投資騙局。

吹哨者表示,他本來在一家經紀(掮客)公司上班,公司內部有人拿到「巴克萊線頭」,循線找獵物(存戶),無所不用其極,包括為某種收入水平或存款額度的存戶量身打造子虛烏有的投資計畫。

吹哨者說,經紀公司要他把那些「線頭」賣給別的交易員,好好撈一筆,但他良知未泯,退出那一行。

他表示,2012年12月到2013年9月之間,他公司勸誘受害人買根本不存在的稀土,他估計有一千人被詐。

有些投資者起疑,他老闆下令毀跡,消滅一切證據,包括毀壞老闆自己的筆電和15袋文件,和公司所有電腦。老闆問他手上還有沒有「巴克萊線頭」,他說都已銷毀。「其實我留著,因為我認為這種行為過分到不行,我要阻止。」

轉載自《聯合晚報》

2014年2月7日 星期五

南韓爆發1.04億筆信用卡資訊外洩案,40%人口受影響!

南韓爆發1.04億筆信用卡資訊外洩案,40%人口受影響!

korea hack

竊取大量個資的是南韓信用評價組織所聘請的39歲朴姓電腦工程師,他負責開發可辨識偽卡的軟體,並有機會存取南韓三大發卡公司KB Kookmin Card、Lotte Card與NH Nonghyup Card的資料庫,自2002年5月到去年12月間多次趁機將資料庫中的個人資訊複製到USB裝置上,並在今年1月被逮捕。 

南韓於近日爆發1.04億筆的信用卡資訊外洩案,估計影響當地2000萬人,大約是南韓總人口數的2/5,甚至連南韓總統朴槿惠的個資都遭竊,此一堪稱是全球最大的個資外洩案引起了各地的關注。

根據外電報導,竊取大量個資的是南韓信用評價組織(Korea Credit Bureau)所聘請的39歲朴姓電腦工程師,他負責開發可辨識偽卡的軟體,並有機會存取南韓三大發卡公司KB Kookmin Card、Lotte Card與NH Nonghyup Card的資料庫,自2002年5月到去年12月間多次趁機將資料庫中的個人資訊複製到USB裝置上,並在今年1月被逮捕。

南韓金融監督院表示,朴姓工程師所竊取的個人資訊包括姓名、電話、社會安全碼、電子郵件、住址、薪水、每月的信用卡使用狀況及信用評等資料等,還有許多信用卡號碼也遭竊。

南韓檢察官則說,該名工程師曾將相關資料出售給一家電話行銷公司,但並無證據顯示這些資料已在市面上流通或遭到濫用。然而,此一消息已引起南韓民眾的恐慌,這三大發卡銀行的實體據點、客服中心,或網站,都充斥著欲撤銷卡片或詢問自己資料是否被竊的人潮,更有民眾已聘請律師提起訴訟。

由於茲事體大,南韓總理鄭烘原已下令要嚴加懲處應負責的機構,本周一(1/20)三大發卡銀行的執行長罕見地聯合召開記者會,以鞠躬向客戶道歉,並承諾會補償任何所招致的客戶損失。

南韓政府一向鼓勵民眾使用信用卡,以杜絕貪污、逃漏稅,並促進當地經濟,估計南韓平均每人擁有5張信用卡。南韓金融服務委員會主席申齊潤表示,這是一個典型的人為災難,倘若發卡銀行遵循既有的基本安全規範即可避免。迄今這三大發卡公司與相關服務業者已有43名高階主管提出辭呈以示負責。

轉載自《iThome》

馬來西亞個人資料保護法於2013年11月15日正式施行

馬來西亞個人資料保護法於2013年11月15日正式施行

  馬來西亞於2010年訂定個人資料保護法(Personal Data Protection Act, PDPA),惟當時並未立即施行,至2013年11月15日,才連同相關規則、命令正式施行。

  任何因商業往來而取得個人資料之人,在馬來西亞境內以自動化工具處理(或授權、控制個人資料之處理)時,都必須遵循該法及其相關法令的規定。否則,將有可能面臨50萬元令吉(相當於新台幣450萬元)罰鍰或三年以下有期徒刑

  除此之外,2013年個人資料保護命令(Personal Data Protection Order 2013)更規定,通訊業、金融業、保險業、健康、遊樂業、運輸業、教育、直銷業、服務業、不動產業、公益事業等11種行業別的資料利用者,必須在2014年02月15日前向個資保護委員會註冊並取得執照

  針對施行前蒐集的個人資料,該法賦予三個月的寬限期,然而施行後所蒐集者立即適用,其中包括以下規定:
1.告知當事人蒐集目的、有權請求存取及更正,並提供聯絡窗口、電話、傳真號碼或e-mail等相關資訊,於21日內回覆當事人請求;
2.除履行契約所必要等情形外,處理個人資料前應取得當事人同意,且該同意若係透過既有表單取得,外觀上應與其他事項有所區別;
3.在蒐集目的內利用個人資料,將個人資料提供予第三人時,應定期維護該名單;
4.實施並確保從業人員遵循安全政策,該政策須符合個資保護委員會所定安全標準;
5.確保個人資料之完整性、正確性及最新性;
6.制訂保存期間政策;
7.除接受國事先經過核准、取得當事人同意或已盡相當能事確保個人資料不會以違反個資法規定之方式處理外,原則上禁止國際傳輸等。

  馬來西亞由於該法的施行,早先於新加坡成為東協十國當中,第一個全面實施相關法規的國家,通訊暨多媒體部部長Ahmad Shabery Cheek表示,此舉將有助於馬來西亞躋身已開發國家之林。

轉載自《資策會科技法律研究所》

2014年2月6日 星期四

18購物網洩個資 詐9千萬 官方竟拒公布業者「民眾難防範」

18購物網洩個資 詐9千萬
官方竟拒公布業者「民眾難防範」


台灣網購市場去年突破五千億元,但刑事局統計半年多來一六五反詐騙報案資料,發現全台有十八家購物網站疑個資外洩,淪為詐騙集團詐騙工具,造成民眾近九千萬元損失,刑事局將相關資料移請經濟部依《個資法》裁罰,其中「PG美人網」等七家業者坦承個資外洩,但刑事局及商業司均拒絕公布涉案個資外洩的購物網站。

佯稱須取消分期
刑事局表示,「PG美人網」、「歐克團go網」、「灰熊愛讀書」、「五南網路書店」等十八家購物網站,歹徒致電買家時,都能列舉買家購物明細、付款方式,甚至信用卡卡號,致使被害人信以為真,進而透過ATM轉帳至人頭帳戶受騙。

其中「PG美人網」、「歐克團go網」兩網站,光是去年十二月上半月就有一百零八位買家,接到歹徒要求配合取消分期付款的電話而受騙,被騙金額達四百五十二萬元,兩網站事後也坦承個資外洩。

刑事局表示,清查時有十一家購物網站否認個資外洩,但一家網路服飾品牌,去年九月至十一月就有兩百位民眾報案稱遭詐騙,遭騙高達六百五十萬元;另家網路雜貨店近百件報案紀錄中,有被害人被騙達三十六萬元。

經濟部商業司長游瑞德昨表示,去年底接到刑事局公文,今年一月已去函要求其中七家業者查證、回報,並限期二月底前回覆商業司。未來若確認外洩事證,商業司除要求業者出示改善計劃外,也會祭出罰款。對於七家業者名單,商業司官員也以調查中拒絕公開。

洩露個資 購物網站
「已籲會員注意」

《蘋果》昨致電PG美人網、歐克團go網及灰熊愛讀書,但三家網站總機均無人接聽,無法取得回應;五南網路書店莊先生則說,公司已加強防火牆功能,也呼籲會員注意。

對於官方拒絕公布個資外洩的購物網站,消基會董事長張智剛批評,詐騙集團已掌握買家網購的詳細資訊,去電會讓買家誤以為就是購物網站打來的,「公布資訊,至少讓消費者接到這些電話,可主動打電話向業者求證,減少被詐騙機會。」

延伸閱讀:
網購洩個資 花690元買包 被騙10萬
購物網個資疑外洩 上百民眾遭騙400萬元


轉載自《蘋果日報》

2014年2月5日 星期三

駭客詐騙集團聯手 瞄網購竊個資

駭客詐騙集團聯手 瞄網購竊個資

刑事局發現,國內電子商務網站個資外洩事件層出不窮,雖個資法規定業者有安全防護措施、配合主管機關行政檢查義務,但由於目前國內經營電子商務並非採取特許制,通過審查後才能核准經營,因此國內網站在成本考量下,多採用免費或套裝軟體架設,且未定期更新修補程式或安全性修正,造成網站資安防護能力普遍不足。

刑事局科技犯罪防制中心呼籲業者,應多重視網站本身安全機制,尤其近期分析駭客多以SQL Injection及Cross-site scripting (XSS)攻擊手法成功入侵網站竊取個資,業者網站本身應儘量勿委外設計、聘請專屬網路與資訊管理人員、架設防火牆、防毒軟體、不定期檢查網站紀錄(LOG)、不開啟來路不明惡意程式及定期接受資安訓練等作法,強化個資安全防護,降低民眾隱私外洩受害。

轉載自《中時電子報》