【資安月報】2022年10月
全球資料外洩事件頻傳,本月國內傳出2300萬國民資料被兜售於資料外洩地下論壇的情形,受到國人極大關注,在初期被公開的部分資訊中,當中就包含了宜蘭縣20萬筆個資。
消息曝光隔日,數位發展部資安署公布了初步調查,他們指出,比對該資料格式後,發現與內政部戶政資料差異很大,研判非戶政資料外流。不過,目前尚未公布這批資料是如何取得或拼湊而成,也有學者認為這批資料可能是之前政府要求資料介接時,由其他單位流出去,但還未獲得證實。關於後續的調查結果,有待數位發展部資安署進一步揭露。
值得關注的是,近年國內每隔幾年就傳出大規模資料被兜售,或是資料外洩事件的相關消息,像是。
而現在2022年的這批資料,究竟是如何取得或拼湊而成,如今的數位發展部資安署雖然提到研判非戶政資料外流,但應該還是要釐清這些資料來源,有待政府能公布進一步的調查結果。
關於近年國內政府機關個資外洩事件,我們首先也還會聯想到,,說明他們接獲外部情資,得知有國外網站揭露該機關所擁有的59萬筆個人資料,並表示疑似外洩資料的資訊系統,其實早就在2015年3月下線,因此不確定外洩時間與過程。
對於政府機關擁有的國民資料外洩,其影響性引發大眾憂心,例如我們可以想像到,政府官員可能處於危險,民眾可能遭受詐騙,
國際上,大規模國民資料被兜售情形仍持續不斷
不只是臺灣,最近一段期間,在國際間,不少國家發生政府機關個資外洩事件,也反映這樣的狀況仍持續不斷。例如,,有人在資料外洩地下論壇兜售該國10億國民個資,不僅標榜資料來自當地政府機關,且內含犯罪記錄與就醫情形,引發全球關注。
而在今年5月,,有人出售該國2千萬國民的個人資料,並宣稱資料取自於馬來西亞國家註冊局,包含從1940年到2004年的出生人口資料。
而歐美各國的政府機關,其實也都有陸續有這樣的消息,除了有國家或地方政府民眾資料外洩、政府委外廠商遭駭使民眾資料外洩,也有像是大型電信業、保險業的大規模個人資料外洩事件。例如,,該國司法部積極介入調查,直到2020年確認並指控是4名中國軍人所為。
特別的是,近期還有一項消息格外引發我們關注,今年10月澳洲媒體揭露南美哥倫比亞政府遭駭,導致執法單位資料外洩一事,令人意外的是,這起資料外洩事件,連帶影響了該國與澳洲等其他國家的打擊犯罪行動,因為被竊取的資料中,包含毒販洗錢網路、臥底警探身分資訊,以及警方採用策略。
此外,澳洲聯邦警察之所以得知此事,是經過澳洲雪梨晨鋒報通知才知曉,而且報社也配合讓警方能緊急因應,而推延了報導上刊時程,這也展現出公私聯防。
新舊資料外洩狀況複雜,已是現今時常看到的情況
再回頭看看國內民間企業,不只是政府機關,還有國內企業也傳出大規模個資外洩,特別是求職網站服務業者,其擁有的國人個資內容也不少。包括2019年10月,有人在暗網出售兩家求職網站所擁有的個人資料,均多達數百萬的個資數量,像是一零四資訊科技指出該批資料是2013年的舊資料,1111人力銀行指出是9年前舊資料。
對於普遍民眾而言,更有感受的是電商平臺疑資料外洩引發的詐騙,因為許多詐騙集團不只知道民眾個資,還知道會員的近期訂單資訊,可以藉此取得受害者的進一步信任。
因此,刑事警察局165反詐騙每周都會公布解除分期民眾通報高風險賣場名單,只是鮮少有業者公布資料外洩或公布調查。究竟是平臺端、還是平臺配合物流端,還是使用者端資料外洩,若以如此大量通報情況來看,理應不是使用者端的問題。
甚至,去年國內還發生委託同一資訊系統商的數十個愛心協會,發生捐款個資外洩事件,這也突顯非營利機構如何在資源有限下做資安的議題。
因此,每個人也該多想想的是,在提供個資給他人之前,對方為何需要這些資料,如果沒有使用必要,盡量不要將自己的個資暴露在風險之下。而對於資料外洩情況也應有所認知,面對可能的各式名義詐騙,才會多些警覺性。
外洩資料若被重複利用兜售,或許我們該想想怎麼做
無論如何,個資外洩是不可逆的,畢竟個資無法輕易修改,在這樣的環境之下,也讓我們思考,隨著資料不斷被彙整拼湊,這樣的事件是否也會沒完沒了的情形。
這也讓我們想到近期國際資安事件中,有攻擊者採取MFA疲勞轟炸攻擊的手段,不斷觸發非採實體安全金鑰的MFA核准通知去嘗試非法登入,導致企業員工應接不暇誤按中招,也有類似的意味。
資料外洩是否也會有如此情形,一再有外洩資料被重複、調整形式或整併而兜售,是否也可能造就一種疲勞轟炸地攻擊方式,讓政府或企業單位不得不每次應對,造成人力與時間成本的耗損。
或許,這就要由一開始發現兜售情形的資安業者或資安研究人員就能識別兜售者的可信度。
另外這裡再舉一個例子,雖然不是屬於個資外洩的事件,但也有同樣外洩資料被再三利用的議題,或許也讓我們反思。這裡要談的是一起勒索軟體攻擊事件,眾所周知,近年來勒索軟體攻擊都演進為多重勒索手段,也就是不僅藉由惡意加密檔案勒索贖金,還會藉由外洩機敏資料來要脅贖金。
值得關注的是,今年7月開始,我們看到,目的是讓犯罪社群更能有機會充分運用這些竊得的資料。
特別的是,國內似乎也有企業遭遇這樣的問題,例如,在今年10月初,勒索軟體駭客組織RansomHouse聲稱攻擊國內記憶體模組大廠威剛,聲稱竊取1TB的資料,但威剛調查後表示,經檔案比對,是去年勒索軟體駭客Ragnar Locker攻擊事故竊取的資料。而這樣的狀況,也令這些業者的應對成為挑戰。
想在住家的頂樓裝太陽光電聽說可發揮隔熱功效一線
推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。
網頁設計最專業,超強功能平台可客製化
窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。
回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念
產品缺大量曝光嗎?你需要的是一流包裝設計
窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。
綠能、環保無空污,成為台中電動車最新代名詞,目前市場使用率逐漸普及化
台中景泰電動車行只是一個單純的理由,將來台灣的環境,出門可以自由放心的深呼吸,讓空氣回歸自然的乾淨,減少污染,留給我們下一代有好品質無空污的優質環境
好山好水露營車漫遊體驗
露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製
推薦評價好的iphone維修中心
擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢
南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務
回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念
Google地圖已可更新顯示潭子電動車充電站設置地點!!
日本、大陸,發現這些先進的國家已經早就讓電動車優先上路,而且先進國家空氣品質相當好,電動車節能減碳可以減少空污
南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務
在10月初的資安新聞中,微軟Exchange伺服器的零時差漏洞ProxyNotShell(CVE-2022-41040、CVE-2022-41082)最受關注,在資安業者的事件調查中才使此漏洞曝光,儘管微軟公布緩解措施,又傳出緩解能被繞過的消息,以及一再釋出新緩解對應的消息,讓企業人員可說是疲於奔命。
在攻擊態勢上,利用已知漏洞的問題不斷,較特別的是,關於利用驅動程式漏洞的攻擊有兩起,一是北韓駭客組織Lazarus成功利用了CVE-2021-21551漏洞,一是在勒索軟體BlackByte亦利用了自帶驅動程式攻擊手法(Bring Your Own Vulnerable Driver,BYOVD),在電腦植入具有漏洞的驅動程式用以提升權限。此外,本周美國公布了一份中國駭客最常利用漏洞的清單,共有20個,Log4Shell居於第一,Pulse Secure VPN漏洞CVE-2019-11510居於第二,當中大部分為2021年揭露的漏洞。
在攻擊手法方面,受關注的包括:駭客組織Witchetty將惡意軟體埋藏在Windows圖案的BMP圖片檔案格式,以及有駭客打造針對微軟SQL Server的後門程式Maggie,還有,國家級駭客利用惡意軟體CovalentStealer及滲透測試工具Impacket鎖定國防單位入侵,這些攻擊行動相當值得留意。
另外,還有一起美國FTC定罪判刑案件受關注,原因是2016年遭駭當時的Uber資安長蓄意隱瞞公司與FTC,這導致了駭客免於落網,之後駭客又得以成功入侵另家公司,美國司法部此舉,強調保護使用者,以及資安事件通報主管機關重要性。
本週的資安新聞中,又傳出針對微軟Exchange伺服器、Zimbra零時差漏洞入侵的消息,突顯企業電子郵件系統持續成為駭客組織的鎖定目標。此外,Fortinet的CVE-2022-40684漏洞修補通知亦成焦點,該公司相隔三日才公布於官方資安通告網站,並說明已有相關攻擊行動。
在威脅趨勢上,滲透測試工具Brute Ratel C4出現破解版並在網路犯罪圈散布,最受注目,還有簡體中文管理介面Alchimist的C2框架與Insekt惡意軟體被揭露,以及名為Caffeine的網釣攻擊套件租賃服務(PhaaS)興起的消息。
在國際的資安事件中,美國10多座機場網站遭DDoS攻擊,Toyota揭露一起關於委外管理與稽核不足的情形,以及三家澳洲公司近期接連揭露發生資安事件的消息,引發不小的關注。
至於資安產業防護動向上,Google將推出的FIDO Passkey受到極大關注,以及半導體產業中的SEMI E187的設備資安標準的Reference Practice指引本週釋出。
本週資安新聞中,以Apache軟體基金會(ASF)呼籲用戶盡速更新,以修補CVE-2022-42889漏洞的消息最受注目,因為有研究人員指出這樣的漏洞,有可能會引發類似Log4Shell的效應,因此又被稱之為Text4Shell。
在威脅趨勢上,勒索軟體危害是最大焦點,本周新聞中就有多項消息,例如,烏克蘭、波蘭物流業者,澳洲保險業,印度藥廠,以及日本兩家科技業者都是新的受害者,甚至德國報社集團旗下多間媒體的紙本電子作業都停擺;另外,在勒索軟體攻擊態勢上,有研究人員揭露,近期勒索軟體Venus鎖定遠端桌面連線服務的行動,以及勒索軟體Magniber利用夾帶惡意JavaScript指令檔方式以及迂迴手段發動攻擊的行動。
不過也有好消息,勒索軟體DeadBolt被國際執法單位與資安業者智取,成功拿回150個解密金鑰,9成NAS設備受害者有機會解密。
還有值得關注的一些威脅,像是印度Tata Power發電廠遭網路攻擊,關鍵基礎設施安全防護受注目;哥倫比亞警方遭駭導致跨國合作緝毒曝光,甚至危及澳洲臥底警探身分;通常為國家級駭客使用的UEFI惡意程式,近期有駭客正在兜售一款BlackLotus;竊密軟體Ducktail透過記憶體內執行PHP指令碼,竊取瀏覽器的帳密資料與受害者臉書帳號。
國內方面,行政院修正禁用中國資通產品條例受關注,擴大禁用範圍並要求例外使用需經2位資安長同意。
本周國內傳出戶政資料被放在駭客論壇Breach Forums(breached.to)上兜售的消息,在,經初步比對該論壇提供的個資資料,該資料格式與戶役政資料差異甚大,相關資料並非從內政部戶政司全球資訊網()洩漏,目前檢調單位已進行調查,儘管強調戶役政資訊系統採內外網實體隔離架構,資料並未流出,但實際情形,政府必須明查。目前,這批資料可能是2018年內政部應行政院主計總處要求數據介接時,由其他單位流出去,但還未獲得證實。
在漏洞利用新態勢方面,在,開始被駭客組織用於攻擊行動,必須盡速修補的消息,包括2020年技嘉、思科AnyConnect Secure的各兩個漏洞,2021年Linux Kernel的一項漏洞,以及今年Zimbra ZCS與蘋果iOS、iPadOS修補的一項漏洞。
其他已出現攻擊行動的消息,包括近期的Apache Commons Text重大漏洞Text4Shell,以及幾個月前的微軟MoTW漏洞。另外,OpenSSL預告在11月1日修補重大漏洞,成為下個月首要關注焦點。
在威脅態勢上,近來有網路攻擊行動是鎖定Docker與K8s,還有殭屍網路Emotet最新攻擊出現,以及GitHub上的PoC被揭露,平均十個就有一個是惡意軟體。
https://www.ithome.com.tw/news/154033
