資安漏洞、車聯網
Subaru 的車聯網系統 STARLINK 存在嚴重安全漏洞。駭客只需要少量個人資訊(像是姓名和郵遞區號),就能遠端控制車輛,包括發動引擎、解鎖車門,甚至存取車主個資與車輛行駛記錄。
漏洞問題與影響
這次的漏洞主要來自 STARLINK 的權限管理與資料保護機制不夠嚴謹,導致駭客可以透過少量個資(如姓名和郵遞區號)繞過身份驗證,進一步執行以下攻擊:
密碼重設機制太弱,駭客可輕易變更車主密碼
雙重驗證(2FA)可被繞過,帳戶安全性大幅下降
員工權限過大,導致系統內部資訊更容易外洩
建議
為了避免成為駭客攻擊的目標,車主可以採取以下幾點措施:
定期更新車載系統與 App:確保 Subaru 釋出的安全修補程式已經安裝。
設定強密碼:避免使用簡單密碼,並定期變更。
啟用額外的驗證機制:若系統支援額外安全驗證(如硬體金鑰或應用程式驗證碼),務必開啟。
限制員工權限(適用於車廠):確保內部系統權限最小化,減少資料外洩風險。
這起事件再次提醒我們,車聯網雖然便利,但資安風險不容忽視。未來,車廠應更加重視使用者驗證機制與資料保護,確保駭客無法輕易入侵車輛系統,保障駕駛安全!
資料來源:
資安漏洞、AI
近年來,人工智慧(AI)技術快速發展,其中中國 AI 公司 DeepSeek 以其 DeepSeek-R1 模型聞名。然而,最近該公司卻因嚴重的資料庫安全漏洞,導致百萬筆機密資料外洩,讓全球資安專家高度關注!
漏洞介紹
資安研究團隊 Wiz Research 發現,DeepSeek 使用的 ClickHouse 資料庫 未設定身份驗證,導致以下問題:
資料庫可被任何人存取——無需密碼或授權,即可直接讀取內容
機密日誌外洩——包括聊天記錄、API 金鑰與內部機密資料
完全控制權限——攻擊者不僅能查看資料,甚至可修改或刪除內容
簡單來說,這個漏洞就像是 DeepSeek 把公司內部機密資料存放在一個沒上鎖的大門後面,任何人都能自由進出!
可能造成影響
這類資料外洩事件可能帶來嚴重後果,影響層面包括:
用戶隱私洩漏——如果 DeepSeek 內部聊天記錄涉及個人資訊,可能危害用戶隱私。
API 金鑰被濫用——駭客可利用外洩的 API 金鑰存取 DeepSeek 服務,甚至發動攻擊。
公司機密曝光——內部技術資料流出,可能影響 DeepSeek 的競爭力。
可能成為駭客攻擊目標——這次的事件可能讓 DeepSeek 成為未來攻擊者的關注對象。
建議
這起事件提醒所有 AI 企業,處理機密資料時必須建立更強的安全防護機制,以下幾點至關重要:
資料庫應強制身份驗證——確保存取資料的人經過驗證。
加密機密資訊——即使資料外洩,駭客也無法輕易解讀。
定期安全檢查——企業應主動測試系統漏洞,避免類似事件發生。
限制存取權限——確保只有必要的人員能查看或修改敏感資料。
即時監控異常活動——若偵測到異常存取,應立即通報並採取措施。
這次的 DeepSeek 資安事件再次提醒我們,AI 公司必須更加重視資料安全,確保使用者的隱私與企業機密不會輕易落入不法之徒手中!
資料來源:
資安事件、資安漏洞
最近,俄羅斯駭客利用 7-Zip 軟體中的一個重大安全漏洞(CVE-2025-0411)來攻擊烏克蘭的機構。這個漏洞能繞過Windows系統的安全機制,讓駭客在受害者的電腦上執行惡意程式,可能導致資料外洩或電腦被控制。
攻擊方式
攻擊者透過電子郵件夾帶惡意附件,通常是一個壓縮檔(ZIP或7Z格式)。這些壓縮檔內含雙層壓縮技術,並利用俄文字母來混淆,讓受害者誤以為是正常文件。
當受害者解壓縮並開啟其中的檔案後,駭客的惡意程式(SmokeLoader) 就會悄悄運行,可能竊取個資、植入病毒或讓電腦變成殭屍機器。
建議
更新7-Zip軟體:請務必下載最新版本的7-Zip,因為官方已修復此漏洞。
小心不明郵件附件:如果收到來路不明的壓縮檔,請先確認發件人身分,避免隨意開啟。
啟用Windows安全防護:確保系統的防毒軟體與防火牆開啟,能夠攔截可疑活動。
避免開啟不熟悉的壓縮檔:若文件名稱或格式可疑(例如使用西里爾字母或重複壓縮),請特別提高警覺。
資料來源:
資安事件、資安漏洞
最近發生一起事件,越南駭客組織XE集團,一個活躍超過 10 年的網路犯罪團體,利用 VeraCore 軟體的兩個嚴重漏洞(CVE-2025-25181 和 CVE-2024-57968)持續對企業發動攻擊,長達數年之久。
攻擊手法
XE 集團主要針對製造業和分銷行業的公司,並透過以下方式發動攻擊:
SQL 注入攻擊(CVE-2025-25181)
駭客利用 VeraCore 軟體的漏洞,透過 SQL 注入技術入侵資料庫,竊取企業的機密數據,如客戶資訊、訂單記錄等。
上傳漏洞利用(CVE-2024-57968)
XE 集團透過這個漏洞,上傳惡意程式至企業伺服器,獲取管理權限,並進一步控制系統。
植入 WebShell,長期潛伏
駭客在系統內部秘密安裝 WebShell(一種能夠遠端控制伺服器的後門),即使多年後也能重新啟動攻擊,顯示其極強的 適應性和隱藏能力。
建議
定期更新軟體:確保使用最新版 VeraCore 軟體,並關注官方安全公告。
強化防火牆與入侵偵測系統(IDS/IPS):阻擋 SQL 注入和惡意程式上傳。
加強帳號管理與存取控制:減少不必要的系統權限,降低攻擊面。
XE 集團的攻擊長達數年,且可能仍在進行中。雖然 VeraCore 公司已經修復了 CVE-2024-57968,但 CVE-2025-25181 仍未有官方修補程式,這讓許多企業處於風險之中。
這起攻擊事件再次提醒企業與個人:網路安全不只是一時的防禦,而是長期的戰爭。及時修補漏洞、提高安全意識,才能避免成為下一個受害者!
資料來源:
資安漏洞、惡意軟體
[2月7日] Microsoft365帳戶挾持事件頻傳:暴力破解與 AiTM 攻擊雙管齊下
最近有駭客利用一些常見的網路工具(如 Axios、Node-fetch、Go Resty 等)來攻擊 Microsoft 365 帳號。這些工具本來是合法的,但駭客用來發動攻擊,使受害者難以察覺。
駭客的目標主要是 各行業的高層主管、關鍵人員,以及 教育領域的帳號。安全公司 Proofpoint 等警告,這類攻擊的規模正在擴大,對企業和個人都是一大威脅。
攻擊手法
暴力破解(Brute Force Attack)
駭客使用自動化工具,不斷嘗試不同的密碼,直到找到正確的密碼登入 Microsoft 365 帳號。這種方法在密碼強度較低或帳號沒有啟用額外安全措施時,成功率會更高。
中間人攻擊(AiTM, Adversary-in-the-Middle)
駭客會建立假的登入頁面,讓使用者在不知情的情況下輸入自己的 Microsoft 365 帳號與密碼。當使用者輸入後,駭客會即時截取登入資訊,甚至可以攔截 多因素驗證(MFA) 代碼,繞過額外的安全防護。
利用合法工具發動攻擊
駭客使用一些原本是開發者用來發送網路請求的工具,例如 Axios、Node-fetch、Go Resty、OkHttp 等,來模擬正常的登入行為,讓資安系統難以偵測異常活動。這種方式可以讓駭客繞過一些基本的防禦機制。
建議
使用強密碼
密碼至少 12 碼,包含大小寫字母、數字、特殊符號
每個帳號使用不同密碼,避免一組密碼外洩影響其他帳號
可使用密碼管理工具來安全儲存密碼
啟用多因素驗證(MFA)
務必開啟 MFA,即使密碼外洩,也能防止駭客登入
避免使用簡訊 OTP,改用驗證 App(如 Microsoft Authenticator、Google Authenticator)
可使用 FIDO2 安全金鑰(如 YubiKey)提升安全性
防範釣魚攻擊與 AiTM 攻擊
不要點擊可疑的登入連結,務必確認網址是否為官方網站
不要隨意提供帳號密碼,避免受騙
若收到 MFA 驗證通知但自己未登入,應立即拒絕並更改密碼
資料來源:
Kommentare