美國電視劇《黑客軍團》(Mr. Robot)的新網站又被揭發有有漏洞。繼早前的 XSS 漏洞,又有白帽黑客發現網站的電郵清單資料庫可被 SQL Injection 攻擊。
資訊保安
物聯網、雲端運算、智能裝置等新一代資訊科技為智慧城市的實現奠定了基礎,而因應智慧城市的發展業界亦提出了各種不同的方案,「安全城市方案」就是其中一個例子,分析如何透過結合城市監視系統、手機通訊、無線網絡等,記錄城市中發生的事故及罪案,從而調查事故原因以致快速逮捕疑犯。日前監控安防系統及解決方案提供商海康威視 (HIKVISION) 就與華輝無線電行在雙方合辦的研討會上分享了「安全城市方案」的應用實例,以及展示了 HIKVISION 在 2016 年的最新產品及行業方案。
英國航太系統(BAE Systems)日前表示,早前孟加拉央行存款失竊案或非個別事件,案中使用的惡意軟件可能與早前一間越南銀行以及 2014 年 Sony Pictures 被入侵有關連。
近年私隱外洩、保安漏洞等問題頻繁出現,如去年 Sanrio Town 網上平台、Vtech 的 Kid Connect 等服務被入侵導致會員資料外洩,引起公眾、企業及政府對個人資料安全的關注。近日 Verizon 發布《數據失竊調查報告 2016》指出,網絡罪犯仍以「網絡釣魚」和勒索軟件作為主要手段進行攻擊,多達九成個案攻擊者可在數分鐘或更短時間內把系統攻陷,而八成半成功個案均是利用常見漏洞達成,更有逾六成的數據失竊源於使用了易破解甚至預設密碼,反映企業及用戶保安意識的不足。
即使網頁開發者意識到網絡安全的重要,網站仍然會有漏洞,特別是 XSS。日前有白帽黑客發現美國電視劇《黑客軍團》(Mr. Robot)的新網站有 XSS 漏洞,黑客可藉此獲得訪客的 Facebook 資料,但網站沒有任何聯絡方法,只好通知製作人 Sam Esmail。
孟加拉央行存款失竊案造成 8,100 萬美元不翼亦飛,該款項的動向仍在調查中。日前美國 FBI 懷疑失竊案由內鬼策劃;為孟加拉央行調查的資訊安全公司就指,入侵系統的黑客可能來自巴基斯坦和北韓。
美國國土安全部轄下的電腦緊急應變小隊日前發出警告,指 SAP 一個六年已被修複的漏洞正被人用作攻擊。據資訊安全公司指,已知有 36 間從事通訊、公用事業、汽車和製鋼的企業因該漏洞而受到入侵,但它們只是冰山一角。
不少科技公司會透過漏洞回報獎勵計劃(bug bounty program)來改善系統安全,最近連成人網站也仿效。Pornhub 日前開始與網絡安全公司 HackerOne 合作推出漏洞回報獎勵計劃,獎金介乎 50 美元至 25,000 美元。
勒索軟件除了可以攻擊普通用戶、學校、醫院、企業,還可以打政府的主意。有報導指,美國眾議院議員開始受到勒索軟件攻擊,國會的技術部門就此警告議員注意網絡安全之餘,更在國會的網絡上封鎖雅虎電郵。
日前有資訊安全公司發現有黑客對 WordPress 網站進行攻擊,他們可修改 WordPress 網站的 PHP 程式碼並將之轉址至惡意網站。