《TechOrange》每週五挑出國內外資安的 5 件新聞大事,快來一起看看!
*Youbike 微笑單車騎乘紀錄遭外流,官方祭補償措施
今年五月,全台 YouBike 系統遭受外部網路攻擊,導致大量騎乘紀錄外流。微笑單車公司已確認此事件,並表示會提供補償計畫:將發放面額 500 元的 YouBike 2.0騎乘券給每位受影響的會員,總計將發放超過 4 萬筆的補償騎乘券,將於今日(9/22)18:00 前直接存入會員帳號。
微笑單車公司已採取多項措施強化其資安防護,包括增加密碼複雜度、限制登入次數、加強機器人驗證機制等;此外,該公司也呼籲會員應定期更新密碼,並避免在不同平台使用相同密碼。
*中國指控美國對華為進行長達十年網路間諜活動
中國國家安全部門(MSS)指控美國自 2009 年起侵入華為伺服器——MSS 在 WeChat 上發布消息中明確指出,美國國家安全局(NSA)已多次對中國進行系統性攻擊,藉此竊取重要數據資源;此外,MSS 還聲稱美國在華為的軟體和設備中安裝後門程式(backdoor),以進行網路間諜活動和數據竊取。
該消息進一步指出,美國情報機構已使用相同手段,對俄羅斯和其他 45 個國家和地區,進行了超過十年的網路攻擊和間諜活動,這些攻擊針對的是電信、科研、經濟、能源和軍事部門。
*勒索軟體犯罪集團將目標轉向小型企業,受害者數量增加近 5 成
趨勢科技最新報告發現,勒索軟體攻擊者正從大型企業轉向較易攻擊、防禦較弱的組織:從 2022 年下半年開始,新的受害者數量增加了 47%,其中許多是小型企業;在2023年上半年,LockBit 這一犯罪集團的主要受害者(佔57%)是員工數不超過 200 人的企業。
另外,同份報告也指出,全球勒索軟體受害者組織數量在 2023 年上半年相較於 2022 年下半年增加了45.27%,達到 2001 家;其中,美國組織佔了近半數,與 2022 年下半年相比增加了 69.94%;這些數據再次提醒我們,小型企業在資訊安全上的脆弱性,應加重相關防護措施。
掌握 AI 趨勢 & 活動資訊一點都不難!
訂閱電子報,每週四一起《AI TOgether》
感謝訂閱!隨時注意信箱的最新資訊
*OpenAI 公開招募紅隊演練專家,幫助改善模型安全
OpenAI 宣布成立 AI 紅隊演練(Red Teaming)網路,名為「OpenAI Red Teaming Network」,目的是公開招募來自各領域的專家,協助該公司提升自家 AI 模型安全性。紅隊演練起初是軍事術語,用於描述模擬攻擊行動,現在此術語在資安領域中指的是模擬網路入侵攻擊。
此次招募涵蓋多個專業領域,從認知科學、網路安全到人類學都有,OpenAI 表示,不僅是為了技術完善,更是希望專家們能夠從多角度中提出專業觀點,以確保 AI 技術在未來發展中能夠更加安全、可靠。
*駭客偽造員工聲音入侵美國新創,連客戶也無辜被捲入
美國新創公司 Retool 遭遇一起前所未有的網路攻擊——駭客巧妙地利用 AI 技術深度偽造員工的聲音,成功欺騙公司內部人員,同時導致 27 位客戶的資料被洩露。Retool 是一家提供代碼應用的公司,主要服務是藉由視覺化模組協助客戶建立程式撰寫、API 工具等功能。
事件起因是駭客偽裝成公司內部 IT 團隊,發送釣魚簡訊給 Retool 多名員工,誘使員工點擊連結。在一名員工上當以後,駭客隨後使用深度偽造技術模仿該員工聲音並撥打電話,最終取得了多因子身份驗證代碼;此事件再次提醒我們,社交工程攻擊的威脅是如此真實,即使是先進的技術公司也可能成為犯罪目標。
*本文開放合作夥伴轉載,資料來源:《中央通訊社》、《The Hacker News》、《Infosecurity Magazine》、《iThome》、《資安人》。首圖來源:YouBike大台北粉絲團
