【11/08～11/14】　＃一周資安新聞回顧

1⃣不滿業者態度，俄羅斯研究人員直接揭露VirtualBox零時差漏洞
2⃣花旗銀行系統邏輯錯誤，導致民眾利用其機制盜刷近6300萬
3⃣匯豐銀行傳出網銀帳戶資料外洩事件
4⃣BCMUPnP_Hunter殭屍網路已收服10萬臺路由器
5⃣供應鏈攻擊又一例：駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io
6⃣研究人員揭露DJI漏洞，恐讓駭客偷走無人機拍攝的機密影像
7⃣美國六千萬張支付卡資訊遭竊的元兇？75%資料外洩起是POS
8⃣總統接見HITCON和BFS資安戰隊，蔡英文：資安人才培育不間斷
9⃣特定Apache Struts 2版本含有陳年漏洞，曝遠端執行程式攻擊風險
🔟WordPress外掛WooCommerce爆遠端程式攻擊漏洞，逾400萬網站受累
1⃣1⃣荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息，成功破獲洗錢集團

●GDPR戰火延燒，英國隱私保護組織PI投訴甲骨文等7業者違反
●Windows 10臭蟲讓用戶無法變更預設檔案關聯格式
●臉部辨識還不夠，傳中國警方開始用步態識別工具
●Chrome 71將警告用戶有不當電信代扣服務的網站
●Cloudflare推出支援行動裝置的1.1.1.1公共DNS程式
●法官要求Amazon交出與命案有關的Echo錄音資料
●Google第一份Android生態系安全性報告出爐
●很會躲！研究人員發現一木馬程式竟在Google Play存活了11個月才遭禁

🔹#每日全球金融科技新聞彙整（20180412）

1️⃣ 星巴克試行以區塊鏈追蹤咖啡豆供應鏈

來源：Digitimes

星巴克表示，將在未來2年內試行區塊鏈技術追蹤咖啡豆生產到實體店出售咖啡的供應鏈，參與試行的國家包含哥倫比亞、哥斯大黎加及盧安達。星巴克曾在2015年宣佈99%的咖啡豆是永續經營、價格透明的道德採購。

星巴克執行長Kevin Johnson指出，這項計畫可讓咖啡愛好者與豆農產生無縫且真實的連結，藉由科技賦予咖啡農場更多資訊及財務掌控能力。星巴克也將採用開放原始碼，與全球分享計劃所收集到的資訊。

—

2️⃣ 淘寶網禁售虛擬貨幣相關產品和服務

來源：36氪

淘寶網近日發布《淘寶禁售商品管理規範》關於虛擬貨幣類商品規則變更通知。變更後的禁售範圍擴大到「基於區塊鏈技術生成的虛擬貨幣等數字化産品及衍生服務」。

具體來看，除了禁售虛擬貨幣外，淘寶網增加提及技術性質、生成機制與數位貨幣的商品，如像是挖礦教學、白皮書代寫或基於區塊鏈技術的虛擬寵物，並且禁止ICO相關的衍生服務。

—

3️⃣ LINE日本與POS機業者合作，拓展支付場景

來源：經濟日報

通訊軟體LINE、子公司LINE Pay及日本支付系統開發商NETSTARS宣佈合作，將共同開發用於日本市場的客製化品牌POS終端機，藉以拓展更多支付應用場景。

LINE日本總部在官網表示，NETSTARS負責開發與分銷整合型POS終端機，可掃描智慧型手機上的QR Code或條碼進行支付，目前已在日本布點超過1萬家零售商。

—

4️⃣ 摩根大通因對虛擬貨幣交易過度收費被起訴

來源：火幣網

摩根大通曾於今年1月底停止讓消費者用信用卡購買虛擬貨幣，並接受透過現金預付方式來買賣或處理相關交易。近日摩根大通被起訴，遭指控其違反美國「貸款真相法」，並要求實際損害賠償和100萬美元的法定損害賠償。

起訴主因在未告知客戶的情況下，當採用預付現金時，反而收取更多額外費用及更高利率，並拒絕在客戶投訴時退還費用。

—

5️⃣ Facebook加密貨幣廣告禁令形同虛設，一招即可輕鬆破解

來源：36氪

早在幾個月前，Facebook宣佈將不再允許在其平台上推廣加密貨幣和ICO廣告。不過，「狡猾」的數位行銷人員已研究出如何繞過加密貨幣廣告過濾系統，而且操作非常簡單。

想要避免加密貨幣和ICO產品廣告在平台上不被禁，只需稍微改改單詞即可，像把加密貨幣的英文單詞「cryptocurrency」寫成「cryptoc-urrency」，或是做出其他類似的調整，就能繞過限制。

《文茜的世界周報》

【數位時代網路安全議題已成為國家安全危機 2013年Yahoo遭駭客入侵造成30億用戶資安威脅 2013年南韓遭駭客攻擊及2017年勒索病毒WannaCry肆虐 也造成極大的損失 許多國家與企業更舉辦駭客競賽 並非鼓勵駭客攻擊行為 而是及早發現自身資安的漏洞 並培養發掘資訊安全人才】

「下一次全面毀滅性的攻擊將來自於網路，連接網路的那一刻起，你就沒有主導權，我可以攻擊任何人，任何事物，任何地方，他們正在轉移資金，」電影<黑帽駭客>片段。

這是許多人對駭客的刻板形象。

「毫無痕跡，不留線索，絕不留情，」電影<黑帽駭客>片段。

「這群高手中的高手，從錢到個人身分，甚至是無人車，」電影<玩命關頭8>片段。

沒有什麼是他們得不到的，而那些被視為誇大的虛構情節，其實已經滲透到你我的生活當中。

「我現在是用他的帳戶來騎車，」程序員。

在大陸大受歡迎的共享單車，駭客只要在電腦上簡單操作幾下，不到一分鐘，就能花你的錢輕鬆出行。

「除了你可以花別人的錢以外，這個漏洞最大的危害是什麼，他個人信息的洩漏，我就可以知道可能他家在哪裡，公司在哪裡，常去的地方有哪些，就是推斷出他個人的習慣，生活習慣之類的，」程序員。

「初始密碼121212，開門成功，然後下面就修改一下密碼，」百度安全實驗室安全研究員謝海闊。

充斥在大陸各大飯店的智能安全鎖，方便管理者掌握房源動態，然而卻也可能在瞬間就成了防盜裝飾。

「050102，是你剛才設置的密碼，對，成功了，然後再試原來我那個密碼，121212，就原來密碼已經失效了，」百度安全實驗室安全研究員謝海闊。

當智慧型產品已經深入到你我生活當中，在帶來便捷的同時，隱形的漏洞就更不容忽視。

「隨著未來人類社會使用數字技術越來越多，就會有越來越多的財富，越來越多的榮譽，是由數字技術所承載，那麼也就有越來越多的風險，是信息安全風險 ，安全這塊其實就是你需要在壞人之前，把這些問題找出來，然後把它給封堵住，」騰訊玄武實驗室負責人于暘。

學醫出身的于暘是大陸駭客圈的傳奇，他曾奪得微軟安全挑戰賽最高獎，在業內被稱為TK教主，目前是騰訊玄武實驗室的"掌門人"，這個實驗室對外負責發表安全研究成果，對內支持騰訊全系列產品的安全，于暘之所以脫下白袍當起駭客，是因為他從找漏洞的過程當中，獲得前所未有的成就感。

「漏洞披露的意義這個是在10幾年前，其實已經討論清楚了，威脅就在這裡，如果我們不去把它找出來，遲早有一天會有壞人把它找出來，我給你舉一個例子，我在2013年有一個發現，在我發現之後大概6個月左右，一模一樣的技術，在國外的另外一個人就已經也發現了，然後他把它賣給了一個網絡軍火商，大家這個觀念需要更新，這個網絡軍火商，不是說我們隨便去安的這樣一個名詞，你們知道，在很多國際條約裡面，漏洞攻擊武器已經和這個化學武器，核武器是放在一類裡邊，」騰訊玄武實驗室負責人于暘。

2013年12月4號，由41個國家共同簽署的<瓦森納協定>，將具有入侵功能的軟件列入出口管制列表，此後網路攻擊工具也開始享受，同核武器，化學武器一樣的待遇，而從2013年10億的Yahoo用戶的帳號訊息遭駭客盜取，2017年癱瘓全球的勒索病毒WannaCry肆虐，到大陸逐年攀升的網絡安全犯罪數字來看，這樣的現代戰爭，無所不在。

「根本就不是說中國的入侵事件少，是因為大家不說，中國怎麼可能入侵事件少呢，有一個企業安全負責人，他說他們公司去年被人入侵之後弄走了12億，但這個事情外面根本沒有人知道，這只是鳳毛麟角，」騰訊玄武實驗室負責人于暘。

這也是于暘口中比懸壺濟世還有意義的工作，解除潛伏在你我身邊的不安引信。

早在1992年，美國就舉辦了一場，電腦駭客秘密派對DEFCON，採用出題和現場攻防模式，競技，找出隱身在民間的高手，演變至今DEFCON CTF(奪旗賽)，已然成為全球駭客的世界盃，此外美國五角大廈的防入侵系統供應商ZDI，2007年也舉辦了Pwn 2 Own比賽，並有微軟，Google，蘋果等知名廠商贊助，號召駭客高手針對它們的產品找出缺失，藉此提升自家產品的安全性，2014年，大陸也舉辦了全球首個，關注智能生活安全的駭客競賽，極棒大賽(GeekPwn)，發起人王琦曾是微軟美國總部以外，第一個區域性安全響應中心的負責人，他希望藉著這項賽事，改變中國企業對漏洞披露的態度。

「我們不希望把那個東西弄成，啪啪啪敲幾下搞定了，然後啪啪啪幾下那邊就爆炸了，沒有那個，你看蘋果，或者是Google，或者是微軟，實際上它們都是每年還有很多漏洞的，但是工業界對它們的評價其實是非常好，因為大家看到10幾年它們的產品，其實是越來越安全，要發現它們的漏洞其實越來越困難，外面如果利用這些問題，除非很高級的，非常非常高級的攻擊，才會出現它們漏洞的身影，這些都是進步，要到那一步必須是把中國有一些企業，以它們為榜樣，做到它們那樣，」極棒活動發起和創辦人王琦。

破解共享單車與智能安全鎖，都是2017年極棒香港年中賽上，引人矚目的參賽項目，而賽事舉辦四屆以來，已經有選手陸續攻破了特斯拉汽車，智慧型手機，路由器，保險箱，攝像頭，POS機等等，王琦說，這就是他要提倡的駭客精神，發現問題，讓世界更完美。

當AlphaGo打敗了世界棋王李世乭，人們看到了人工智慧驚人的學習成果，而隨著這項技術成為人們日常生活的一部分，王琦的下一步就是用駭客思維，去驗證人工智慧的安全性。

「當然有人說我可能是杞人憂天，我們之所以現在去做極棒，就是我們都是站在駭客的角度去思考問題，那些危害可能風險來自於哪裡，到未來的時候，如果我們的智能在發展，我們的駭客不發展，那未來的智能時代面臨什麼樣的問題，我們其實是不知道，」極棒活動發起和創辦人王琦。

隨著網路技術對生活無所不在的滲透，對網路安全人才的需求也大大提高，根據大陸網路空間安全協會預估，大陸的網路安全專業人才缺口高達70萬，並以每年1萬5千人的速度遞增，遠遠跟不上網路安全的需要，在這方面南韓顯得很有遠見，南韓政府從2012年起，推出Best Of Best優中選優人才計畫，每年以無上限的經費和資源，培養超過100名的年輕信息安全參賽者，一旦在駭客競賽中獲勝，還可以免試保送進入大學，只要成為信息安全公司的雇員，甚至不用服兵役。

「我主要是做漏洞賞金方面，為軟件尋找漏洞，軟件存在漏洞說明使用用戶，有被駭客攻擊的風險，糾正這些漏洞會有一些成就感，」韓國選手Cixer。

2013年3月20日，南韓爆發了黑暗首爾的網路攻擊事件，包括6家金融機構和3家電視台的系統都因而癱瘓，這讓南韓政府更加重視資安人才的培育，那一年的BOB甄選名額就增加了一倍，並且每年增加10個名額，以產官學合作的模式為國家留住頂尖的資安人才，BOB計畫實施僅4年，就打造出DEFKOR(代夫克勞)這隻駭客團隊，2015年他們在DEFCON CTF比賽上脫穎而出，也讓外界注意到南韓BOB計畫的驚人效率。

「整個人類科技的發展，有一個非常重要的特點，就是他賦予了個人越來越大的力量，這個力量可以是破壞的力量，也可以是創造的力量，今天一個通曉了攻擊技術的人，他能造成多大的破壞，」騰訊玄武實驗室負責人于暘。

透過駭客競賽，育才獵才，將破壞的力量導正為創造的力量，這群駭客顛覆了電影形塑的那個永遠的反派，而是默默守護著千萬人隱私的正義使者。

更多內容，請看影片連結：https://www.youtube.com/channel/UCiwt1aanVMoPYUt_CQYCPQg