密碼管理服務供應商 LastPass 最近向大批用家發現電郵警告，指他們的帳戶出現不尋常的登入記錄，更聲稱已為用家阻截登入，呼籲用家盡快修改密碼及啟用雙重因素驗證 (two-factors authentication) 功能。不過，LastPass 堅稱並未發生數據外洩事件，但就有受影響用家聲稱登入密碼未有共用於其他帳戶，真相到底是？ 為了保障各種帳戶的安全，不少人都會為每個帳戶設定獨一無二的強密碼 (strong password)，即在字元長度、字符組合複雜程度上均達到一定標準的密碼。不過，並非所有人都有超人記憶力，因此要管理所有帳戶的密碼，便必須借助密碼管理器 (password manager) 記錄，而用家日後要取得這些帳戶登入資料，便只須記著一個密碼管理器的登入密碼，上述的強密碼應用才變得可行。 LastPass 便是其中一款最多人使用的密碼管理器，但就在近日內，有 LastPass 用家收到官方發現的電郵警告，稱其帳戶出現可疑登入，雖然對方使用了正確的帳戶登入資料，但由於登入的位置與用家平常有很大出入，系統站於安全立場，已先為用家進行攔截，並建議如登入並非由用家自己執行，便應立即更換密碼及提升安全檢查功能。LastPass 方面堅稱內部未有發生任何數據外洩，相信黑客是從其他數據外洩事件中取得用家的帳戶登入資料。 不過，有 LastPass…

Black Friday 將至，相信不少網民已磨拳擦掌，準備大舉掃平貨。黑客同樣準備好過肥年，英國網絡安全中心 NCSC 正加緊巡查國內的電子商貿平台，特別是由中小企所成立的網購網站，由於缺乏安全意識，以至 NCSC 已先後向 4,151 個零售網站發出安全警告，指網站已被黑客入侵，客戶私隱正處於高風險。 不少購平台都會採用電子商務系統 Magento，因為它的功能豐富，但亦同時成為黑客攻擊的頭號目標。例如在今年初，網絡安全專家已指出有犯罪集團正利用 Magento 的已知漏洞，向仍未安裝安全更新的客戶發動攻擊。事隔半年有多，情況似乎未有改善，因此 NCSC 便趕在傳統購物旺季前，加緊於網上巡邏，搜尋國內仍存在漏洞的網購網站，以趕在旺季來臨前堵塞漏露，保護網站及潛在顧客。 一般來說，針對電子商貿平台的攻擊都是以盜取信用卡資料為主，犯罪集團會利用各種方法達成目標，例如於目標網站留言區注入惡意編碼的跨平台腳本 (Cross-Site Scripting) 攻擊，或暗中入侵網站的付款頁面，記錄客戶每一筆消費資料，而盜取的信用卡資料便可讓黑客冒名使用。雖然現時不少 Web…

超過 300 個 WordPress 網站被勒索集團攻擊，當網主登入 WordPress 網站時，突然發現所有內容消失得一乾二淨，而且更顯示一個勒索告示，要求網主支付 0.1 個 Bitcoin 作為解鎖費。不過，網絡安全專家指出網站實際上並未有被加密，只是犯罪集團的掩眼法…… 網絡安全公司 Sucuri 的發言人表示，公司早前受到一個客戶求助，指自己的 WordPress 網站受到上述的加密攻擊，由於網站內容一夜之間蒸發，唯有找尋專家幫忙，希望不用支付贖金去回復網站正常運作。經專家調查後，便發現勒索集團原來並沒有對網站內容進行加密，他們只是借助一個 WordPress 的外掛程式 Directorist，製造出一個網站已被加密的假象。專家解釋，Directorist 本身是一個協助網主於網站建立網上業務目錄的外掛程式，因此擁有一定修改網站內容的權限。…

Google 計劃在 2021 年底為 1.5 億用戶推行兩步驗證，並要求 200 萬 YouTube 創作者開啟此功能。因應網絡安全意識月，Google 希望藉以表示他們的產品是默認安全的。 在一篇博客文章中，Google Chrome 產品經理 AbdelKarim Mardini 和 Google 帳戶安全和安全總監 Guemmy…

新冠疫情不單只加速企業數據轉型，亦同時加速尋常百姓使用網上服務比例，例如網購、線上學習、收睇網上節目、視像聚會等等，網絡攻擊的機會大增，大部分黑客並非採用石破天驚的新手法入侵，而只是稍稍改動現有攻擊方式，又或作出掩護攻擊，例如以 DDoS 攻擊分散安全團隊的注意力，乘機潛入內部網絡安裝各種惡意軟件等。而在疫情爆發的 18 個月期間，大家應該汲取教訓，改變網絡安全防禦的心態。 不少企業被迫使用遙距工作模式，讓員工在家工作，因此針對雲端服務攻擊的頻率愈來愈高。最常見的方法是通過釣魚電郵竊取帳戶登入資料，從而盜取數據及執行勒索程式，這些攻擊都有可能影響業務流程和商譽。員工需要持續的安全意識培訓和更新設備系統，令遙距工作也能得到一定的安全保障。引入機器學習和分析數據傳輸，是維持網絡最佳狀態的必要元素，同時收集到的資料亦有助安全團隊快速因應變化作出反應。 既然企業必須採用雲端應用服務，因此必須為安全遷移做足準備，最基本要保持所使用的應用服務在最新系統版本，以及採用有信譽的服務供應商。而在轉移雲端之前，亦有一些安全建議可以參考。 慎選供應商：確保雲服務供應商將安全放在首位，最好能將現有數據中心安全性擴展到雲端服務。這樣做可以縮短安全團隊的學習時間，減少錯誤發生，並可以在物理和雲基礎架構採用相同的開發和部署策略。 釐清服務協議：就停機時間、修補漏洞和安全更新達成嚴格的安全服務級別協議 （SLA），確保供應商如何處理 DDoS 攻擊或數據外洩，以掌握清晰的處理流程。 加密至上：確保服務供應商支援最高級別的加密及身份驗證技術，有助減少入侵及，而在即使資料外洩，黑客也無法輕易破解。 雖然要阻止網絡入侵，很多時都要依賴網絡安全工具及人工智能技術，不過最有效的安全策略卻是創建網絡安全文化，讓員工領略強密碼和多重身份驗證的好處，才可真正改變他們日常使用密碼的習慣。而在家庭方面，物聯網（IoT）設備極可能是一大弱點，因為一般家庭用家偏用使用出廠密碼，這種習慣將讓黑客可以輕易入侵，造成財物或私隱外洩等損失。 對於投放了各種先進安全工具的企業來說，仍然必須定期審查和更新安全政策以阻止攻擊者找到新的突破口入侵。正因為雲端應用服務是不可抗逆的發展趨勢，要善用雲的靈活性，便必須同時重視雲的安全性。 資料來源：https://bit.ly/3mdlwDm

Google 近年不斷強化用戶的私隱保護功能，例如招聘特別安全人員去篩選 Google Play Store 上的可疑 Android app ，加強 Android 11 作業系統的安全功能。而在最新推出的 Chrome 瀏覽器版本86上，亦特別加強密碼管理、反下載惡意程式方面的功能，一定要盡快更新。 去年 Google 推出 Chrome 79 時，新增…

APT（Advanced Persistent Threat, 進階持續性威脅）相信係最令企業頭痛嘅問題，事關呢類攻擊會運用多種精密手法嚟入侵企業嘅網絡，然後再長期靜雞雞收集有用嘅情報，真係中咗招都未必發現到，而等到發現問題，可能已過咗幾個月甚至幾年。咁作為企業嘅網絡安全把關員，應該點先去搵出內部網絡有無被入侵？又有乜嘢手法可以減少被攻擊嘅風險？ 根據 Accenture 嘅調查顯示，APT 攻擊通常會由小組發動，而且呢啲小組亦會相互之間作技術交流，提升成功率，而且由於唔同嘅 APT 小組針對性盜取嘅機密類型都唔一樣，所以可以話任何企業或機構都有可能成為攻擊目標。如果企業網絡已被入侵，應該會有三個特徵出現。 入侵徵兆 首先就係異常帳戶登入活動，好多時黑客都會透過奪取登入權限進入內部網絡，所以如果發現有員工嘅登入習慣變得異常，或有帳戶試圖提升權限或讀取自己原本攞唔到嘅檔案，就有可能係黑客所為。其次就係突然發現大量惡意軟件，一旦 APT 小組攞到漏洞，就會嘗試安裝惡意程式方便未來持續偷嘢，如發現防毒軟件突然偵測到惡意軟件入侵，而且清除完後轉頭又有其他發現，咁就有可能正遭受黑客入侵。最後就係留意系統資源，因為黑客會利用企業嘅網絡資源嚟進行攻擊行為或暫存即將上載去 C&C 伺服器嘅檔案，所以如發現系統嘅電量、記憶體用量突然飆升，亦可以話係 APT 攻擊嘅徵兆。既然明白咗 APT 攻擊嘅特徵，咁防禦方法就要針對呢幾方面嚟進行。…

自 Facebook 被爆 5.33 億用戶數據洩漏，LinkedIn 亦被爆發生洩漏事故！一個據稱包含 5 億個 LinkedIn 個人資料數據存檔，在一個知名的黑客論壇上出售，該貼文的作者又洩漏了另外 200 萬條記錄，作為驗證的樣本。四個洩露的文件包含 LinkedIn 用戶的信息，包括其全名、電郵地址、電話號碼、工作場所等。CyberNews 提供檢查網站（https://cybernews.com/personal-data-leak-check/），讓用戶可檢查有否中招。 在該黑客論壇上，用戶可用大約值 2 美元的論壇積分，查看洩漏的樣本，但黑客似乎正在以拍賣形式處理逾 5 億名用戶的數據庫，並將價格定位為至少…

隨便買部 IoT 產品嚟用係非常之危險嘅一件事，相信睇得我哋嘅讀者都唔會懷疑。就算係 Amazon 旗下嘅產品，都一樣會出事，上個月中 Amazon 用十億美元收購返嚟嘅智能監視鏡頭 Ring，就發生大量鏡頭被 hack 事件，有用家仲告上法庭，怒指 Ring 無做好網絡安全工作，Ring 就反駁話用家唔用強密碼先係主因，咁到底係邊個錯呢？ 喺上月中，陸陸續續有 Ring 用家嘅監視鏡頭被黑客入侵，有美國用家更因為呢件事，嚇到要放支鎗喺床頭先敢瞓。其中一個受害者 John Baker Orange 就聯同其他同路人告上法庭，指責…