影像分享平台 TikTok 被發現存在嚴重的零日漏洞，黑客只須向目標帳戶發出一個惡意私訊，對方只要閱讀訊息都會中招。漏洞更導致多間機構被黑客入侵，當中包括 Sony、CNN 等，由於現階段未有解救方法，高風險帳戶只能停用或刪除帳戶，等待官方修復問題…… 想知最新科技新聞？立即免費訂閱！ 是次連環入侵帳戶事件發生於上星期，最先被黑客入侵的 TikTok 帳戶屬於 CNN 新聞網站，起初外界還懷疑是因為 CNN 有太多職員擁有管理帳戶權限，因而估計是其中一個職員的帳戶被入侵，從而引發這次事件，但經調查後才發現入侵並非來自內部帳戶，而是黑客通過 TikTok 一個零日漏洞而成功取得帳戶控制權。 有網絡安全專家表示，這次漏洞的嚴重性非常高，因為黑客只須向目標帳戶發送一個含有惡意功能的私訊，過程中完全毋須對方點擊訊息內的惡意連結或安裝惡意檔案，便能取得帳戶控制權，令用家難以阻止黑客入侵。 TikTok 方面已承認這個漏洞的存在，表示已採取適當措施阻止事件再次發生，並會協助受影響用家取回帳戶控制權，但至於採用的方法就未有詳情透露。另一方面，官方表示根據初步分析，攻擊者只入侵了少量知名帳戶，但詳細數字亦有待調查。 雖然香港不在 TikTok…

在全球環保意識不斷提升的氛圍下，香港亦積極推動企業實踐 ESG 指引，力求在可持續發展方面走在前列。近年 ESG 已成為企業發展的重要指標，除了改善環境表現和提升社會責任外，也重視提高企業的透明度和管治水平。而在這個過程中，機械人技術的應用為實現 ESG 目標提供了強而有力的支持。 想睇更多專家見解？立即免費訂閱！ 香港正積極推動「走塑」政策，以整體減少塑膠污染，許多企業都紛紛尋找創新解決方案務求減少塑膠使用量。酒店業作為政策下首批落實「走塑」措施的行業，最近開始不再免費提供即棄塑膠用品予住客，包括膠牙刷、牙膏、小膠樽裝洗髮露和淋浴露等，住客如有需要必須自行購買這些用品。 然而在實際執行上，許多酒店都面臨挑戰，由於大量客人需要購買這些用品，前台或電話處理訂單的工作量劇增，酒店需要大量人手安排取貨和送貨到客房，既費時又費力。為解決這些問題，已有酒店在大堂設置自動售賣機，提供住客所需的日常用品。雖然這減少了人手需求，但對住客來說並不算便利，因為很多時他們是臨時發現需要某些用品，要特地更衣外出到大堂購買。 於是，越來越多的酒店向我們查詢可對接售賣機的配送機械人。這些機械人可以讓客人在房內通過網上下單，並進行代購和配送。機械人能夠自動導航至客房，將所需用品迅速送達住客手中，提升了住客體驗之餘，也大大減少酒店人手安排的負擔。 配送機械人配合自動售賣機的解決方案，既可提升酒店的服務效率，更在實踐環保政策的同時仍然保持為客人提供便利的服務，因此甚為酒店所樂意採用。筆者相信，很快大家就會在更多的酒店中見到機械人的蹤影。 作者：Tobot Solution創辦人兼行政總裁王嘉敏（Jazzy） 欲觀看更多 Jazzy 撰寫的文章，可按此瀏覽。 唔想成為下一個騙案受害人？ 網絡安全公司Green Radar聯同…

自動化滲透測試借助各種工具和軟件來模擬對公司系統進行網路攻擊，並評估網絡的安全性。這些工具能自動執行諸如漏洞掃描、漏洞特徵識別、源碼審計等多種功能，從而迅速識別系統中的安全隱患。 想睇更多專家見解？立即免費訂閱！ 然而，自動化滲透測試也存在某些局限性。首先，自動化工具的精確度可能遜於手動測試，特別是在應對複雜的安全漏洞。其次，自動化測試可能缺乏手動測試的靈活性，難以根據特定場景或需求進行定制化測試。此外，自動化工具可能會產生大量誤報，需要安全人員進一步分析和驗證。 儘管自動化滲透測試在快速評估系統安全性方面具有一定優勢，但在面對複雜的企業環境和深度安全測試需求時，仍需依賴手動滲透測試對目標網絡進行深入分析，揭示複雜的業務邏輯漏洞、邏輯缺陷或其他安全性漏洞。當然，手動測試所需要花費的時間、資源和專業知識，會使其成本比自動化分析高。而在實際應用中，可以將自動化滲透測試和手動滲透測試相結合，相互補充，以提供更全面、準確的安全評估結果。 因此，學習手動滲透測試技術至關重要。它能深入剖析複雜系統漏洞，並根據特定商業邏輯進行獨立分析，更全面地瞭解系統安全架構，識別並修復潛在風險，為企業築牢安全防線。同時，這也是提升個人技能水準和職場競爭力的關鍵途徑。掌握網絡安全技能，將有助於在資訊安全領域取得更好的職業發展。 持續進修是資訊安全領域中不可或缺的一部分。欲想學習更多有關尋找網站伺服器漏洞的發掘技術，歡迎報讀由香港資訊科技學院（HKIIT）舉辦的網頁程式滲透測試證書課程，由業界專家教授學員實戰技術，詳細講解不同的攻擊工具與識別網站的漏洞，助學員成為市場炙手可熱的道德白帽黑客（Ethical Hacking）人才。 作者：Kinsey NG香港資訊科技學院（HKIIT）網絡安全中心講師、研究範圍包括黑客攻擊技術、黑色產業。並透過模擬各種企業攻擊場景，提供校內與企業網絡安全培訓。 唔想成為下一個騙案受害人？ 網絡安全公司 Green Radar 聯同 wepro180 最新推出《網安 2 分鐘》，一系列影片助你自學網絡安全招數，遠離詐騙，安全意識輕鬆 Level Up！立即去片：https://www.wepro180.com/cybersafety/

SAP 上周舉辦《SAP NOW 2024》，以「Bring Out Your Best: SAP Business AI」為主題，雲集超過 400 位業界領袖、科技專家以及創新專家互動探討商業 AI 應用及雲端數碼轉型，分享如何從智慧新時代中利用 AI 優化營運，發掘更多全新商機。 為了讓企業親身體驗商業 AI 的應用，SAP 在香港辦公室的「商業…

新一波數據外洩事故，涉及消防局、公司註冊處、機電署、市建局等多個公營機構，牽連逾 13 萬市民的敏感資料，同期亦有上市公司疑遭入侵數據庫，客戶資料被放到暗網發售。多宗事故反映香港的公私營機構均存在資訊保安漏洞，當中有甚麼值得企業引以為鑑？我們邀請了DYXnet 第一線的網絡安全專家鍾而政（Louis）教路，拆解如何利用近年廣受企業採用的安全存取服務（SASE） 降低數據外洩風險，並透過資訊安全監控中心（SOC）託管服務的 AI 技術及時獲得警報及響應，將事故防患於未然！ SASE 遠端資料存取　保護敏感資料免受黑客入侵 儘管近期數據外洩事故情節各有不同，但均凸顯敏感資料存取權限和及早響應未知安全威脅的重要性。其實早在疫情期間，業界已警惕到「在家工作」模式存在著巨大的安全風險，Louis 表示：「員工在辦公室以外的地方、利用不同的個人裝置進入公司網絡存取資料，假如企業未有啟用多重認證功能，並且沒有檢查終端狀態及行為，分散式的遠端連接網絡會令攻擊點大增，在地部署的堡壘式安全防禦不足以應付來自四方八面的安全需求。」Louis進一步指出，消委會的事故便是如此，根據私隱專員公署最近出爐的調查報告，黑客首先取得消委會一個有管理員權限的帳戶憑證，再透過 VPN 進入消委會的網絡，以勒索軟件攻擊伺服器。 Gartner 於 2019 年提出 SASE 的概念，其零信任（Zero Trust）機制在疫情期間受到企業青睞，Louis…

近月本港企業及機構接二連三遭受網絡攻擊，導致資料外洩，網絡安全成為熱話。Google Cloud 旗下的網絡安全解決方案供應商 Mandiant，公布最新網絡攻擊報告《M-Trends 2024》，透過前線網絡攻擊調查，分析 2023 年網絡攻擊者及活動，發現全球網絡攻擊停留時間（Dwell Time）中位數，下降至有紀錄以來新低，而金融服務業則繼續成為頭號攻擊目標。 想知最新科技新聞？立即免費訂閱！ 網絡攻擊停留時間是指攻擊者有目標環境內，未被偵測到的時間。《M-Trends》指出企業偵測到入侵時間，由 2022 年的 16 天下降至 2023 年的 10 天，而內部威脅偵測攻擊事件亦提升至 46%，比起 2022…

SEO，全稱搜索引擎優化（Search Engine Optimization），是一種通過優化網站的結構和內容，提高網站在搜索引擎中的排名，進而提升網站流量的有效方式。搜索引擎使用複雜的演算法來確定網頁的排名，其中一個重要的因素是反向連結（Backlink），也就是其他網站指向您網站的連結。搜索引擎認為，如果眾多高權威的網站（如政府、大型機構網站）連結到您的網站，那麼您的網站可能提供有價值的內容，因此應該在搜索結果中獲得較高的排名。 想睇更多專家見解？立即免費訂閱！ 然而，有些網站經營者為了追求短期的排名提升，不惜採用黑帽 SEO 的手法。黑帽 SEO 利用搜索引擎的排名原理，通過增加指向特定網頁的反向連結數量來誤導搜索引擎，試圖製造出一種該網頁內容具有高度重要性和權威性的假像。其中，黑帽連結便是一種重要的黑帽 SEO 手段。 而入侵網站是常見的手段去建立黑帽連結。黑客會從高排名的網站中尋找安全性漏洞，通過這些漏洞入侵網站，並在其中植入指向目標網站的連結，從而短期內帶來網站排名的顯著提升。這種做法不僅違反了搜索引擎的規則，而且會對被入侵網站的聲譽和用戶體驗造成嚴重影響。 為確保網站的安全和正常運行，網站經營者需要定期進行網站文件和代碼的檢查。在檢查過程中，要特別留意網站伺服器是否有未知的文件或代碼片段存在，這些很可能是網站被入侵留下的痕跡。此外，手動檢查每個頁面，尤其是那些具有高流量的頁面。通過仔細檢查，我們可以發現並清除任何隱藏的連結或不尋常的內容，從而確保網站的清潔和安全。 同時，學習尋找網站漏洞並及時發現與修補可能存在的安全問題也十分重要，以避免因網站存在漏洞而被人利用。欲想學習更多有關尋找網站漏洞的發掘技術，歡迎報讀由香港資訊科技學院（HKIIT）舉辦的網頁程式滲透測試證書課程，由業界專家教授學員實戰技術，詳細講解不同的攻擊工具與識別網站的漏洞，助學員成為市場炙手可熱的道德白帽黑客（Ethical Hacking）人才。 作者：Kinsey NG香港資訊科技學院（HKIIT）網絡安全中心講師、研究範圍包括黑客攻擊技術、黑色產業。並透過模擬各種企業攻擊場景，提供校內與企業網絡安全培訓。 唔想成為下一個騙案受害人？ 網絡安全公司Green Radar聯同…

網絡釣魚攻擊有增無減，網絡安全相關事故持續發生。香港資訊科技學院（HKIIT）位於 IVE（柴灣）的網絡安全中心將於 6 月舉辦網絡安全體驗工作坊，針對教育業界及對網絡安全行業有興趣的人士，講解如何避免現實生活中遭到網絡釣魚攻擊；另外，針對正謀升學出路及現職 IT 人進修所需，同場也會提供兼讀制網絡安全高級文憑、專業文憑及證書的課程簡介，夜校網絡安全高級文憑課程獲政府資助三年合共只需要約五萬元*。 中心針對網路釣魚提供實際演示 近月發生多宗機構遭黑客入侵盜取敏感資料的事故。根據最新數據顯示，網絡釣魚個案更創近 5 年新高，去年達逾 3,700 宗。人為因素更一直是數據洩露的主要原因之一。 有見及此，中心並將於工作坊中示範網路釣魚所牽涉的技術，講解有關網絡釣魚攻擊的概念知識和實際演示，增強網絡安全意識，避免現實生活受到釣魚攻擊導致損失。 高級文憑畢業生入行月薪1.7至2.3萬　與大學生相若 在資訊科技（IT）人才短缺下，網絡安全專才更屬「少之有少」，僅佔本地約 10 萬名 IT 從業員中的 1.2%，「僧多粥少」。最新職場調查顯示，行內僱主普遍認為，高級文憑（HD）畢業生的能力與大學生相若，兩者的起薪點亦相近。…

近來香港多間機構連環遭受攻擊者入侵，令本地企業管理層深深感受到危機已迫在眉睫，開始積極部署更多網絡安全工具。不過，亂石投林式的添置安全工具，對提升防禦力是否真的有幫助？早前 DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）與網絡安全服務供應商 Fortinet，便特別舉辦人工智能攻防戰「卡牌盛會」，破格地以卡牌遊戲形式，展示完美安全防護所需具備的靈活解決方案組合，以及最重要的全面佈局思維，讓參與今次盛會的企業IT領導專員及業界專家，日後能夠將整套思維融入企業的防禦架構之中。 香港電腦保安事故協調中心 Otto 透露正跟其他地區的 CERT 合作，建構一個可提升偵測網絡釣魚域名的 AI 模型，以緩解企業面對最多的網絡攻擊問題。 人工智能提升黑客攻擊力 全新思維扭轉防禦劣勢 開始卡牌模擬實戰前，香港電腦保安事故協調中心主管Otto Lee 首先跟參與者分析了現時香港的網絡安全狀況。他指出從近年本地發生的多宗安全事件可見，黑客均加大力度運用AI，令各種網絡攻擊來得更快更具針對性。以企業接獲得最多的釣魚電郵為例，黑客可借助 AI 更快地產生出高質素的詐騙內容，令收到信件的企業員工更難防範，再配合深度偽冒（Deepfake）AI…

著名電腦製造商 Dell 向客戶發出通告，指由於公司一個網站遭受黑客入侵及發生數據外洩事故，導致約 4,900 萬客戶的個人私隱訊息外洩。Dell 雖然承認部分客戶數據已被放上暗網出售，但卻指受影響客戶面臨的網絡風險並不大，似乎企圖淡化事件。 想知最新科技新聞？立即免費訂閱！ 可藉此發動社交工程攻擊 早前有專門監察暗網消息的安全專家發現，一個名為 Menelik 的會員試圖在 Breach Forums 外洩資料市場上出售 Dell 的數據包，他更表示數據包內含有在 2017 年至 2024 年期間的資料數據。其後…