日前英國發生大規模網絡攻擊，有黑客透過 MOVEit Transfer 檔案傳送工具的漏洞，入侵薪酬服務商 Zellis 的數據系統，並盜取重要個人資料。英國廣播公司（BBC）、英國航空公司及連鎖藥妝店 Boots 承認旗下部分員工資料外洩。 想知最新科技新聞？立即免費訂閱 ！ MOVEit Transfer 為 MFT 檔案共享系統，日前被發現存在零時差漏洞 CVE-2023-34362，允許未經身分驗證的攻擊者存取資料庫，並已有黑客利用漏洞發動攻擊，微軟相信是次攻擊由勒索軟件組織 Cl0p 所策劃。 網絡安全廠商 Sophos…

2023 年網絡安全事故第一位，相信都要數 MOVEit Transfer 檔案共享服務遭入侵事件，安全專家指勒索軟件集團 Clop 於服務中發現零日漏洞，可以使用 SQL injection 技術遙距執行惡意編碼，提升帳戶特權任意讀取使用該服務的客戶資料。雖然開發商 Ipswitch 很快已推出修補檔，但不少客戶如英國航空、BBC 及 Boots 均表示已遭受入侵，有專家更估計已有 2706 個機構遭受牽連，至少有 9300 萬個人資料外洩。 想知最新科技新聞？立即免費訂閱…

MOVEit Transfer 及 Cloud Managed file transfer（MFT）零日漏洞事件繼續發酵！開發商 Progress Software 在五月尾推出安全修補後，在調查過程中又發現多一個零日漏洞，結果在 6 月 9 日再一次緊急發布第二次安全修補。 專家指第一個漏洞正被勒索軟件集團 Cl0p 瘋狂濫用，受影響的機構已超過 100 間，而且亦有入侵的概念驗證（PoC）被公開，如果有採用相關服務，就更加要立即升級。 想知最新科技新聞？立即免費訂閱…

愈來愈多智能電子產品推出，不過智能一般只表現於特定功能上，電源運用卻鮮有優化配套。一班由前 Samsung、Microsoft 及 HCL 科技公司的前員工，開發出一套名為 EOptomizer 的人工智能慳電軟件，據稱可有效省電 30%，而且對各種電子及智能產品有效，致力為削減碳排放出一分力。 隨著流動上網及無線上網科技發展，令智能家居產品的可用性大增，較複雜為需要較多上網頻寬的用途都可應付得到。如果數一數家中電器，例如電腦、智能手機、Wi-Fi router、冷氣機、智能門鐘、智能雪櫃……，不難理解為何每月收到月費單都會冒汗。而由上述專家組成的研究團隊，便以慳電減低碳排放為目標，全力研究出具備人工智能的慳電軟件。 研究員指出，估計去到 2025 年，全球將會有 500 億種電子產品，如果能找到有效控電方法，對減少全球各地的碳排放便有極大利益。他們解釋說，電子設備最具潛力慳電的地方，是讓處理器能更有效率運作，而人工智能系統便要學懂如何分辨用家實際上的使用要求。團隊以手機上 BBC 網站為例，如果在日間工作時間，一般人其實只是不停滑動手機屏幕，快速閱讀新聞頭條，而在這種操作模式下，處理器及圖像晶片需要應付大量的運算及圖像更新，直接增加手機的耗電量。不過，研究員認為這時用家其實對畫面質素的要求不大，因此就算解像度稍為降低及調低畫面更新頻率，用家也未必會察覺得到，而這種幕後操作卻可有效延長使用時間。 於是研究團隊要做的便是讓人工智能學習各種人類使用習慣，但在團隊努力下，現時 EOptomizer 的測試版本已可成功省電…

Microsoft 即將為 Office 365 用家提供進階電郵防護服務，用家可以預覽被隔離電郵的內容，系統會抽走一切有可疑的圖像、檔案及追蹤 pixel，確保用家不會因為打開電郵而中招，而發信者亦無法通過 pixel 得知電郵有否被打開，保障用家的私隱。 多項研究發現，9 成以上網絡入侵事故由釣魚電郵發起，因此攔截可疑電郵便非常重要。不過，由於攔截準確度並非百分百準確，加上企業員工因工作需要 (如人事部收到求職信)，即使電郵有可疑被隔離，亦必須要打開閱讀，所以在安全上仍然存在漏洞。Microsoft 即將於 Microsoft Defender for Office 365 新增的預覽隔離電郵新服務，便可有助企業版用家解決以上難題。 預覽電郵的運作原理非常簡單，如果用家想打開被隔離的電郵，Office 365…

全球多個網站今日傍晚突然出現故障，用戶無法正常瀏覽。據外國科技媒體 TechCrunch 報道，受影響網站包括 Reddit、Spotify、 Twitch、GitHub、HBO Max、PayPal、Vimeo 及 Shopify。此外，多個國際新聞機構包括美國有線電視新聞網（CNN）、英國廣播公司（BBC）、《衛報》、《時代雜誌》、《金融時報》，以至是英國政府的網站亦告癱瘓。 今次全球網絡大故障，據報與雲端服務商 Fastly 有關，該公司承認，其內容傳遞網絡（Content Delivery Network，簡稱 CDN）服務出現問題，目前正展開調查。受影響網站癱瘓個多小時後，目前已恢復正常運作。

加密貨幣 (cryptocurrency) 炒風熾熱，愈來愈多人參與其中，而要買賣各種加密貨幣，最簡單方法是使用管理 app。網絡安全服務供應商 Sophos 便發現，有黑客集團製作了 150 個以上虛假交易及管理 apps，通過不同手法吸引投資者安裝，從而盜取他們的電子錢包帳戶登入資料。有女投資者便因貪字得個貧，買樓基金一鋪清袋。 要盜取加密貨幣電子錢包帳戶，方法有很多種，比較困難的手法是入侵受害者的電腦，再於電腦的儲存數據內搜尋有關記錄。而今次 Sophos 留意到的手法就簡單得多，專家指黑客會嘗試通過不同途徑，推廣一些管理加密貨幣的手機應用 apps，例如利用社交平台賣廣告、於即時通訊工具內廣發推廣訊息，甚至發動社交工程 (social engineering) 攻擊，先與目標人物建立關係及信心，才引導對方安裝虛假 apps。 為了令目標人物更易上檔，黑客會倣製一些有名氣的手機應用 apps，由版面設計以至使用圖案，均模彷得極度逼真，然後才通過上述方法散播。Sophos 專家經深入調查後，發現當中有超過…

iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」，被安全專家發現竟然存在身份驗證漏洞，開發商儲存於AWS雲端上的用家通話記錄及通話錄音，都可以通過修改 API 指令，被黑客隨意竊取，好兒戲喎！ ClubHouse 語音社交平台早前被爆漏洞，有心人可以闖入不同房間錄音，再將用家對話的語音檔上載網上分享。雖然用家在房間內的公開發言，都會預計有可能被錄音，所以未必有太多機密訊息，但在不知情下被竊聽，感覺始終不太愉快。不過當換轉通話錄音 app 出現安全漏洞，情況就完全不同，因為使用錄音 app 一般都有工作需要，例如記者做電話訪問、同客戶開會等等，當中總涉及一些機密資料。而 PingSafe AI 網絡安全研究員 Anand Prakash 最新發現的安全漏洞，便與 iOS 其中一款下載次數逾百萬的通話錄音…

在新冠疫情下，可能你都試過通過網上會議見工，但你又有否想過，畫面上雖然只得一個人事部職員同你會面，但背後原來還有一個隱形面試官？無錯，全球各大企業已陸續引入人工智能 (AI) 技術去篩選求職者，不幸求職失敗，分分鐘只是栽在機械人手上。 人工智能招聘 (AI recruitment) 技術，最大的好處是可以減少人事部的工作量，通過精準的大數據 (Big Data) 分析資料庫，從數以千計的求職申請中找出合適的人選，減少因人手不足而走漏人才的風險。專家指出，由於人力資源始終有限，人事部員工往往未能詳細閱讀所有求職者的個人履歷，而且又無法安排所有達標人士接受面試，而可以 7/24 工作的人工智能機械人，便不會受到這方面的影響，而且態度亦較為持平，減少先入為主的偏見，適合用於初選階段。 到底人工智能在篩選時，會用哪些方法去測試求職者的能力？一般來說，現時人工智能招聘會以兩種方法進行評估。 遊戲測試 以美國公司 Pymetrics 為例，其測試手法是讓求職者接受一個為時約 25 分鐘的遊戲，例如計數、配對詞語、限時內完成指定任務等，目的在於測試求職者的個性及危機處理能力。據知目前大企業如 McDonald’s、JP…

現時不少人都知道 Google、Facebook 等網上服務巨企，會對用家的網上行蹤感到興趣，但其實網民的電郵帳戶行為，對市場推廣員來說一樣非常寶貴。BBC便發現，有 2/3 電郵內被發信人暗中植入間諜 pixel，以追蹤相關電郵如何被處理！ 市場推廣的其中一種方法是透過發送推廣電郵，吸引目標客戶的注意。不過，收件人如何處理電郵，均會對發送人的信譽 (reputation) 有一定影響，例如收件人將郵件標示為垃圾郵件，或從未打開該發送人的電郵等舉動，便會讓電郵服務供應商理解該發送人的電郵沒有價值，將之加入黑名單或直接送到用家的垃圾電郵信箱，以提升用家的服務體驗。此外，市場推廣公司亦極欲得知收件人如何處理電郵，用以製作服務報告給客戶參考，因此有不少市場推廣公司便不惜踩界，在電郵內放入一粒小小的 pixel，以記錄電郵有否被打開及處理方法。 英國傳媒公司 BBC 為了調查 spy pixel 的使用狀況，便委托Hey訊息服務公司分析網絡上的電郵實況，結果便發現有 2/3 的電郵內隱藏著 spy pixel。這些…