雖說現時Apple的iOS 14及Google的Android 11作業系統,已大大增加應用軟件取用手機功能的權限透明度,甚至可讓用家逐次授予使用權。不過,面對著一些合理地取用全球定位功能、卻不合理地使用資訊的app,如用家未有留意細則或用法,便有可能洩露自己的行蹤。最新的例子是不少港人都有使用的運動記錄app Strava,預設功能可讓擦身而過的用家閱覽你的個人資料及經常出沒的運動地點,遇著立心不良的匪徒,隨時有人身安全危機! 作為一隻運動記錄應用軟件,Strava在安裝時,要求取得定位權限,合理至極;而且相信絕大部分用家,為免每次使用app時都要重新授權,都會選擇長期開放取用位置權限,減少麻煩。不過,其中一位Strava用家Seward在Twitter上透露,當他完成一次跑步記錄後,竟發現記錄內tag了一位當日曾與他擦身而過的女跑手,Seward甚至可以細閱這位女跑手的Strava帳戶資料及運動記錄。經深入調查後,Seward發現原來Strava app預設的私隱分享功能非常「無私」,個人資料、運動記錄、團體活動等都設定為可供任何人查閱,而當中Flyby功能便是今次事件的元兇,因為開啟後,系統便會與附近的用家分享運動及位置記錄。雖然這功能用在正途上,或可組織該區的運動愛好者一起訓練,但卻同時洩露了過多個人資訊,包括經常出沒位置及所使用的運動手錶等,匪徒便有可能在路上埋伏,又或借助詳細的個人資料,發動社交工程(Social Engineering)攻擊。 事件經報導後,Strava即時出面澄清,並表示會通知所有用家有關修改這項私隱設定的方法。用家如希望關閉這項功能,可登入Strava官網,在設定中點選Privacy Control,於Flyby點選「No One」便可。用家亦可同時修改其他私隱設定,例如只跟朋友分享資訊或運動記錄,減少不必要的危險。 資料來源:https://bit.ly/3361ZL2
Search Results: CIA (97)
想必大家都知道,在黑客手法層出不窮的世代入面,各位老闆都想盡辦法保護好自己的資產。Phishing attack﹑Social Engineering 等等濫用人類信任的手法,小編都 cover 過好幾次啦。今日就探討下,現有存在的非人類因素漏洞 — 假冒手段,以及如何利用量子力學解決呢個問題。 而家好多時收貨驗貨都靠一個 QR Code 或者 Bar Code 搞掂。不過隨住 Photoshop 等編輯軟件興起,不法之徒好容易就偽造到一個同原裝一模一樣嘅貼紙,一野就貼喺 D 假貨上面混水摸魚。最多要你打埋個密碼入系統 —…
「邊個作業系統最安全」呢個題目,龍頭資安企業與學術界肯定發表意見,民間高手亦在 Reddit、知乎甚至 YouTube 拍片分享高見,但多年爭論依然傾唔到標準答案,說服江湖。再加上推出新版本 OS 或更新、黑客手段演化等變數,令呢個爭論可以無限伸延落去。 Windows 真係咁脆弱? 研究數據指出,全球電腦中有 77% 使用 Windows 作業平台,能夠上網的話,比例更大幅增加至 88%(呢點好重要,因為主流黑客都係透過網絡發動攻勢)。任何人都希望自己嘅「產品」可以打入最大市場,將利潤最大化,黑客都唔例外。即使一款惡意程式未必能夠侵略所有版本的 Windows,但相比市佔率只有 2% 的 Linux 家族,主流幾代 Windows…
上月多個名人如 Bill Gates、Elon Musk 嘅 Twitter 帳戶被黑客入侵,於平台騙取 Bitcoin,成功騙取約11萬美元 Bitcoin。的而且確,奪取到原帳戶再向受害人身邊嘅親友落手,成功率會較高,但複製帳戶呢種極度簡單嘅方法,都會有人上釣。曾因利用社交工程(Social Engineering)手法進行詐騙而入獄,後來改邪歸正嘅網絡安全專家 Jake Moore 就親身示範,只須複製目標人物嘅帳戶,都可令對方嘅朋友信以為真,乖乖過數! Jake 原本嘅 Instagram 帳戶有 1,611 個 posts,同時有…
雖然喺香港任職 IT 行業,總逃唔過俾人笑係「 IT 狗」嘅命運,但相信唔少人都認同, IT 業係資訊科技發達下嘅「筍工」,唔單止專業更看似有大好前景。之不過當你以為搶手時,現任 IT 同業竟大吐苦水? 一項源自 Enterprise Strategic Group (ESG) 以及 International Systems Security Association (ISSA)…
係人都知,黑客嘅釣魚攻擊不嬲都會用時令嘢嚟做主題,引多啲人跌入陷阱,所以收到嘅釣魚攻擊嘅主題都會有季節性。而 Apple 由於長期有新產品推出,所以經常排喺被利用榜嘅首位。不過 Check Point 最新嘅 2020 年 Q2 被釣魚攻擊利用品牌排行榜,就發現 Apple 由上季第一位插水式跌到落第七位,得返 2% 使用率⋯⋯ 雖然係例牌調查報告,不過從中都有啲啟示,上一季報告入面,電郵只係最常見渠道嘅第三位,今季就升上第二位,同手機渠道換咗位。專家認為上季手機被利用得多,主要因為 COVID-19 改變咗大家嘅日常生活,喺無得返工嘅情況下多咗用手機上網;而隨住各國嘅禁足令解封,啲人開始返公司做嘢,經電郵發動攻擊嘅數量亦因而上升。 而喺十大被利用品牌方面,Apple 就由上季第一位跌落第七位,同 Netflix…
早排令人聞風喪膽嘅 Twitter Hack 黑幕 Kirk,終於喺多日嘅調查同追捕之後被美國佛羅里達洲警員拘捕。估都估唔到,呢一位膽大包天,先前睇落無跡可尋嘅黑客年僅 17 歲。先前有份供佢出嚟嘅 eversoanxious 同另一位 Hacker Rolex 都同時被提告,真係冇一個人逃得出呢座五指山。 Kirk 嘅真名叫 Graham Ivan Clark,唔好睇佢年紀輕輕,其實由 10 歲開始,佢就過住「偷呃拐騙」嘅生活。佢自細已經喺 Minecraft…
好多人最近諗緊移民大不列顛,首先要考慮嘅就係搵食問題。始終如果無工做,又點可以喺英國生存呢?與其自己估估吓,我哋不如真係做吓 research,以IT及cyber security兩個Keywords,實測英國三個最受歡迎嘅求職網站,睇吓空缺情況先哩。 我哋測試嘅日期係 2020 年 7 月 4 日,用「IT」及「cyber security」兩個Keywords 搜索。大家要留意嘅一點,就係輸入地點好緊要,切記揀啱地方以及設定方圓幾多距離,出嚟嘅效果先有參考性。而我哋以最大路嘅地區設定:倫敦及大倫敦。結果如下: indeed:IT-1491 jobs・cyber security-730 jobs 大家應該都好熟悉 indeed,UK 版本同香港差唔多。indeed 係比較大路嘅搵工平台,有唔同…
係人都知,識得善用數據有幾大優勢,因為唔單止可以用嚟提升客戶體驗、改善市場營銷策略,仲可以用嚟阻擋網絡攻擊,對要靠不停推出創新服務嚟吸客嘅金融行業嚟講,識玩真係無得輸。而Splunk Essentials for the Financial Services Industry(FSI)應用程式,就預載咗十幾種行業專用use cases,可協助金融服務供應商揪出金融欺詐、帳戶盜用等安全問題,更有助滿足合規需要,以及監察交易服務符唔符合到SLA。 只要喺Splunkbase下載就用得,非常簡單。而Splunk即將舉辦嘅網上研討會,就會詳細講解FSI行業嘅網絡安全形勢及合規要求,亦會示範Data-to-Everything嘅多種用法,歡迎大家報名參加! 日期:2020年7月17日(五) 時間: 3pm – 4pm 語言: 粵語 網上留位:https://bit.ly/31We3hK
到底網絡安全專才有多渴市?先跟大家分享一些數據。根據去年網絡安全機構 ISC2發表的一份調查報告顯示,65%企業或機構缺乏網絡安全專才。報告同時估計,大約需要 407 萬個網絡安全專才,才可以滿足全球企業或機構的需求,但實際上現時只得 280 萬個,反映專才嚴重不足。另一份 IT 行業薪酬調查報告亦顯示,香港的網絡安全專才收入相對較同行高外,亦預期每年可有 30% 增幅,相當有「錢」途。 無盡警報拖垮網絡安全 由此可見,企業或機構管理者正身陷極大窘境,既難以聘請足夠的專才處理網絡安全問題,另一方面亦擔心員工被挖角,導致網絡安全系統無人管理。事實上,企業高薪聘請網絡安全專才,原本是為了制定更完善的安全政策、定期審核安全架構的合規性等高層次工作,偏偏卻被繁瑣的日常工作所誤,例如一大堆由網絡安全系統發出的警報要處理,需要評估有否誤報、事件嚴重性、調查網絡攻擊手法、影響範圍、選擇處理問題的系統、上報處理建議並等待審批⋯⋯特別是現時不少企業採用混合雲架構,每天從公司內部、網絡、雲端應用匯集的數據極為龐大,警報數量同時大增,不單霸佔網絡安全專才大部分工作時間,令他們無暇進行更重要的工作,有報告更估計,50%安全威脅更會因此而遭忽視,令企業被攻擊的風險大增。 處理事件因人而異 面對著複雜的企業架構及龐大的數據流量,傳統的防毒軟件,或安全資訊及事件管理系統(Security Information and Event Management, SIEM)已不足以解決問題,因為 SIEM…