Android 版 WhatsApp 被發現存在兩個嚴重漏洞，只要打開一個「加料」連結訊息，惡意軟件就可以通過 Chrome 執行，讓黑客可以讀取未受保護的外部儲存區域，當中更包括 WhatsApp 用於加密訊息的金鑰，即是所有對話及傳送的檔案都可被破解！ 今次 WhatsApp 的漏洞由 Census Labs 研究員 Chartion Karamitas 發現，整個攻擊過程由一個 WhatsApp 短訊開始。研究員在影片中示範，黑客只要首先製作一個帶有惡意程式的 HTML…

早在Facebook Messenger應用程式被指索出過多用戶手機權限，引起侵犯用戶私隱危機，2018 年時，Facebook 已爆出「劍橋分析」（Cambridge Anakytica）事件，用一個叫「thisisyourdigitalife」的心理測試應用程式，收集5,000萬用戶數據，引起全球譁然。當事件已被淡忘之際，又到Facebook Messenger 出事！ 除了 WhatsApp日前宣布更改私隱條款，指將會與母公司Facebook共享用戶的個人資料，倘用戶不接受，將會無法繼續使用該應用程式，結果令大量用戶轉會至 Signal 或 Telegram。正當大眾焦點放在 WhatsApp的時候，原來 Facebook Messenger 應用程式所索取的權限比 WhatsApp 更多！Facebook 為了要確保用家遵守其政策，甚至承認有監控用戶訊息的內容。 根據…

數據加密與高速資訊儲存，從來就像水溝油，沒有並存空間。 科技界這一大困局，最近就由 Multisoft 聯同 Thales 及 PureStorage 攜手打破。數據加密與儲存系統的兩大科技界龍頭，合作推出簡稱 CTE的解決方案，CipherTrust Transparent Encryption – Efficient Storage，首創在點對點加密的環境下，仍可維持高壓縮比率，令用家同時做到防止數據洩漏及節省 Storage 成本。 CTE 背後的原理是甚麼？實際環境下可為企業節省多少成本？操作上是否很複雜？ 想知道更多有關 CTE…

數據洩漏事故現時在香港未有立法規管必須通報，並無一個完善的通報機制，除了會造成大眾關注度不足和輕視問題的嚴重性，同時也意味著很多事故隱藏在黑暗中。不要以為數據資料洩漏與自己無關，因為那些被洩漏的資料，分分鐘就是你的信用卡資料、住址、電話；香港過往也曾發生幾宗震撼全城的洩漏相關事故，包括航空公司洩漏 940 萬乘客私隱，選舉事務處遺失載有約 378 萬地方選區選民的資料的電腦，所引發的潛在資料外洩危機等，全都令人擔心企業或政府部門有沒有足夠措施及防護策略，保護客戶、市民的隱私。如果要妥善保護資料，採用由專業的數據保護方案，便能輕鬆管理資料及為資料加密，並設置資料讀取權限，即使遙距工作，也不怕資料外洩。 數據加密零停機 效率保護性兼備 Thales公司的資料保護平台（CipherTrust Data Security Platform, CDSP），為全球各地政府、跨國企業、金融機構所採用，在香港的用戶就包括政府、金融監管機構、發鈔銀行、公用事業及上市企業。Thales公司是數據保護、加密及安全交易的權威，其提供的數據加密方案，能有效保障用戶的個人私隱及交易資料，不會外洩。 其中CipherTrust Transparent Encryption （CTE）方案的透明加密資料設置，可保護結構化及非結構化資料庫，加密內部系統、雲端環境，甚至在大數據和容器內的資料，同時保持存儲數據的效率，在部署時毋須更改應用程式或工作流程，使對業務及作業程序的影響減至最少。 透過Live Data Transformation （免停機背景加密）方案，能在零停機的情況下加密資料，期間不需中斷應用程式或工作流程，在加密過程中，使用者和處理程序可如常繼續存取資料庫或檔案系統，將加密過程對使用者的影響降到最低。另外，平台亦設最低權限使用者存取規則，保護資料免受外來攻擊，以及遭特權使用者誤用。 不少製造商及電子商貿公司亦採用 Thales…

朋友在通訊 App 分享連結時，若果有 Preview，感覺比一條普通連結實在，可以衡量登陸網頁的必要。不過看似窩心的 Feature，原來潛藏資安漏洞，隨時出賣用戶 IP，甚至破壞 End-to-End Encryption（E2EE）加密原則以及用戶對平台的信任。 網頁預覽顯示的初心，絕對方便用家，故大部分通訊 App 都備有此功能，像 Tiktok 與 WeChat 般不設預覽的 App 僅佔少數，向用戶提供預覽選擇的 Signal 與 Wire…

從事資訊安全工作十幾年，成日遇到企業客戶問應該如何避免數據外洩。其實不少調查報告都顯示，超過三成的商業機密外洩來自內部威脅（Insider Threat），無論有心或無意，都有可能對企業帶來重大影響。最重要的是這種情況並不是無法避免，而且也不是太難做添。一齊睇吓這個 to do list，大大減低機密外洩的風險！ 育成安全意識 話明是 insider threat，首先要做的當然是提高老闆和員工的資訊安全警覺性！撇除專門偷資料的個案，其實好多時洩密者只是無意之下觸發事件，例如遺留無密碼保護的公司手提電腦在的士、在公共 Wi-Fi 下做公司事，又或是隨意打開有問題的檔案或連結，這些行為好明顯都是因爲缺乏安全意識。所以企業必須定期推出安全培訓，將有可能洩密的行為及後果清楚解釋，而不只是貼張禁止清單出嚟，大家先會上心。 限制存取權限 成間公司入面有多個部門，所需接觸的數據自然不一樣，例如銷售部不應該接觸人事部的檔案，IT 部門亦未必需要接觸報價單或財務報表，雖然開放了所有存取權限的確做少好多事，但就要犧牲數據安全性。最理想的做法自然是做好 data segmentation 或 privilege account management，分隔好不同的數據，以及為每位員工設定存取權限，就算其中一位員工的帳戶被盜取，都不會令全公司的檔案失守。當然為帳戶登入安裝多重因素驗證（Multi-Factor…

Norsk Hydro ASA，全球最大既鋁金屬生產商，市值高於 550 億美元，業務與廠房遍及全球 50 個國家，員工數目超過 35,000。2019 年 3 月 19 日奧斯陸零晨，這家挪威企業被黑客入侵，匈牙利營運中心職員察覺後，馬上按照保安程序將整個企業斷網， 但黑客係短短兩個鐘，已經「綁架」咗 Hydro 500 個 Server 加 2,700…

WhatsApp 係今年 4 月 29 日至 5 月 10 日期間，曾經俾以色列公司 NSO Group 開發嘅軟件天馬（Pegasus）利用軟件漏洞，透過撥打 Video Call 去控制對方手機，進行竊取資訊及監控嘅行為。之前收購咗 WhatsApp 嘅 Facebook 話，受影響嘅只得少部分人，但經過內部深入調查後，有指今次事件應該唔止影響…

Google Project Zero 近排喺 Apple iOS 推出版本更新後，多次公佈由佢哋舉報嘅漏洞，而且有 14 個之多，當中更有兩個嚴重漏洞存在超過兩年，iOS 裝備用家只要睇過某啲網站就中招，可以睇埋 WhatsApp、Telegram 等用 end to end Encryption 技術加密嘅訊息。如果有裝置仲行緊 12.1.4 版本或以下，就要快啲更新喇。 Project…

VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上，提出為了加強信用卡客戶的安全保障，計劃讓全港合作商戶參與代碼化（Tokenization），將客戶的信用卡資料變成代碼，即使黑客攔截到這些代碼，也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內，更表明希望年交易宗數達 100 萬宗以上的商戶，可以在明年內採用資料代碼化，2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處？ 加密與代碼化技術 近年網上購物平台大熱，再加上形形式式的電子支付應用程式，令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時，不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出，港澳區的無卡支付欺詐交易比率在去年第三季急升，為了提升信用卡用戶的安全，VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題，大多數人都以為傳輸過程是以加密（Encryption）技術，將信用卡號碼、到期日等數據以金鑰加密，即使黑客中途攔截交易數據，在沒有金鑰下也難以破解。不過，由於這些數據被加密後未必可以維持原始格式，處理時有需要修改資料庫或檔案格式，而且傳輸的資料亦是原始資料，所以一旦金鑰外洩，就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸，舉例原來的信用卡號碼為 16 個位，代碼化後的亂數依然保持 16 個位格式，再加上當中不涉及任何數學演算對應關係，所以即使黑客攔截到這組代碼，亦難以估計這組代碼是原始資料抑或亂數，以信用卡為例，黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本，達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處，在於它可免於受由信用卡組織制定的 PCI-DSS（Payment Card Industry Data Security Standard）金融機構安全認證審查，大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上，為應付全球各國日益提升的個人私隱法例，它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類，到底它與傳統的加密法各有什麼優勢？要引入這項技術，電商或信用卡組織伙伴有什麼需要準備？如何選擇合適的電子支付服務，才能提升公司的營業額？網絡安全應用方案供應商 Edvance X Thales，將於下月舉辦工作坊，詳細講解代碼化技術的應用及解答業內人士的問題。名額有限，如欲了解代碼化技術的詳情及應用範疇，請即點擊報名連結。 Edvance…