上次邀請了網絡安全保險專家盧子頴，講解這類保險的保障範圍，以及哪一類企業應該盡快考慮投保。不過，原來並非想買就可以買到，因為保險公司會先評估投保人有沒有做足安全措施，除了影響投保成功投保率，更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出，雖然遇到的個案不多，但間中也會有投保人以為只要有錢就可投保，但其實保險公司也需要核保，評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有，試問怎會有保險公司受保？」他指出保險公司首先會檢查企業現有的網絡安全措施，例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等，「如果企業完全沒有做，保險公司會建議對方先做好基本的網絡安全措施，之後才考慮投保，因為即使轉投其他保險公司，相信也不會成功。」盧子頴補充說，其實投保不能賺錢，只能減少損失，所以如果站在預防被攻擊的立場，企業都應先做好防禦工作。 除了檢查安全措施，盧子頴表示保險公司還會考慮企業的業務性質，如屬於高風險行業，例如涉及加密貨幣交易，又或處理的個人私隱數據太多，就並非所有保險公司就會受保。另外，一些規模較細的保險公司，如投保企業每年的生意額太高，也可能因為承受不到風險而無法接單，這些因素就與投保企業無關。 上述的考慮因素，不單只會左右投保成功率，同時也會影響保費，「因為全部同風險有關，簡單來說，風險愈高的生意，保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣，保費高低還要因應保額、墊底費及保障內容計算，如前文提及的增值保障如勒索贖金、外判商失誤等，便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家，安全度理應較高，是否可成為減保費的因素？他說理論上是，但同時間代表企業的業務複雜性較高，而且亦可能有較多監管要求，所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格，但視乎選購的保險計劃，保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多，如認為業務受到攻擊的風險頗高，應邀請保險公司進行評估，之後再考慮是否購買也不遲。

根據華盛頓郵報報導，加州州長 Gavin Newsom 將會簽署法案，限制執法人員喺隨身拍攝鏡頭內加入人臉辨識技術，有份動議呢項法案嘅成員話，原本裝備呢啲鏡頭有助改善警民關係，但如果人臉辨識技術會破壞信任關係，令人憂慮會變成監控工具，咁就寧願唔好有呢項功能住，所以法案會強制禁止執法機關喺 2023 年或之前安裝人臉辨識，真係令人拍爛手掌。其實唔好話有無人臉辨識，要市民信得過呢啲鏡頭，除咗儲存影片嘅方法具透明度，唔可以隨便攞嚟用或銷毁之外，仲要小心存放，否則就好易洩露市民私隱。 好似 Miami 嘅執法機關就唔係好靠得住，早排 Black Alchemy Solutions Group 行政總裁 Jasun Tate 就喺自己個 Twitter 度報料，話網上搵到條公開連結，係人撳入去都可以睇到晒警方隨身鏡頭嘅影片，數量仲有成 1TB…

呢個世界好難有完美嘅事，就算你砌咗隊好勁嘅班底去搞 app，出嚟嘅製成品都總會有瑕疵。不過，其實大家都接受晒啲 app 有 bug，最重要係開發商反應夠快兼唔好推三推四，先至唔會釀成關公災難！ 講緊嘅係 Uber，呢間今年 IPO 集資最多嘅創科企業，絕對有資格請最好嘅工程師同埋程式員去做好隻 app 啦，但係都唔保證唔會出事，好似 2016 年 Uber 已經衰過一鑊，將幾百萬司機同乘客嘅個人資料外洩，結果要賠成 1.48 億美元先平息到件事，但賠錢事小，商譽受損事大，當時行政總裁 Dara Khosrowshahi 就話會積極補救，去挽回顧客信心。 當然啦，呢啲門面說話係…

原來發俾 iPhone 用家嘅多媒體訊息係刪除唔到㗎，仲唔係漏洞？Telegram 一收到通知即刻 take action 修補，WhatsApp 就回應話從來無保證過訊息一定可以刪除，所以唔會改……講呢啲？ WhatsApp預設自動下載 講緊嘅係 WhatsApp 入面嘅 Delete for Everyone 功能，佢嘅作用係可以喺大約一個鐘之內，俾發訊人刪除傳送出去嘅訊息同埋相、片，而且可以連群組內所有成員收到嘅嘢都刪除埋，就算 send 錯咗啲有性命危險嘅訊息，都有機會掹得返。不過，原來呢個情況只適用於收訊人係用緊 Android 手機，iPhone…

係囉，錯就要認，知錯就改，咁就抵讚！密碼管理工具 LastPass 被發現有漏洞，用戶有可能俾黑客盜取最近一次嘅登入憑證。LastPass 收到通知，立即回應，火速修復，抵讚！ 密碼管理工具絕對係現代人嘅必備，全靠佢，先可以應付日常海量密碼登入帳號之苦。事關網絡安全專家建議大家唔好重用密碼，以免其中一個帳戶嘅登入資料被盜取，就會波及其他帳戶。不過一個正常人又點記得咁多複雜密碼？為免大家被密碼折磨，網上就出現咗好多密碼管理工具，而 LastPass 就係最受歡迎嘅工具之一。較早前，Google 嘅網絡安全工程師 Tavis Ormandy 發現 LastPass 有一個漏洞，黑客可以利用一個有效嘅 clickjacking 手法，引導用戶利用 LastPass 登入個人帳戶，然後轉移到惡意網站，截取資料。 雖然此漏洞只出現於 Google Chrome 及…

唔好以為你無用 Facebook，就唔會俾佢攞到個人私隱資料，事關 Facebook 專為手機應用軟件開發者提供 SDK 系統開發套件，方便佢哋嵌入軟件內，收集用家數據用嚟推送相關廣告賺錢，所以如果係女士又用緊生理周期記錄 app 嘅話，姨媽幾時到、經期徵狀同埋性生活都會一一上報，唔知妳又想唔想呢？ 私隱直送服務 專門監察政府及企業有無過份採集個人私隱嘅獨立組織 Privacy International，上星期發表咗一個調查報告，佢哋今次選擇咗生理周期手機應用軟件為調查目標，利用儀器攔截輸入 app 內嘅資料，睇吓開發商會將幾多用家私隱傳送去 Facebook。結果發現，最多人用嗰幾隻 app 包括 Period Tracker（Leap Fitness）、Period…

僵屍網絡係其中一種黑客最常用嘅攻擊方法，因為受感染及操控嘅僵屍電腦真係好使好用，唔單只可以用嚟發動 DDoS 攻擊，亦可以借用嚟挖礦，每部機借少少運算能力出嚟，黑客幾乎乜都唔使做就有加密貨幣收，而且中招者亦唔易發覺，難怪成為黑客愛用手段。不過，最近一個由黑客控制嘅 Command & Control（C&C） Server，就俾法國警方成功搗破，一下子解放咗 85 萬部僵屍電腦，認真功德無量！ 今次事件嘅幕後功臣係防毒軟件公司 Avast 嘅專家，因為佢哋發現咗網上其中一個惡意程式 Retadup 嘅 C&C 伺服器設計上存在漏洞，如果能夠好好利用，就可以將佢由黑變白，遙距移除受害人電腦內嘅惡意程式。 偷襲C&C伺服器 不過，瓦解黑客集團嘅過程都唔簡單，由於 Avast 專家發現…

Pentest 滲透測試係發掘網絡系統漏洞嘅好方法，所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時，懷疑殺得性起，做多咗嘗試強行爆入法院大樓，再攻埋其他系統，結果搞到官非纏身！ 上星期三，美國愛荷華州（Iowa）達拉斯縣（Dallas）法院發現有不明人士闖入法院大樓，觸動警報系統，結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio，被捕時二人即刻話係受到達拉斯縣政府所僱用，目的係測試法院嘅安全系統。起初當局回應話無咁嘅事，但經查明係，證實 State Court Administration（SCA）的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試，而 Justin 同 Gary 就係 Coalfire 嘅員工。 雖然證實咗真係派出社員，但…

Apple 嘅 iPhone 11 系列將於下星期五推出，伴隨住新機出爐，作業系統亦會升上 iOS 13。不過，早前 Apple 放出供測試嘅 iOS 13 GM（Golden Master） 版最然係最接近完成嘅版本，但就俾網絡安全研究員 Jose Rodriguez 篤爆 Apple 仲未修補到之前佢舉報嘅漏洞，可以喺唔使機主解鎖嘅情況下，讀取機主嘅聯絡人資料。 Rodriguez…

研究員搵漏洞，除咗想維護網絡安全，亦希望對方可以正視問題，之不過站於對方立場，醜事梗係收埋最好。早前有研究員發現一款路由器有嚴重漏洞，之不過廠方嘅回應就有好大改善空間囉。 Singtel 旗下網絡安全研究團隊 Trustwave 嘅 Spiderlabs 喺年初發現，一款 D-Link ADSL2+ 路由器出現嚴重漏洞，可以唔使認證，直接從網頁上獲取路由器資料，當中更包括密碼。方法就係喺路由器嘅 index.asp 頁內搜尋 username_v 及 password_v 參數，咁就攞到用戶嘅登入資料。此漏洞非常嚴重，意味著黑客可以控制路由器、截取當中嘅數據傳輸。 Trustwave 當然有向 D-Link 通報，不過，對方似乎唔係好理。原本…