加密貨幣愈出愈多，但其投資價值還是經過深入分析及了解後，才能定奪。網絡安全公司 Check Point 的研究人員發現，一款名為 Dingo Token 的新加密貨幣，其背後操作能容許項目擁有人將交易費用提升至交易額 99% 的功能，將之標記為潛在騙局。Check Point 研究人員目睹 47 次這種惡意費用調整後，發出相關警告。 想知最新科技新聞？立即免費訂閱 ！ Dingo Token 目前在 CoinMarketCap 排第…

啟用雙重（2FA）或多重因素驗證（MFA）技術，是守護企業員工帳戶的其中一種安全做法，不過，黑客近來開始使用新的入侵手法，轉移瞄準員工儲存在電腦瀏覽器內的 Session Token，因為可繞過 2FA 或 MFA 的再一次驗證，剛發生數據外洩事件的 IT 服務供應商 CircleCi，便是這種攻擊的受害者。 以往黑客要入侵企業內部網絡或雲端帳戶，最常做法是，從暗網或地下討論區購買外洩的帳戶登入資料，或以釣魚電郵騙取員工輸入密碼。 2FA 或 MFA 的驗證技術，某程度上可阻止黑客入侵帳戶，因黑客除了要持有帳戶登入資料，還要有額外驗證碼、硬件驗證金鑰或如 Microsoft Authenticator 產生的驗證碼等，故近年網絡安全服務供應商都會建議客戶採用，Microsoft 更指公司啟用 MFA…

Windows、Mac 及 Linux 版 Microsoft Team App 被發現存在安全漏洞，一旦電腦被黑客入侵，又或接觸到電腦的人都可盜取相關帳戶登入資料，甚至繞過多重因素驗證 （MFA）登入受害者的 Microsoft Team 帳戶，如受害者是公司高層，黑客便可欺騙其下屬執行轉帳金錢指示，損失難以估計。 意外發現這個 Microsoft Team 漏洞的是網絡安全機構 VECTRA 的安全專家，專家在報告中指出，由於收到客戶投訴，指無法在桌面電腦版 Microsoft Team…

網絡世界近年出現了一種叫 DAO（Decentralized Autonomous Organization）的產物，中文名為「分布式自治組織」。什麼是 DAO？要了解這個東西，首先要知道什麼是公司，其有幾個特點：第一，公司是一個虛構的法人，獨立於其所有者，有自己的獨立身份，可以永久存在。公司本身具備擁有財產、僱用人員、簽訂貸款和合同的權利，而且可以起訴，同時也可以被起訴。第二，擁有者對於公司是有限制責任的，這是一個偉大發明，投資者最大的損失就是自己的本金，可避免破產風險。第三，公司擁有權與管理權是分開的，投資者不需要成為日常管理的一部分。這種角色和職責分工，是公司一個重要特徵，持有者可參與項目決策。 安理國際律師事務所（Allen & Overy）於 2016 年對 DAO 有一個很好的總結—— DAO 是一個電腦程式，運行在點對點網絡上，程式包含管治和決策規則。DAO 可以被編程為自主操作，而毋須人工參與，程式可自動直接控制資金和實時自我控制。從法律角度看，DAO 明顯既不是公司，也不屬任何其他類型的現有法律人格，它不設註冊辦事處，也沒有實際的營業地或註冊地，沒有股東或經理。 DAO 的最重要一環，就是治理型代幣（Governance Tokens），治理型代幣是開發人員創建的代幣，代幣持有者幫助及有權塑造 DAO…

VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上，提出為了加強信用卡客戶的安全保障，計劃讓全港合作商戶參與代碼化（Tokenization），將客戶的信用卡資料變成代碼，即使黑客攔截到這些代碼，也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內，更表明希望年交易宗數達 100 萬宗以上的商戶，可以在明年內採用資料代碼化，2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處？ 加密與代碼化技術 近年網上購物平台大熱，再加上形形式式的電子支付應用程式，令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時，不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出，港澳區的無卡支付欺詐交易比率在去年第三季急升，為了提升信用卡用戶的安全，VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題，大多數人都以為傳輸過程是以加密（Encryption）技術，將信用卡號碼、到期日等數據以金鑰加密，即使黑客中途攔截交易數據，在沒有金鑰下也難以破解。不過，由於這些數據被加密後未必可以維持原始格式，處理時有需要修改資料庫或檔案格式，而且傳輸的資料亦是原始資料，所以一旦金鑰外洩，就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸，舉例原來的信用卡號碼為 16 個位，代碼化後的亂數依然保持 16 個位格式，再加上當中不涉及任何數學演算對應關係，所以即使黑客攔截到這組代碼，亦難以估計這組代碼是原始資料抑或亂數，以信用卡為例，黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本，達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處，在於它可免於受由信用卡組織制定的 PCI-DSS（Payment Card Industry Data Security Standard）金融機構安全認證審查，大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上，為應付全球各國日益提升的個人私隱法例，它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類，到底它與傳統的加密法各有什麼優勢？要引入這項技術，電商或信用卡組織伙伴有什麼需要準備？如何選擇合適的電子支付服務，才能提升公司的營業額？網絡安全應用方案供應商 Edvance X Thales，將於下月舉辦工作坊，詳細講解代碼化技術的應用及解答業內人士的問題。名額有限，如欲了解代碼化技術的詳情及應用範疇，請即點擊報名連結。 Edvance…

五眼聯盟的網絡安全機構近日聯合發表針對俄羅斯間諜組織 APT29 的研究報告，報告內指出 APT29 黑客的入侵手段已有明顯改變，由過往會利用軟硬件的安全漏洞滲透內部網絡，轉移至專門攻擊目標機構的雲端服務。雖然一般企業未必會成為間諜組織的攻擊目標，但這種攻擊手法其實已漸成趨勢，管理層必須加倍防範。 想知最新科技新聞？立即免費訂閱！ APT29 過去「戰績彪炳」 被美國、英國、澳洲、加拿大、新西蘭組成的五眼聯盟盯上的俄羅斯間諜組織 APT29，又稱為 Cozy Bear、Midnight Blizzard 等，這個組織的往積相當彪炳，例如曾利用 Solarwinds 軟件的安全漏洞入侵美國多間大型企業及政府部門，又曾借助盜取的 Microsoft 365 帳戶，刺探北約國家的對外政策。另外還有上年 11…

以高 CP 值見稱的監控鏡頭品牌 Wyze，上月中突然發生大規模的服務中斷，官方好快作出回應話事件主要同提供網絡服務的 AWS 有關，不過在恢復服務過程中又發現其他網絡安全問題，有不少用家發現竟然可看到其他用家的鏡頭畫面！經過多日調查，Wyze 方面再次作出回應，指問題出在新採用的第三方緩存客戶資料庫無法處理龐大連線，言下之意，似乎只想表示同自己無關…… 想知最新科技新聞？立即免費訂閱！ 官方稱事故與 AWS 有關 Wyze 監控鏡頭集體斷網事件發生在上月中，由於偵測到系統出現異常，導致用家無法使用服務，因此 Wyze 方面在當日早上六點已在官網發出故障通知，並且在一小時內於網誌說明事故與服務供應商 AWS 有關，正與對方的技術人員一起解決問題。 雖然官方持續在網站更新回復進度，但在早上十點左右，突然宣布要暫停產品操作介面的 Event 功能，其後又表示與發現安全問題有關，但就未有再細述詳情。不過，有用家就在網上投訴，驚嚇地說竟能在…

美國 CISA 最新將一個有關 CVE-2023-29357 安全漏洞添加到已知漏洞名冊上，要求美國聯邦機構必須在今個月底前進行修補。這項與 Microsoft SharePoint 有關的漏洞原來在去年溫哥華 Pwn2Own 黑客大會上已被發現，而發現的 STAR Labs 研究員更因此獲得 10 萬美元獎金，可見漏洞有一定嚴重性，而且被 CISA 加入漏洞名冊，亦暗示該漏洞已被黑客廣泛利用，IT 管理員不可不防。 想知最新科技新聞？立即免費訂閱 ！…

Microsoft 最近低調地完成替換首席信息安全官（CISO）的行動，安全主管 Charlie Bell 撤去原有的首席及副席信息安全官，起用加盟 Microsoft 僅四個月的 Igor Tsyganskiy，Charlie 指新任安全官將會協助公司完成在 11 月初公布的安全未來倡議（Secure Future Initiative），不過，外界就懷疑新的職位調動可能同近年 Microsoft 頻頻發生安全事故有關。 想知最新科技新聞？立即免費訂閱 ！ 微軟上月公布安全未來倡議 如果大家有留意安全事故新聞，應該會記得在今年…

Okta在今年 9 月遭受網絡入侵，經過長達 14 日調查，經整理後終於發表調查報告。官方確認攻擊者存取了 Okta 客戶支援系統內的 134 位客戶相關檔案，其中一些檔案還包含 session token 的檔案。Okta 方面表示這次問題出在公司其中一位員工身上，聲稱因為該員工沒有遵守安全政策，在公司管制的電腦上登入私人 Google 帳戶，結果導致公司遭受攻擊。 想知最新科技新聞？立即免費訂閱 ！ 至少收到 3 間公司舉報…