為了加強保護記者、人權活動家及政要等高風險用家，Meta 宣佈將為 WhatsApp 引入一項名為「Strict Account Settings」（嚴格帳戶設定）的全新防禦機制。雖然與 Apple iOS 的 Lockdown Mode 及 Android 的 Advanced Protection 一樣，需要犧牲部分便利性，但就換來更安全的防護！ 同時，Meta 亦披露會大規模採用 Rust…

繼去年收購 Splunk 後，Cisco 今年再度公布收購計劃，發言人指這次的對象是一間專門開發保障人工智能應用安全性的平台公司 Robust Intelligence，通過這次收購，可有助提升管理 AI 應用的安全性，又可以反過來借助其 AI 提升 Cisco 的網絡安全水平，達到雙贏的效果。 想知最新科技新聞？立即免費訂閱！ 根據網絡安全機構 Security Week 的統計數字顯示，2024 年上半年已有 178 宗與網絡安全相關的併購交易及加強合作，當中便包括…

網絡安全事故頻頻發生，不少科技公司及開源社群，都開始倡議從程式語言層級確保記憶體安全（memory safety）問題，即以具備記憶體安全的程式語言例如 Rust、Java、Go 等，取代 C 或 C++。到底為何有這變動？業界又是否可以順利轉型？ 記憶體安全可說是開發軟件的一大難題，早在 2019 年，Microsoft 已發表報告指出過去 12 年來發生的網絡安全事故中，近 70% 都與記憶體安全問題有關。 記憶體安全其實是指程式運行時因管理記憶體失當，導致數據外洩或被注入惡意編碼，當中包括記憶體緩衝區溢出（buffer overflow）、超出緩衝區邊界（out of bounds）存取及釋放記憶體（use after…

ThreatLocker 團隊正式進軍香港！來自美國的 ThreatLocker 具備多年發展數碼保安工具的經驗，致力開發創新技術保障數碼安全，旗下皇牌的零信任（Zero-Trust）解決方案，帶出全新的 Zero-Trust 概念，以 Allowlisting 及 Ringfencing 為防線，控制終端上的應用程式及文件，坐擁六大優勢，實現全方位、可靠又便利的系統保護。 比較傳統偵測病毒方法　概念大不同 網絡攻擊不斷進化，要 100% 防範簡直難過登天，傳統的端點偵測與回應（Endpoint Detection and Response，EDR）即使防範到已知的惡意程式，卻未必能完全阻隔未知的新惡意程式，往往在攻擊進行時才能偵測，情況就如在家中安裝 Webcam，發現有賊入屋開始偷竊時才嘗試阻止。ThreatLocker 零信任解決方案的概念則有所不同，不選擇與病毒進行無止境的競賽，而是透過 Allowlisting…

Microsoft 日前順利舉辦 Industry Fair，展出由 Microsoft Cloud 支援並結合行業的專業知識，涵蓋消費品及零售、智慧城市、金融服務及可持續發展四個領域，共 36 個夥伴的行業數碼解決方案，有效讓業界減低營運成本並提升業務成效。 活動更有來自不同行業、超過 400 個商界領袖及 IT 專業人士出席，互相交流融合科技與行業知識的創新靈感。 （資料及圖片來自 Microsoft）

Fortune 500 之中，就有超過一半企業採用 Akamai 的服務，包括金融銀行企業、醫療產業，更不乏媒體、OTT、遊戲公司等。最近 Akamai 收購了在 Forrester Micro-segmentation 報告中獲得 leader 的 Guardicore，更進一步鞏固其 Zero Trust 的翹楚地位。今次請來 Akamai 的港澳台灣區域總經理 Victor Wong，講講…

現時有三分之二香港企業有望實施混合工作模式，「零信任保安」( Zero Trust Security ) 成為最近企業網絡保安熱話。Aruba 香港及澳門地區總經理 Fiona Siu 接受 wepro180 獨家專訪，分享 Zero Trust Security 應用的最新市場趨勢，她認為 Zero Trust Security 已成為企業網絡發展核心，企業營運者必須認識及將之應用，長遠方可保護企業網絡。…

超過 8 年歷史的模糊測試自動除錯工具 ClusterFuzz 受不少開發員愛戴，至今已於 Chrome 辨識出超過 1.6 萬個臭蟲，亦於各種 OSS-Fuzz 整合的開源碼專案中找超過 1.1 萬個臭蟲。 模糊測試（Fuzz Testing／Fuzzing）是一種臭蟲偵測方法，將一堆自動或半自動生成的亂數據輸入到目標程式中，並監視程式異常如記憶體流失、程式錯誤、臭蟲等問題，以人手執行的話相當費時，所以多數自動化。然而模糊測試是找出程式錯誤、提高安全度及保持程式穩定性的好方法。 ClusterFuzz 具備端對端自動化能力，從偵測、分流、重複數據刪除到報告、最後自動結案，全程簡易，可無縫整合到開發人員的工作流程之中。ClusterFuzz 一般只需數小時內搜出臭蟲並能於一日之內驗證修補程式。2016 年 Google…

墨西哥政府近日爆出大規模數據洩漏事件，一名黑客被指利用 Anthropic 的 Claude 人工智能聊天機器人，成功從多個政府機構竊取約 150GB 官方數據，引發國際社會對 AI 被武器化的高度關注。根據《彭博》報導，這宗攻擊行動自 2025 年 12 月開始，歷時約一個月，主要鎖定納稅人紀錄及政府員工憑證，對當地資訊安全構成嚴重威脅。 想知最新科技新聞？立即免費訂閱！ 負責調查事件的網絡安全公司 Gambit Security 表示，攻擊者將 Claude 用作「攻擊輔助工具」，讓…

近年全球各國政府積極推動電子化政務及數據集中化，國家數據庫儲存了國民最敏感的財務與身份資料，自然成為黑客眼中的寶庫。法國財政部近日便證實一宗網絡安全事故，部門管理的國家銀行帳戶登記冊（FICOBA）遭受黑客入侵，導致多達 120 萬帳戶資料外洩，讓過百萬市民面臨金融詐騙風險。 想知最新科技新聞？立即免費訂閱！ 中招系統為集中式國家數據庫 FICOBA 是法國極為重要的金融基礎設施，由稅務機關 DGFiP 負責營運。該系統為集中式的國家數據庫，依法強制記錄法國境內所有銀行帳戶的開立、修改及取消紀錄。根據法國財政部公告，系統在今年一月遭受入侵，黑客並非利用零日漏洞攻破系統，而是盜取了一名擁有跨部門信息共享平台權限的公務員憑證。 雖然當局在發現異常後已立即切斷黑客的存取權限，但經清點後證實有過百萬帳戶資料被盜，包括帳戶持有人的身份資料、通訊地址及銀行帳戶詳情。部分案例中，連納稅人識別號碼亦一併被盜；雖然當局強調黑客無法直接利用相關數據提款，但受牽連的市民仍面臨後續的詐騙風險。 社交工程攻擊成功率大增 專家解釋，黑客掌握這些資料後，發動社交工程攻擊的成功率將大增。試想當市民收到冒充稅務局或銀行的電郵或 SMS，內容準確列出全名、地址甚至銀行戶口號碼，要求補交稅款或確認交易時，受害者往往較易輕信，並按指示提供更多私隱資料或進行轉帳。此外，黑客亦可利用這些資料偽造轉帳授權，或冒用受害者身份在其他金融機構開設假帳戶進行洗錢，潛在風險極大。當局已承諾在未來數天內通知受影響用戶，並呼籲銀行機構提高警覺。 面對這類國家級數據外洩，市民處境相對被動。專家強烈建議受影響用戶在未來數月保持高度警惕。首先，對於任何要求提供登入憑證、銀行卡號碼或進行轉帳的通訊，無論透過 SMS、電郵還是電話，均應先視為詐騙，並直接致電相關機構的官方熱線核實。法國財政部亦特別發出警告，重申稅務機關絕不會透過訊息索取用戶的登入資料。其次，市民應定期查閱銀行帳單，留意是否有任何未經授權的微額扣款或異常活動。 這次事件亦顯示了全面落實「零信任」（Zero Trust）架構的必要性。對於擁有特權存取權限的公務員或員工，必須強制實施多重身份驗證（MFA），並配合嚴格的行為分析監控，即使憑證被盜用，也能更快偵測異常流量。唯有從源頭加強對「身份」的驗證與管理，才能守護國民的數碼資產與私隱安全。 資料來源：https://www.bleepingcomputer.com/news/security/data-breach-at-french-bank-registry-impacts-12-million-accounts/