全球各地 Instagram 用戶近日紛紛收到重設密碼電郵,隨即有網安公司發警告,指有約 1,750 萬筆帳戶資料疑似外洩,包括使用者名稱、電郵,甚至透過重設密碼功能試圖奪取帳號,引發一輪恐慌!及後 Meta 發聲明,稱已修復漏洞,否認系統遭入侵。 想知最新科技新聞?立即免費訂閱! 近日大批 Instagram 用戶無主動操作下,收到來自 [email protected] 的「重設密碼」電郵,內容顯示有人嘗試更改帳戶密碼,並附連結要求驗證。用戶來自美國、歐洲、亞洲等地,部分用戶更連續收到多封電郵。 不少 Instagram 用戶都收到重設密碼電郵,遍布世界各地,引起恐慌。 擾攘數天後,網安公司 Malwarebytes 於 1…
Search Results: 重設密碼 (17)
Meta 證實,旗下 Instagram 一項 AI 輔助帳戶復原工具早前出現安全漏洞,令攻擊者可利用密碼重設流程,取得部分用戶帳戶存取權。Meta 向美國緬因州總檢察長提交的通報顯示,事件最早可追溯至 2026 年 4 月 17 日,公司於 5 月 31 日發現問題,估計共有 20,225 人受影響。 想知最新科技新聞?立即免費訂閱!…
近日有報道指,Google 因系統安全問題,緊急警告全球 25 億 Gmail 用戶重設密碼並啟用雙重驗證(Two-step Authentication)。Google 發聲明反駁,澄清並無向用戶發出緊急安全問題警告,直指「This is entirely false(這是完全錯誤的)」。 想知最新科技新聞?立即免費訂閱! Google 在官方部落格文章中澄清,所謂的「緊急警告」是假的,雖然該文章未有點名指出是哪宗事故,但相信與早前廣泛報道的「25 億 Gmail 用戶或受影響」事件有關。 Google 建議用戶使用 Passkeys…
雖則全球每日都在發生入侵企業事故,不過,其實很多時黑客並非通過搜尋 IT 漏洞達成任務,而是用更簡單的方法,例如花點時間騙取目標企業員工的帳戶登入資料,或索性用暴力破解(brute force)或密碼噴灑(password spraying)猜測帳戶密碼。 想知最新科技新聞?立即免費訂閱 ! 根據《2023 年 Verizon 數據洩漏調查報告》提及,在 2021 年 11 月至 2022 年 10 月期間發生的數據外洩事件中,有 83%…
密碼管理服務供應商 LastPass 上月承認公司遭受黑客入侵,不過,事故調查報告要到九月中才發表。官方聲稱黑客並未接觸到客戶資料及加密密碼引擎的詳情,換言之客戶可以放下心頭大石。LastPass 如果對這次事故的調查屬實,就可說是其中一個網絡安全案例正確示範,企業管理者不妨參考一下。 為了保障帳戶的安全性,不少用家都會聽專家之言,起碼會為帳戶採用強密碼,即密碼結合大細楷英文字串、符號、數字,以及密碼至少有 8 個位長度。不過,有調查指現時一般人至少擁有過百過網上服務帳戶,如果密碼要夠長及複雜,而且又要為每個帳戶設立不同密碼組合,相信很少人有能力做到,於是網絡安全專家會建議網民使用密碼管理服務,例如 LastPass、1Password 便是較出名的服務供應商。 雖然這個方法可解決用家無法記住太多密碼的煩惱,但如果密碼管理服務供應商遭受入侵,用家儲存的帳戶資料便有機會一次過被盜取,所以當 LastPass 上月爆出遭入侵事故時,不少用家都相當憂慮,因為隨時會為所有帳戶重設密碼。還好 LastPass 管理層終於發表調查報告,指出這次黑客雖然成功入侵公司的開發環境,假扮成公司其中一個開發人員並為帳戶通過多重因素驗證,不過,公司卻未有太大損失,原因主要有兩點。 首先,官方指 LastPass 有嚴格控制產品推出流程,即使黑客在這次事件中能假扮 Development Team 員工,但由於產品必須經過…
歌手曾比特早前聲稱 IG 帳戶被黑客入侵,一次過刪除他帳戶內的所有舊文舊相。雖然有人懷疑消息真偽,但 IG 帳戶被奪事件的確經常發生。網絡安全公司 Malwarebytes Labs 最近就揭露了其中一個手法,雖然騙徒僅要求受害者傳送屏幕截圖,未有下載軟件或點擊連結,但都一樣出事,IG 用家要留意。 Malwarebytes Labs 專家最新在博客上分享了關於社交平台 Instagram 的詐騙手法,專家指出雖然不少人對網上騙案如預付費詐騙 (又稱 419 詐騙或尼日利亞詐騙),但由於這類騙案會要求目標人士先付一小筆金錢,以換取可觀的收入,因此較容易觸動收到訊息的人的警覺性,不太容易上當。不過,專家說 IG 帳戶騙案的故事背景一般不涉及金錢,而且騙徒只是要求目標人士做一些簡單協助,因此詐騙成功率頗高。 專家舉例說,騙徒通常會向目標人士發送個人訊息,因為一些特定理由需要對方協助,例子如下:…
愈來愈多人加入加密貨幣及非同質化代幣 (NFT) 市場,不過在投資之餘,用家卻未必擁有相關的網絡保安知識,例如未有好好保管電子錢包帳戶的助記詞 (seed phrase),導致錢包帳戶被清空。其中一個加密貨幣電子錢包供應商 MetaMask 用家最近就成為受害者,供應商因未有知會用家儲存在 app 內的 seed phrase 會自動備份到 iCloud 帳戶上,因此有用家在釣魚攻擊下痛失存款,最慘烈的個案更損失價值 65 萬美元儲存的資產,似乎使用 cold wallet 會較安全。 擁有…
COVID-19、外交新秩序、WFH……來到 12 月,想不到 2020 年在人類大歷史上會再添新 Entry,今次難得有好消息;Microsoft 公布 Microsoft Passwordless Systems 按月用戶量突破 1.5 億人! 數碼化年代個人管理帳戶數目高速增長,但大眾未夠認真看待 Password,「Abc123」、「Password1」依然雄踞 2020 年最常用密碼排行榜,而 COVID-19 更讓黑客承機突破企業防線,盡情採摘個人資料。簡單講,這種水平的密碼,形同虛設,構成的保安漏洞令科技企業極度煩惱,Apple、Microsoft、Google、Facebook、Amazon、Intel、Paypal 等巨頭幾年前結盟,組織取名…
勒索軟件近期成為傳媒報導焦點,不過,黑客的攻擊手段又豈止一種?如果說勒索軟件是大茶飯,那麼偷用帳戶買點數卡就只算賺零錢。不過,Sophos最近阻止的一宗零錢個案,都睇得出黑客入侵公司網絡,還有更多支線任務。 睇過不少網絡攻擊事故,能否及早阻止黑客入侵,好視乎負責監管網絡活動的人的安全意識,就算安裝了SIEM (Security Information and Event Management) 工具,如果安全專家看不出系統偵測的事件有異常,黑客一樣可以乘虛而入。而今次 Sophos Rapid Response Team 的一個系統管理者在協助客戶監管網絡連線時,就因為發現了該公司其中一些帳戶活動有可疑,突然出現重設帳戶密碼要求,而他並沒有重設密碼後就完事,而是深入追查該重設指示發出的原因,才能識破正有黑客入侵網絡,於是即時隔離被入侵的帳戶,將黑客掃出門外。 入侵事件發生原因,Sophos 專家認為跟 VPN 不設雙重因素驗證 (2FA) 有極大關係,黑客只須取得其中一個員工的帳戶密碼便能順利登入,然後搜尋該員工的電腦上網記錄,查看未有登出哪些帳戶,例如網購平台、電郵等,如網購平台已綑綁了信用卡,黑客便可直接用來購買點數卡;否則亦可查看有使用哪些帳戶,再以未登出的電郵帳戶接收重設密碼通知,奪取使用權。除了攻擊本機電腦,黑客還可透過遙距桌面協議 (RDP),進入其他員工的電腦重複上述動作,隨時山大斬埋有柴。…
「疫情下企業節省資源」這句開埸白,全球和應,因為任何部門主管的 2021 Proposal 主題(其實 2020 下半年已經如是)都係開源節流,最好即日見效,而科技往往是關鍵。In House IT 團隊寧舍忙,既要好好制定自己的 Proposal,亦要擔任其他部門的技術顧問,雙重角色相當吃力。加上疫情間遠程工作,員工由使用統一企業設備變成私人家居設備,遠程 IT 支援就更考人,故科技對應的解決方案如 Self-Service Password Reset(SSPR),最近變成中小企 IT 群組熱話。 疫情下另一個歇後語係「每個部門都有難唸的經」,科技革命周期越來越短,員工的 IT 知識拉闊,醒目的更獨立,落後的更依賴 IT 技術支援。疫情間遠程工作,支援方式由面授轉為視像,更需時耗心力,部門主管不得不審視工作,重新規劃人手資源分配。根據資安研究團隊 Gartner Group and…