網絡安全專家經常呼籲企業或IT管理者，有漏洞應盡快修補。長氣原因在於相關漏洞一旦曝光，黑客很快就會用作攻擊。Palo Alto Networks 一份最新安全調查報告顯示，最快 15 分鐘後便會有黑客在網上搜尋存在相關漏洞的裝置，其中一個 F5 網絡設備安全漏洞個案更在十小時內被嘗試用於二千多次攻擊，企業修補漏洞流程，真正是生死時速。 通用漏洞揭露計畫 (Common Vulnerabilities and Exposures, CVE) 是由國際非牟利組織 MITRE 所創立，CVE 專門用於收集軟硬件的安全漏洞，一經專家確認，就會為漏洞分配編號，希望有助業內人士或IT從業員翻查資料，提升安全水平。漏洞在舉報後，一般會給予 90 日時間供軟硬件開發商修正，以及待受影響企業或機構安裝修補檔案，才會將漏洞的細節公開，但如在限期內仍未能修正問題，基於漏洞同樣有可能被黑客發現及利用，因此細節亦會公開，提醒用家需注意問題及作出防範。…

香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 編制的《香港保安觀察報告》出爐，2021 第四季度報告提到，涉及香港的單一網絡保安事件宗數為 4,753，按季下跌 2.2%。其中網頁塗改按季上升 33%，釣魚網站亦按季上升 7%。 報告提到，釣魚網站事件連續四季上升，與去年同期相比，釣魚網站事件升幅達 265%。大部分釣魚網站都是以偽冒金融機構和網購平台為主，其他亦有科技公司、電子錢包、網上娛樂平台等。HKCERT 提醒，釣魚網站仿真度極高，用戶可仔細檢查網址來分辨真偽，留意英文串法、域名等。 《香港保安觀察報告》季度報告除會提供過去一季被發現曾經遭受或參與各類型網絡攻擊活動的香港聯網系統的數據外，HKCERT 指由今期開始，亦會回顧該季度所發生的重大保安事件及探討熱門保安議題，並提出易於執行的保安建議，以提升公眾的資訊保安認知的水平，増強應對有關風險的能力。 今期報告的重點包括： 2021年第四季度涉及香港的單一網絡保安事件較對上一季微跌2.2%；然而釣魚網站事件卻連續四季上升，大部份都是以偽冒金融機構和網購平台為主；利用QR code作網絡攻擊與日俱增，不法分子會循流動支付、賬戶驗證、網站瀏覽、訊息儲存四種常用的QR code應用進行攻擊；開始進行NFT(非同質化代幣)交易前，大家要考慮如何安全地儲存NFT資產，可選擇以連線錢包(熱錢包)或離線錢包(冷錢包)儲存，也可以混合使用這兩種錢包；以及常用於軟件開發的 log4j 開源軟件爆出保安漏洞，黑客可籍此發送特定的記錄檔訊息至 Log4j…

數碼相片公司 Shutterfly 據報遭受勒索軟件攻擊，Bleeping Computer 報道指，有消息人士透露，Shutterfly 兩星期前遭勒索軟件組織 Conti 攻擊，勒索金額據指超過百萬美元。該公司的聲明指，部分 Lifetouch 和 BorrowLenses 業務受影響，同時 Groovebook、製造相關辦公室及公司部分系統受干擾。他們已聯絡執法部門跟進，並聘請網絡安全公司來協助應對事件。 據 Bleeping Computer 稱，Conti 開始將其竊取的信息洩露到洩密站點，並指這次攻擊大約在兩周前發動，贖金要求達數百萬美元。Shutterfly 表示，正調查及評估可能受事故影響的範圍，但由於該公司不會儲存信用卡、賬戶訊息或 Shutterfly.com、Snapfish、Lifetouch、…

美國、英國、新西蘭等多國政府的安全機構，相繼向當地公私營機構發出警告，因為 Apache 一個名為 Log4j 的 Java 日誌管理平台存在的零日安全漏洞，將有可能引發出如 SolarWinds、Kaseya 安全事故的影響。而從不同安全機構捕捉到的攻擊樣本可見，黑客集團正爭相利用漏洞散播挖礦軟件、木馬程式，再加上受影響企業數以萬計，難怪各國政府如此慌張！ Apache Log4j 本身是一個極受歡迎的開源 Java 日誌管理平台，它可以讓企業完整監察及記錄應用軟件的各種使用數據及錯誤數據，因此不少企業也有採用。而就在上星期五，有安全專家發現網上遊戲《Minecraft》所使用的 Apache Log4j 有漏洞，經調查後，專家指黑客可利用該漏洞引導用戶瀏覽一個藏有隱藏惡意代碼的伺服器，於伺服器的日誌中留下一句惡意編碼，其後當 Log4j 收集伺服器的日誌時，錯誤地執行將惡意編碼，被強制到訪黑客的控制中心，進一步下載一個以 Base64…