喺在家工作嘅安排下,好多人都用緊視像會議應用服務 Zoom 嚟開會,甚至攞嚟開 group party 聯誼。不過,最新公布嘅一個漏洞,用家只要點擊 group chat 內一條 UNC link,就會將自己嘅 Windows 登入名稱及密碼送到黑客手上!唔想咁樣,請立即修改 Windows 設定自救! 好心做壞事 今次呢個漏洞係由網絡安全研究員 @_godmode 所發現,UNC(Universal Naming…
Search Results: 密碼 (400)
要保障自己嘅網上帳戶安全,好多時網絡安全專家都會叫大家改個複雜嘅密碼,而且仲要逐個帳戶改,唔可以重複,但大家都知道要做到幾乎係無可能,真係設定咗,都要成日㩒「忘記密碼」,實用性極低。於是專家就會建議大家啟用雙重因素驗證(2FA)提升登入安全性,或安裝密碼管理器去管理所有帳戶嘅密碼,咁樣的確係安全好多嘅,但問題係首先要服務供應商安全先得。可惜嘅係,最近有研究員發現,無論係 2FA app 供應商 Google 或 Microsoft,抑或係密碼管理app 例如 喺雙重因素驗證 app 方面,網絡安全供應商 ThreatFabric 發現,只要黑客成功誘騙 Android 手機用家安裝惡意軟件 Cerberus,就有機會盜取用家經 Google Authenticator 或 Microsoft…
話咁快又到 2019 年尾,又係做回顧嘅好時機喇,唔少 IT 公司陸續發表 2019 年網絡安全回顧,當中又點少得「最強密碼」呢個 item 呢?NordPass 先後根據手頭上獲得嘅個人私隱外洩事故及用家資料庫,歸納出最多人用嘅弱密碼出嚟。雖然數字系嘅「12345」、純愛系嘅「iloveyou」、鍵盤系嘅「QWERTY」、直覺系嘅「password」等依然穩佔榜首,但亦有好多女士嘅英文名上榜,例如Nicole、Jessica 及 Hannah 之類,可見大家用密碼都仲係好隨心,私隱唔係乜嘢大不了嘅事,最緊要係方便記就得。 另一個原因就係好多人都以為強密碼係無可能記得住㗎,就算今次改咗,轉過頭再登入就肯定要㩒「forget password」,咁咪即係盞搞?其實網絡安全專家 Cypri 就話強密碼唔一定要複雜,而係密碼長度勝過一切,所以應該揀 PassPhrase 而唔係 Password,例如 @#E4i8!2 呢組密碼睇落夠晒強,但 8 個字元嘅密碼係今時今日嘅電腦設備下,只需大約 7 分鐘就可以暴力破解;但如果換轉用 「I want to buy 1 pair of running shoes!」呢?呢組望落好弱嘅密碼,一樣有齊英文大細楷、數字同符號,但破解時間即刻暴升到幾百萬年,而且亦唔算難記,所以話強密碼唔一定係複雜就係咁解。 既然強密碼唔需要複雜,咁大家應該都檢查下自己用緊嘅密碼出咗事未。Microsoft 嘅 Regional Director Troy Hunt 就整咗個「Have I Been Pwned」搜尋網頁,搜集咗之前發生嘅洩密事故資料,俾大家檢查下自己個電郵或密碼係咪榜上有名,如果有嘅就不妨根據 PassPhrase 原則去 Set 個新密碼啦! 資料來源:https://bit.ly/2RVwPRq、https://bit.ly/2PofUVI
想開始試用智能家居,最方便嘅方法就係買個具備管家功能嘅智能喇叭,好似 Google Home、Amazon Alexa 呢兩個智能喇叭就非常多人買,當中又以 Google Home 較受歡迎,因為無論喺支援嘅品牌同埋語音操控表現上,都穩佔上風。不過,唔少用家都會擔心,呢啲喇叭會唔會偷偷錄低自己講嘅嘢再傳送出去?事關 Google 同 Amazon 都承認會收集語音嚟改善佢哋嘅助理功能,而事實上 Amazon 曾經喺 2017 年應阿肯色州警方及控辯雙方要求,交出一段兇殺案現場嘅錄音作為呈堂證供,所以話,用唔用真係好視乎大家覺得個人私隱有幾重要。 為咗證明呢啲智能喇叭真係存在安全漏洞,德國網絡安全研究實驗室 SRLabs 嘅白帽黑客,分別為 Google…
美國 FBI 嘅 Internet Crime Complaint Center上星期發出通告,警告觀察到美國企業受勒索軟件攻擊嘅風險大增,再一次強調唔可以俾贖款,應該搵佢哋幫手解決問題。不過,始終有人唔可以無咗或急住用被鎖死嘅檔案,所以都會選擇交贖款。 反入侵黑客C&C 一個喺九月尾成為勒索軟件受害者嘅 Tobias Fromel,由於黑客闖入咗佢可被公開搜尋到嘅 QNAP NAS 裝置,然後啟動咗名為 Muhstik 嘅勒索軟件,令到佢檔案全部被鎖死。可能因為黑客只係要求大約 700 美元嘅 Bitcoin,唔算太大數目,所以Fromel 權衡過後都係選擇俾錢。…
自從有咗外賣 app,食嘢真係多咗好多選擇,幾個同事夾份叫,講真運費又唔係多,但就可以跨區食好西,就算喺馬鞍山、青衣、小西灣呢啲美食沙漠返工,開飯都唔使做阿愁。不過,最近外國嘅外賣 app 就接連出事,除咗 DoorDash 一氣過洩咗 490 萬用戶資料,另一隻叫 Chipotle 嘅外賣 app,近日亦有用家投訴帳戶被瘋狂盜用。 美國用家 Jessica Gallenstein 最近喺俄亥俄州 Glenway Avenus 用 Chipotle 嗌咗個外賣俾自己,點知隔日就收到銀行通知,話佢張簽帳卡已經碌爆額。Jessica…
PDF 係大家常用嘅文件檔,如果內容包含機密或敏感資訊,都會 set password 保護。但黑客而家有方法修改呢啲檔案,令到擁有解鎖密碼嘅人喺打開檔案嘅同時,傳送多一份解鎖內容俾黑客,做咗解鎖佬都唔知! 用嚟加密 PDF 檔案嘅密碼演算法,本身其實好安全,不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員,指出 PDF 檔案其中一個漏洞係檔案只會半加密,字串內容係受到保護,但檔案嘅結構就無加密可以讀取,所以黑客可以篡改結構內容,將惡意程式注入其中,當檔案被合法打開,就會暗中將內容傳送俾黑客;另一漏洞就係 CBC(Cipher Block Chaining)加密模式,由於本身缺乏一致性嘅驗證,令到黑客可以修改特定區塊內容而唔影響解鎖程序,於是黑客就可以加入惡意程式,暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼,一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞,經研究員測試後,發現喺…
平常一聽到同銀行有關嘅運作程序,一定覺得會安全到不得了㗎啦,但接二連三嘅事實話俾大家知,無論間公司有幾大,規管有幾嚴謹,都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank(加拿大豐業銀行)近日被揭發出低級網絡安全錯誤,低級嘅程度更直逼「布偶級」(muppet-grade),大家明啦! 日前網絡安全研究員 Jason Coulls 揭發,加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案,當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼,後台服務及數據庫實例嘅登錄憑證、原始編碼等,簡直係黑客金庫。 Scotiabank 嘅回應當然都估到,首先話呢啲資料並不會危及客戶、員工或合作夥伴,又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定,銀行出事就要即刻通報,加拿大金融機構監管辦公室方面就已接獲通知,正密切監察事態發展。 GitHub 於去年被 Microsoft 收購,成一時佳話。除咗極多開發者會用,亦有唔少企業機構都會用,因此,保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入,會喺開發階段將…
係囉,錯就要認,知錯就改,咁就抵讚!密碼管理工具 LastPass 被發現有漏洞,用戶有可能俾黑客盜取最近一次嘅登入憑證。LastPass 收到通知,立即回應,火速修復,抵讚! 密碼管理工具絕對係現代人嘅必備,全靠佢,先可以應付日常海量密碼登入帳號之苦。事關網絡安全專家建議大家唔好重用密碼,以免其中一個帳戶嘅登入資料被盜取,就會波及其他帳戶。不過一個正常人又點記得咁多複雜密碼?為免大家被密碼折磨,網上就出現咗好多密碼管理工具,而 LastPass 就係最受歡迎嘅工具之一。較早前,Google 嘅網絡安全工程師 Tavis Ormandy 發現 LastPass 有一個漏洞,黑客可以利用一個有效嘅 clickjacking 手法,引導用戶利用 LastPass 登入個人帳戶,然後轉移到惡意網站,截取資料。 雖然此漏洞只出現於 Google Chrome 及…
如果失驚無神有日收到其中一個網站發出電郵叫你重設密碼,作為登記用戶,你第一時間會諗啲乜呢?到底呢封係釣魚電郵,定係網站洩漏咗用戶嘅帳戶資料至要重設呀? 釣魚電郵係近年黑客最常利用嘅攻擊手段,所以一般人都對呢啲電郵提高警惕,唔會隨便點擊入面嘅連結。雖然網絡專家叫用家只要檢查清楚發信人嘅電郵地址係咪真確,又無暗中擺入假 link,就可以避免俾黑客暗算,但始終大家只係區區一介網民,有得揀都唔會亂 click 啦,何況仲要叫用家㩒掣重設密碼? 講緊嘅係外國一個專門售賣二手鞋同古著嘅網站 StockX,因為犯咗一個輕微錯誤,搞到喺 Twitter 上俾網站會員瘋狂查詢。事緣最近網站升級,唔知係咪提升咗登入密碼嘅要求定係其他原因,所有登記會員都要重新設定密碼。StockX 為咗提醒用家呢件事,於是就發出電郵啦,但內容只係幾隻字交代網站升級,叫網民㩒掣重設密碼,然後就無其他資訊,試問網民又點會第一時間點擊?梗係要檢查下發出電郵嘅網絡、附帶嘅連結按掣有無古怪先啦。不過就算檢查完發現無錯,今時今日都要再做多次 fact check ,所以有網民就喺瀏覽器輸入官網網址,嘗試唔㩒個掣去睇下乜事,跟住就發現無法登入,一定要改密碼先。 謹慎嘅會員就懷疑到底點解要改密碼呢?係咪網站俾黑客入侵搞到會員資料外洩?所以就走去 Twitter 上 StockX 發生乜事,搞到 StockX 方面突然要回應好多人嘅查詢,澄清並無發生資料外洩,令到原本只係一件通知會員更新密碼嘅小事,升級成為關公事件。…