Search Results: 英航 (7)

    日前英國發生大規模網絡攻擊,有黑客透過 MOVEit Transfer 檔案傳送工具的漏洞,入侵薪酬服務商 Zellis 的數據系統,並盜取重要個人資料。英國廣播公司(BBC)、英國航空公司及連鎖藥妝店 Boots 承認旗下部分員工資料外洩。 想知最新科技新聞?立即免費訂閱 ! MOVEit Transfer 為 MFT 檔案共享系統,日前被發現存在零時差漏洞 CVE-2023-34362,允許未經身分驗證的攻擊者存取資料庫,並已有黑客利用漏洞發動攻擊,微軟相信是次攻擊由勒索軟件組織 Cl0p 所策劃。 網絡安全廠商 Sophos…

    有睇開新聞嘅,都知呢排大家比較關心香港機場發生嘅事,但原來除咗「因航」出事之外,英航亦榜上有名,不過發生問題嘅係電子機票系統。 點解我講「又係」?咁就要回一回帶先,上個月中我哋先講過,英航因為舊年 8 月 21 日至 9 月 5 日期間,被黑客偷走約 38 萬客戶嘅名字、電郵地址、信用卡等資料,結果被英國資訊專員辦公室(ICO)罰款 1.8 億英鎊,破晒所有罰款記錄,以為佢會汲取教訓,點知又出事! 今次出事嘅係佢哋嘅電子機票,外國網站 Threatpost 嘅研究員今年 7 月發現,所有英航透過電郵發俾顧客網上 check-in…

    老闆成日同我講,公司budget好緊架,應慳則慳啦,IT嘅嘢夠用就得啦,唔好出大穫嘢就得架喇。於是尋日開會我就索性拎咗單新聞俾佢睇,佢睇完就即刻轉晒軚,話一間公司嘅網絡保安其實好緊要架,仲即時批咗大筆錢落嚟添置新器材。 乜嘢新聞咁巴閉?咪就係英航俾人判罰天價罰款囉!事緣舊年9月,英航俾一個名為Magecart嘅黑客組織睇中,佢哋一向玩慣card skimmer呢個數碼版信用卡讀取器程式,於是搵方法拎到英航網頁嘅登入權限,再將card skimmer 嘅 script 植入俾錢買機票嘅網頁,結果成功喺舊年8月21號到9月5號期間,偷走約38萬客戶嘅名字、電郵地址、信用卡等資料,詳細案情可以睇番我哋舊文(https://bit.ly/2CPy0f7 )。 經過一輪調查之後,英國資訊專員辦公室(ICO)早兩日就決定向英航罰款1.8億英鎊,係ICO歴來開出最大額罰款,差唔多係英航2017財政年度全球營業額嘅1.5%,諗起都好肉赤!英航行政總裁Alex Cruz當然立即出嚟呼冤,話對ICO嘅決定感到驚訝和失望,英航對偷取客戶資料嘅犯罪行為作出快速反應,並未發現與盜竊相關嘅賬戶存在欺詐行為嘅證據……咁佢哋仲有28日上訴期嘅,或者可以減到罰款都未定。 可能大家會問,點解今次判得咁甘?之前Facebook、Yahoo、Equifax發生嘅事故仲大單啦,點解都係罰50萬英鎊就搞掂?原來係因為舊年5月歐盟通過新私隱條例《一般資料保護規則(GDPR)》之後,加重咗罰則,最高罰款可以去到全球營業額嘅4%,所以今次英航其實係未去到最高罰款嘅,但撞正事件喺GDPR通過之後先發生就冇法子啦,但亦都俾到教訓各大小企業嘅老闆們,唔好睇少保護客人資料呢樣嘢,唔係分分鐘賺埋都唔夠交罰款! 相關文章:【謎底已經解開!】英航資料洩露案真相大白?

    MOVEit Transfer 及 Cloud Managed file transfer(MFT)零日漏洞事件繼續發酵!開發商 Progress Software 在五月尾推出安全修補後,在調查過程中又發現多一個零日漏洞,結果在 6 月 9 日再一次緊急發布第二次安全修補。 專家指第一個漏洞正被勒索軟件集團 Cl0p 瘋狂濫用,受影響的機構已超過 100 間,而且亦有入侵的概念驗證(PoC)被公開,如果有採用相關服務,就更加要立即升級。 想知最新科技新聞?立即免費訂閱…

    網絡安全事故頻頻發生,香港企業當然不可能獨善其身,特別是雲技術興起,重要數據或敏感資料未必會只儲存在內部伺服器,被攻擊的層面自然大增。為了減低風險,現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過,面對層出不窮的攻擊手法及難以防備的人為疏忽,企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說,這類保險概念在香港屬起步階段,但在歐洲地區卻歷史悠久,遠在上世紀七十年代已有相關保險,因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟,不單只保障企業,個人一樣受保,例如經常拿著電腦到不同地方工作的自由工作者,保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險,主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇,但網絡安全保險就相對陌生。盧子頴解析,網絡安全保障範疇不難理解,當發生黑客入侵或資料外洩,善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障,主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後,企業必須聘請專家去證明這是否一宗網絡安全事故,進行調查及鑑證,分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報,便有可能需向法律顧問諮詢意。除此之外,為免外洩的客戶資料被黑客用作申請信用卡或借貸,企業或有需要採用信貸監控服務,而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業,這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額,例如過往的交易紀錄等,但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞,又或受到勒索軟件攻擊,待專家取證後,企業便可以修復系統及復原數據,涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱,導致客戶在名譽或金錢上出現損失,對方便有可能入禀追討賠償。 除了上述四項保障,盧子頴說因應市場需求,部分保險公司還會提供一些額外的保障,例如贖金索償,當企業遭受勒索軟件攻擊,有需要繳付贖金以取回解鎖方法,這些贖金便會獲得賠償。「另外,近年因外判商失誤造成損失的個案大增,所以亦有保險公司提供這類保障,例如一些業務涉及電子交易的企業,會委托外判商提供及管理網上交易平台,如證實導致資料外洩的失誤是出在對方身上,投保人便可獲得保障,而保險公司則保留向外判商追討損失的權利。」 事實上,網絡安全保險的保障範圍可以很全面,不過,盧子頴強調與其他保險產品一樣,投保的概念並非為了賺錢,而是減少損失。不過,是否所有企業也需要投保?他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information(PII),而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料?如需管有這些敏感資料,受黑客攻擊的風險便會增加,企業管理者應認真考慮投保,特別是全球各地都開始為保障個人私隱立法,歐盟通過的 GDPR…

    個人資料外洩事故經常發生,雖然唔少事件係同黑客有關,但更多情況係由員工一手造成,好似 E3 喺網站無緣無故擺放近 2000 個媒體嘅個人資料檔案、IKEA 喺宣傳電郵內同時將 410 個用戶電郵地址發送,就絕對係人手犯嘅錯喇! 遊戲界大事件 首先講下 E3 (Electronic Entertainment Expo)事件先,E3 係全球最大型嘅遊戲展覽,所有遊戲界大作、新嘅家用遊戲機消息都會喺呢度發佈。今年 E3 已經喺 6 月舉行,有參加咗今次展覽嘅 YouTube…

    歐洲航空安全局(EASA)早前更新咗對 Airbus A350-941 型號客機嘅適航指令(airworthiness directives),指呢架客機存在安全問題,連續著機 149 個鐘就要 reboot 系統一次,但查實呢個指令兩年前已推出,而 Airbus 足足兩年都無修補到⋯⋯ 適航指令係由全球各地嘅民航監管機關所發出,當監管機關發現某型號飛機或系統存在安全隱憂,就會發出強制性指令俾飛機所有者及操作者,要佢哋跟住指令嘅內容執行。而 EASA 向 Airbus 發出嘅適航指令,指出呢款客機喺連續著電 149 個鐘前,就要熄機 reboot 一次,否則機上嘅航空設備或網絡就會失聯,甚至影響某啲核心功能嘅模組失控。根據資料顯示,受影響嘅控制模組,具有管理燃油系統、調整機艙壓力、供氧、機翼除冰以及降落等等,換句話即係非常重要嘅模組嚟,如果失控,真係好大件事。…