日前英國發生大規模網絡攻擊,有黑客透過 MOVEit Transfer 檔案傳送工具的漏洞,入侵薪酬服務商 Zellis 的數據系統,並盜取重要個人資料。英國廣播公司(BBC)、英國航空公司及連鎖藥妝店 Boots 承認旗下部分員工資料外洩。 想知最新科技新聞?立即免費訂閱 ! MOVEit Transfer 為 MFT 檔案共享系統,日前被發現存在零時差漏洞 CVE-2023-34362,允許未經身分驗證的攻擊者存取資料庫,並已有黑客利用漏洞發動攻擊,微軟相信是次攻擊由勒索軟件組織 Cl0p 所策劃。 網絡安全廠商 Sophos…
Search Results: BBC (21)
2023 年網絡安全事故第一位,相信都要數 MOVEit Transfer 檔案共享服務遭入侵事件,安全專家指勒索軟件集團 Clop 於服務中發現零日漏洞,可以使用 SQL injection 技術遙距執行惡意編碼,提升帳戶特權任意讀取使用該服務的客戶資料。雖然開發商 Ipswitch 很快已推出修補檔,但不少客戶如英國航空、BBC 及 Boots 均表示已遭受入侵,有專家更估計已有 2706 個機構遭受牽連,至少有 9300 萬個人資料外洩。 想知最新科技新聞?立即免費訂閱…
MOVEit Transfer 及 Cloud Managed file transfer(MFT)零日漏洞事件繼續發酵!開發商 Progress Software 在五月尾推出安全修補後,在調查過程中又發現多一個零日漏洞,結果在 6 月 9 日再一次緊急發布第二次安全修補。 專家指第一個漏洞正被勒索軟件集團 Cl0p 瘋狂濫用,受影響的機構已超過 100 間,而且亦有入侵的概念驗證(PoC)被公開,如果有採用相關服務,就更加要立即升級。 想知最新科技新聞?立即免費訂閱…
愈來愈多智能電子產品推出,不過智能一般只表現於特定功能上,電源運用卻鮮有優化配套。一班由前 Samsung、Microsoft 及 HCL 科技公司的前員工,開發出一套名為 EOptomizer 的人工智能慳電軟件,據稱可有效省電 30%,而且對各種電子及智能產品有效,致力為削減碳排放出一分力。 隨著流動上網及無線上網科技發展,令智能家居產品的可用性大增,較複雜為需要較多上網頻寬的用途都可應付得到。如果數一數家中電器,例如電腦、智能手機、Wi-Fi router、冷氣機、智能門鐘、智能雪櫃……,不難理解為何每月收到月費單都會冒汗。而由上述專家組成的研究團隊,便以慳電減低碳排放為目標,全力研究出具備人工智能的慳電軟件。 研究員指出,估計去到 2025 年,全球將會有 500 億種電子產品,如果能找到有效控電方法,對減少全球各地的碳排放便有極大利益。他們解釋說,電子設備最具潛力慳電的地方,是讓處理器能更有效率運作,而人工智能系統便要學懂如何分辨用家實際上的使用要求。團隊以手機上 BBC 網站為例,如果在日間工作時間,一般人其實只是不停滑動手機屏幕,快速閱讀新聞頭條,而在這種操作模式下,處理器及圖像晶片需要應付大量的運算及圖像更新,直接增加手機的耗電量。不過,研究員認為這時用家其實對畫面質素的要求不大,因此就算解像度稍為降低及調低畫面更新頻率,用家也未必會察覺得到,而這種幕後操作卻可有效延長使用時間。 於是研究團隊要做的便是讓人工智能學習各種人類使用習慣,但在團隊努力下,現時 EOptomizer 的測試版本已可成功省電…
Microsoft 即將為 Office 365 用家提供進階電郵防護服務,用家可以預覽被隔離電郵的內容,系統會抽走一切有可疑的圖像、檔案及追蹤 pixel,確保用家不會因為打開電郵而中招,而發信者亦無法通過 pixel 得知電郵有否被打開,保障用家的私隱。 多項研究發現,9 成以上網絡入侵事故由釣魚電郵發起,因此攔截可疑電郵便非常重要。不過,由於攔截準確度並非百分百準確,加上企業員工因工作需要 (如人事部收到求職信),即使電郵有可疑被隔離,亦必須要打開閱讀,所以在安全上仍然存在漏洞。Microsoft 即將於 Microsoft Defender for Office 365 新增的預覽隔離電郵新服務,便可有助企業版用家解決以上難題。 預覽電郵的運作原理非常簡單,如果用家想打開被隔離的電郵,Office 365…
全球多個網站今日傍晚突然出現故障,用戶無法正常瀏覽。據外國科技媒體 TechCrunch 報道,受影響網站包括 Reddit、Spotify、 Twitch、GitHub、HBO Max、PayPal、Vimeo 及 Shopify。此外,多個國際新聞機構包括美國有線電視新聞網(CNN)、英國廣播公司(BBC)、《衛報》、《時代雜誌》、《金融時報》,以至是英國政府的網站亦告癱瘓。 今次全球網絡大故障,據報與雲端服務商 Fastly 有關,該公司承認,其內容傳遞網絡(Content Delivery Network,簡稱 CDN)服務出現問題,目前正展開調查。受影響網站癱瘓個多小時後,目前已恢復正常運作。
加密貨幣 (cryptocurrency) 炒風熾熱,愈來愈多人參與其中,而要買賣各種加密貨幣,最簡單方法是使用管理 app。網絡安全服務供應商 Sophos 便發現,有黑客集團製作了 150 個以上虛假交易及管理 apps,通過不同手法吸引投資者安裝,從而盜取他們的電子錢包帳戶登入資料。有女投資者便因貪字得個貧,買樓基金一鋪清袋。 要盜取加密貨幣電子錢包帳戶,方法有很多種,比較困難的手法是入侵受害者的電腦,再於電腦的儲存數據內搜尋有關記錄。而今次 Sophos 留意到的手法就簡單得多,專家指黑客會嘗試通過不同途徑,推廣一些管理加密貨幣的手機應用 apps,例如利用社交平台賣廣告、於即時通訊工具內廣發推廣訊息,甚至發動社交工程 (social engineering) 攻擊,先與目標人物建立關係及信心,才引導對方安裝虛假 apps。 為了令目標人物更易上檔,黑客會倣製一些有名氣的手機應用 apps,由版面設計以至使用圖案,均模彷得極度逼真,然後才通過上述方法散播。Sophos 專家經深入調查後,發現當中有超過…
iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」,被安全專家發現竟然存在身份驗證漏洞,開發商儲存於AWS雲端上的用家通話記錄及通話錄音,都可以通過修改 API 指令,被黑客隨意竊取,好兒戲喎! ClubHouse 語音社交平台早前被爆漏洞,有心人可以闖入不同房間錄音,再將用家對話的語音檔上載網上分享。雖然用家在房間內的公開發言,都會預計有可能被錄音,所以未必有太多機密訊息,但在不知情下被竊聽,感覺始終不太愉快。不過當換轉通話錄音 app 出現安全漏洞,情況就完全不同,因為使用錄音 app 一般都有工作需要,例如記者做電話訪問、同客戶開會等等,當中總涉及一些機密資料。而 PingSafe AI 網絡安全研究員 Anand Prakash 最新發現的安全漏洞,便與 iOS 其中一款下載次數逾百萬的通話錄音…
在新冠疫情下,可能你都試過通過網上會議見工,但你又有否想過,畫面上雖然只得一個人事部職員同你會面,但背後原來還有一個隱形面試官?無錯,全球各大企業已陸續引入人工智能 (AI) 技術去篩選求職者,不幸求職失敗,分分鐘只是栽在機械人手上。 人工智能招聘 (AI recruitment) 技術,最大的好處是可以減少人事部的工作量,通過精準的大數據 (Big Data) 分析資料庫,從數以千計的求職申請中找出合適的人選,減少因人手不足而走漏人才的風險。專家指出,由於人力資源始終有限,人事部員工往往未能詳細閱讀所有求職者的個人履歷,而且又無法安排所有達標人士接受面試,而可以 7/24 工作的人工智能機械人,便不會受到這方面的影響,而且態度亦較為持平,減少先入為主的偏見,適合用於初選階段。 到底人工智能在篩選時,會用哪些方法去測試求職者的能力?一般來說,現時人工智能招聘會以兩種方法進行評估。 遊戲測試 以美國公司 Pymetrics 為例,其測試手法是讓求職者接受一個為時約 25 分鐘的遊戲,例如計數、配對詞語、限時內完成指定任務等,目的在於測試求職者的個性及危機處理能力。據知目前大企業如 McDonald’s、JP…
現時不少人都知道 Google、Facebook 等網上服務巨企,會對用家的網上行蹤感到興趣,但其實網民的電郵帳戶行為,對市場推廣員來說一樣非常寶貴。BBC便發現,有 2/3 電郵內被發信人暗中植入間諜 pixel,以追蹤相關電郵如何被處理! 市場推廣的其中一種方法是透過發送推廣電郵,吸引目標客戶的注意。不過,收件人如何處理電郵,均會對發送人的信譽 (reputation) 有一定影響,例如收件人將郵件標示為垃圾郵件,或從未打開該發送人的電郵等舉動,便會讓電郵服務供應商理解該發送人的電郵沒有價值,將之加入黑名單或直接送到用家的垃圾電郵信箱,以提升用家的服務體驗。此外,市場推廣公司亦極欲得知收件人如何處理電郵,用以製作服務報告給客戶參考,因此有不少市場推廣公司便不惜踩界,在電郵內放入一粒小小的 pixel,以記錄電郵有否被打開及處理方法。 英國傳媒公司 BBC 為了調查 spy pixel 的使用狀況,便委托Hey訊息服務公司分析網絡上的電郵實況,結果便發現有 2/3 的電郵內隱藏著 spy pixel。這些…