現時不少產品都會加入互聯網功能，就連成人玩具也不例外，齊齊加上連線功能加入物聯網 (IoT) 大軍。不過，網絡安全專家警告大部分性玩具也缺乏安全保護，可被黑客遙距取得操控權，例如推高自慰器轉速或振動幅度，甚至遙距鎖死電子貞操帶進行勒索，隨時命根不保。 物聯網產品千奇百怪，而且價錢又不會太昂貴，遇著功能有趣的產品，相信你我他也曾試過忍不住買來體驗。不過胡亂使用，隨時累人累己。防毒軟件公司 ESET 專家便警告，具備網絡連接功能的成人玩具如自慰器、電子貞操帶等，便有很大機會被黑客入侵。專家指出，這些成人玩具一般都可透過藍牙傳輸制式與智能手機專用 app 配對，以及經互聯網連接其他用家，由於缺乏安全保護，便將用家置身極大風險中。 ESET 專家以其中一款中國廠商 Lovense 生產的性玩具 Max 為例，它與同廠另一款 Nora 分別為男女用家提供自慰功能，而且專用 app 不單可調整速度，還可與另一用家連線，實時虛擬造愛。專家指出他們可於網上掃描這類藍牙產品並截取傳輸數據，由於上傳數據的加密技術薄弱，收發雙方亦沒有嚴謹的身份驗證機制，因此專家便可以暴力破解驗證密碼，發動中間人攻擊 (man-in-the-middle)，隨意修改操控指示，例如推高女性向自慰器的轉速，令女用家的敏感部位受傷，或令自慰器過熱引發火警。 此外，專家說如果專用…

一個黑客組織入侵了安全防護系統初創公司 Verkada 的大約 15 萬個聯網內的監控鏡頭，使他們能夠取得多個組織的實時和存檔影片信號，包括生產設施、醫院、學校、警察部門和監獄，更包括 Tesla。據報道指，黑客主義者 Tillie Kottmann 宣稱是事件負責人之一，向 Bloomberg 披露這次資料入侵行動是一間國際黑客團體所為，目的是為了展示無處不在的視訊監控，以及攻入這些系統輕而易舉。此說法引起爭議，專家正權衡如果安全錄像洩露落入不法分子手中，受害組織可能遭遇的潛在後果。 影片資料洩露可能會導致知識產權盜竊、人身安全威脅、侵犯隱私、敲詐勒索，或許還會受到監管部門的懲罰。更糟糕的是，這些攝像頭採用了面部識別技術，導致了以下問題：攻擊者是否可以真正識別被攝像頭捕捉到的個人，然後將他們作為社交工程（social engineering schemes）或更恐怖計劃的目標。 Bloomberg 查看被盜的 Verkada 影片，包括據指是上海 Tesla 倉庫的裝配線上的工人圖像。不過，Tesla 後來告訴路透社，這段影片實際上是來自供應商在河南省的生產基地，其上海工廠及展示廳未受影響。不過，Kottmann 表示，他們仍能獲取安裝在 Tesla 工廠和倉庫中的 222 個攝錄影像。根據報道，網絡性能公司 Cloudflare 和身份權限管理服務提供商 Okta，被指也在工作場所使用 Verkada 的服務。…

iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」，被安全專家發現竟然存在身份驗證漏洞，開發商儲存於AWS雲端上的用家通話記錄及通話錄音，都可以通過修改 API 指令，被黑客隨意竊取，好兒戲喎！ ClubHouse 語音社交平台早前被爆漏洞，有心人可以闖入不同房間錄音，再將用家對話的語音檔上載網上分享。雖然用家在房間內的公開發言，都會預計有可能被錄音，所以未必有太多機密訊息，但在不知情下被竊聽，感覺始終不太愉快。不過當換轉通話錄音 app 出現安全漏洞，情況就完全不同，因為使用錄音 app 一般都有工作需要，例如記者做電話訪問、同客戶開會等等，當中總涉及一些機密資料。而 PingSafe AI 網絡安全研究員 Anand Prakash 最新發現的安全漏洞，便與 iOS 其中一款下載次數逾百萬的通話錄音…

混合辦公模式大行其道，員工可隨時隨地工作而不影響效率；但另一方面，企業要面對更多新挑戰，例如 User Data 大增、雲儲存系統的各種限制等。 今次由 VDI 專家 Amidas 及 數據管理專家 NetApp 合辦的 Webinar，將會以「VDI on Hybrid Cloud 策略」為主題，介紹如何在雲端有效運行 VDI 策略，從而做到數據保護、高擴展性、高儲存效率等，同時確保雲端及 On-premises…

年初 Apple 更改 App Store 政策，要求開發商在 App 詳細資料中加入 Privacy Labels，公開所收集的用戶數據，最尷尬的要數一眾靠用戶數據賺最多錢的 Tech Giant。大家終於明白所謂「免費」有幾貴，網上立即湧現轉用其他平台的號召。一向以安全自居的 WhatsApp 亦在 Privacy Labels 影響下，要用戶同意與 facebook 共享數據，同樣引起極大反彈。靠收割用戶數據暴發成當今市值最大企業之一的 Google，食相絕不會比…

微軟上周發出警告指，黑客使用一種名為 DearCry 的勒索軟件，現在將未有修補程式的 Exchange 伺服器作為目標，這些伺服器仍然存在四個漏洞，這些漏洞已被可疑的中國政府黑客利用。微軟再次警告 Exchange 客戶，應使用上周發布的緊急修補程式，以解決影響 Exchange 電郵伺服器的嚴重漏洞。 微軟早在 3 月 2 日時敦促客戶立即安裝修補程式，因為未來數周和數月內，將面對更多的網絡犯罪分子或有國家支持的黑客，利用這些漏洞入侵的風險。微軟指，現時的攻擊是由一個名為 Hafnium 的中國黑客組織所為。安全服務供應商 ESET 就指，至少有 10 個國家支持的黑客組織，正在嘗試利用未有修補程式的…

在新冠疫情下，可能你都試過通過網上會議見工，但你又有否想過，畫面上雖然只得一個人事部職員同你會面，但背後原來還有一個隱形面試官？無錯，全球各大企業已陸續引入人工智能 (AI) 技術去篩選求職者，不幸求職失敗，分分鐘只是栽在機械人手上。 人工智能招聘 (AI recruitment) 技術，最大的好處是可以減少人事部的工作量，通過精準的大數據 (Big Data) 分析資料庫，從數以千計的求職申請中找出合適的人選，減少因人手不足而走漏人才的風險。專家指出，由於人力資源始終有限，人事部員工往往未能詳細閱讀所有求職者的個人履歷，而且又無法安排所有達標人士接受面試，而可以 7/24 工作的人工智能機械人，便不會受到這方面的影響，而且態度亦較為持平，減少先入為主的偏見，適合用於初選階段。 到底人工智能在篩選時，會用哪些方法去測試求職者的能力？一般來說，現時人工智能招聘會以兩種方法進行評估。 遊戲測試 以美國公司 Pymetrics 為例，其測試手法是讓求職者接受一個為時約 25 分鐘的遊戲，例如計數、配對詞語、限時內完成指定任務等，目的在於測試求職者的個性及危機處理能力。據知目前大企業如 McDonald’s、JP…

慎重起見，黑客喺發動攻擊之前，好多時會用自己的電腦設備測試成效，不過，一個北韓黑客在測試後忘記關掉或刪除一個專門偷錄受害者屏幕畫面的惡意軟件，結果在發動後連自己的電腦畫面亦一併上載，成為網絡攻擊的最佳示範教材。 商業電郵詐騙 (Business Email Comprise) 主要是一項通過電郵達成的攻擊，黑客會冒充收件者的上司、生意夥伴，指示收件者匯款到虛假帳戶的操作。以往 BEC 一般會經電郵下達指令，但亦可透過電話執行。BEC 的精髓在於要取得受害者的信任，所以前期作業絕不能馬虎，必須掌握公司業務、職場人際關係甚至發件者的電郵用語習慣等大量訊息，整個攻擊過程隨時超過半年以上。根據美國 FBI 公布的數字，單是 BEC 攻擊已在 2019 年造成 17 億美元損失。 最近網絡安全公司 Sucuri 專家公布的一宗事故，就說明了雖然操作BEC攻擊的黑客大都心思細密，但總也有失手一刻。據稱一個北韓…

個人資料外洩事故經常發生，不單只企業遭殃，就連黑帽黑客聚集的地下討論區同樣失守。除了俄羅斯其中一個最大的地下討論區 Maza 的會員被起底，其他知名地下討論區如 Verified、Dread 及 club2crd 亦同樣被入侵，到底邊個搞鬼？ 早前網絡安全資訊網站 BleepingComputer 接獲告密，一個新開設的 Twitter 帳戶用家指俄羅斯地下討論區 Maza 被入侵，更附有一張顯示 Maza 會員資料的截圖，告密者說該外洩資料包括 2,982 位會員的帳戶名稱、電郵地址、密碼、證書名及密碼，以及該批會員用作聯絡的 icq、Yahoo、MSN 及…

1 月 WhatsApp 通碟用戶－接受新條款上繳更多個人資料 Or 封號，用戶二揀一。過程橫蠻專制，盡顯「呢度我話事」，激起民憤。一夜間，轉會 Post 洗版各社交平台，Telegram、Signals 的注冊用戶千倍激增，但 WhatsApp 未有收回成命，以延遲 5 月執行新規作為「最大妥協」，承諾不會封號亦不過將封號行為分拆成兩步驟，簡單講，WhatsApp 憑著早著先機、用戶慣性、跨平台、廣泛功能等粘著效應，估算用戶最終不會為新條款舉家移民，適應新平台，Signal 下載量在排行榜高峰回落亦印證了 WhatsApp 估算。眼見 WhatsApp 在 PR…