Search Results: IG (864)

    機電署周四(2 日)公布,於疫情時「圍封強檢」所收集的 14 幢大廈、約 1.7 萬名公屋居民的姓名、聯絡電話、身分證號碼及住址等資料,近日毋須密碼即可在網上伺服器平台瀏覽。個人資料私隱專員鍾麗玲今日(3 日)形容事態嚴重,事件涉及人數較多,個人資料私隱專員公署已按正常程序啟動調查,暫未接獲市民投訴。 想知最新科技新聞?立即免費訂閱! 機電工程署在 2022 年疫情期間曾負責「圍封強檢」行動,鍾麗玲指,早前收到一個相關投訴,指有關資料可在該伺服器平台瀏覽,私隱公署遂通知機電署。 機電署於周二(30 日)收到通知後即時查證,發現密碼登入系統失效,有關資料可在毋需輸入密碼的情況下瀏覽,涉及機電署於 2022 年 3 月至 7 月間,為應對疫情而執行「圍封強檢」行動時所收集的資料,隨即要求網上伺服器平台供應商移除有關資料。就上述事件,機電署已向私隱公署作出「資料外洩事故通報」、向警方報案,並通報政府資訊科技總監辦公室及保安局。 鍾麗玲指,漏洞存在時間是調查方向之一,建議相關部門全面審視其他資料有否出現類似情況,又建議機電署盡快通知受影響人士。…

    日本愛井縣越前市警方為了減少市民成為網絡騙案受害者的機會,由去年開始陸續在市內三十多間便利店內放置具有防騙功能的繳費卡,至少拯救了兩個差點被騙的長者,其實這兩張卡沒有神奇魔力,只是將兩種最常見的網絡騙局寫在卡上,希望受害者發現,及早阻止對方受騙轉帳。 想知最新科技新聞?立即免費訂閱! 福井縣去年因網絡騙案損失 7500 萬美元 網絡騙案越來越多,相信大家都曾接收過類似的訊息,甚至有身邊親友跌入陷阱,損失數以千元或被盜用信用卡資料。網絡騙案可說是無遠弗屆,所以世界各地市民都有機會中招。香港警方便於早前公布今年第一季騙案數據,指每日平均有四宗損失過百萬元的騙案發生,排頭三位的分別為投資騙案、電話騙案及求職騙案。常見手法是無差別地將目標加入群組,之後以不同手法推介對方購買加密貨幣,或以甜言蜜語哄騙目標上當,即所謂的「殺豬盤」。 另外又有假扮公安指目標涉及洗黑錢,要求對方提交銀行資料審查。而日本福井縣越前市同樣深受其害,當地警方表示,去年福井縣便因網絡騙案損失 7500 萬美元;而在今年一月,更已接獲 14 宗市民求助,涉案款項亦高達 70 萬美元。 成功阻止兩長者轉帳予騙徒 為了減低市民受騙機會,當地警方除了繼續以海報、廣告或派發宣傳單張形式,教導市民網絡攻擊的可怕之處,還想出一個新方法。警方開始與當地的便利店合作,在便利店的點數卡貨架放上兩張標明用於繳付電腦病毒、遲交罰款的繳費卡,等待懷疑自己已中招的人拿到櫃枱付款,便可由知道內情的店員幫忙解釋或轉介給警方跟進,在受害者轉帳前制止問題發生。 根據日本警方公布的資料顯示,推出計劃以來,已成功吸引兩位長者「幫襯」,原來他們都被騙徒說服,指他們的電腦已受到病毒感染,必須支付一筆清理費用,而當他們在便利店發現警方掛在繳費卡貨架上的假卡,便認為可幫助他們清除病毒,因而才被店員揭破騙局。 協助舉報的店員,將可獲得警方加許,雖然沒有什麼特別獎勵,但能夠減少長者或其他人受騙,讓他們得到真正的協助,相信店員都會落力執行。另一方面,這次測試亦有助警方吸引經驗,在未來設計出更多主動出擊的方法,不用再等待受害者出現才補救。而香港警方的做法是呼籲市民在過數前應「停一停,諗一諗」,同時善用「防騙易 18222」熱線及「防騙視伏器」,識別詐騙及網絡陷阱。 資料來源:https://www.bleepingcomputer.com/news/security/japanese-police-create-fake-support-scam-payment-cards-to-warn-victims/#google_vignette 唔想成為下一個騙案受害人?…

    越來越多注重安全的企業會採用 HSM(Hardware Security Module,硬件安全模組)以保護交易、身分及應用程式。領先全球的數據保護解決方案供應商 Thales,宣布其專為保護加密密鑰生命週期而設計的 Thales Luna 7 系列 HSMs,成為業界首款通過國際級 FIPS 140-3 三級審查認證的產品,代表 Thales Luna HSMs 在安全性方面達到行業最高標準,能為客戶資料安全提供最高級保護,並滿足合規與監管需求。 最新國際標準安全認證 FIPS 140(聯邦信息處理標準)是由美國國家標準與技術研究院(NIST)定義的一套加密模組安全要求,由國家授權的實驗室進行功能測試及結構化程式碼審查,以確認產品符合該安全等級。…

    科技巨頭 Cisco 發出安全警告,指一個國家級黑客組織 UAT4356,一直在利用公司旗下的 ASA 及 Firepower Threat Firewall 網上管理介面的兩個零日漏洞,以潛入其客戶如各國政府組織的內部,刺探軍情。現時 Cisco 已為兩個漏洞推出安全更新,企業 IT 管理員要即時行動。 想知最新科技新聞?立即免費訂閱! 入侵活動早於去年七月展開 UAT4356 黑客組織(微軟稱為 STORM-1849)在 2023…

    勒索攻擊要成功,最重要是準確找出「身有屎」的目標,過往有不少騙徒會透過濫發帶有恐嚇成份的釣魚電郵,例如指對方違反了國安條例、家屬在內地犯事、電腦內藏有違法內容等,一旦收件人相信跟自己有關,便會乖乖按騙徒指示匯款。不過,一個新的騙徒集團除了應用上述方法,還自製孌童網站引誘目標人士瀏覽,更容易嚇到「受害者」俾錢。 想知最新科技新聞?立即免費訂閱! 一改傳統漁翁撒網方法 含有勒索意圖的電郵或短訊,相信不少人都曾接收過,不過,很多時訊息的內容未必與自己有關,因為大部分騙徒都採用漁翁撒網策略,但求電郵或短訊有機會被有關人士接收得到。有時這些詐騙訊息未必一定要錢銀有關,例如指收件者的社交平台違反使用條例,又或通訊軟件如沒有在限時內驗證便會凍結帳戶,目的有可能是搶奪受害人的帳戶後再進行其他詐騙,但使用這種手法都較為被動,必須收件人信以為真才能成功。 這次由網絡安全機構 MalwareHunterTeam 分享的報告中,便揭示了一個新的詐騙集團一改傳統漁翁撒網的方法,改為主動出擊,製造出一個冒牌的 UsenetClub 討論區,等待獵物到訪。正牌 UsenetClub 以討論區形式運作,用家可按不同的主題自由討論及貼圖,而當中一個主題便與兒童色情照有關,只要付費訂閱,用家便可在討論區內觀賞或下載有關照片,而且毋須透露任何個人資料。而騙徒打造的冒牌討論區 UsenetClub 亦實施二級收費,用家可選擇以每月 69.99 美元或每年 279.99 美元進入討論區內,但奧妙之處是網站提供一個免費方案,只要用家下載及安裝 CryptVPN 軟件便可免費使用,同時網站亦強調軟件可保障用家的網上行蹤,對這班違法的用家更具吸引力。 威嚇舉報對方收集兒童色情照…

    網站程式在商業世界扮演著重要角色,從網上商店到公司內部系統都離不開開發網站。然而,隨著針對網站的攻擊不斷湧現,單純的網站開發技能,已不足以應對日益複雜的安全挑戰。因此,近年越來越多公司聘請專家,為自家網站作漏洞測試。 網站漏洞測試是通過模擬黑客攻擊,來識別系統的缺陷,與網站開發相比,漏洞發掘更側重於對網站各組成部分的深入理解。測試員需要深入剖析網站的運作原理,從細微之處發掘潛在的安全隱患。擁有網站開發經驗的程式員,在理解和識別系統脆弱性方面具備天然優勢。為進入網站滲透測試領域奠定了堅實的基礎。 想睇更多專家見解?立即免費訂閱! 尋找漏洞需要深入學習網站常見的安全性問題,如 SQL 注入、跨站腳本(XSS)等。透過並瞭解網站漏洞的成因、並擴展知識領域至資料庫管理、網絡基礎以及互聯網協定,將有助於更好地理解資料傳輸機制以及其潛在的攻擊手段。 同時,熟悉 Linux 作業系統與其命令行操作模式,也是關鍵技能,因為大多數測試工具和網站伺服器都基於 Linux 平台。日常 Linux 上的操作如查看系統日誌、伺服器參數、管理使用者許可權等操作,在滲透測試過程中同樣需要,透過學習相關知識能更深入地瞭解系統的運行機制和潛在的安全風險。 如想淺嘗如何發掘網站漏洞,在 Hack The Box、TryHackMe 等平台,有不同的漏洞模擬系統可用作學習,並透過接觸不同類型的漏洞掌握滲透測試技能。 持續進修是轉型過程中不可或缺的一部分。欲想學習更多有關尋找網站漏洞的發掘技術,歡迎報讀由香港資訊科技學院(HKIIT)舉辦的網頁程式滲透測試證書課程,由業界專家教授學員實戰技術,詳細講解不同的攻擊工具與識別網站的漏洞,助學員成為市場炙手可熱的道德白帽黑客(Ethical Hacking)人才。…

    懷疑在上年自爆勒索軟件程式碼的黑客集團 HelloKitty,正式宣布改名 HelloGookie 繼續營運。為了祝暗網新網站開張,集團主腦 Gookee(又稱 kapuchin0)更在網站公開四個可用於解密被 HelloKitty 鎖死檔案的金鑰,以及從 Cisco 及遊戲開發公司 CD Projekt 盜取的應用程式及遊戲編碼的破解密碼。現階段尚未知道新集團是否已經如言開發出比 LockBit 更有趣的勒索軟件,但賣大包策略已確實收到宣傳效果。 想知最新科技新聞?立即免費訂閱! HelloKitty 勒索軟件集團於 2020 年出現,過往曾因成功入侵遊戲開發公司…

    智慧城市已成為香港未來的主要發展方向之一,在數碼轉型主導的經濟環境下,無論是任何規模的企業都有選用合適科技方案,提升業務與團隊生產力的需要。不過往往苦無頭緒,亦難以找到業務痛點與創新應用的配對機會。有見及此,華為早前與嘉靈攜手舉辦了 2024 年首次的「Karin x Huawei Solution Day」夥伴交流活動,展示了包括華為各項最新 ICT 創新解決方案。 目前嘉靈的員工已取得接近 140 張華為相關的技術認證,另外該公司位於澳門的辦公室已成立接近三年,大大加強跨境應用的技術支援能力。 為了推動香港以至鄰近地區的華為產品業務發展,目前嘉靈的員工已取得接近 140 張華為相關的技術認證,另外該公司位於澳門的辦公室已成立接近三年,大大加強跨境應用的技術支援能力。雙方亦希望舉辦更多夥伴交流活動,藉此多聆聽業界與生態圈內參與者的意見,讓企業加深對華為服務與產品的了解。 CloudCampus 3.0:網絡管理化繁為簡 要支援智慧城市的持續發展,每一項科技基建都不可或缺。作爲全球領先的 ICT 基礎設施和智能終端提供商,華為早前亦在「Karin…

    數碼轉型(Digital Transformation)在過去幾年大行其道,成為企業必不可少的成功步驟,加上遙距工作在疫情下急速發展,到底為網絡架構帶來甚麼衝擊?零信任(Zero Trust)為何會成功「彈出」顛覆網絡架構,甚至取代部分 VPN 與防火牆功能?面對日新月異的人工智能(AI)攻擊,企業又應該如何自保?小編請來業界專家 Zscaler 大中華區區域總監袁蔚豪(Henry Yuen),為大家剖析網安趨勢。 VPN 易造成網安漏洞 企業講數碼轉型,不外乎是「由地上天」,例如將應用程式放到雲端,但在網絡架構的層面上,其實未有出現根本性改變。Henry 解釋,傳統以來維護網絡安全做法就如同城堡形式,利用防火牆、IPS 等防護工具作城牆,保護城堡內的重要數據。至後來雲端應用、遙距工作的出現,就演變成利用 VPN 連接用戶、分支辦公室及雲端,但城堡形式的做法仍是一致的。 VPN 成為了員工在外存取內部應用程式及數據的重要工具,惟久而久之,又衍生了用戶「無王管」存取權限、用戶體驗問題等,出現延遲性之餘,安全風險及攻擊面亦會大增,只要有一部機被竊取帳戶與密碼,便足以感染整個公司網絡。事實上,Gartner早於 2019 年便曾預測,企業將逐步淘汰 VPN,轉而使用…

    Microsoft 上月承認遭俄羅斯國家級黑客集團 Midnight Blizzard(APT 29)入侵,而且表示對方很可能仍然匿藏於內部電郵系統盜竊情報。不知道是否由於美國大量政府或重要機構均採用 Microsoft 服務,美國網絡安全機構 CISA 上星期發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,以免被刺探更多國家機密。 想知最新科技新聞?立即免費訂閱! 在這次 CISA 發布的緊急行政指令中,要求聯邦機構必須立即分析在 Microsoft 外洩電郵事故中涉及的內容,評估外洩資料的風險,並且應該立即重設外洩的帳戶登入憑證,阻止俄羅斯黑客繼續潛入內部盜取機密,警告由於 Midnight Blizzard 曾成功入侵 Microsoft 企業電郵帳戶,包括該公司與客戶經電郵共享的身分驗證資訊,而且正試圖獲取更多訪問權限,因此可以肯定將帶來嚴重且不可接受的國家安全風險,因而必須快速完成內部檢查。…