VulnCheck 專家發現,有黑客假扮成網絡安全研究員發表虛假的網絡安全概念驗證(PoC),並通過營運偽冒的 Twitter 及 GitHub 帳戶,吸引同業下載,目的是感染他們的電腦設備。雖然黑客經常透過不同詐騙手法攻擊不同人士,但這次以網絡安全同業為目標,到底有甚麼好處? 想知最新科技新聞?立即免費訂閱 ! 黑客經常使用不同詐騙手法散播惡意軟件,例如以破解版或具有額外功能的遊戲或影片編輯軟件為餌,令相關人士下載安裝,黑客便可將對方的電腦變成殭屍大軍成員,又或偷取對方儲存在電腦內的帳戶認證謀利。而為擴大感染範圍,黑客更會在社交平台上賣廣告,或以暗黑 SEO 方法提升儲存惡意軟件網站的搜尋排名,這些都是近年黑客常用的手法。 假冒網安公司發表研究報告 而在這次由 VulnCheck 專家揭發的釣魚陷阱中,黑客至少在今年五月開始便假冒成 RAPID7 網絡安全公司的研究員發表各式各樣的網絡安全研究報告,例如以公開 Chrome、Discord、Signal、Microsoft Exchange 等常用軟件的零日漏洞概念驗證為名,吸引同業的注意。…
Search Results: github (36)
軟件開發者 Stephen Lacy 最近一份調查發現,開發者經常使用的開源程式碼平台 GitHub 上出現 35,000 個懷疑含惡意功能的專案,它們可以暗中竊取使用者儲存的帳戶驗證資料,其中一條程式碼更可讓黑客遙距執行指令,如經常使用 GitHub 者要留神。 GitHub 是全球最大的開源社群,它可供軟件開發者儲存程式碼專案,亦可讓開發者們之間進行交流,現時 GitHub 上已有超過七千萬會員,會員可以隨意瀏覽或下載其他會員上載的專案,不單有助開發者學習編程,甚至可直接將專案內容套用在自己的軟件內,可說是開發者的必備後台。不過,黑客亦看準 GitHub 的高使用量,因此會用各種方法散播惡意軟件,其中之一是上載有惡意功能的專案,如 GitHub 或其他會員未能發現,便可成功感染下載者的電腦設備。 這次由 Stephen…
平常一聽到同銀行有關嘅運作程序,一定覺得會安全到不得了㗎啦,但接二連三嘅事實話俾大家知,無論間公司有幾大,規管有幾嚴謹,都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank(加拿大豐業銀行)近日被揭發出低級網絡安全錯誤,低級嘅程度更直逼「布偶級」(muppet-grade),大家明啦! 日前網絡安全研究員 Jason Coulls 揭發,加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案,當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼,後台服務及數據庫實例嘅登錄憑證、原始編碼等,簡直係黑客金庫。 Scotiabank 嘅回應當然都估到,首先話呢啲資料並不會危及客戶、員工或合作夥伴,又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定,銀行出事就要即刻通報,加拿大金融機構監管辦公室方面就已接獲通知,正密切監察事態發展。 GitHub 於去年被 Microsoft 收購,成一時佳話。除咗極多開發者會用,亦有唔少企業機構都會用,因此,保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入,會喺開發階段將…
網絡安全情報公司 Recorded Future 發表最新報告,稱針對台灣組織的網絡攻擊活動持續增加,特別是針對國家基礎設施及管治部門的情況尤其嚴重,顯示地緣政治活動與網絡攻擊密度有重要關係。此外,開源(Open Source)工具的安全問題日益嚴重,企業必須加強警惕,切勿貪快胡亂使用。 想知最新科技新聞?立即免費訂閱! 香港及美國等機構亦是攻擊目標之一 報告內指稱,在 2023 年 11 月至 2024 年 4 月期間,即台灣進行總統大選前後,一個稱為 RedJulliett 的黑客組織,曾攻擊台灣 70 多個機構,當中包括…
來到一年之始,每年的這個時候,大家都希望自己擁有一顆能預知未來的水晶球,預視 2024 年的局面及趨勢。2023 年,人工智能(AI)、ChatGPT 和無數先進技術吸引全世界討論,成為全球熱話。來到今年,這些創新科技不應再被視為挑戰;反之,新興技術解鎖各種各樣可能性,我們應該把握箇中機遇。 撰文:Red Hat香港、台灣及澳門區總經理文志鋒 想知最新科技新聞?立即免費訂閱! Red Hat 委託 Economist Impact 進行的《適應型領袖剖析:駕馭新興技術》(Anatomy of adaptive leaders: Navigating emerging technologies)最新調查結果顯示,儘管香港企業在採用新興技術方面取得了相當大的進展,但仍有進步空間。…
Aqua Security 研究員發表研究報告,指有使用開源倉庫儲存開發計劃的企業或開發人員,未有慎重處理上傳數據中是否包含容器管理平台的帳戶登入憑證,從研究員發現的二百多個計劃中,竟包括多間財富 500 名單上的企業及兩間區塊鏈公司,如被有心人取得,將會引爆破壞力驚人的供應鏈攻擊,企業不可不防。 想知最新科技新聞?立即免費訂閱 ! 以 GitHub 的 API 進行搜尋 不少企業現時都有使用容器技術,因為它具備非常高的彈性及可擴充性,讓企業可在本地環境開發各種應用程序之餘,也能輕易轉移至公共雲或混合雲環境,以應付不同的業務需求。由於容器有輕量及可移植特性,因此亦有快速部署或交付的優勢,並能在不同作業環境保有一致的運行表現,減少硬體需求及營運成本。而為了能有效率地管理容器,企業會選用 Kubernetes 等開源容器管理平台,除了有助管理容器化的應用程序,還可獲得一定的安全性及在故障時根據設定自動重啟服務。 不過,今次 Aqua Security 便針對開源倉庫 GitHub…
Wiz 雲端安全研究小組發現,Microsoft 員工曾在 GitHub 開源共享平台分享 AI 模型訓練數據,但由於意外地放置了允許從外部訪問 Azure Blob 儲存空間的網址及 SAS tokens,導致 38TB 非公開數據可供外人讀取,而且情況維持足足三年,認真匪夷所思。 想知最新科技新聞?立即免費訂閱 ! AI 訓練模型設定錯誤 導致這次內部數據可被外人讀取的問題,出在 Shared…
Super Mario 電影版早前大收旺場,有黑客「食住個勢」,借助其電腦遊戲的名氣,推出內藏挖礦及木馬程式的惡意版本,再通過在遊戲討論區、社交平台及暗黑 SEO 技術推廣。雖然未知有多少受害者,但憑著 Mario 電影掀起的熱潮,相信都有不少人會跟風安裝遊戲,真正玩出禍。 想知最新科技新聞?立即免費訂閱 ! Mario 電影大收 遊戲舊作被黑客利用 早前任天堂公司的靈魂遊戲人物 Mario 推出電影《The Super Mario Bros. Movie》,短短兩個多月全球票房已突破十億美元,雖然影評毁譽參半,有人指劇情欠奉,而遊戲迷則大讚畫面重現遊戲各種元素。不過有十億美元票房在手,始終有一定影響力,因此全球各地都掀起 Mario 旋風,就連舊作的下載量都大升。…
Microsoft Build Hong Kong 於早前完滿舉行,活動由多位 Microsoft 技術專家,為本港開發人員分享最新開發工具及探討最熱門的 AI Copilot 技術發展 ,讓開發體驗變得更加輕鬆完善。 活動當日,更有 GitHub hands-on 體驗工作坊、合作夥伴攤位以及 Happy Hour ,讓各位參加者可以進行技術交流,認識更多 Microsoft的資源及方案,如何提高開發團隊生產力。 (資料及圖片來自…
日本汽車製造商豐田繼發現逾 200 萬汽車用戶資料或外洩後,事隔約半個月,於跟進調查中再發現兩項人為錯誤,導致部分亞洲及大洋洲客戶的個人信息洩露長達 7 年之久,當中更包括姓名、地址及電話號碼等個人資料。 想知最新科技新聞?立即免費訂閱 ! 豐田在上月中表示,由於雲環境設定錯誤,令 215 萬汽車用戶的資料外洩 10 年,除了向外界致歉並更改雲系統設置外,亦隨即對負責營運雲平台的汽車數據手機公司 Toyota Connected Corporation 展開調查。經過詳細調查後,豐田果然發現由 Toyota Connected Corporation 所管理的雲環境中,有兩項同樣出現人為設置錯誤,令外部能訪問部分客戶信息。…