iOS 其中一款下載次數逾百萬的通話錄音 app 「call recorder」,被安全專家發現竟然存在身份驗證漏洞,開發商儲存於AWS雲端上的用家通話記錄及通話錄音,都可以通過修改 API 指令,被黑客隨意竊取,好兒戲喎! ClubHouse 語音社交平台早前被爆漏洞,有心人可以闖入不同房間錄音,再將用家對話的語音檔上載網上分享。雖然用家在房間內的公開發言,都會預計有可能被錄音,所以未必有太多機密訊息,但在不知情下被竊聽,感覺始終不太愉快。不過當換轉通話錄音 app 出現安全漏洞,情況就完全不同,因為使用錄音 app 一般都有工作需要,例如記者做電話訪問、同客戶開會等等,當中總涉及一些機密資料。而 PingSafe AI 網絡安全研究員 Anand Prakash 最新發現的安全漏洞,便與 iOS 其中一款下載次數逾百萬的通話錄音…
Browsing: API
作為一個雲服務供應商嘅技術支援人員,平時都收到唔少企業客戶投訴,問點解搬咗啲嘢上我哋嚿雲之後,竟然仲俾人入侵到去佢個 database?其實而宜好多企業管理者都以為將虛擬機、應用服務或數據搬上雲,我哋就會幫你守穩大門,唔會俾黑客入侵,但其實條款一早已寫明係「共同責任」模式(Shared Responsibility Model)嚟㗎! 呢個謬誤其實相當普遍,一來個客未必理解雲端服務嘅運作原理,二來幫襯時亦可能遊咗魂無聽清楚我哋提供嘅保障內容。事實上,公司一早已喺服務條款內寫明,只會確保提供嘅基礎架構、服務嘅安全性,而客戶必須負責自己嘅數據防護。 咁樣做絕對唔係「卸膊」,而係因為幫襯嘅客來自各行各業,採用嘅應用方案亦五花百門,試問我哋點可以一個 settings 招呼晒所有客呢?以 Web Application Firewall 為例,e-commerce 平台同一般企業客戶嘅設定已好唔同,前者要考慮準確過濾惡意連線之餘而唔會擋埋正常顧客,後者基本上就只會俾員工訪問數據庫,所以只可以留返俾客戶自己搞。仲有嘅係如果企業員工嘅安全意識不足,唔小心中咗釣魚電郵俾黑客攞到登入帳戶權限(最新鮮例子係 Twitter),雲供應商又點擋到呢啲表面上屬於合法登入嘅入侵? 另一方面,Web Application 同背後用到嘅 API 絕對係對外開放,而最終目的地自然係客戶嘅數據庫,莫講話我哋照顧唔到各企業採用嘅工具同設定,就算係企業自己,亦會因工具同工具之間嘅數據無法溝通,而掌握唔到出入嘅數據有無可疑,試問我哋又點樣幫你守穩門口呢?講出嚟你都唔應該信啦! 所以話,企業喺採用雲端服務嘅時候,態度亦要好似管理傳統…
新冠疫情持續半年有多,好多人嘅生活習慣都改變晒,例如家居工作嘅時間多咗,上網使錢密集咗,玩手機 game 或睇網上娛樂亦挑剔咗⋯⋯消費者嘅日常生活轉晒型,作為提供應用服務嘅企業,都要跟車轉型,將重要工作或 IT 架構移雲。不過,移雲一啲都唔簡單,一旦無守穩整個服務流程,更有可能運作唔到、增加管理成本,最壞情況更加會造成機密外洩,隨時一鋪清盤! 獨立運作 訪問行為難分善惡 無論邊個行業,老闆而家都面對住同一問題,就係點樣做好遙距工作(Remote Work)同埋網上服務嘅安全保護,因為當企業進行數碼轉型後,員工、客戶主要透過各種網絡應用(Web Application)服務,經 API(Application Programming Interface)介面去存取公司資料庫入面嘅數據,任何一個位置出事,損失都難以估計。 Imperva 亞太區資深技術顧問張瑞宏(Kelvin)指出,必須做好由網絡應用以至數據庫各關卡嘅防禦,先夠穩陣,而關鍵就係網絡流量嘅透明度。「數據庫入面嘅資料就好似珠寶首飾,如果連邊個人入過去、由邊度入嚟、入去做過啲乜都唔清楚,就完全無安全性可言。」要睇通睇透,自然要由一開始睇起,佢話有企業雖然採用咗唔同嘅防禦工具,但工具同工具之間無法溝通,都分唔到入嚟嘅網絡行為有無古惑。舉個例,大門守衛做咗身份認證就放行,但嚟到保險室,如果無溝通,個護衛又點知呢位來賓入嚟做乜呢?佢嘅行為會唔會顯示到佢越權或係冒充呢?所以唔係賣花讚花香,現時市面上可以打通呢三個關卡嘅安全工具,就只得 Imperva 做得到。 天生外向 WAAP 防護至重要…
可能你未必留意到 reCaptcha 係啲乜嚟,但你絕對有用過呢項人類驗證功能。當你去到某啲網站嘅時候,為咗證明你唔係機械人,就首先要通過點選 reCaptcha 驗證 box 入面嘅圖案,例如有幾多格有交通燈、貓,答中咗先可以去到指定網站或開始網購。而雲端安全解決方案供應商 Barracuda 最近就發表報告,多咗黑客利用真嘅 reCaptcha API 嚟提升釣魚攻擊嘅可信性,特別係搏取安全防護系統嘅信任添! 先交代下 reCaptcha 呢項功能先,其實佢早喺 2003 年已被提出,不過當時只係叫 Captcha。後來團隊諗到用呢項功能行善,就係借助網民力量提升 OCR 光學掃描技術嘅準確度,於是計劃先變成…
有網絡安全機構發現,喺暗網出現一則販賣5.38億微博用戶資料嘅廣告,你估開價幾錢呢?當中嘅資料包括: 真實姓名帳戶名稱性別位置電話號碼 而答案係⋯⋯ ⋯⋯ ⋯⋯ ⋯⋯ 大約 1,200 美元咋!點解咁平呢?因為並唔包括帳戶登入密碼丫嘛! 至於呢堆黑客聲稱喺上年年中獲得嘅用戶資料,點解出現喺網上,微博就曾經發信俾部分中國網站解釋,話 2018 年尾因為要處理網絡實名化規例,可能喺配對用戶同個人電話號碼嘅 API 上出現問題。 不過,呢個解釋即刻俾國內嘅網絡安全專家否定,因為黑客喺廣告上明確表明啲數據係來自 SQL 資料庫,而且如果只係用 API 配對用戶同電話號碼,亦唔會有埋其他好似性別、位置等資料。另外,有關黑客發動登入驗證盜取或暴力破解帳戶攻擊,去蒐集呢啲個人資料嘅說法亦唔成立,因為售賣嘅資料並唔包括密碼。又係喎,如果有埋登入密碼,5.38億帳戶資料又點值咁少錢呢? 資料來源:https://bit.ly/3aeTTAG…