本日国内最受到关注的资安新闻,应该就属电子支付平台全支付(Pxpay Plus)传出测试平台的后台管理员(Admin)帐号密码遭外泄,察觉此事的资安专家指出,由于测试与正式环境共用商业逻辑与金流验证机制,有可能会波及正式环境。
在上述的资安事故之余,中国应用程式过度收集用户个资并传送到中国的情况,也相当值得留意,本周国安局认证5款热门中国App存在严重资安风险,呼吁民众挑选应用程式要特别小心;而在今天发生的国际资安事故当中,我们整理了澳洲航空Qantas传出遭到Scattered Spider攻击,再者,法国揭露去年中国骇客UNC5174利用Ivanti CSA设备零时差漏洞入侵当地企业组织的情形。
【攻击与威胁】
电子支付市场竞争激烈,安全防护却丝毫不能松懈。由全联福利中心转投资的电子支付平台「全支付(Pxpay Plus)」今日(7月3日)传出测试平台的后台管理员(Admin)帐号密码遭外泄消息。
有匿名资安研究员在深网(Deep Web)侦测到,自称握有平台后台资料的骇客正在地下论坛兜售相关凭证,并要求买家以匿名加密货币门罗币(XMR)交易。虽然根据资安专家初步勘验指出,此次外泄的资料疑为测试环境帐密,但专家强调,测试与正式环境共用商业逻辑与金流验证机制,一旦缺口扩大,冲击恐波及真实金流与消费者权益。
而全支付受访时表示,资安团队在昨日已有侦测到该起外泄情资,并进一步取得相关外泄资料,确认是测试环境非正式环境,且无用户个资,已掌握可能的外泄管道,全支付目前已重新处理并加强防御。
澳洲航空Qantas周三(7月2日)坦承,该公司的第三方客户平台遭到骇客入侵,该平台存放了600万笔的Qantas客户资料。外界则猜测这起事件是由骇客组织Scattered Spider所为。
针对这起事故发生的过程,骇客锁定该公司其中一个客服中心,获得了第三方客服平台的存取权,该公司是在周一(6月30日)侦测到该平台的异常活动,并立即采取措施以控制系统。此平台拥有600万客户的服务纪录,包括姓名、电子邮件位址、电话号码、出生日期,以及常客飞行会员编号,而对于受害的范围,Qantas仍在调查实际被窃的比例与内容。
Qantas强调,此资安意外并不影响营运与飞安,而且该系统并未存放信用卡资讯、个人财务资讯及护照资讯,而常客的帐号、密码、PIN码与登入资讯,也未外泄。
不过,多数研究报告都是由国外资安业者发布,我们很少能具体了解其概况,近期台湾骇客协会理事戴辰宇(GD)揭露骇客窃取OTP盗刷网钓威胁现况时,亦介绍诈欺侦测的资料科学家Strawberry Donut的多项研究成果,当中就指出PhaaS不仅降低网路犯罪的技术门槛,也助长了这类攻击的规模更扩大。同时,他还揭露了更多关于这个网路犯罪生态系不为人知的细节,包括全套与半套的不同PhaaS型态。
其他攻击与威胁
◆◆
【漏洞与修补】