系統漏洞
」 系統 漏洞 攻擊 iOS 系統漏洞微軟坦承「Windows出現嚴重漏洞」 電腦可被「降級攻擊」
微軟會定期為Windows系統推送安全更新,以修補系統漏洞並提升安全性,然而近期有研究人員揭露Windows系統存在一個嚴重漏洞,該漏洞可使攻擊者繞過所有安全驗證,將電腦降級至存在漏洞的舊版本,從而進行攻擊。對此,微軟也於近日發表公告承認問題,並坦言公司目前正在調查該問題。微軟每次進行系統安全更新後,都會建議用戶盡快安裝這些更新以降低風險,然而根據《The Cyber Express》的報導,一名SafeBreach研究員Alon Leviev在本週於美國拉斯維加斯舉行的Black Hat 2024黑帽大會上,展示了一項新發現。他指出,惡意份子可以利用對Windows更新架構中缺陷的了解,開發Windows Downdate工具,該工具可以繞過所有安全驗證步驟,接管Windows更新過程,並對關鍵作業系統元件進行完全不可偵測、看不見、持久且不可逆轉的降級。也就是說,即便用戶已經安裝了修復漏洞的安全更新,攻擊者仍可通過降級手段,將系統恢復到存在漏洞的舊版本,而這一過程不會觸發任何威脅偵測工具。研究員指出,該漏洞影響範圍廣泛,包括Windows 10和Windows 11在內,幾乎所有Windows用戶都可能面臨此威脅,不過這種攻擊方式需要攻擊者擁有管理員權限。據悉,微軟已於今年2月收到漏洞通報,並於近日發表公告承認問題,強調目前尚未發現該漏洞被實際利用的案例,「我們讚賞SafeBreach揭露此漏洞方面所做的工作,我們正在積極開發緩解措施來防範這些風險」。微軟指出,公司目前正在徹底調查所有受影響版本的更新開發以及兼容性測試,以確保最大限度地保護客戶,並最大限度地減少運營中斷。微軟表示,目前正在積極解決此問題,計劃在後續更新中發布修復措施。
不只「創意私房」!中國偷拍黑產業鏈 1人控制18萬監視鏡頭
近日,由於藝人行黃子佼購買、持有偷拍未成年少女的情色影片,讓中國人經營的偷拍論壇「創意私房」聲名大噪。然而,偷拍行業在中國已經成為一條成熟的黑色產業鏈,尤其在萬物互聯的網路時代,駭客輕易就能透過科技手段竊取他人監視鏡頭的控制權,竊取他人隱私,在網路上公開販售。近日,北京市朝陽區人民法院發佈《網路犯罪案件審判白皮書(2019-2023年度)》,通報該院近5年來審結的網路犯罪案件。其中一起案例讓人怵目驚心。一名巫姓男子電腦技術高超,他透過技術手段獲取了某品牌監視鏡頭的用戶資料,隨即自寫的程式入侵了該品牌監視器的資料庫,從而控制了連結該資料庫的所有監視鏡頭。據法院資料,巫某控制的監視攝像鏡頭最多超過18萬個,場所涵蓋醫院、家庭、養老院、實驗室等,宣傳「足不出戶看世界」向「客戶」收取人民幣68元(約台幣300元)至688元(約台幣3100元)不等的會員費,並提供即時監控畫面供付費會員隨時觀看。最終,法院以非法控制電腦資訊系統罪,判處巫某有期徒刑5年,罰金10萬元(約台幣45萬元),並沒收其違法所得80餘萬元(約台幣360萬元)。萬物互聯的時代,監視鏡頭已經成為許多人生活中的一部分:工作未歸的家長透過自行安裝的監視鏡頭察看孩子在家是否安全;外出的寵物飼主透過鏡頭確認寵物有沒有搗亂;而為了治安理由,鏡頭更是在馬路、公司、社區等地無處不在。然而,這些監視鏡頭往往存在大量系統漏洞,不嚴格的存取控制更容易被駭客入侵,加上很多錄像資料缺乏加密處理,讓許多家庭、旅店隱私資訊處於不設防的狀態。通過監視攝像鏡頭窺探、販賣個人隱私,此前早有不少案例。從有小客車內的行車記錄儀紀錄被盜,到公共場所監視攝像鏡頭被害;從家用監視攝像鏡頭被入侵,再到用戶手機鏡頭被遠端打開……現實中,「偷拍」生意已經形成一條完整的黑色產業鏈,在某些社交群組和網路論壇中,會員只要支付幾百上千元的費用,就可以看到陌生人家裡的即時監控畫面。如今,偷拍、隱私外流事件不斷引發公眾對於個人資訊安全的擔憂,如何遏止這種歪風,恢復用戶的信心,已經成為監視攝像鏡頭行業,甚至是有關部門迫切需要解決的問題。
星城Online爆遊戲漏洞!4玩家瘋狂押注3千次撈星幣 轉賣爽賺2千萬
網銀國際集團經營的線上遊戲「星城Online」出現系統漏洞,遭4名玩家利用,瘋狂押注3430次獲取22億777萬9752星幣(140星幣可換1元新台幣),再將星幣轉售,不法所得逾新台幣2000萬元。網銀國際集團對4名玩家提告。士林地院近日審結,判處4人應賠償19億餘枚星幣(約合台幣1987萬餘元);可上訴。網銀國際集團主張,其經營的「星城Online」之遊戲館「大鬧西遊」,其中虛擬遊戲幣區分為付費使用之星幣及免費贈送之銀幣。遊戲方式為玩家得自由選擇以銀幣或星幣押注並進行吃角子老虎遊戲,依照玩家所押注之遊戲幣別進行遊玩,若挑戰成功則會依所押注的遊戲幣別進行結算,給予玩家相對應的遊戲幣,押注銀幣將獲得銀幣;押注星幣始獲得星幣。若遊玩過程中,玩家進入「FREE-GAME」挑戰模式,押注後強制斷線,遊戲系統仍會繼續運作,並將遊玩結果以遊戲簡訊之方式通知玩家,玩家於再次登入系爭遊戲時,得查閱該次遊玩結果並獲得相對應的遊戲幣。網銀國際集團指控,被告李男等4人明知遊戲若以銀幣押注遊玩時,在「FREE-GAME」挑戰模式押注後強制斷線,將出現以不同幣值之遊戲幣星幣結算遊玩結果之遊戲漏洞(按遊戲規則應以銀幣結算;1星幣可兌換100銀幣),竟故意利用該遊戲漏洞,而反覆以此方式執行遊戲,藉以獲取大量星幣並將其移轉或使用,顯已違反遊戲使用者條款。被告辯稱,他們均未使用任何外掛程式,係完全依照遊戲程式既有且允許之功能操作,該遊戲系統漏洞之產生原因應歸責於原告。再者,4人均不具備電腦系統專業知識,原告事前未告知類似手法是利用遊戲漏洞之行為,亦未通知限期改善,無法知悉該遊戲漏洞是否為遊戲製作者故意留存或為程式設計之瑕疵,故無違反遊戲使用者條款或遊戲管理規章之情形。士林地院審酌,被告既係實際操作遊玩遊戲,亦知遊玩過程,除非離開遊戲,重新設定後進入遊戲外,無法中途變更押注幣別,惟被告以銀幣押注獲得之彩金,卻以星幣計算,而1個星幣得換100個銀幣,顯與原應獲得之彩金相差100倍,被告非初次之玩家,當知悉此非遊戲正常狀況,應屬遊戲漏洞,判處4人應賠償19億餘枚星幣(約合台幣1987萬餘元);可上訴。
新型安卓病毒鑽系統漏洞 攻擊銀行App竊取用戶資產
目前有消息指出,一款名為FjordPhantom的安卓系統惡意軟體被發現,它透過釣魚手法進行傳播後,會在使用者的手機內攻擊銀行App,以此方式來竊取使用者的錢財。根據《bleepingcomputer》報導指出,這款名為FjordPhantom的惡意軟體,主要是透過簡訊、電子郵件與即時通訊軟體來進行傳播,當使用者點選訊息中的連結後,會被誘導去下載一款看似銀行的App。但是惡意軟體在這時候,就會在使用者的手機上設置了一款虛擬機器,接著從虛擬機器中運行惡意代碼,以此來攻擊使用者手機內的真實銀行App。報導中指出,這款惡意軟體其實算是成功的鑽到系統的漏洞,因為過往虛擬機器與主機之間是很難相互影響的,但這款惡意軟體打破了這個概念,他透過運作特定的代碼,用來勾取手機本身銀行App的關鍵API,因此可以順利的攔截銀行App的憑證,甚至是以此來進行交易操作,或是攔截銀行帳號、密碼等敏感訊息。報導中也提到,這種手法其實非常的狡猾,因為銀行App本身並沒有遭到修改,所以代碼竄改檢測系統無法攔截到攻擊,除此之外,為了避免Google Play的偵測,該惡意軟體還勾取了相關的API,使其在手機上看起來像是「無法使用」,但其實在背後偷偷運作。這種攻擊手法主要出現在印尼、泰國、越南、新加坡和馬來西亞等地,這些國家的銀行App也都是惡意軟體的攻擊範圍內。而就目前為止,已經有一位使用者因為這個惡意軟體,遭竊28萬美金。
iPhone 15過熱問題有解! 蘋果發布iOS 17.0.3更新
蘋果上個月22號開賣iPhone 15新機後,就不斷傳出手機出現過熱的問題,官方日前也發聲明證實該問題,並指出過熱問題主要是iOS 17系統漏洞造成。而蘋果也在5日凌晨,正式釋出iOS 17.0.3最新系統,提供用戶進行更新。根據《MacRumors》報導,蘋果在5日凌晨,正式釋出iOS 17.0.3最新系統提供用戶更新。而根據蘋果官方指出,最新的iOS 17.0.3系統提供重要錯誤修復和安全更新,並解決可能導致iPhone在使用時過熱的問題。另外,蘋果官方也表示,此次更新還針對兩個安全漏洞進行修復,因此就算用戶不是使用iPhone15 Pro系列新機,也建議盡速將系統進行更新。事實上,先前iPhone 15 Pro系列手機頻頻傳出過熱的消息,外界一度將問題指向蘋果首度採用鈦金屬外殼。然而蘋果立即發表聲明澄清,表示iPhone 15 Pro系列手機出現異常過熱情況與鈦金屬無關,將會透過軟體更新解決發熱問題,並強調不會降低效能。
蘋果認了!剛上市就爆災情 iOS 17推更新修復iPhone 15過熱問題
在這次iPhone 15系列正式上市後,第一時間就傳出多名使用者表示「手機好燙」,尤其是iPhone 15 Pro、iPhone 15 Pro Max的用戶當中甚至有傳出48度高溫的紀錄。面對如此情況,甚至有人懷疑到負責生產晶片的台積電是不是發生製程問題。而現在,蘋果官方終於直接面對過熱問題,表示是iOS 17上有系統漏洞所導致,將會推出更新版系統來修復過熱問題。根據《路透社》報導指出,針對剛上市的iPhone 15系列手機過熱問題,蘋果官方終於回應,表示一開始的過熱問題主要是手機「備份還原」所致,因為背景程式活動明顯增加,對處理器是個負擔,所以手機會明顯發燙。除此之外,蘋果也解釋,部份第三方APP在近期的更新導致iOS系統過載,所以會有處理器過熱問題,蘋果官方甚至點名這些導致系統過載的APP是Instagram、Uber,以及賽車遊戲《狂野飆車9:競速傳奇》(Asphalt 9),其中Instagram已經在9月27的更新中修復這個問題。而蘋果官方也強調,這次導致手機過熱的問題並不存在安全或傷害風險,長期來說,也不會影響手機效能。目前計畫在下次的iOS 17更新檔中修復這個漏洞,而官方也強調,不會透過「降低處理器速度」的方式來解決過熱問題。
漏洞遭駭客利用又遇Siri失效 蘋果緊急釋出iOS 16.4.1
先前就有消息指出,蘋果的iOS系統出現漏洞,並且遭到駭客使用,這也讓蘋果在先前急忙推送iOS 16.4給用戶更新,但由於該版系統漏洞太多,甚至出現Siri無法使用的情形。目前蘋果已經急忙推出最新的iOS 16.4.1,同時也釋出iPadOS 16.4.1和macOS Ventura 13.3.1來進行修復。根據官方資料顯示,這次iOS 16.4.1最主要的更新內容,就是修正Siri在部分狀況下無法使用的情況,同時也修正了推手表情符號沒有顯示膚色選項。除此之外,另外還修補了其他重要的錯誤修正,同時還有進行安全性更新。而先前國外YouTuber「iAppleBytes」經過實測後,發現iPhone 8、iPhone SE(2代)、iPhone XR、iPhone 11、iPhone 12 與iPhone 13等機種在升級到iOS 16.4之後,就出現電池續航力下降的情形,其中最明顯的就是iPhone 13,減少將近1個小時。而目前iOS 16.4.1是否會針對此情形進行修正,仍有待觀察中。
疑暗藏惡意功能 中國電商軟體慘遭Google平台下架
有別於京東、淘寶,中國的電商平台「拚多多」過往素來以「物美價廉」而廣受中國網友的好評。在上面甚至可以用幾元人民幣就採買到許多物品。但近期拚多多的App卻疑似暗藏惡意功能,目前已經遭到Google從平台上完全封鎖與刪除。但拚多多的海外版本的軟體「Temu」還在正常運作中。綜合外媒報導指出,其實整起事件從2月時就開始陸續被許多資安公司給注意到,但一直醞釀到3月時才整個大爆發。根據許多安全研究者的報告指出,拚多多的APP內有大量涉嫌使用到Android系統漏洞的程式碼,透過這些程式碼,拚多多的APP可以未經使用者允許就查看通訊錄,可以在使用者關閉後又強制開啟軟體。而中國國內獨立數據安全研究服務機構深藍(DarkNavy)也在3月中曝光,表示「某款電商APP」繞過手機系統的監管,涉嫌修改系統關鍵文件防止用戶移除APP,甚至可以透過雲端功能來控制用戶手機躲避檢測,雖然深藍並沒有直接公布電商軟體的名稱,但外界普遍認為就是拚多多。目前拚多多APP已經在Google平台上刪除,Google也在Android的資安防護系統Google Play Project上新增對拚多多APP的阻擋,已安裝者會收到來自Google的刪除通知。而拚多多方面則是以「應用程式因目前版本不符合Google政策而被暫時下架」來做解釋,但並沒有分享更多細節。
意外發現ATM漏洞獲3千萬巨款 調酒師開趴租飛機後自首求審判
澳洲墨爾本有個名為Dan Saunders(丹桑德斯)的調酒師,意外發現銀行ATM系統漏洞,先後提取了160萬澳元(約台幣3千3百萬元),丹桑德斯用這些錢瘋狂開派對、租私人飛機,甚至幫朋友還清大學學貸,5個月就把錢揮霍殆盡,他也因突然降臨的財富患上焦慮症,最終選擇自行和媒體曝光此事,並要求法院審判自己。據丹桑德斯向外國媒體陳述,某天晚上他前往ATM領錢時,因系統提示「餘額暫時無法使用」,因此他從信用帳戶轉了200澳元(約台幣4千元)到儲蓄帳戶,隨後系統提示交易已取消並把提款卡退出來,丹桑德斯想確認錢有沒有轉成功,因此又重新操作一遍,雖然系統還是顯示交易取消,但這次提款機吐出了現鈔。起先丹桑德斯並不以為意地回到酒吧繼續喝酒,當他回家經過那台ATM時他又試了一次,從信用帳戶分別轉了200澳元、500澳元、600澳元,然後把錢取出來,他發現雖然系統總是顯示交易失敗但每次都能取款成功。丹桑德斯隨後發現只要在凌晨1點至3點間將錢從信用帳戶轉至儲蓄帳戶,第二天再把轉帳撤銷,並且趕在撤銷生效前再進行一次撤銷,系統就會忙不過來因而當機,錢並未真的挪動,但「餘額數字」卻一再的累積,很快的丹桑德斯帳戶餘額變成上百萬澳元。獲得意外之財的丹桑德斯生活變得揮霍,他瘋狂舉辦派對、租下整個度假中心,替朋友還清大學學貸,並支助一名好友前往法國留學。他把致富的祕密告訴朋友,幾名友人提醒他不該動用這筆不義之財,為了不讓家人擔心,他選擇欺騙他們,編造諸如投資地產及金融項目等等理由來解釋為何突然多出這麼多錢。丹桑德斯也因這筆不義之財罹患焦慮症,在午夜夢迴時他經常擔心警察闖進他家,他內心有一部分期望這一切早點結束,但已經沒有回頭路了。他失去了自我認同,不斷問自己「我到底是誰?」、「有錢之後我還是我嗎?」為了讓一切早一點結束,他聯繫上《先驅太陽報》等外國媒體曝光他所做的一切,但仍沒得到應有的重視。事情發生3年後,他要求法院審判他,法官認為這起事件的起因是ATM故障,這屬於銀行的問題,銀行要為此負主要責任。最終丹桑德斯被判服刑1年,而後調整為18個月的社區勞動改造。出獄後他繼續回到酒吧工作,但他心裡還是有道過不去的坎,依然無法回歸正常生活。Dan Saunders利用ATM系統漏洞獲得3千萬台幣後生活變得揮霍。(圖/Dan Saunders臉書)
詐高鐵20萬「害3億元掰了」 台灣天才駭客曬公文苦笑:我以前笨
28歲「台灣天才駭客」張啟元在2018年駭入高鐵訂票系統,詐領20萬元遭判刑6個月,當時所用電腦也在去年底遭銷毀。他事隔近1年後在今(6日)透露,被銷毀的電腦內存有價值高達3億的加密貨幣資產,還原當時經過並自嘲「講那麼多就是我以前笨」。張啟元在臉書曬出當年桃園地方檢察署來函的公文,表示「再給大家看一次,這張紙價值台幣3億」,透露存有從幣價低點累積起的加密貨幣資產私鑰連同電腦一起被銷毀。指出當時不信任任何冷錢包和軟體錢包,於是寫了一個產地地址的程式,與將私鑰用隱寫術藏在「看不出任何東西」的圖片裡,然後再把資產分散到100多個地址。(圖/翻攝自張啟元臉書)但他完成這項工作後1個禮拜,電腦就因高鐵詐領案被扣押,加上當時寫完又忘記備份私鑰,結果「就掰了」,還說「電腦2019 年1月被扣押,這時幣價很低,2021年12月電腦被銷毀時比特幣漲到1顆6萬多美金」。直言如果還有這筆錢的話,現在應該組好一個很強的團隊,把他想做的SoK去中心化社交平台做出來了,也能做更多區塊鏈有意義的應用。但他也樂觀表示,就算現在沒錢,也會靠自己的技術能力把所有東西全部做出來,以及透露過去以為自己是白帽駭客,主動去找一堆廠商漏洞,希望能提升平台安全,「但你突然跑去問別人能不能找系統漏洞,這只會被當成你在勒索恐嚇」,最後不忘自嘲「講那麼多就是我以前笨」。此外,有網友指出加密貨幣在2019年時並非低點,表示張啟元的記憶可能有誤。
資安恐外洩?國軍現有7輛特斯拉「停在這」 何志偉:真的不安全
民進黨立委何志偉今天(12日)質詢國防部部長邱國正、國防部後勤參謀次長室次長許金騰中將關於我國國軍使用Tesla (特斯拉)車輛狀況,由於營區保密需要,依規定禁止攝影,目前我國國軍使用單位包含空軍、電展室、軍博局、軍醫局、國防大學,各一,憲兵2台,共7台,而根據Tesla官網顯示每一台車輛皆有8個攝影鏡頭,並且資料會回傳到美國Tesla總部,對國軍資安而言並不安全。許金騰表示,國軍使用這7輛特斯拉確有相關功能,但因為鏡頭會將影像圖資傳回美國總公司,因此這7輛電動車不管是在營區內或營區外,都禁止使用相關功能,在面板上須關閉。何志偉追問那鏡頭是否有進行遮蔽?國防部則表示尚待調查。何志偉另外指出Tesla會有軟體,國防部如何更新?許金騰回應,車子回原廠保養時,會去做系統提升,7輛車最新提升時間是在去年11、12月,因營區內嚴禁使用Wi-Fi,因此功能無法使用。何志偉表示國外的駭客在2019年就已發現系統漏洞,並發展成一套攻擊軟體,稱之為「TBONE」。「攻擊者可以使用無人機打開車門和前車廂,改變座椅位置,設定轉向與加速模式。」而Tesla也快速發佈更新,修復漏洞,國防部僅在回原廠保養時進行軟體更新,勢必有軟體更新上的時差,何志偉強調國軍有裝備需求進行採購當然不會有意見,但如果採購了自駕系統車輛卻不會使用到自駕系統,甚至有不便與顧慮,那當初到底為什麼要採購?評估過程匪夷所思。國防部長邱國正表示,目前絕對不會再買了,未來如何則配合政策,行政團隊政策擬定後,國防部當然要參與,但一旦造成不便與顧慮,會加以限制,這是國軍的作為。
公司招聘員工最年輕限「1899年出生」 網傻眼:只要清朝人?真相揭曉
每間公司各有不同的規定,不過有些要求太奇葩,不禁讓人傻眼。中國有網友在某公司的招聘網站填寫出生日期時,發現最多只能選擇1899年,讓他好奇:「貴司是不是只要清朝人?」掀起外界關注。根據《上游新聞》報導,網友近日在填報某公司職位申請時,出生日期最多只能選到1899年,沒有1900年之後的其他年份,其他人也遇到相同情況,不過有人填好身分證後,就會自動更新為正確日期,也有網友指出,換個瀏覽器就行了。(圖/翻攝自上游新聞)實際登錄該公司招聘網站,假如用手機操作,「出生日期」一欄會無法選擇和填寫,但填寫身份證號碼後,出生日期會根據身份證自動顯示。而用平板電腦操作,「出生日期」一欄最晚只能填寫到1899年,如果用電腦登錄,出生日期一欄的選擇和填寫則正常。對此,工作人員解釋,遇到類似情況,可以更換瀏覽器進行職位申請,如果有些瀏覽器顯示正常,有的不正常,可能是網頁加載情況差異,他們會向後台反應。如果存在系統漏洞,會進快進行修復,而且即使出生日期填寫有問題,對後續職位申請也不會造成太大影響,因為會進行核實審查。
熊貓被坑1/烘焙老闆鑽漏洞 不出貨仍狂撈50萬!平台怒提告
疫情時代來臨,餐飲外送成為民眾生活一環,外送平台生意強強滾,推出許多會員優惠促進消費,台北1名烘焙工作室老闆小白(化名,34歲)加入平台拓展生意,未料他竟看準系統漏洞,狂A新會員首購即贈的百元購物金,再以刷卡換現金方式,針對自家烘焙工作室不斷下單但卻不出貨,如此投機取巧3個月不法所得高達50萬元,直到平台察覺有異報警,「熊貓被坑」事件才爆發。餐飲外送平台「熊貓」(foodpanda)推廣會員註冊優惠,首次訂餐滿100元輸入優惠碼就能現折100元,烘焙坊老闆小白不但申請許多人頭會員帳號A新客優惠,再全部把假訂單灌到自家烘焙坊,然後又不出貨、省掉食材等成本費用,每個月坐等平台拆帳。據了解,小白和女友合夥開設1家烘焙工作室,主要以販售蛋糕為主,因為新冠肺炎疫情,為了拓展商機加入「熊貓」外送平台成為合作商家,未料小白某天偶然發現系統程式漏洞動起歪腦筋。「熊貓」為了行銷招攬用戶,新註冊會員享有百元購物金優惠,未料遭烘焙老闆申請多個人頭帳戶,灌單到自己的工作室卻不出貨,刷卡換現金。(示意圖非當事人/黃威彬攝)小白先申請許多人頭會員,再利用平台針對新會員送出百元購物金,接著瘋狂針對自家烘焙工作室下單,但卻從不出貨,以此刷卡換現金,由於價差不大,不易被察覺,小白為了賺更多因此狂刷卡點餐「灌單」,以此方法一個月就能賺進約19萬元。直到系統平台察覺有異,細查後發現明明是不同會員點餐,卻都以小白和其女友小2人的信用卡結帳,懷疑有人做手腳而報警,整起事件才爆發,粗估小白3個月的不法所得逾50萬元;另外,熊貓因此發現會員申請系統有BUG,趕緊著手修正。小白到案後,坦承自己烘焙工作室接受下單但沒出貨,做完筆錄後,他突然反問「如果我回答有出貨,是不是就沒罪?」員警一聽也被逗得哭笑不得。熊貓目前已對小白提告,全案依《詐欺罪》、《妨害電腦使用罪》偵辦。烘焙老闆和女友以不同人頭會員狂下單點餐,卻都以2人之信用卡結帳,被熊貓察覺情況有異,報警抓人。(示意圖非當事人/李宗明攝)
熊貓被坑2/網路時代祭優惠衝會員數 名公司為防弊開鍘提告
台灣餐飲外送平台龍頭之一「熊貓」(foodpanda),針對新會員推出首次訂餐送百元優惠,未料竟成為坑自己的機制。熊貓合作之烘焙工作室老闆小白(化名,34歲)意外發現新會員註冊有BUG,竟以人頭會員「下單給自家、不出貨」方式,3個月狂撈50萬元,熊貓發現異常報警抓人,小白被依《詐欺罪》、《妨害電腦使用罪》送辦。餐飲外送平台「熊貓」(foodpanda)會員新註冊推出優惠活動,首次訂餐滿100元輸入優惠碼就能現折100元,相當划算,熊貓以此行銷手法擄獲不少民眾。1名烘焙坊老闆小白發現熊貓會員系統藏有漏洞,不但申請許多人頭會員A新客優惠,再全部灌單到自家烘焙坊,接著又不出貨免掉食材等成本費用,以刷卡換現金方式,每月約進帳19萬元、3個月狂撈了50萬元。最後,熊貓發覺有異報警,揪出不法分子小白,目前對他提告《詐欺罪》、《妨害電腦使用罪》,也立即改善會員申請系統的BUG。本刊調查,熊貓是德國的外送企業Delivery Hero旗下的網際網路餐飲外送服務平台,2012年在東南亞創立,並在新加坡、馬來西亞、印尼、泰國、菲律賓和台灣等地營運,由於新冠肺炎疫情席捲全球,也改變民眾生活習慣,目前該平台外送品項從餐點到生鮮雜貨都有,也成為疫情時代竄起的商界黑馬。會員數即是商業競爭源頭,網路相關產業無論外送平台、遊戲、直播公司都祭出相關優惠,包括會員優惠金或紅包,這也成為不肖份子覬覦目標。除了熊貓的新會員優惠遭濫用、遭合作廠商坑殺,無獨有偶,多家知名廠商也曾遇到類似事件。2020年10月間刑事局破獲2名男子瞄準知名連鎖零售商全聯所推出的APP會員促銷、推薦贈點活動,故意創立1320個假會員帳號,5個月時間騙取1500萬點,市價約150萬元,且在電商平台「蝦皮」上以8折價格出售。2男被依《詐欺罪》、《妨害電腦使用罪》送辦。另外,同樣被有心人士盯上的還有咖啡連鎖品牌星巴克,今年5月1日跨國盜刷集團被警方瓦解,夫妻檔主嫌騙取被害人個資後製作出假信用卡,看準星巴克會員人數多、優惠活動多,拿偽卡盜刷購買星巴克會員隨行卡點數,再以「9折換現金」方式轉賣給大盤商,大盤商收取後用低於市價95折脫手變現,該集團一年不法獲利近千萬元。刑事局日前破獲1跨國盜刷集團,集團騙取被害人資料製作出偽卡,盜刷星巴克點數再變賣換現金,得手近千萬元。(圖/報系資料照)
美青年加入「躺平」行列 他週接2通電話領2百萬年薪受網盛讚
面對高房價和物價飛漲,薪資卻永遠跟不上的困境,包括中國大陸、日本、南韓以及台灣年輕人開始「躺平」,隨著新冠肺炎疫情流行,「躺平風潮」不僅流行於亞洲青年間,美國社交平台近期也掀起了「反工作浪潮」。根據《紐約郵報》(New York Post)報導,自新冠肺炎爆發以來,美國社群平台Reddit上討論度極高的討論區,莫過於「反工作(Antiwork)」討論區,目前已經有超過160萬活躍用戶參與討論,而平台上處處是有關辭職的貼文。該版的版主福特(Doreen Ford)觀察到此現象表示「每個人都在COVID期間,被過度工作、抵押、貸款、付租金等等資本主義活動壓迫到達極限,因此現在才想要休息一下,少做一些事」;有趣的是,雖然此討論區有許多人發布辭去工作的貼文,但被社群稱為「真正英雄」的是所謂的「閒人」,也就是那些留在工作崗位領薪水,但只做最低限度勞動的人。像是反工作版上一名用戶「podcastquestions」就貼文表示,身為客服的他,因為發現公司評級系統漏洞,自己每週只需要接1、2通電話,年收入就有80000美元(約新台幣221萬元),而他目前已經從事這份工作5年,受到大批網友盛讚;另一名從事IT產業的網友則稱,自己設計了一個簡單的程式,幫他自動完成了所有工作,而他的年薪則是90000美元(約新台幣248萬元)。當然這樣的風潮引起一些人士擔心,英國《金融時報》就曾報導,高盛集團坦言擔憂「反工運動」會拉低勞動力參與,對市場構成長期風險,同時根據美國勞工局發布的統計,去年11月,美國有450萬人自願離職,比前一個月增加了30萬人,創下歷史高點。對此,福特表示「反工作浪潮不單單是自我陶醉的Z世代不想『下床』,實際上是因為我們已經受不了了」。
證券電子下單帳戶限期改密碼 邵之雋:防駭治本須靠民眾做一件事
對於證交所下令證券期貨商等電子下單戶限期更改帳號密碼一案,金融法制暨犯罪防制中心董事長邵之雋強調,其實民眾只要做好一件事,就可以一起圍堵遭駭客冒名下單的資安破口,只要駭客取得客戶的帳號密碼管道沒有被打破,駭客永遠能取得新的密碼,要客戶修改密碼只能治標不能治本。金融法制暨犯罪防制中心也根據這些駭客入侵案件態樣,整理出可能的資訊安全的漏洞,提醒民眾也有責任,妥善保護自己的金融交易帳號密碼,勿外漏給其他App供應商等公司使用。金融法制暨犯罪防制中心董事長邵之雋表示,這一波駭客型態與傳統「撞庫」不同,而是駭客透過黑網等手段,在第三方服務等雲端平台(如供記帳、理財帳戶管理服務的App)取得記載金融帳戶資料,直接以本人的身分登錄。邵之雋強調,事實上,雲端服務益形普及的現在,資安已經是社會系統的一部分,駭客永遠能從「資安城牆」最弱的部分攻入,所以喚醒民眾的資安意識是最為重要的。要讓民眾充分了解到,個人資料安全跟錢財一樣,財不露白才能最大程度降低犯罪者的覬覦。何況從法律層面來看,如果透過資安鑑識民眾的帳密,是因為可歸責於己的事由露出,而非因金融機構系統漏洞而導致,所產生的損失可能就是要由民眾自行負責。邵之雋也指出,證券期貨商等金融機構在金管會、證券、期貨等公會等不斷透過加強拉高資安城牆,要求民眾登入系統、申請或更新憑證採多因子驗證機制,譬如說設定英文大小寫混合數字的密碼並且要妥善保管,禁止使用生日等容易外洩的個資,也勿將在銀行、證券商等使用的帳號密碼用在其他網站。邵之雋分析,國內金融機構的資安城牆已經努力架高,防堵駭客入侵,而且一旦看見有類似僵屍網路不斷衝撞系統異常案件時,即可及時觀察與進一步防範;然非金融機構公司的資訊安全防護等級,會像金融機構的資安城牆高嗎?就是民眾要考量的地方,再次提醒用於金融機構帳號密碼,不要提供給他人、其他公司,是自己能做到最佳的資安防護。
券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全
國內元大證券「行動精靈」App海外複委託下單系統,11月25日下午突然出現所謂的「撞庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節,也因此暫停複委託電子下單。三竹資訊則發布聲明,強調「券商複委託下單系統異常,與三竹資訊無關」。三竹資訊董事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統完全無關。元大證「行動精靈」App的海外複委託交易功能,11月25日遭券商主動發現傳出遭駭客入侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大證券尋求的合作廠商。三竹資訊表示,該資安事件可以從兩個層面來看,一是駭客如何取得顧客的帳號、密碼?一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。由於多個「憑證」登錄交易,會讓民眾使用「生日」即可成功登陸,因此此次元大證的「行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真正原因,還有待元大證調查了解。目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力,除了原有的「憑證」登錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式,即是一次性單次有效密碼,補強下單交易防護力。以下為三竹資訊聲明全文。針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解,本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及統一證券表示已暫停複委託電子交易,改採人工下單。對此,三竹資訊對於已發生之事件深表遺憾,同時強調整起駭客事件與三竹資訊毫無關聯。提醒投資人注意,應定期更換投資帳戶之密碼,以維護自身權益。
高鐵員工為打莫德納「大鬧醫院3hrs」 高市聯醫懲處出爐
高鐵公司有42名員工,日前集體假冒身分,跑去高雄市聯合醫院,要求打莫德納第二劑,院方查驗身分後,本來拒絕施打,但這些高鐵員工,竟在院外大鬧3小時,最後逼得院方就範,勉強給予施打。衛生局認為高市聯醫未依身分類別接種,是明顯犯錯,要求聯醫追究相關人員責任。聯醫於本月8日做出決議,醫療副院長賴俊煌記申誡一次,院長馬光遠自請處分。莫德納疫苗第二劑目前只有開放一至三類人士,以及長者可接種第二劑,不過日前卻有高鐵員工,明明是屬於第七類人士,但卻自稱自己是第三類「高接觸風險一線工作人員」,鑽文字、系統漏洞,一大票42人,集體跑到高雄市醫院要求施打第二劑。高雄市聯合醫院後來也證實,的確有高鐵員工跑疫苗專診報到,但當時現場醫護人員明確告訴高鐵人,他們並不符合資格施打,無法進行接種。不過高鐵人卻當場大鬧醫院,由於當天專診人數接近200人,眼看現場人數陸續抵達要來打疫苗,這票鬧事的高鐵員工已影響到疫苗接種秩序,院方直到11點多,才「勉強給予施打」。後來衛生局表示,未依身份類別接種,院方是犯了明顯錯誤,也要求聯合醫院提交檢討報告,追究相關人員責任。聯醫事後針對此案召開多次檢討會議及考績會,並於8日考績會決議,醫療副院長記申誡一次,院長自請處分。
時代的眼淚3/循環利率18趴年代穩固花旗一姐地位 損及卡友權益屢吃罰單
美國花旗總部不玩了,要賣掉台灣等消金業務,引來業界憂慮,「台灣金融監理對外資『不友善』?」唯恐帶起「外銀出走風」?有金融高層趁勢抱怨,金融監管常用放大鏡看待,出了問題就裁罰、禁止業務,花旗近年也陸續被罰很多錢。就在花旗集團拋出震撼彈一個月後,也就是今年5月,金管會依銀行法重罰1,000萬元重罰花旗銀行,理由是花旗銀在對帳單地址、聯絡人、電話出現相同狀況太多,未完善建立客戶風險評估機制,長期違規、累積大量案件的情況之下,創下洗錢防制法上路4年來最高罰款。不僅如此,花旗銀擅長的信用卡業務,也一再被金管會查出有違規案件。今年2月,花旗因被發現「維護卡友權益」嚴重出槌,硬生生地吞下600萬罰單。原來花旗銀2010年12月起,將18萬多名卡友的「消費分期」與「帳單分期」利率相同,即是民眾向其他銀行申辦貸款等業務時,「易被適用較高利率,支付較高的利息」,此一缺失長達9年,直到被客戶發現才知弄錯,雖經調查未有客戶被多收利息,卻嚴重損及卡友權益,而遭主管機關重罰。花旗銀行信用卡曾是許多民眾辦卡的第一選項,如今面對本土銀、通訊軟體平台大打數位金融支付工具戰,擠壓過往豐沃獲利空間。(圖/報系資料照)此外,有行員疑似挪用客戶款項,及信用卡帳務系統邏輯判斷錯誤致向客戶溢收滯納金與利息等,違反銀行法分別處罰600萬元及250萬元,並解除該行員職務。不僅如此,同年11月遭卡友發現系統漏洞,提供客戶透過ATM預繳卡費以提高信用卡可消費額度的方式,一個月內狂刷600筆高達6,300萬元且未入帳的異常(積欠卡費不用還),因未有效的防範詐欺控管機制及辨識監控等,被罰款250萬元。細數花旗銀在涉及卡友權益的違規案件,根據金管會官網公布2012年以來這九年間的裁罰案資料,共有以上3件之外,在銀行業務項目部分,除了今年5月違反洗錢防制法、銀行法而遭開罰1,000萬元,2019年10月執行批次作業部分交易檔案未完整過帳至主機系統,導致客戶新臺幣帳戶餘額未即時正確表達,委外作業未建立有效內部控制與稽核制度之情事,被罰款500萬元。還有2014年7月,則是專案檢查花旗銀行將部分作業委託境外的花旗集團馬來西亞交易服務公司(CTSM)辦理,逾越金管會核准範圍或實際跨境委託對象不符,譬如將企金客戶放款業務中屬個人戶授信案委外,以及大額外幣匯款交易由CTSM執行電話確認,且傳真交易抽核電話確認、印鑑或傳真不清及疑似重覆傳真案件係由CTSM聯絡客戶等8項違反金融機構作業委託他人處理內部作業制度及程序辦法,依銀行法處罰400萬元。若說金管監理成了外銀的沉重壓力,就實在小看花旗銀行,花旗銀行不但在發卡及財富管理高居第一,去年還大賺97.59億元,就算美國母集團要賣掉消金業務,但獲利高的企業金融業務仍留在台灣,更何況,金管會7月還釋出善意,放寬外銀分行兼營債券、證券承銷及自行買賣業務等三大規定。嘸免驚!
雙鐵員工為打疫苗大鬧3小時 高雄聯醫無奈「勉予同意」接種
屬於第七類的雙鐵工作人員被爆出鑽醫院疫苗預約系統漏洞,假冒第三類高風險人員,集體到高雄醫療院所闖關搶打第二劑莫德納疫苗,雖然欲接種者的身分遭查獲不屬於一到三類高風險人員,但雙鐵人員卻在醫院大吵3小時,為避免造成疫苗施打時間延誤,市立聯合醫院在「勉予同意」的情況下,替42位雙鐵人員完成接種。屬於第七類的雙鐵工作人員被爆出鑽醫院疫苗預約系統漏洞,假冒第三類高風險人員,集體到高雄醫療院所闖關搶打第二劑莫德納疫苗。(圖/本報資料照片)據了解,42名雙鐵人員均是於9月22日冒名到聯合醫院接種疫苗,由於門診護理師有發現接種人員並非中央流行疫情指揮中心公布的一到三類高風險人員,因此拒絕替他們施打疫苗,沒想到,42人卻大鬧醫院,從上午8點多吵到11點多,最後聯合醫院在「勉予同意」的情況下,替42人完成接種第二劑莫德納疫苗。聯合醫院表示,當時發現有非中央公布的一至三類人員前往接種時,遭醫院護理師以身份不符為由婉拒,但當時掛號系統僅公告疫苗開放時間及對象「依衛生局配送之疫苗劑量及本院庫存,採滾動式開放預約」,未特別揭露該次專案僅限公告的第一至第三類人員施打,所以造成民眾誤解,為了避免造成疫苗施打時間延誤,因此在不影響其他一至三類公費人員接種權益的情況下,勉予同意現場42位間隔已滿10周以上的民眾接種,並同時緊急修正掛號說明,檢討後續公告作業流程,防止資訊誤會再次發生。據了解,除了42人被爆出到聯合醫院「闖關」打莫德納疫苗以外,包含健仁醫院、小港醫院、聖功醫院也都有類似「闖關」打疫苗的情況,小港醫院單在九月底,至少就有10多位高鐵人員想假冒第三類接種對象施打疫苗,但核對身分後遭到拒絕,目前除了聯合醫院未依規定替42人接種第二劑莫德納外,並未查到還有其他醫院有相同案例發生。高雄雙鐵聯合醫院莫德納疫苗