==== 资安双周报 (241115) ==== 初一十五除了呷菜喔外 也要关心一下安全圈的消息 - 不能再怪骇客了 - supply chain attack 不意外 - 第三方厂商请扛 - 你爱猫、骇客爱你 - Bug Hunter 要失业了吗? ## ==== 不能再怪骇客了 ==== ## 经济部於11月13日宣布修正法案 增特定商品零售业纳入规范[0] 新规定资本额达1000万元以上 有招募会员或可取得交易对象个资的特定商品零售业者 都必须在2025年5月12日前完成个资安全维护计画 要求企业必须提升密码强度 建立完整的网路安全防护机制 首次违规将处以2万至200万元罚款 如未改善或情节重大，最高可罚至1500万元，且采取按次连续处罚制度 ## ==== supply chain attack 不意外 ==== ## 业者 stock 发现[1] 一个名称相似的 Python 套件 fabrice 与正版 fabric 只相差一个字 并且用来窃取凭证、建立後门 以及执行跨平台指令等 目前此套件已下架 ## ==== 第三方厂商请扛 ==== ## Amazon 日前发生员工联络资料外泄 同时官方证实此事件[1] 为第三方厂商资安事件造成 第三方厂商并没有存取敏感资讯 唯一泄漏的是员工联络资讯 此事件除了 Amazon 之外 还有联想、HP、麦当劳等知名企业 ## ==== 你爱猫、骇客爱你 ==== ## 根据报导[3] 攻击者透过 SEO 技术将恶意软体推荐给爱猫人士 在业者调查中发现 透过爱猫人士搜寻关键字後 透过 SEO 技术 受害者将下载恶意压缩档 透过 JS 建立工作排程并安装恶意程式 ## ==== Bug Hunter 要失业了吗? ==== ## Google 的 Project Zero[4] 透过 Big Sleep Agent 找到第一个真实世界的资安漏洞 透过此专案 发现一个 SQLite (尚未 release) 的 stack buffer-underflow 安全问题 [0]: https://401.tw/QZVo [1]: https://401.tw/kpVc [2]: https://401.tw/6Fb2 [3]: https://401.tw/rdp6 [4]: https://401.tw/Wcvu --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.216.198 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1731631276.A.D56.html