[閒聊] 資安雙週報 240601

==== 資安雙週報 (240601) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 台灣上市公司資安專區 - 漏洞專區 - 釣魚測試信件有用嗎? - 聯卡中心 四選一你認真? ## 台灣上市公司資安專區 ## 證交所新聞稿在 28 日的新聞稿 宣布上市公司如發生重大資安事件應發重訊 此次新聞稿明確規範重大的標準[0] 同時以下是本週期出現各大公司的相關資安事件 - Cooler Master 傳出 50萬會員資料流出[1] - 台名遭遇供應鏈攻擊及資料竊取[2] - 京鼎公告網路公開竊得資料 為一月事件後續[3] ## 漏洞專區 ## 以下為重大 CVE 與相關的安全修正 - Ivanti 的 EPM 有 CVE 9.6 相關的 SQLi[4] - Cacti 存在 CVE10 相關的 RCE[5] 與 SQLi[6] - WordPress 外掛存在大量漏洞[7] ## 釣魚測試信件有用嗎? ## Google 安全部門[8] 研究表示釣魚信件測試 B>Z Modern Phishing test strongly resemble the early Fire test 對於提升員工安全意識沒有過多實質效果 訓練應該著重於防駭意識與主動回報機制 ## 聯卡中心 四選一你認真? 為了防範簡訊詐欺 聯卡中心 OTP 驗證六月新增一步驟驗證 [9] 為了避免一頁式購物網站盜取OTP密碼 中新聯合 24家發卡機構 推出識別碼服務 且進一步提供四選一進階版的識別碼驗證 [0]: https://www.twse.com.tw/zh/about/news/news/content.html?ff8080818f85b3e3018fbec877cd00db [1]: https://www.ithome.com.tw/news/163199 [2]: https://www.ithome.com.tw/news/163206 [3]: https://mops.twse.com.tw/mops/web/ajax_t05sr01_1?firstin=true&stp=1&step=1&SEQ_NO=2&SPOKE_TIME=191412&SPOKE_DATE=20240521&COMPANY_ID=3413 [4]: https://forums.ivanti.com/s/article/KB-Security-Advisory-EPM-May-2024?language=en_US [5]: https://github.com/Cacti/cacti/security/advisories/GHSA-cx8g-hvq8-p2rv [6]: https://github.com/Cacti/cacti/security/advisories/GHSA-vjph-r677-6pcc [7]: https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-056 [8]: https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html [9]: https://ec.ltn.com.tw/article/breakingnews/4688702 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.193.84 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1717201858.A.599.html