Tag: security

明讯（Maxis）周一（5日）就网络安全事件发布声明后，国际骇客组织R00TK1T威胁要对该公司发动进一步攻击。 同时，R00TK1T驳斥明讯官方声明中“仅影响第三方供应商系统”的说法，并敦促该公司坦白，否则他们将在其网络上制造更多混乱。 周一晚上7时31分，该骇客组织声称，他们已入侵明讯员工的仪表盘，以证明电讯的系统并不像该公司所说的坚不可摧。 如果明讯未能承认其成功入侵，他们会再次发出威胁，要求每两小时关闭其系统并暴露宝贵的数据和漏洞。 2个小时后（晚上9时31分），R00TK1T声称，他们通过绕过明讯的防火墙突破其居林网络。 在其中一张屏幕截图中，骇客组织似乎可能对明讯其中一个与Agrotech相关的系统进行了重置。 该组织还重申，随着时间的流逝，他们将会暴露更多漏洞。 再过2个小时后（晚上11时34分），R00TK1T 发出了最后警告，并分享了另一张系统屏幕截图，该屏幕似乎显示了哥打哥文宁Quayside Mall当下的连接情况。 该截图补充，有一支由“52名身怀绝技的雇佣兵”组成精英团队正等待命令。 今早（6日）凌晨3时01分，R00TK1T表示明讯的无知只会让他们下定决心；该组织补充，在否认系统受到任何损害后，明讯很快就会意识到这次攻击的严重性。 有趣的是，该声明还对心怀不满的员工表示感谢，并表示后者提供了我国当局和大公司的内幕信息。 除了明讯，R00TK1T还警告，他们正在集体针对我国所有公司，在他们的信息被广泛传播之前，他们不会停止攻击。 该骇客组织上周宣布，他们的目标是针对全马的数码基设，其第一个目标是短讯供应商Aminia ；此外，该组织还声称攻击了在线学习平台YouTutor 。 我们已就此事联系明讯以获得针对新威胁的回应。

在禁用人脸验证功能一年多后，TNG电子钱包终于恢复了Face ID和Touch ID身份验证，使支付更加方便和安全。 有了这项功能，用户无需再输入6位数密码确认二维码付款（QR Pay）；最重要的是，现在他们还提供 PassKey选项，让你可在不使用密码的情况下登录。 TNG电子钱包重启Face ID和Touch ID TNG电子钱包此前曾提供人脸验证支付功能，但并未使用苹果的Face ID技术；最终该电子钱包被 AppStore短暂停用，该功能也被移除。 今年早些时候，TNG电子钱包重新引入生物识别安全功能，但仅用于开启电子钱包，而非用于支付。 2023年结束前，TNG电子钱包似乎将恢复人脸验证功能，目前特定用户可以使用该选项。 若你符合资格，则可在个人资料设置栏目中看到新的安全身份验证选项。 对于付款，你可选择人脸验证或6位数密码；据悉该功能正在分阶段推出。 人脸验证适用于DuitNow二维码支付，甚至能通过NFC为增强版TNG卡充值。 启用该功能后，用户只需刷脸就可确认支付，这比在公共场合输入密码更快、更安全；若人脸验证失败两次，则可使用6位数密码验证付款。 使用PassKey无密码登录TNG电子钱包 此外，TNG电子钱包还新增了PassKey功能；用户无需输入密码，只需通过Face ...

内陆税收局（LHDN）的一个支付门户网站，似乎存在潜在的数据泄露问题！ SoyaCincau的一名读者向我们透露，该漏洞允许未经授权者查看他人详细的个人信息，包括全名、身份证号码、地址、电邮和电话号码。 据了解，相关的支付门户具有一个收据功能接口（API），可让用户生成PDF格式的收据。 然而，这些收据允许民众无需登录账户，就可通过流水号（ 银行办理业务的序号）公开查看。 如上所示，PDF收据包含了详细的个资，一旦这些资料落入不法分子手中，可能会被用于不正当目的；这也可能成为收集个人数据的潜在来源。 所有政府部门和机构都必须积极采取措施保护个人信息；按理说，只有预定用户才能查看这些收据。 该读者建议，当局可使用通用唯一识别码（UUID）作为收据ID，以解决上述问题；该解决方案与目前的流水号方式相比随机性更强，也更难篡改。 同时，我们也已就此事通知并联系了内陆税收局的通讯和安全部。

为提高安全性并打击金融诈骗，马银行（Maybank）宣布从今年10月31日起，首次注册Secure2u或使用新手机登陆Secure2u的用户，需要通过马银行提款机（ATM）验证及激活。 这意味着你无法再通过短讯获取一次性密码（ OTP）激活 Secure2U；这项举措也符合大马国家银行的指示，此前国家银行要求所有银行和金融机构放弃使用一次性密码，以打击日渐猖獗的诈骗案。 Secure2u是什么？ 回顾一下，Secure2u是一项批准在线交易所需的验证功能；从今年7月1日起，Secure2u已完全取代一次性密码。 首次或更换新手机的用户都需要激活Secure2u；若你已在当前手机上激活Secure2u，除非更换新手机，否则不会受到这项新措施的影响。 如何通过提款机激活？ 欲启用Secure2u，用户必须使用MAE应用程序进行注册，然后到邻近的自动提款机激活 Secure2u。 需要注意的是，激活Secure2U后将会有12小时的冻结期，之后用户便可正常进行交易，此举是为了确保用户是激活Secure2u 的唯一批准者。事实上，冻结期也是国家银行为打击诈骗而发出的安全指令之一。 激活方法如下： 前往马银行自动提款机，插入银行卡并输入密码 在主菜单上选择激活Secure2u 选择后按照屏幕上的指示完成激活 等待至少12 小时，然后才能开始使用Secure2u批准交易 另外，全国共有3000台马银行自动提款机，大部分的运作时间为每天早上6时至凌晨12时。 在海外如何激活Secure2U？ ...

新加坡刚通过了移民（修正）法案，允许游客从2024年通过生物特征识别（Biometric）在樟宜机场通关，无需拿出护照办理出入境手续。 这标示着该国全面采用端到端的生物识别通关，游客在登记过程无需多次出示重要文件（护照、机票和登机牌），这也意味生物识别将成为游客的“单一身份验证”。 新加坡内政部第二部长杨莉明表示：“此举将减少乘客在这些接触点重复出示旅行文件的需求，实现更顺畅和便捷的处理。” 修正案的关键规定是，新加坡内政部长向机场运营商授权披露乘客和机组成员信息，以用于特定用途，如行李托运和机场内的乘客追踪。 大马也已拥有生物识别认证系统，这是亚航于2022年推出的FACES系统；该系统与马来西亚机场EZPaz面部识别系统整合，EZPaz系统目前仍在吉隆坡国际机场1号航站楼（KLIA 1）试跑。 据悉，新加坡新的生物识别系统将于明年上半年向外国人和公民开放，包括永久居民；惟目前尚不清楚新加坡第二机场（实里达机场）是否会采用新的生物识别系统。

大马通讯及多媒体委员会（MCMC）敦促民众，切勿下载一款名为Pink WhatsApp（或WhatsApp Pink）的应用程序。 该委会表示，Pink WhatsApp是个恶意应用程序，可访问手机内的数据，如照片、短信和联系人名单，被视为严重的安全风险。 一旦授权访问，恶意软件有可能窃取你的在线银行详细信息，包括用于授权交易的一次性密码（OTP）。 据了解，Pink WhatsApp是以APK文件下载链接的形式在WhatsApp上传播。 同时，链接上还会写道该应用程序将提供更好的安全性和隐私功能，具有定制的界面，并且能够传输比合法WhatsApp应用程序更大的文件。 为此，MCMC敦促民众不要点击任何可疑链接下载Pink WhatsApp；若你已经下载，则促请立即删除。 这个恶意软件似乎仅限于安卓设备，因为iPhone不允许用户在应用商店以外的地方下载App。 此外，MCMC也提醒民众，必须只从官方应用商店（如Apple App Store、Google Play Store和华为应用商店）下载移动应用程序；唯一合法的WhatsApp是由Meta通过官方渠道发布。 该委会建议所有用户保持警惕，通过MCMC网站或致电投诉热线（1800-188-030）报告与Pink WhatsApp相关的任何可疑活动。 如果你遭网络诈骗，则应致电国家欺诈应对中心热线（997）。 ...

爱立信（Ericsson）宣布，国家数码公司（DNB）是首个在大马部署爱立信安全管理（ Ericsson Security Manager，简称ESM）的公司。 该公司表示，DNB是安全领域的先驱者，通过ESM主动确保其网络完整性，在提高5G RAN和核心网络的安全自动化方面发挥了关键作用。 ESM是爱立信的综合网络安全平台，旨在帮助运营商保护其网络和数据免受安全威胁，并通过提供安全可见性和自动化安全流程来满足安全运营5G的需求。 爱立信表示，不断变化的网络威胁和动态网络需要自动化的安全协调，将网络资产、安全态势和威胁管理与5G网络无缝整合。 该公司表示，由于5G是大马关键基础设施和数码转型的支柱，因此他们必须在不断变化的网络威胁环境中保持警惕，并尽量减少与安全、恢复力和隐私有关的风险。 爱立信表示，其网络安全平台解决方案还将通过提供具有安全协调、态势管理、威胁管理和证书管理的自动化安全管理，来帮助DNB提高运营的安全性。 “这将为DNB提供端到端的安全可视性和控制，包括安全合规格监测。” DNB总安全信息执行长Alex Ooi表示：“建设一个安全的5G网络需要通过安全标准化、开发、部署和运营的全面方法。” “通过ESM的自动化安全流程和合规性，能确保网络威胁能被监控和管理，5G网络用户能安心享有5G带来的好处。” 爱立信安全解决方案、业务领域技术和新业务主管Keijo Mononen表示：“随着现今社会越来越依赖数码服务，网络安全扮演着重要角色。” “DNB能通过ESM清楚看见和监控5G的网络威胁问题。我们很高兴看见DNB在部署5G时，选择采用ESM来加强网络安全。” 同时，爱立信马来西亚、斯里兰卡和孟加拉负责人大卫哈哥柏（David Hägerbro）表示：“5G平台是一个真正有弹性的系统，从一开始就内置了安全和隐私。” “在爱立信，我们开发我们的产品组合，以支持整个端到端电讯网络的安全。ESM为电讯环境提供安全自动化和增强的安全可见性。” “因此，DNB网络将成为一个安全、有弹性和保护隐私的网络平台，以满足最重要的任务和关键业务用例的要求。” ...

今年初推出Kill Switch功能后，马来亚银行（Maybank）宣布新的附加安全功能，允许用户快速冻结信用卡；这是一项新功能，一旦用户怀疑其银行卡详细遭泄露，即可激活该功能。 据Maybank表示，这个新的安全附加功能，是该银行进一步增强线上银行安全性，和通过赋予客户立即控制权，来为打击线上诈骗所做出坚定承诺而持续努力的一部分。 此前，Maybank就允许用户冻结其MAE卡，并暂时停用他们的 Maybank2u 访问权限。 为加强线上银行安全并创建更安全的数码平台，自本月5日起，Maybank的Secure2U现在是网上FPX交易的唯一授权方式。 用户可通过Maybank2u网站或MAE应用程序激活这项新的附加功能。 一旦启用信用卡和签帐卡的Kill Switch功能，所有发出的交易都将被阻止，并且不会被处理。 作为一项安全预防措施，用户只能在临近的Maybank分行，或透过客户服务（1300 88 6688）通过验证程序，以重新激活他们的卡。 此举是为了防止骗子或任何授权方获得你的信用卡。 马来亚银行社区金融服务总执行长拿督章荣泉表示，Maybank的议程是创建一个更安全的数码生态系统，这将增强需求不断变化的消费者、企业和投资者的信心，并推动该国的数字化飞跃，同时刺激国家的经济增长。 他补充，希望通过推出覆盖线上银行各角落的安全功能，为客户提供支援，尤其在这个充满挑战的时期。 “尤其在现今，诈骗者的欺诈策略日新月异，手法也变得更大胆且创新。” 他重申，无论一个系统的安全性有多强，骗子总是会试图以社会工程学的方式（钓鱼式攻击和欺骗性网站）骗取客户辛苦赚来的储蓄。 “预防诈骗是每个人的责任，我们必须一起努力在线上交易时保护自己和亲人，并提醒他们永远不要分享他们的账户用户ID和密码，一般情况下不要点击任何链接。” 通讯及数码部副部长张念群最近表示，为打击网络诈骗，她已指示电讯公司屏蔽通过短信发送的链接，并将分阶段实施。 ...

Touch’n Go eWallet应用程序于去年停止支持脸部识别功能，如今用户又能使用该功能了。 Touch 'n Go eWallet这一次用的是苹果的脸部识别功能，但与之前的脸部识别功能相比，它的功能相当有限。 目前，当用户要打开Touch 'n Go eWallet时，能透过使用Face ID和Touch ID的生物识别功能来进行身份验证。 当你用Touch 'n Go eWallet付款时，仍然需要输入6位数的PIN密码，如果你所在的地点拥挤，输入密码就变得比较不方便。 此前，Touch 'n Go ...

（吉隆坡16日讯）2021年第二系列国家总稽查司报告揭露，有一个“超级管理员”（Super Admin）的账号被发现从MySejahtera手机应用程式，下载了300万个新冠疫苗接种者的个人资料。 MySejahtera是政府为抗击新冠病毒疫情而在2020年推出的应用程序。 据总稽查司在今日提呈国会下议院的报告中指出，自2021年10月27日以来，MySejahtera共遭到112万次入侵攻击。 总稽查司报告指出，“超级管理员”账号使用了5个不同的IP地址，在2021年10月28日至31日期间入侵并下载了300万个疫苗接种者的资料。 稽查结果发现，“超级管理员”账号允许作为MySejahtera的疫苗管理员，有权限允许用户批量下载所有疫苗接种数据，甚至允许他们删除数据。 报告表示，卫生部已证实，该部授权的超级管理员账号遭到滥用，并提交了从MySejahtera下载300万名疫苗接种者数据的请求。 “发现此事后，已立即封锁这个账号。” 据指，警方已在调查此事。 此外，报告指出，有1657人被发现拥有超过一个MySejahtera账号，有1543人拥有2至7个账号，涉及3108个处于活跃状态及身份已被认证的账号，且他们都已获得接种疫苗。 整体而言，报告认为新冠疫苗的登记管理以及MySejahtera皆得到很好的实施，有助政府抗击疫情蔓延。 报告同时建议，必须加强MySejahtera数据和该应用程序的安全管理，遏制网络攻击，以确保疫苗接种者数据的安全。——《精彩大马》