Tag: security

为了提高你帐号资料的安全，强烈建议你使用密码管理器。 除了每次登录都使用专属密码，密码管理器还能让你在多个设备和平台上轻松登录。 不过，LastPass去年被骇客入侵，大量数据外泄，若你有使用它的话，现在就得采取行动。 据CNET报道，LastPass于2022年12月承认发生数据泄露事件。 该公司当时表示，尽管他们的开发环境的一些源代码和技术信息被盗，但骇客没有盗走客户数据。 LastPass表示，骇客设法从加密的存储库中复制了一份客户金库数据的备份，当中包含未加密和全加密的敏感数据。 该公司补充，加密的字段仍然用256位AES加密来保护。 LastPass表示，骇客有可能试图使用暴力手段来猜测用户的主密码，但如果用户遵循他们的最佳做法，骇客将很难猜到该密码。 LastPass说，如果按照默认设置，可能需要数百万年才能猜出你的主密码。 令人担忧的是，这些未加密的数据包括LastPass的用户名、公司名称、账单地址、电邮、电话号码和IP地址。 他们还提醒用户，这些骇客可能以客户为攻击目标，试图通过社会工程和网络钓鱼来获得访问权。 如果你一直在使用LastPass，建议你立即采取积极措施，以保护你的网上凭证，首先，你需要更改主密码。 接着，你还应该逐步重设所有利用LastPass的平台的密码，先从很重要的平台开始，如网上银行和主要的通讯和社交媒体帐号。 你还应该尽可能为所有平台启用双因素认证（2FA），以作为额外的安全预防措施。 如果你收到任何要求你登录帐号的电邮或即时短讯，请记得保持警惕。 不要点击电邮和短讯中的链接，最好通过官网或应用程序登录，以避免潜在的网络钓鱼攻击。 若你遇到网络诈骗，请拨打国行的国家诈骗反应中心（NSRC）热线（997）进行举报。 去年，他们已成功追回约140万令吉的被盗资金。 【资料来源】

为了让用户在网上交易时更受到保护，马来亚银行（Maybank）于今年1月28日，在Maybank2u官网和MAE应用程序新增Kill Switch功能。 当用户发现任何可疑活动或怀疑自己的银行户口被盗用，就可透过该功能禁止任何人登录你的Maybank2u账户。 打开MAE应用程序后，点选Maybank2u部分，然后点选右上角的按钮，就能看到Kill Switch功能。 要开启Kill Switch，用户需要用他们的密码登录，然后确认暂停Maybank2u账户。 这能避免任何人使用你的账户进行网上交易，以及解除与任何应用程序或网站的绑定。 一旦启动Kill Switch功能，用户需要在马来亚银行分行或马来亚银行集团客户服务部成功验证后，才能重新登录Maybank2u账户。 该功能旨在防止诈骗分子或未经授权的人访问你的M2U或MAE应用程序，避免你的存款被转走。 值得一提的是，该功能不会影响你的实体卡，用户仍然可以从自动提款机提款，以及使用马来亚银行借记卡或信用卡付费。 由于该功能暂停了M2U的访问，其他与网上交易有关的服务，如非接触式现金提款将无法使用。 马来亚银行社区金融服务集团首席执行员拿督John Chong表示：“随着Kill Switch功能的推出，客户现在可主动保护他们的资金，防止任何意外的发生，并在银行和有关当局的调查结束前减少损失。” 他补充：“由于网络诈骗案不断上升，我们必须承认，预防诈骗是每个人的责任，我们必须一起来解决它。” “银行只能努力推出各种先进的安全措施，以防止和减少网络诈骗，但是民众和客户仍然要扮演好自己的角色，以确保他们的个人银行信息是安全的，绝不与第三方分享，无论是有意还是无意。” 此前，马来亚银行宣布支持国行打击网络诈骗的五项关键措施。 他们推出让民众举报诈骗活动的热线、在MAE应用程序从SMS ...

最近有报导称，共有500万名亚航乘客个人数据和员工信息因勒索软件攻击而被泄漏；同时，亚航已于周四（24日）通过证券交易所针对此事发表回应。 亚航在回应《The Edge》和《The Star》 的声明中表示，上述网络攻击主要针对冗余系统，并没影响到他们的关键系统。 声明补充，该公司已采取一切措施，立即解决这一数据事件，并防止今后发生此类事件。 亚航还表示，这对公司的运营和财务没造成任何影响。 虽然亚航保证其关键系统和运营不受影响，但仍没解决涉及500万乘客数据泄漏的问题，更没有提到网络攻击的影响；同时，航空公司也没确认或否认是否有任何个人数据被泄露。 据DataBreaches称，亚航是Daixin Team勒索软件攻击的受害者，Daixin Team设法获得了两个包含500万条乘客记录的CSV文件。 回顾一下，上述网络攻击发生于11月11和12日；Daixin Team声称，亚航没有尝试就赎金数额进行谈判。 Daixin Team发言人告诉DataBreaches，他们避免了锁定与飞行设备有关的关键文件，这是他们避免加密或销毁任何可能危及生命东西的一部分。 需要注意的是，勒索软件攻击可能会对航空公司造成重大破坏，进而导致数百甚至数千名乘客滞留。 据Akamai称，亚太地区71%的机构已经支付了10万至100万美元的赎金。

亚航（airasia）遭勒索软件攻击，因此来自大马亚航（airasia Malaysia）、印尼亚航（airaisa Indonesia）和泰国亚航（airasia Thailand）的500万名亚航乘客的个人数据被泄漏。 亚航被骇客Daixin Team发出的勒索软件攻击，骇客分享了两个CSV文件，该文件包含乘客和员工的个人信息。 分享到DataBreaches.net的CSV文件的数据样本。资料来源：DataBreaches.net 今年10月21日，美国网络安全和情报机构发布了一份联合咨询指出，Daixin Team是一个勒索软件和数据勒索集团。 从样本数据来看，CSV文件包含了乘客ID、全名、订票ID和机票总额。 同时，雇员数据的CSV文件包含了大量的细节，包括照片、秘密问题、秘密答案、出生城市、出生州属、出生国和国籍。 AirAsia Group is allegedly hit by Daixin ransomware group ...

TNG电子钱包宣布，将致力纳入大马国家银行落实的5项关键安全措施，以防范日益剧增的网络诈骗。 尽管TNG电子钱包是家初创企业而非银行服务供应商，但它们希望成为全马首个及唯一一个率先采用新安全措施的电子钱包。 TNG电子钱包旨在到2023年第一季度落实以下5项政策： 以更安全的验证方法来取代短信发送一次性密码（OTP）。 收紧可疑交易的侦测措施。 首次注册服务、安全设备或配置文件需要验证和冷静期。 将电子交易的身份验证限制在一台移动设备上或每个帐户持有人的安全设备。 提供用于举报任何可疑诈骗交易的客服热线。 【2022年11月15日 15:50更新】 TNG电子钱包澄清，他们并没有完全取代以短信发送一次性密码，但会通过添加更多身份验证方法，以增强平台的安全性。 回顾一下，大马国家银行已指示银行，需在2023年6月前遵守上述安全措施，但TNG电子钱包放眼在2023年3月，即提前3个月实施这些措施。 另外，Maybank和CIMB最近宣布，他们将在2023年6月前，停止以短信发送一次性密码。 TNG电子钱包单位希望上述安全措施，能进一步加强对欺诈交易的保护，并在此过程中加强大马人、商家和电子钱包社区对该平台的安全性信心和信任。 它补充，TNG电子钱包是首个从即日起（11月15日）参与国家诈骗响应中心的电子钱包；该中心旨在简化各机构之间的协调，以便对网络金融诈骗做出快速响应。 TNG Digital总执行长倪翔表示：“TNG电子钱包非常重视隐私和安全功能，以保护我们用户的利益。“ “我们相信，我们所采取的措施将使我们的用户放心，他们电子钱包里的钱将受到保护，他们的每笔交易都是安全的。” “我们希望这能拉近我们与更多大马人的距离，因为他们在日常生活中使用TNG电子钱包，这与我们建立一个更有金融知识的社会愿景相一致。" 据大马交易所数据显示，在疫情期间的2年内，网络诈骗造成的损失高达52亿令吉，且还有很多骗局没有被报告。

社交媒体平台推特（Twitter）已经向受安全漏洞影响的用户发送了电邮。显然，这个问题是在今年1月被发现。 据报导，540万名用户的电话号码和电邮被盗用和被出售。除了出售数据，该安全漏洞还可能通过注册的电话号码和电邮暴露匿名推特帐号用户的身份。 推特在部落格宣布，他们于2022年1月透过漏洞赏金计划而获得首次安全漏洞报告。 因为这个安全漏洞，如果有人提交电邮或电话号码，推特会告诉这个人提交的电邮和电话号码与哪个推特帐号有关。 推特澄清，这个安全漏洞是2021年6月对其代码进行更新的结果。 今年7月下旬，有人在某个网上论坛发布540万名推特用户的数据库，以不低于3万美元（约13万3215令吉）的价格出售它。 在检查了论坛上的样本数据后，推特承认，在问题被解决之前，有不法分子利用这些数据。 推特目前最大的担忧似乎集中在那些不想暴露身份的匿名推特帐号的所有者身上。 推特表示，他们了解该事件带来的风险，并对发生这种情况深感遗憾。有趣的是，他们建议那些希望尽可能隐藏身份的用户，不要在推特帐号公开电话号码或电邮。 由于有人已经获得了数据库的副本，对那些之前使用个人电话号码或电邮的人来说，这已经太晚了。 推特保证，这次的数据泄漏不包括密码，但他们仍然建议用户使用认证的应用程序或硬件密钥来启用双因素认证，以防止未经授权的登录。 如今，数据泄露是一件经常发生的事情，尤其是在大马。如果你一直收到随机电话和垃圾SMS，这可能是因为你的个人资料，包括你的全名、电邮和电话号码已被广泛流传。 几个月前，据称从国民登记局（JPN）和选举委员会获得的大马人的个人数据和eKYC照片被放到网上出售。甚至还有一个网站出售大马人的个人资料，价格低至每人1.50美元（约6令吉66仙）。 内政部长拿督斯里韩查再努丁否认这些数据泄漏是来自国民登记局，但可惜的是，没有关于数据泄漏来源的最新进展，也没有关于警方逮捕犯罪者的消息。 同时，国防部长拿督斯里希山慕丁表示，最近的数据泄漏所产生的问题不会危及国家安全。 支付网关平台iPay88于周四（11日）发表声明，他们承认iPay88于今年5月发生数据泄漏。 不过，他们没有透露是哪一类的数据被泄漏，以及有多少客户和商家受到影响。 【资料来源、图片来源】

苹果公司（Apple）在2022年全球开发者大会（WWDC22）发布最新移动操作系统iOS 16，锁屏和通知功能获得升级，还有一些令人印象深刻的神经引擎驱动（Neural Engine-driven）功能。 但是，这些抢眼的变化只是一部分，像往常一样，苹果编制了一份长长的清单，无法只用一篇文章来公布。 苹果公司已将隐私和安全作为iPhone的关键卖点（你没看到广告吗？），他们在今年推出更多功能。 在骇客和诈骗越来越普遍的情况下，保护用户的隐私和安全是开发者需要努力的事情。以下是iOS 16具备的7个关键功能： 通行密钥（Passkeys） 使用通行密钥的过程。资料来源：Tom’s Guide 目前为止，最令人印象深刻的是针对那些记不住密码的人而推出的功能（几乎每个人都是如此，任何说记得的人要么有超强的记忆力，要么在撒谎）。 他们要么使用非常简单的密码，要么在多个服务上重复使用同一个密码。 你在使用“通行密钥”时，只需用Face ID或Touch ID来登录，从而消除了网络世界最大的安全漏洞之一。 FIDO联盟（苹果是其成员之一）表示，80%以上的数据泄露的根本原因是密码。 高达51%的密码被重复使用，迫使用户创建更强大的密码却产生了相反的效果，因为每三个用户就有一个用户因为忘记密码，而无法进行网上购物。 许多人使用双因素验证或像苹果自己的iCloud Keychain这样的密码管理器来储存密码，但有些用户可能会发现这样做有点困难。 这些可能很快就会成为过去，苹果和FIDO的其他成员，如谷歌（Google）和微软（Microsoft）已经承诺在未来一年内实施新的设备上认证系统，而iOS ...

与世界其他地区一样，大马人越来越依赖互联网和数码技术；人们大量时间在网络上，这使我们成为网络犯罪份子的潜在目标。 多年来，网络威胁变得越发复杂，并对个人、企业和国家安全构成严重风险。 根据趋势科技公司（Trend Micro Incorporated）的数据，马来西亚的大多数组织认为，由于信息和通信技术（ICT）的日益复杂和进步，网络安全状况变得更加具有挑战性，他们将在未来12个月内遭到攻击。 所以问题归结为：马来西亚准备好应对即将到来的网络威胁了吗？ 为此，《Malay Mail》访问大马网络安全机构（CSM）首席执行员阿米鲁丁，以了解更多信息。 阿米鲁丁表示，由于互联网的性质不断变化，没有百分之百安全的网络威胁之说。 他说，无论一个国家或组织在网络安全方面多么强大，遭受攻击只是时间问题。 最重要的是要为任何攻击做好准备 "最好是假设罪犯最终会突破组织的网络防御。一个组织最重要的行动是制定战略和实施网络安全，以减少网络攻击带来的影响。” “一旦受到攻击，知道如何行动和恢复或反弹是至关重要的，马来西亚的许多组织仍有很大的改进（空间）。” 根据网络事件参考中心（Cyber999）的数据，常见的威胁是欺诈、网络骚扰、入侵、恶意代码和内容相关。 2022年5月，CSM下属的大马电脑紧急应变小组（MyCERT）报告了3057起网络事件。 阿米鲁丁说，有必要确保一个安全、有弹性和可信赖的网络环境，以维持进步和繁荣。 他补充，我们需要一个更加创新、积极主动和适应性强的安全方法来应对这种情况。 "此外，我们的方法还必须具有适应性、动态性和创新性，涵盖人员、流程和技术。” 我们还需要加强公共-私营-学术界的伙伴关系以及国家、双边、区域和国际合作。 他告诉《Malay ...

谷歌（Google）在最近的“网络安全日”（Safer Internet Day）发表文章，谈论......如何使互联网成为一个更安全的地方。他们除了宣布目前为实现更安全的数码世界而做了哪些努力之外，也分享了一些他们之前做的统计数据。在为超过1亿5000万名用户自动注册两步验证，也称为双因素身份验证（2FA）后，被骇的帐号数量减少了50%。 资料来源：谷歌 你可能不晓得2FA如何运作，它是一种为你的帐号增加额外保护的方法。第一个因素是你普通的旧密码，第二个因素将是类似于发送到你另一个设备上的代码，或生物识别技术，如你的指纹。谷歌早在2021年10月全面推出2FA，并于12月将其设置为默认。虽然有些人因为这项强制改变而感到不满，但统计数字清楚地表明，它带给网络空间正面的影响。 我一直宣扬2FA是保护你的网上数据的好方法，看来谷歌的数据也符合此说法。大多数主要的科技公司都在其产品中实施了这种技术，如推特（Twitter）的安全密钥和Grab的生物识别认证。然而，这并不是万无一失的安全方法，骇客们通过部署各种网络钓鱼，企图让受害者交出他们的验证码。因此，提高用户的警惕心很重要，以确保他们不会上当受骗。 另一个加强你的数码安全的方法是使用更好的密码。Mozilla基金会发现，像超人和蝙蝠侠这样的超级英雄主题密码已经被使用了数十万次，所以如果你的密码像这些一样简单，那么你应该认真考虑使用更好的密码。最简单的方法是使用像BitWarden这样的密码管理器，它可以生成很难猜的密码，而且不需要你去记住它们。 谷歌还在做什么来使网络更安全？ 谷歌还宣布，他们与网上教育平台可汗学院（Khan Academy）合作，出资500万美元（约2100万令吉）创建网上安全内容。这将产生巨大的影响，因为可汗学院有1800万月度用户的受众。 他们还宣布了为未来做了哪些努力，比如帮助保护政治人物或人权组织等高风险用户。他们还将推出可选的 “Account Level Enhanced Safe Browsing”，积极地为你提供安全保护，防止网络威胁。 除此之外，谷歌还通过让用户对其数据进行更多的控制，使其产品更加安全。例如谷歌助理的Guest Mode，该功能不保存你在帐号中进行的活动。Guest Mode将在未来几个月内扩展到另外九种语言。他们最近也向安卓和iOS用户推出了Google One的VPN服务。 ...

当开发人员为像应用程序这样的东西进行编程时，他们是用一种高级编程语言来编写，其中包括Python、Ruby、Java和C++。但是，电脑无法解读这些语言，通常需要通过机器语言中的二进制数字读取数据。为了让电脑能够阅读我们的代码，编译器被用来充当从高级代码到机器代码的翻译，反之亦然。 然而，似乎这些编译器实际上很容易被骇客入侵。来自剑桥大学的研究人员尼古拉斯鲍彻 （Nicholas Boucher）与罗斯安德森（Ross Anderson）所做的研究指出，他们发现了一种新的网络安全攻击。事实证明，外面的大多数编译器都有一个错误，一旦被利用，就会被坏人所接管。这些骇客可以用他们自己的代码替换被送入编译器的代码，以及覆盖原本的代码。 尼古拉斯鲍彻 尼古拉斯鲍彻和罗斯安德森解释，它的工作原理是利用统一码（Unicode）等文本编码标准的不显眼的地方，并产生开源代码，其中的标记以不同的顺序进行逻辑编码。他们把这种类型的骇客称为 “木马源码 ”（Trojan Source）攻击，目前它对第一方软件和整个行业的供应链攻击都构成了威胁。 这两位剑桥大学的研究人员提供了某种形式的解决方案，其中最简单的防御木马源码的方法，是禁止在语言规范和实现语言的编译器中使用具有方向性的文本控制字符。 目前为止，他们已经联系了一些公司，他们把自己的发现告诉这些公司，并让他们修补这些问题，但并不是所有公司都已经进行修补，他们的总结是： “......在此期间，在快速和廉价，或相关和必要的情况下，部署其他控制是谨慎的。我们建议依赖关键软件的政府和公司应该确定其供应商的情形，对他们施加压力，以实施足够的防御措施，并确保任何差距被其工具链中的其他地方的控制所覆盖。木马源码漏洞几乎影响了所有的电脑语言，这使得它成为一个难得的机会，可以进行全系统的、生态学上有效的跨平台和跨厂商的反应比较。”——尼古拉斯鲍彻和罗斯安德森 如果你有兴趣了解更多关于木马源码，以便可以给自己的软件打补丁，或者可以看看解决的方法，你可以查看木马源码网站或点击这里查看完整的研究报告。 【资料来源】