==== 资安双周报 (241115) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- 不能再怪骇客了
- supply chain attack 不意外
- 第三方厂商请扛
- 你爱猫、骇客爱你
- Bug Hunter 要失业了吗?
## ==== 不能再怪骇客了 ==== ##
经济部于11月13日宣布修正法案 增特定商品零售业纳入规范[0]
新规定资本额达1000万元以上 有招募会员或可取得交易对象个资的特定商品零售业者
都必须在2025年5月12日前完成个资安全维护计画
要求企业必须提升密码强度 建立完整的网络安全防护机制
首次违规将处以2万至200万元罚款
如未改善或情节重大，最高可罚至1500万元，且采取按次连续处罚制度
## ==== supply chain attack 不意外 ==== ##
业者 stock 发现[1] 一个名称相似的 Python 套件 fabrice
与正版 fabric 只相差一个字 并且用来窃取凭证、建立后门 以及执行跨平台指令等
目前此套件已下架
## ==== 第三方厂商请扛 ==== ##
Amazon 日前发生员工联络资料外泄 同时官方证实此事件[1] 为第三方厂商资安事件造成
第三方厂商并没有存取敏感资讯 唯一泄漏的是员工联络资讯
此事件除了 Amazon 之外 还有联想、HP、麦当劳等知名企业
## ==== 你爱猫、骇客爱你 ==== ##
根据报导[3] 攻击者透过 SEO 技术将恶意软件推荐给爱猫人士
在业者调查中发现 透过爱猫人士搜寻关键字后 透过 SEO 技术
受害者将下载恶意压缩档 透过 JS 建立工作排程并安装恶意程式
## ==== Bug Hunter 要失业了吗? ==== ##
Google 的 Project Zero[4] 透过 Big Sleep Agent 找到第一个真实世界的资安漏洞
透过此专案 发现一个 SQLite (尚未 release) 的 stack buffer-underflow 安全问题
[0]: https://401.tw/QZVo
[1]: https://401.tw/kpVc
[2]: https://401.tw/6Fb2
[3]: https://401.tw/rdp6
[4]: https://401.tw/Wcvu