台灣資安新聞彙整 2022.09.19 - 09.25

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

9/19

Chrome 與 Edge 中的拼字檢查功能可能外洩用戶密碼

進階拼字檢查是 Chrome 的功能之一，它會把使用者於瀏覽器中所輸入的文字傳送給 Google ，再使用與 Google 搜尋相同的拼字檢查技術，來提供拼字建議。但業者發現若輸入的是密碼，而且點擊了「顯示密碼」（Show Password），那麼連密碼都會被送出去。

https://www.ithome.com.tw/news/153127

9/20

微軟揭露大規模的點擊詐騙活動

微軟安全情報研究人員近日指出，他們正在追蹤一場廣泛的點擊詐騙（Click Fraud）活動駭客透過惡意廣告或 YouTube 影片評論嵌入惡意連結，誘導使用者下載安裝瀏覽器 Node-Webkit 與擴充程式，再利用受害者電腦進行點擊詐騙活動來獲利。

https://www.ithome.com.tw/news/153142

Uber 聲稱近期資料外洩的幕後主使者是 Lapsus$

Uber 揭露了上週的資料外洩的更多細節，並表示其幕後威脅行為者就是惡名昭彰的駭客團體 Lapsus$。至於攻擊是如何展開的，Uber 表示是外部承包商的個人裝置遭到惡意軟體攻擊，造成企業帳號憑證遭到竊取並在暗網上被販售。

https://thehackernews.com/2022/09/uber-blames-lapsus-hacking-group-for.html

9/21

宜得利 App 遭受攻擊，可能洩漏超過 13 萬筆個資

宜得利公告其 App 有未經授權的存取，可能造成超過 13 萬筆個資外洩。這次攻擊被認為是透過從其他服務洩漏的 ID 和密碼登入所達成。

https://www.itmedia.co.jp/news/articles/2209/21/news213.html

9/22

Google 開始測試允許用戶要求刪除包含自身個資的搜尋結果

Google 今年於 Google I/O開發者大會上宣布，將讓一般用戶輕鬆控管個人可辨識資訊（PII）在 Google Search 結果頁是否能被他人搜尋到。Google開放申請移除的個資，包括電話號碼、電子郵件、住家地址以及密碼等可能造成身份盜竊的資料。本周 Google 開始將這項功能實作到 Google Search 服務上。

https://www.ithome.com.tw/news/153195

9/23

澳洲第二大的電信公司發生資料外洩事件

澳洲電信巨人 Optus 表示在一次針對其系統的網路攻擊後，現存與舊有的客人資料遭到存取。 Optus 也表示不明確數量的顧客名字、生日、電話號碼、電郵地址、居住地址及身分證件的編號（例如駕照或護照號碼等）都在本次外洩中遭到竊取。

https://techcrunch.com/2022/09/22/optus-australia-data-breach/

駭客入侵遊戲業者 2K Games 客戶支援中心，對玩家發送釣魚訊息企圖竊資

知名遊戲開發商 2K Games 客戶支援中心近日被駭，遭駭客用來散布惡意程式 Red Line，以便竊取玩家電腦的資料。Red Line 是一種木馬程式，專門從系統剪貼簿竊取銀行帳戶資訊，以及竊取上網紀錄、電子錢包位址、VPN 密碼、cookies 及瀏覽器儲存的密碼等。

https://www.ithome.com.tw/news/153207

9/24

美國航空認為網路釣魚攻擊是造成資料外洩的主因

美國航空發現最近披露的資料外洩事件，是透過一名員工被駭的 Microsoft 365 帳號而流出。調查顯示，攻擊者存取了多個員工的帳號（也是受到網釣攻擊而外洩），並且使用這些帳號寄送更多的釣魚郵件。該公司補充，這些帳號也提供了儲存在 Sharepoint 雲端上文件的存取權。

https://www.bleepingcomputer.com/news/security/american-airlines-learned-it-was-breached-from-phishing-targets/