2021資安迷因及推特回顧

2021年在資安方面發生過不少大事,可能影響到很多人,但在網絡上幽默感永遠不會消失,簡單一張圖一段字可以足以讓人過了愉快的一天,現在就趕在2022有大事發生之前,再回顧一下去年的迷因及推特。

一月:WhatsApp私隱條款更新

去年一開始數以百萬的WhatsApp用戶突然去瞭解更新的服務私隱條款,令很多用戶「跳船」到Telegram和Signal,兩者都錄得明顯的用戶增長,而以下的迷因圖可能正好用來總結WhatsApp的新私隱條款。

二月:FootfallCam 3D Plus IoT相機保安崩壞

IoT裝置的保安問題一直聲名狼藉,但是當你以為已經「看透世情」的時候,總有智能裝置生產商會超越你的想像。

三月:ProxyLogon安全漏洞

在3月初Microsoft釋出Exchange的補丁堵塞系統的嚴重安全漏洞,情況看似正常,但原來早在1月已有通報指有攻擊者使用有關漏洞發動攻擊,即使補丁推出立即更新,單是美國已有超過3萬家機構已被入侵。

四月:Signal反諷Cellebrite

可能有些人不知道,Cellebrite專門為執法部門製造設備,使他們能簡單方便地入侵智能電話,收集他們有興趣的資料,所以在私隱倡導者的心中有特殊地位,在2020年Cellebrite宣佈產品支援Signal,而作為回應,Signal團隊公開了Cellebrite軟件的安全漏洞研究,並專門準備了一條宣傳片。

五月:加密勒索攻擊侵襲Colonial Pipeline

加密勒索攻擊侵襲Conlonial Pipeline輸油管公司事件轟動全球,直接影響美國東南岸的燃料供應,事件引發了很多討論,其中在網絡瘋傳的是公司在社交平台宣佈尋找新的資安經理,有留指笑指他們現在可能有不錯的預算。

六月:國會議員意外公佈電郵密碼和PIN

美國國會議員Mo Brooks作為資安事務議會的成員,竟然在他的個人推特帳號,貼上螢幕內含有Gmail帳號密碼和PIN的照片,照片貼出數小時後火速瘋傳,儘管Brooks事後把照片刪除,但一切已經太遲。

七月:PrintNightmare安全漏洞

研究人員意外地於GitHub上了CVE-2021-34527和CVE-2021-1675在Windows Print Spooler安全漏洞的攻擊概念,擔心有攻擊者迅速利用這個方法發動攻擊,Microsoft緊急推出補丁,但已過時的Windows 7和Windows Server 2012即使已經補丁,也無法完全解決問題,反而有部份打印機在安裝之後停止運作。

八月:Black Hat和DEF CON

八月份以2021年的標準而言相對平靜,反而最令人有印象的是Black Hat和DEF CON兩個常規的會議,在肺炎影響下再次無法在拉斯維加斯舉行。

九月:OMIGOD安全漏洞

Microsoft Azure用戶突然發現他們選擇的一連串服務,在創建時平台安裝在虛擬Linux裝置的Open Management Infrastructure agent上,如果該agent沒有長期安全漏洞、用戶知道有關agent的安裝、OMI具備自動更新系統和使用有關漏洞十分困難的話,情況並不算可怕,可惜以上剛好相反。

十月:Facebook把自己從互聯網移除

Facebook在10月份的故障令人印象深刻,根據緊急應變人事的報告,更新後的Facebook DNS伺服器無法連接互聯網,網果社交網紴用戶和部份公司其他服務 (包括Facebook Messenger、Instagram和WhatsApp)無法登入超過6小時。

十一月:假疫苗護照

在11月假的歐洲疫苗護照在網絡上出售,販子甚至可以替米奇米鼠和海綿寶寶準備疫苗護照,而據報導,有關的假護照問題至今仍然存在。

十二月:Log4Shell安全漏洞

差不多整個12月都被Log4Shell,Apache Log4j library嚴重安全漏洞所佔據,有關漏洞影響數以百萬計的程式和裝置,Apache Foundation釋出多個補丁,研究人員也多次找出規避的對策,而事件公開後數天,有殭屍網絡開始掃瞄互聯網上的漏洞程式,加密勒索的製作者也借此漏洞行兇。

資料來源:Kaspersky Blog