-->

whaust

2025年7月31日 星期四

密碼竟是「123456」!McHire 平台爆出 64,000,000 筆求職者資料外洩危機


1. 事件發生經過(發生時間)

  • 2025 年 6 月 30 日:資安研究人員 Ian Carroll 與 Sam Curry 開始調查麥當勞 AI 招聘平台 McHire,發現管理後台使用預設帳號密碼「123456」可登入,包括開發/測試環境。
  • 登入後透過 API 發現 IDOR(不安全直接物件參照)漏洞,修改 applicant ID 即可存取其他求職者資料,整個過程約半小時內完成。
  • 同日即通報 Paradox.ai 與麥當勞,Paradox.ai 於數小時內停用預設帳密,並於 7 月 1 日完成漏洞修補。

2. 影響範圍

  • 該平台可能暴露超過 64,000,000 筆申請人資料,包括姓名、電子郵件、電話號碼、聊天紀錄與其他申請資訊。
  • McHire 平台由 Paradox.ai 提供,覆蓋約 90% 麥當勞特許經營商的招聘流程,影響範圍廣泛。
  • 雖然僅有 5 筆申請人資料被研究人員實際存取,但若落入不法人士手中,恐造成大規模釣魚詐騙、社交工程攻擊等風險。

3. 補救與防範措施

  • 立即停用所有預設帳號與弱密碼(如「123456」),並要求管理/測試帳號設置強密碼並定期強制變更。
  • 為所有管理入口啟用多因素驗證(MFA),避免單一帳密成為資安破口。
  • 移除或封存所有不再使用的開發與測試帳號或環境,避免留有遺留入口。
  • 針對第三方供應鏈(如 Paradox.ai)強化安全稽核,要求依照 SOC 2、ISO 27001 等標準,並納入合約與審查流程。
  • 建立漏洞獎勵計畫(Bug Bounty Program),鼓勵外部資安研究者協助偵測潛在漏洞,以便提前修補。

4. 參考連結



2025年7月18日 星期五

深偽技術現形:2024香港Deepfake詐騙事件分析與防範建議

深偽技術現形:2024香港Deepfake詐騙事件分析與防範建議
Picture from : HKCert

深偽技術現形:2024香港Deepfake詐騙事件分析與防範建議

一、事件發生經過

1. 技術公開與貼近應用

2024年3月11日,HKCERT 在官方博客發表「深度偽造:有圖未必有真相」文章,揭示 深偽技術(Deepfake) 結合深度學習與影音偽造技術的應用,已廣泛出現在換臉、仿聲等場景。

2. 犯罪事件實例

2024年2月,香港首次出現 Deepfake 詐騙案。不法分子利用 YouTube 取得公司高層影音素材,偽造視訊會議畫面,冒充高層向員工下達匯款指令,造成損失達數億港元。

二、影響範圍

1. 企業及金融損失

單次詐騙即導致公司損失超過 2 億港元。詐騙過程中會議快速結束,員工難以及時查證資訊真偽。

2. 個人與聲譽風險

Deepfake 可用於製作色情誘騙、假冒名人聲音、散播錯誤訊息,甚至生成不雅影片進行勒索。即便是一般民眾也有可能成為受害者。

3. 社會信任危機

當「有片不代表真實」成為常態,將嚴重動搖公眾對影音資訊的信任,進一步影響媒體素養、法律認定與社會共識。

三、補救與防範措施

1. 會議安全驗證

  • 核實會議邀請者身份與鏈接來源
  • 要求對方即時進行特定動作(如點頭、揮手)以確認為真人

2. 觀察影音特徵

  • 聲音與畫面不同步
  • 光影不自然、膚色不協調
  • 嘴型與語音不同步、眨眼頻率異常

3. 資料隱私保護

  • 避免公開過多臉部與聲紋數據
  • 不參與陌生視訊會議
  • 避免在未驗證會議中透露敏感資料

4. 使用防偽技術工具

  • 網站與媒體可加電子水印技術
  • 提升機構與個人對 Deepfake 識別工具的使用能力

5. 提升媒體素養與教育

  • 定期進行員工培訓
  • 採用多來源資訊進行交叉比對
  • 不盲目相信影音內容

四、參考連結

Black Belt Cisco AI Strategy Quiz - presales

 

https://partnerlearning.cisco.com/new/ui/learner/training/programs/1887546992813355363/certifications

Quiz 1

1. Why is monitoring AI system latency important?

Options:

  1. Ensure system fast timely response

  2. Identify when the system needs to be rebooted

  3. Reduce the volume of processed data

  4. Increase security levels

Correct Answer: Ensure system fast timely response 


2. Why is it important to have a scalable network infrastructure for AI?

Options:

  1. Support data-intensive processes and minimize latency

  2. Simplify management of user accounts

  3. Reduce internet costs

  4. Simplify maintenance

Correct Answer: Support data-intensive processes and minimize latency


3. Which programming languages are used most often in AI development?

Options:

  1. Python and Java for their flexibility and extensive libraries

  2. C++ and Assembly for high performance

  3. PHP and Ruby for web development

  4. HTML and CSS for user interfaces

Correct Answer: Python and Java for their flexibility and extensive libraries


4. How can customers reduce risks when implementing AI?

Options:

  1. Focusing on local regulatory requirements and ignoring norms of other regions to avoid instruction conflicts

  2. Limiting the use of AI to the minimum possible

  3. Developing and implementing a strict data management and AI usage policy

  4. Avoiding the use of cloud technologies

Correct Answer: Developing and implementing a strict data management and AI usage policy


5. What characterizes reinforcement learning?

Options:

  1. Learning based on rewards and punishments

  2. Using labeled data

  3. Analyzing unstructured data

  4. Used exclusively in games

Correct Answer: Learning based on rewards and punishments

6. What principle underlies expert systems operation?

Options:

  1. True – False. Evaluates the truthfulness of data based on databases

  2. If – Then. Follows a set of predefined rules.

  3. Do – While. Determines when to stop routine processes and requests expert assistance for finding solutions.

  4. Analysis – Redirection. Analyzes the question and redirects it to the expert in the database who specializes in the relevant topic.

Correct Answer: If – Then. Follows a set of predefined rules.


7. Where did the evolution of AI begin?

Options:

  1. With attempts to mimic human thinking

  2. With attempts to merge several programs into one

  3. As a byproduct of the development of neural networks

  4. With attempts to create a better internet distribution controller

Correct Answer: With attempts to mimic human thinking


8. Why is data processing and labeling important in AI development?

Options:

  1. Ensure the accuracy and relevance of training data

  2. Reduce the volume of stored data

  3. Accelerate network connections

  4. Simplify the user interface

Correct Answer: Ensure the accuracy and relevance of training data


9. How can AI help companies manage their IT infrastructure?

Options:

  1. AI provides basic support to IT staff without affecting infrastructure management.

  2. AI reduces maintenance costs for accounting by optimizing usage

  3. AI improves performance and ensures higher security

  4. IT infrastructure helps manage AI, not the other way around

Correct Answer: AI improves performance and ensures higher security


10. What ethical challenges are associated with the development of AGI?

Options:

  1. Creating autonomous military systems

  2. Enhancing production efficiency

  3. Managing impacts on employment and social justice

  4. Improving user interfaces

Correct Answer: Creating autonomous military systems


Quiz 2


Question 1

Which of the following AI technologies directly addresses behavioral analysis and proactive threat detection?
A. automated responses
B. coordinated responses
C. threat prioritization
D. machine learning

Answer: D. machine learning


Question 2

You are speaking with a customer who is looking on adopting AI infrastructure, however they are concerned about possible sensitive data leakage during AI model development. What solution will address their security concern?
A. Complexity; the appropriate solution is Cisco Hypershield.
B. Improper use of data; the appropriate solution is Cisco Hypershield.
C. Sensitive data leakage; the appropriate solution is data loss prevention.
D. Complexity; the appropriate solution is Cisco Identity Intelligence.

Answer: C. Sensitive data leakage; the appropriate solution is data loss prevention.


Question 3

What is a primary concern for customers that the Cisco Responsible AI Framework addresses?
A. Spiraling costs of AI-based technology solutions
B. Increased complexity of AI solutions
C. Collection and use of personal data
D. Logistics in retraining employees affected by AI

Answer: C. Collection and use of personal data


Question 4

What key feature benefits organizations when incorporating AI in networking solutions?
A. Manually configured software that AI corrects in real time
B. Uncovered human error at the expense of higher costs
C. Increased automated and streamlined operations
D. Improved tracking of network downtime

Answer: C. Increased automated and streamlined operations


Question 5

In a Webex meeting today, your supervisor gave you detailed instructions on your next assignment and how to accomplish it. Which of the following Webex features will be most helpful to you when you review the recording?
A. gesture recognition
B. virtual backgrounds
C. meeting summary
D. language translation

Answer: C. meeting summary


Question 6

In which way does Cisco’s partnership with Nutanix provide a more efficient AI deployment for its customers?
A. Flashstack for AI
B. A multicloud UCS-X powered multicloud, hyperconverged solution
C. Flexpod Datacenter for AI
D. Unicloud environment UCS-X powered unicloud, hyperconverged solution

Answer: B. A multicloud UCS-X powered multicloud, hyperconverged solution


Question 7

Identify two partner concerns that Cisco CX Cloud attempts to address. (Choose two.)
A. The increasing costs of technology due to the introduction of AI
B. The need to clearly define business outcomes
C. The continuous need of retraining professionals
D. The need to reduce the complexity of planning and integrating technology
E. The need to articulate AI benefits to prospective customers

Answer: B. The need to clearly define business outcomes
D. The need to reduce the complexity of planning and integrating technology


Question 8

What are three elements of the Cisco security strategy that mitigate potential threats across an organization’s attack surface?
A. Data loss prevention, Silicon One technology, GPU security
B. Zero trust, microsegmentation, data loss prevention
C. Data loss prevention, GPU security, RMDA technology
D. Data loss prevention, zero trust, InfiniBand

Answer: B. Zero trust, microsegmentation, data loss prevention


Question 9

A manufacturing firm is implementing an AI-based software solution to simulate their production environment with the goal of improved production efficiency and reduced time-to-market for new products. What is the term for this software-based solution?
A. Supply-chain optimization
B. Intelligent quality control
C. Key performance indicator monitoring
D. Digital twin environment

Answer: D. Digital twin environment


Question 10

What is the functionality that provides visibility across the customer’s entire technology landscape?
A. AppDynamics real-time performance monitoring
B. ThousandEyes end-user monitoring
C. Cisco Full-Stack Observability
D. Cisco Hypershield

Answer: C. Cisco Full-Stack Observability

2025年7月17日 星期四

AI+ChatGPT協助未成年人闖資安禁區:3日本少年駭入楽天伺服器

濫用人工智慧違反《日本不正存取禁止法》的案件示意圖

AI+ChatGPT協助未成年人闖資安禁區:3日本少年駭入楽天伺服器

1. 事件發生經過(發生時間)

  • 時段:2024年5月至8月間,3名年僅14~16歲少年利用非法方式取得他人帳號密碼,不當登入楽天モバイル伺服器,並擅自以他人名義開通電話通信線路,共計105條該公司線路被濫用(資料來源:asahi.com)。
  • 偵查與逮捕:警方偵查發現,這三名少年前後賣出約2,500條通信線路,販售金額約合日幣750萬(約新台幣150萬元),最終於2025年2月27日將三人依違反不正存取幫助法及電腦使用詐欺罪名逮捕,具體觸犯《禁止非法存取法》與《電腦詐欺罪》。

2. 影響範圍

  • 受害數量:共有至少11名使用者的帳號被盜用,合計被用於105條新線路申請,波及個人資訊安全。
  • 社群售賣規模:線路被非法售出給犯罪團體,再經轉賣獲利,造成加密資產市場受洗錢、詐騙資金流動等影響。
  • 社會負面效應:事件揭示少年涉入網路詐欺,濫用 AI 工具(如 ChatGPT)協助犯罪,引起各界對未成年人網路素養與監控的高度關注。

3. 補救防範措施

  • 強化身份驗證機制:推動雙重身份認證(2FA),尤其在遠端登入、開通通信線路情境下加強資料核對。
  • 監控 AI 工具濫用核查:通信業者應與科技部門合作,偵測並阻止透過 AI 模型(如 ChatGPT)生成犯罪行為腳本,找出異常登入與操作模式。
  • 提升資安教育與少年防範意識:加強校園與家庭資安宣導,告知未成年學子 AI 技術的倫理界限與風險。
  • 行政與法制配套完善:改進取證流程與少年司法制度,協助警方快速鎖定流程並追查加密貨幣交易資金流向。

4. 參考連結

👉 朝日新聞全文報導

2025年7月15日 星期二

AI 程式碼幻覺爆發!不存在的套件竟能滲透供應鏈

AI 程式碼幻覺爆發!不存在的套件竟能滲透供應鏈

AI 程式碼幻覺爆發!不存在的套件竟能滲透供應鏈

📌 1. 事件發生經過(發生時間)

2025年5月15日,發表報導指出,資安研究人員揭露大型語言模型(LLM)在生成程式碼時,會出現「幻覺套件」(package hallucination)現象。 這些由 AI 虛構出來的相依性並不存在於任何套件倉庫,卻可能被開發者誤信並引用,使供應鏈暴露於攻擊風險中。

🌐 2. 影響範圍

  • 開發者與專案:開發流程中出現錯誤相依性導致部署失敗或導入未知模組,增加 debug 與資安風險。
  • 軟體供應鏈:若攻擊者註冊與幻覺相符的套件,可能滲透自動部署流程,安裝惡意程式。
  • 企業信任與資安:使用 AI 工具開發的企業恐因誤信幻覺代碼而讓惡意程式滲入系統。
  • 整體 AI 生態:若無妥善控管,可能動搖產業對 AI 開發工具的信任基礎。

🛡️ 3. 補救防範措施

  • 驗證 AI 生成內容:使用套件驗證工具檢查依賴是否存在並可信。
  • 白名單與 Repository Pinning:限制只能安裝通過審核的套件,杜絕未知來源。
  • 強化程式碼審查流程:對 AI 輸出的每段程式碼進行人工審查與測試。
  • 限制自動引用權限:禁用 AI 自動加入相依性的功能,或以審核機制控管。
  • 建立監控警示系統:在 CI/CD 流程中加入幻覺檢測工具,自動封鎖未知依賴。

🔗 4. 參考連結

📣 延伸閱讀推薦


[解答] Black Belt - Business Critical Services (BCS) for Partners FY23

 


1️⃣ 單選題:Which of the following is not a component of Expert Care?

選項:
A. Incident Management
B. National
C. Problem Resolution
D. Problem Management

✅ 正確答案:B. National


2️⃣ 複選題:The construct and deliverables of Business Critical Services provide value to Cisco partners by empowering them to:

選項:
A. Grow
B. Warranty
C. Sell more, faster
D. Differentiate

✅ 正確答案:A. Grow、C. Sell more, faster、D. Differentiate


3️⃣ 單選題:Which service tier is best suited for existing Cisco customers who are seeking to reduce network costs while maintaining a minimum level of Cisco proactive support?

選項:
A. Essentials
B. Advantage
C. Premier

✅ 正確答案:A. Essentials


4️⃣ 複選題:Business Critical Services is focused on what phases of a customer's technology journey?

選項:
A. Implementation
B. Adoption
C. Optimization
D. Strategic Roadmap Development

✅ 正確答案:A. Implementation、B. Adoption、C. Optimization、D. Strategic Roadmap Development


5️⃣ 單選題:Which of the following is not a service tier?

選項:
A. Essentials
B. National
C. Advantage
D. Premier

✅ 正確答案:B. National


[解答] Cisco Blackbelt PX Cloud for Partners

1. 題目:I’m looking at the Customers tile. Where would I see a listing of all the Success Tracks contracts I have sold?Cisco+1Cisco+1

選項:

  1. Contracts tab

  2. Customer CX Cloud tab

  3. Visual filters

  4. 360 viewCisco DevNet+3Cisco+3思科社區+3思科社區+18Cisco+18思科社區+18

正確答案:

  1. Contracts tab
思科社區+1思科社區+1

解析: 在 PX Cloud 的 Customers 磁貼中,您可以透過「Contracts」標籤查看所有已銷售的 Success Tracks 合約。Cisco+2Cisco Blogs+2transform.cisco.com+2


2. 題目:I was planning to create a new ACC offer, but I’m not sure I remember the steps. Where would I find a step-by-step guide to help me?

選項:

  1. Getting Started drop-down on the Partner Offers tile

  2. Creating Offers link on the Customers tile

  3. Settings icon on the admin panel

  4. Visual filters on the Partner Offers tile

正確答案:

  1. Getting Started drop-down on the Partner Offers tile

解析: 在 PX Cloud 的 Partner Offers 磁貼中,透過「Getting Started」下拉選單,您可以找到創建 ACC 提供的逐步指南。Cisco+1Cisco+1


3. 題目:What is the main value of Visual Filters?Cisco

選項:

  1. Simple, graphical way to quickly sort a large list into a small one

  2. Easy way to change the appearance of the PX Cloud UI

  3. Quick, efficient way to communicate to the customer's CX Cloud

  4. Effective way to increase the visibility of PX Cloud

正確答案:

  1. Simple, graphical way to quickly sort a large list into a small one

解析: Visual Filters 提供簡單的圖形化方式,讓使用者能快速將大量資料篩選成較小的清單。


4. 題目:Which of the following is especially valuable information, available from the customer’s CX Cloud?Cisco

選項:

  1. Advisories related to the customer’s assets from the Customer tile.

  2. Training opportunities available from the customer’s Lifecycle tile.

  3. Important dates such as customer contact birthdays and anniversaries

  4. The partner’s user permissions and access level

正確答案:

  1. Advisories related to the customer’s assets from the Customer tile.

解析: CX Cloud 中的 Customer 磁貼提供與客戶資產相關的 Advisory 資訊,對合作夥伴而言,這是特別有價值的資訊。


5. 題目:Which of the following UI elements is used to drill into a piece of information for more detail?

選項:

  1. 360 view

  2. Visual filters

  3. Custom APIs

  4. Search function

正確答案:

  1. 360 view
video.cisco.com+2Cisco DevNet+2Cisco+2

解析: 在 PX Cloud 中,使用「360 view」可以深入了解某項資訊的詳細內容。


6. 題目:Using PX Cloud APIs to deliver a Known Issue Identification and Remediation service is an example of what type of PX Cloud API use case?

選項:

  1. Lifecycle Services

  2. Managed Services

  3. Proactive Network Management

  4. Software Image Management

正確答案:

  1. Proactive Network Management

解析: 利用 PX Cloud API 提供已知問題識別與修復服務屬於主動式網路管理的應用案例。


7. 題目:Why is the visibility to advisories related to customer assets so valuable to the partner?

選項:

  1. It enables the partner to be proactive by extending service offerings to the customer before an issue arises.

  2. It enables the partner to contact Cisco and bring in support.

  3. It enables the customer to contact the partner when a problem comes up.

  4. It enables the customer to see which of their assets might have a problem.

正確答案:

  1. It enables the partner to be proactive by extending service offerings to the customer before an issue arises.

解析: 透過了解與客戶資產相關的 Advisory 資訊,合作夥伴可以在問題發生前主動提供服務,提升客戶滿意度。


8. 題目:What is the goal of the Implement phase for partners’ journey with PX Cloud?

選項:

  1. Partners start using PX Cloud as a service offering marketplace and differentiator

  2. Validate customers are visible and tool is fully functional for all partner users

  3. Reconfirm business objectives and become familiar with PX Cloud

  4. Confirm PX Cloud essential to operations, creating new opportunities for portfolio extensibility increasing business value and customer relationship

正確答案:

  1. Validate customers are visible and tool is fully functional for all partner users

解析: 在 PX Cloud 的實施階段,目標是確保客戶資料可見,並確認工具對所有合作夥伴使用者完全功能正常。


9. 題目:How does the partner get access to their customer's CX Cloud data?

選項:

  1. The partner must request access through the PX Cloud using the Customers icon in the Admin settings

  2. All customer CX Cloud data is automatically accessible when PX Cloud is implemented

  3. The partner must create an API to connect their PX Cloud to the customer's CX Cloud

  4. Cisco provides an API to connect the PX Cloud to the customer's CX Cloud

正確答案:

  1. The partner must request access through the PX Cloud using the Customers icon in the Admin settings

解析: 合作夥伴需透過 PX Cloud 的管理設定中的「Customers」圖示,向客戶請求存取其 CX Cloud 資料。


10. 題目:Can any partner use the Partner Offers tile to create Accelerators and ATX?

選項:

  1. No. Only CX Specialized partners that have opted-in to Partner Lifecycle Services can do that.

  2. No. Only Premier level partners can do that.

  3. Yes. Any partner can create offers.

  4. Yes. The partner just needs to request CX Cloud access.

正確答案:

  1. No. Only CX Specialized partners that have opted-in to Partner Lifecycle Services can do that.

解析: 只有獲得 CX Specialized 認證並加入 Partner Lifecycle Services 的合作夥伴,才能在 PX Cloud 的 Partner Offers 磁貼中創建 Accelerators 和 ATX 服務。 

2025年7月14日 星期一

Cisco Blackbelt CX Test (Success Tracks)

 




1. What type of Cisco Specialization is required for partners to publish their own branded services engagements through PX Cloud?

選項:

  1. Collaboration Specialization

  2. Adoption Specialization

  3. Advanced Customer Experience Specialization

  4. Enterprise Networking Specialization

答案: 3


2. Which statements about Success Tracks are correct?

選項:

  1. Success Tracks are CX services and capabilities covering a customer's entire lifecycle journey.

  2. Success Tracks are multiple levels of experience in four focus areas: expert resources, trusted support, insights & analytics and contextual learning.

  3. Success Tracks offer a use-case guided services by architecture.

  4. All of the Above

答案: 4


3. What is one key differentiated customer deliverable within Level 2 of Success Tracks?

選項:

  1. Accelerators

  2. Ask the Experts

  3. Managed Services

  4. SNTC Portal

答案: 1


4. What are the main categories for partners to define and deliver their own offers based on the deliverables within Success Tracks?

選項:

  1. Ask the Experts

  2. Insights & Analytics

  3. Enterprise Agreement

  4. Accelerators

答案: 2、4


5. Cisco Success Tracks provide a _______ journey to help customers achieve value faster.

選項:

  1. Land and adopt

  2. Managed Services

  3. Solution architect

  4. Use-Case-Guided

答案: 4


6. What is the primary tool customers, who purchased Success Tracks, use to monitor their lifecycle progression, get telemetry based insights, and access to contextual learning?

選項:

  1. PX Cloud

  2. CX Cloud

  3. CCW

答案: 2


7. Cisco's CX Success Tracks Level 1 helps customers and partners improve their IT efficiencies with the following: Which statements about Level 1 are correct? (Select all that apply)

選項:

  1. Self-guided resources

  2. Customer accessibility through the CX Cloud

  3. Scope of Work (SOW) based services

  4. Managed Services

  5. Smart Net Total Care

答案: 1、2、5


8. What are the four main capabilities of Success Tracks designed to address customers business issues? (Select all that apply)

選項:

  1. Expert Resources

  2. Trusted Support

  3. Implementation Services

  4. Insights and analytics

  5. Contextual Learning

答案: 1、2、4、5


9. All levels of Success Tracks include Ask-The-Experts (ATX) that provide expert-led one-to-many interactive educational sessions.

選項:

  1. TRUE

  2. FALSE

答案: 2


10. Partners can build upon the CX Cloud to market their own services in combination with CX.

選項:

  1. TRUE

  2. FALSE

答案: 1

2025年6月12日 星期四

中國史上最嚴重個資外洩!40 億筆資料流出,台灣民眾也受害?|2025資安新聞

中國史上最嚴重個資外洩!40 億筆資料流出,台灣民眾也受害?|資安新聞 2025

中國爆史上最嚴重個資外洩!40 億筆資料流出,台灣民眾也遭殃?

2025 年 5 月,一起震撼全球的資安事件爆發:來自中國的一個無保護公開資料庫,包含約 40 億筆個資外流,成為中國史上最大規模的個資洩漏事件。甚至還波及到台灣民眾!


📌 1. 事件發生經過

  • 2025 年 5 月 19 日,資安媒體 CybernewsSecurityDiscovery 團隊(Bob Dyachenko) 發現一個高達 631 GB 的無密碼保護資料庫,任誰都能存取。
  • 該資料庫包含至少 16 個分類資料集,包括:
    • wechatid_db:8.05 億筆微信帳號
    • address_db:7.8 億筆含地理資訊的住址
    • bank:6.3 億筆支付卡、姓名、電話、生日等
    • wechatinfo:5.77 億筆疑似對話紀錄
    • 三要素驗證:6.1 億筆身份證號、姓名、電話
    • zfbkt_db:3 億筆支付寶卡號與代幣
    • 其他資料包含賭博、車輛登記、履歷、退休金與保險等資訊。
  • 更驚人的是,還包含一個名為 "tw_db" 的資料集,顯示台灣民眾資訊亦遭外洩。
  • 該資料庫雖後續關閉,但無法追查來源或責任方,也沒有任何通報機制。

🌐 2. 影響範圍分析

  • 資料規模驚人:共計約 40 億筆個資,波及數億中國人與不明數量的台灣民眾。
  • 資訊多樣性:涵蓋金融資料(支付寶、卡號)、身份資料(姓名、證號、電話)、通訊紀錄、位置資訊、保險與賭博資料等。
  • 安全風險高:可能被用於:
    • 釣魚詐騙
    • 身份盜用
    • 金融詐欺與勒索
    • 間諜情報與假訊息操作
  • 台灣曝險:「tw_db」 顯示我國民眾資料被洩,但因無通報機制,受害者無法得知或補救。

🛡 3. 防範與補救措施

🔐 個人層面建議

  1. 監控信用與帳戶活動:定期檢查銀行與支付帳戶是否有異常。
  2. 加強通訊帳號安全:啟用雙重驗證(2FA)、更換密碼。
  3. 慎防詐騙攻擊:對不明來電、簡訊與網頁保持警惕。

🏛 政府與企業層面建議

  1. 建立通報機制:資料外洩須強制通報,並主動通知受害者。
  2. 強化法規與罰則:要求資料加密、存取管控與稽核,違者重罰。
  3. 促進國際合作:與他國資安單位共享情報,快速應變跨境外洩事件。
  4. 提升全民資安教育:從教育推廣資安觀念,鼓勵使用監控工具。

📣 總結與警示

這次事件是中國史上最嚴重的個資外洩案之一,暴露出資料保護機制的巨大漏洞,甚至讓台灣民眾也遭波及。

個人應提升資安意識,採取基本防護行動;政府與機構則應建立嚴謹通報與法律制度,並與國際資安單位合作,才能有效應對未來更多可能的資安挑戰。

資訊外洩不只是技術問題,更是全民安全與信任問題。防範勝於補救,現在就是行動的時刻。


資料來源:
iThome 報導CNA 中央社Yahoo 台灣新聞

2025年6月11日 星期三

後量子時代來襲!五大資安對策搶先部署,守住未來機密

後量子時代來襲!五大資安對策搶先部署,守住未來機密

一、說明內容(發生時間)

事件背景:根據 Cloud Security Alliance(CSA) 的預測,到 2030年4月14日,量子電腦將具備足夠能力破解目前主流加密演算法。

技術依據:RSA 和 ECC 類加密會被 Shor’s algorithm 快速破解;AES 雖然也會受影響,但因使用 Grover’s algorithm,破解時間遠高於實際可行範圍。

二、影響範圍

1. 傳統加密技術

  • RSA(1024、2048、4096):
    將在數小時到數天內被破解,極高風險。被廣泛用於 SSL/TLS 憑證、數位簽章、VPN。
  • ECC(256~521 bits):
    同樣無法抵抗 Shor’s algorithm,壽命所剩無幾。ECC 被認為是「輕量化替代品」,但將一起被淘汰。

2. 對稱式加密(如 AES-GCM)

雖會受量子影響,但破解難度極高,時間達 1012 到 1032。屬於相對安全的演算法,短期內無需更換。

3. 政府、金融與關鍵基礎設施

政府機密、金融交易資料、醫療與通訊資料將面臨大規模洩漏風險。特別是過往資料的「後量子解密威脅」(Harvest Now, Decrypt Later)策略,將引爆歷史機密暴露潮。

三、補救防範措施

1. 採用後量子密碼學(Post-Quantum Cryptography, PQC)

  • 推動使用 NIST 正在標準化的新演算法(如 Kyber、Dilithium)。
  • 儘快將系統升級為 PQC-ready 結構。

2. 混合加密架構

  • 同時使用傳統加密與 PQC,逐步過渡。
  • 增強安全性,同時保持兼容性。

3. 關鍵基礎建設提前轉換

  • 金融機構、政府、醫療、能源等應加速轉換時程。
  • 優先處理長期敏感資料(例如永久性身分證明、公文憑證等)。

4. 審視現有資料保留策略

  • 評估歷史資料是否需加密更新。
  • 移除過期金鑰與演算法使用,避免「留存弱點」。

5. 建立量子風險應變機制

  • 組織層級導入 量子威脅模擬演練(Quantum Threat Tabletop Exercises)
  • 建立專責團隊持續追蹤量子電腦發展進度。

結語

我們正站在後量子時代的門檻上。若未及早部署資安對策,未來幾年內的機密與資產可能一夕破功。現在正是行動的時刻,讓我們以領先者姿態迎接量子新紀元!

Chrome 取消信任中華電信憑證,7 成網站恐跳紅警|完整分析與補救對策

Chrome 取消信任中華電信憑證,7 成網站恐跳紅警|完整分析與補救對策

關鍵摘要:Google 宣布將於 2025 年 8 月 起,不再信任由中華電信 HiPKI 簽發的 TLS 憑證,可能導致包含行政院、經濟部、財政部、金融系統等 7 成以上網站出現安全警示或服務中斷。本篇文章針對事件發展、影響層面及應對策略進行完整整理,協助企業與開發者快速因應。


📌 1. 事件發生經過

  • Google 解除信任公告:自 2025 年 8 月 1 日起,Chrome 將不再信任中華電信 HiPKI 所簽發的新 TLS 憑證。原因是該機構屢次違反憑證合規政策(TVBS 報導)。
  • 中華電信回應:承諾對現有憑證免費更新,並與客戶主動聯繫,延長有效期至 2026 年 6 月(Yahoo 新聞自由財經)。

🌐 2. 影響範圍

  • 政府網站:行政院、經濟部等官網出現憑證失效錯誤或跳出「連線不安全」警告。
  • 金融交易:銀行轉帳、證券下單、電子支付等依賴 TLS 憑證的服務恐中斷。
  • 民生應用:票務、數位簽章 APP 無法正常使用,影響用戶信任。
  • 網路信任體系:專家警告這是「核彈級數位信任事件」,恐破壞網路秩序(來源)。

🛡️ 3. 補救與防範措施

A. 短期補救策略

  1. 免費憑證更新:中華電信將主動聯繫客戶,協助免費更換新憑證。
  2. 雙憑證部署:數位發展部建議同時部署中華電信與其他 CA 憑證,降低單點失信風險。

B. 中期制度改善

  1. 中華電信承諾優化憑證核發流程、強化合規內控機制。
  2. 政府將啟動契約監督與定期稽核制度,預防再發。

C. 長期防範與最佳實務

  • 建立跨憑證供應商策略,具備自動切換機制。
  • 定期公開 CA 稽核報告與透明運作流程。
  • 對開發者提供教育、預警與替代方案測試指引。

✅ 結語與建議

  • 事件本質:中華電信 HiPKI 未達 Google 安全標準,失去 Chrome 信任。
  • 衝擊面廣:超過 70% 使用者網站與交易服務可能出現紅色警告或錯誤。
  • 企業應對:立即確認憑證供應來源、準備替代部署方案,並持續監控事件更新。

想瞭解更多網站憑證管理與數位信任機制,請關注本部落格或訂閱電子報。

2025年5月26日 星期一

Cisco DNA License 安裝與錯誤診斷教學

Cisco DNA License 安裝與錯誤診斷教學(含 Smart Token 取得教學)

本文教你如何在 Cisco Catalyst Switch 上啟用 DNA 授權、從 Cisco 取得 Smart License Token,以及如何處理常見錯誤訊息。非常適合初入社會的新鮮工程師或剛接觸 Cisco 的 IT 人員參考。


🔐 如何取得 Cisco Smart License Token?

  1. 前往 Cisco Smart Account 註冊頁 並申請帳號(必須使用公司信箱)
  2. 登入 Cisco Software Central,選擇 Smart Account
  3. 建立 Virtual Account(可用 default)
  4. 點選 General → New Token 建立授權 Token,設定有效期限(預設 30 天)
  5. 複製 Token,到交換器輸入下列指令註冊:
license smart register idtoken <your-token>

如果設備無法連網,請考慮使用 Cisco CSLU 工具或 Satellite 模式。


✅ 安裝 Cisco DNA License 步驟

  1. 確認設備支援 DNA 授權
    show version
  2. 啟用 Smart Licensing 模式
    
    conf t
    license smart enable
    exit
        
  3. 輸入 Token 並註冊授權
    license smart register idtoken <your-token>
  4. 驗證授權狀態
    
    show license summary
    show license all
        

⚠️ DNA License 未啟用時常見錯誤訊息

  • License 未註冊:
    %LICENSE-6-EVALUATION: The system is operating on an Evaluation License.
    %SMART_LIC-3-REG_FAIL: Registration with the Cisco Smart Software Manager (CSSM) failed.
  • DNA 授權不存在:
    %LICENSE-2-INVALID_LICENSE: License DNA-Advantage is not in use.
  • Evaluation License 快到期:
    %LICENSE-6-EVAL_WARNING: Smart Licensing Evaluation Period is about to expire in 15 days.
  • 連線錯誤:
    %SMART_LIC-4-AGENT_CONTACT_FAILURE: Failed to send message to CSSM: Unable to resolve host.

🛠 常用診斷指令與資訊

查看授權狀態:

show license summary

常見輸出:


License Status: EVAL MODE
DNA License: Not in Use

查看詳細授權與特徵模組:

show license all

可能訊息:


Feature Name: dna-advantage
License State: Not in use, EVAL EXPIRED

🔧 常見解決方式

  • 確認交換器能連上網際網路(DNS/NTP/HTTPS 都能通)
  • Token 是否已過期,必要時重新產生新的
  • 切換 Smart License 模式為 CSLU 或 Satellite

你可以從 show license summary 開始排錯,也歡迎提供下列資訊讓我協助你進一步診斷:

  • 交換器型號與 IOS-XE 版本(用 show version
  • 網路能否正常連外?是否有防火牆阻擋?
  • 目前授權模式(Eval / Smart / CSLU)

有任何問題也歡迎留言討論,一起解決 Cisco Smart Licensing 的疑難雜症!🚀



【新鮮人必看】資訊領域入門到進階全攻略:認證+課程學習地圖

【新鮮人必看】資訊領域入門到進階全攻略:認證+課程學習地圖

剛畢業、剛進入職場的你,是不是常常聽到資安、網路、雲端、專案管理這些名詞,卻不知道該從哪裡開始學?

別擔心,這篇文章就是為你準備的!

以下是整理好的「資訊相關職涯地圖」,從入門到進階,幫助你打好基本功、掌握專業技能,為未來的升遷與高薪做好準備


🔰 入門等級:打好基礎,搶先卡位!

1. 資安入門:CEH、ISO 27001LA

資訊安全越來越重要,CEH 是全球知名的駭客倫理師認證,而 ISO 27001LA 則是針對企業資安管理制度的專業人員。

2. 網路基礎:Cisco 系列

無論你未來想走資安還是雲端,都需要一定的網路概念。CCNA 是最佳起點!

3. 專案管理入門:PMP

若你有機會擔任小組長、技術 PM,那 PMP 是不可或缺的管理認證。

4. 作業系統入門:RHCE

對 Linux 有興趣的新手,建議從 Red Hat 認證工程師(RHCE)開始!

5. 雲端系統入門:Azure / AWS / GCP

未來 IT 趨勢就是雲端!三大平台是職場必備技能之一。


🧠 進階等級:挑戰高薪與專業!

1. 資安進階:CISSP、OSCP

2. 資料庫專業:Oracle OCP

3. 虛擬化技術:VMware 與 Kubernetes


💡 小建議:怎麼開始比較好?

  1. 從有興趣的領域開始,例如你對駭客技術有興趣,就先考 CEH。
  2. 建立學習目標與時間表,例如:半年內取得 CCNA 或 AWS 基礎認證。
  3. 邊做邊學:找一份 IT 類助理、客服、網管等入門職務,邊工作邊培訓最有效!
  4. 善用補助與資源:政府或公司內部教育訓練補助別浪費。

🚀 結語:你的職涯由你掌舵!

資訊產業不怕你沒背景,只怕你不開始。選擇學習什麼、考哪張證照,會讓你在職場上更有價值。

準備好了嗎?從今天就開始,為你的 IT 人生打下第一塊基石吧!

有問題歡迎留言詢問,我會持續更新更多實用資訊給你 👍




2025年5月23日 星期五

解決在 RHEL 9 系統中無法以 root 帳戶透過 SSH 登入的問題

一、檢查 SSH 伺服器配置

請確保 /etc/ssh/sshd_config/etc/ssh/sshd_config.d/ 目錄中的設定檔包含以下內容:

PermitRootLogin yes
PasswordAuthentication yes
UsePAM yes

設定完成後,請重新啟動 SSH 服務:

systemctl restart sshd

二、檢查 PAM 模組設定

請確認 /etc/pam.d/sshd 文件中未包含限制 root 登入的設定。例如,檢查是否有以下行:

auth required pam_securetty.so

如果存在,請將其註解掉:

#auth required pam_securetty.so

然後,重新啟動 SSH 服務:

systemctl restart sshd

三、檢查 SELinux 設定

SELinux 可能會限制 root 的 SSH 登入。暫時將其設為寬鬆模式以測試:

setenforce 0

如果這樣可以登入,則需要調整 SELinux 的策略或設定,以允許 root 透過 SSH 登入。

四、檢查防火牆設定

請確保防火牆未阻止 SSH 連線:

firewall-cmd --permanent --add-service=ssh
firewall-cmd --reload

五、檢查 root 密碼

嘗試使用 root 密碼登入本地系統,以確認密碼是否正確:

su -

如果無法登入,請重設 root 密碼:

passwd root

2025年5月6日 星期二

大阪市が先導する次世代の詐欺犯罪対策:TRACEシステムとは?

大阪市が先導する次世代の詐欺犯罪対策:TRACEシステムとは?


日本全国で増加し続ける特殊詐欺。特に高齢者を狙った「振り込め詐欺」や「還付金詐欺」は、日常のコミュニケーション手段を悪用する巧妙な手口となっており、従来の対応では限界が見えつつあります。そこで注目されているのが、通信データとAI分析を活用した新しい対策システム TRACE(Threat Response and Crime Elimination) です。


📡 TRACEとは何か?

TRACEは、通信ネットワーク上のトラフィックと端末位置情報をリアルタイムに分析・追跡することで、詐欺犯の行動パターンを特定し、迅速な対応を可能にする最新システムです。

具体的には、以下のような機能を備えています:

  • 通信会社を横断した信号データの統合分析
  • LINEやWeChatなど、特定アプリの利用状況の可視化
  • リアルタイムでの端末追跡により犯人の位置を把握
  • API経由で警察・脅威インテリジェンスに即時提供

🔍 なぜ大阪市が最適なのか?

TRACE導入のモデル都市として、大阪市は非常に有力です。その理由は以下のとおりです:

  1. 詐欺犯罪の発生率が全国上位
    特に高齢者を狙う詐欺が多発しており、早急な対策が求められています。
  2. 高密度の通信トラフィック
    大阪は日本第二の都市圏として、携帯通信やSNS利用が非常に活発です。
  3. 地方自治体の予算と実行力
    大阪市は過去にも防災・防犯システムを導入しており、新技術への投資にも積極的です。
  4. 技術協力基盤が充実
    関西電力通信、NTT西日本、大阪大学など、連携可能な研究機関・企業が集中しています。

📊 データ処理量と技術スケール

TRACEが扱うデータは、非常に大規模です:

  • 1秒あたり:約800万件の通信記録
  • 年間:約200兆件の信号データ

このようなビッグデータをリアルタイムで処理・分析するには、大都市のインフラと技術力が不可欠であり、これも大阪市が適任とされる理由の一つです。


🎯 TRACEの導入効果

  • 詐欺グループの移動・通信手口をリアルタイムで検出
  • 警察の捜査を支援し、被害発生前の事前防止が可能に
  • 通話・通信パターンから疑わしい端末やアプリ利用を即座に特定

被害者が「騙される前」に守るための革新的なアプローチ。それがTRACEの使命です。


✅ 結論:大阪から始まる、日本の詐欺撲滅モデル

TRACEは、技術と行政、通信インフラを融合させた全く新しい詐欺対策の形です。導入都市としての大阪市は最適解であり、ここから全国へと展開されていく可能性を秘めています。

被害者に「傷(SCARS)」を残さず、「痕跡(TRACE)」で犯人を追い詰める——そんな未来型セキュリティ社会の実現が、今まさに始まろうとしています。

2025年4月30日 星期三

Cisco Black Belt AI Fundamental

 Q1. What is the primary role of programming languages in AI development?


1. They enable the creation and management of databases that store and organize the data used by AI models.


2. They help write the instructions that tell computers how to learn and process information.


3. They help monitor AI systems by providing the syntax and structures necessary for developing software that tracks performance metrics and system health.


4. They facilitate the networking of various AI systems by providing the code that enables communication and data exchange between disparate systems.


Ans : 2.



Q2. What is the primary advantage of using generative models like GANs and VAEs?


1. They streamline data processing.


2. They reduce the need for data labeling. 


3. They generate new, realistic data instances.


4. They simplify the deployment of AI models.


Ans : 3.


Q3. Why is robust infrastructure important for AI development?


1. It helps ensure that AI applications can be developed without programming languages. 


2. It provides unlimited scalability for AI systems across all types of cloud environments. 


3. It makes AI systems less dependent on machine-learning frameworks.


4. It supports the high computational demands and large data volumes typical in AI workloads.


Ans : 4


Q4. What is a key benefit of effective monitoring in AI systems?


1. It helps ensure that systems operate smoothly and efficiently.


2. It eliminates the need for manual data labeling.


3. It replaces the need for machine-learning frameworks.


4. It reduces the importance of programming languages in AI.


Ans : 1


Q5. attach the following components of the AI tech stack with their descriptions:


Machine-Learning Frameworks

Structures that simplify the development, training, and deployment of ML models.


Vector Databases

Specialized storage solutions that support high-dimensional data used in AI applications.


Monitoring

Process for tracking performance metrics to gain optimal operation of AI systems.


Data Processing and Labeling

Operations that prepare data to enhance the performance of AI models.





Popular