心得

30天的路真是顛顛坡坡，無法用三言兩語說明，就微笑以蔽之 :)

28篇文章涵蓋網路攻擊、資料竊取、漏洞利用等多個安全議題，尤其是駭客組織活動、漏洞利用技術和企業應對策略的多樣性，讓我簡單的理解現代網路安全的複雜性與多樣性。
以下用 CHATGPT 給的建議做個簡易分類及歸納：

分類

網路安全（Cybersecurity)

系統漏洞、未經授權訪問的技術和策略

• #05 Slack Prompt Injection漏洞：藉由操控Slack AI的語言模型執行未經授權的操作，例如竊取敏感資料或發起二次釣魚攻擊
• #07 WordPress 外掛 LiteSpeed Cache 漏洞：基於一個公開的除錯記錄檔，未經授權的攻擊者可能獲取獲取敏感資訊
• #10 Mustang Panda升級攻擊武器庫：Mustang Panda使用PUBLOAD等工具針對亞太政府進行資料竊取
• #19 透過 macOS 行事曆進行零點擊攻擊：駭客利用 macOS 行事曆漏洞，發動零點擊遠端程式碼攻擊，竊取 iCloud 資料
• #26 NVIDIA Container ToolKit 漏洞：NVIDIA 容器工具包的漏洞可能導致攻擊者取得主機的完全存取權

資料竊取與網路攻擊（Data Theft & Network Attacks）

專注於利用惡意軟體竊取機密資料或進行系統破壞，如APT攻擊、水坑攻擊等

• #02 社交工程 - 在GitHub 評論區散佈Lumma Stealer：典型的攻擊，誘導開發者下載並執行惡意程式
• #03 APT29 利用水坑攻擊（Watering Hole Attack：對政府單位發動攻擊，目的竊取個資
• #06 利用誤植域名（Typosquatting）技術攻擊GitHub Actions：一種供應鏈攻擊，攻擊者透過污染CI/CD流程中的元件來竊取資料或執行惡意操作
• #09 駭客利用VS Code對政府進行間諜活動：Mustang Panda駭客組織利用VS Code和反向shell技術，對東南亞政府進行間諜活動
• #12 台灣網站遭受DDoS攻擊：親俄駭客組織NoName057發動DDoS攻擊，癱瘓台灣政府及金融網站，並透過社交平台公開聲明攻擊行為
• #13 Ajina.Banker透過Telegram散布程式：Ajina.Banker惡意程式假裝成合法應用，針對中亞銀行客戶竊取財務資訊並攔截2FA訊息
• #14 利用Kiosk模式竊取Google帳戶：鎖定瀏覽器至Kiosk模式，誘導受害者輸入Google憑證，並竊取資料
• #16 Clipper 惡意軟體：專門竊取加密貨幣地址，透過監控剪貼簿將數位資產轉移
• #20 美台國防會議遭釣魚攻擊：駭客偽造註冊表格並傳播無檔案惡意軟體
• #21 Twelve 利用公開工具攻擊俄羅斯：駭客組織 Twelve 透過利用 VMware vCenter 漏洞和工具進行破壞性攻擊，癱瘓俄羅斯網路基礎設施
• #22 美國偵破中國駭客集團 - 亞麻颱風：透過殭屍網路攻擊台灣和美國目標，美國成功癱瘓其網路基礎設施
• #24 假冒驗證碼頁面誘騙玩家下載軟體：透過假冒的驗證碼頁面下載並感染 Lumma Stealer，專門竊取登入憑證
• #27 CUPS漏洞風險--透過印表機發動遠端攻擊

加密與安全技術（Encryption & Security Features）

• #08 美國推動BGP強化計畫：BGP（邊界閘道協定）的安全漏洞可能導致資料被重新導向，故推薦推薦使用RPKI
• #11 WordPress強制實施雙重驗證（2FA）：WordPress將強制要求具有更新權限的帳戶啟用2FA，並推出SVN密碼以加強帳戶安全，防止供應鏈攻擊
• #17 瀏覽器安全功能：Chrome 新版加強「安全檢查」功能，並允許用戶授予網站一次性權限
• #18 Discord 推出 DAVE 協議提升安全性：Discord 推出自定義的端對端加密協議 DAVE，加強音訊、視訊通話的安全性
• #25 OpenAI 修補 Mac版ChatGPT 漏洞：修補SpAIware 漏洞-- 可讓攻擊者持續竊取用戶對話內容
• #29 KIA 漏洞允許遠端竊取和控制：KIA經銷商網站的漏洞讓駭客可遠端解鎖、發動車輛，並竊取車主個資，這些漏洞現已修復

資料隱私與法律問題（Data Privacy & Legal Issues）

• #04 Clearview AI 蒐集臉部資料被罰錢：歐盟《通用資料保護規則》（GDPR）的要求
• #15 Apple撤銷對NSO集團的訴訟：擔心揭露關鍵的威脅情報，Apple撤回對NSO集團的訴訟
• #23 Telegram 將在合法請求下公開用戶資料：在用戶違反規則時，將在合法要求下提供用戶IP位址與電話號碼
• #28 Meta招愛爾蘭重罰30億台幣 — 以明碼儲存密碼：違反 GDPR