繼9月底台大醫院傳出遭駭客入侵,並已通報為三級資安事件,雖然表示沒有個資外洩情事,但個資相關議題持續受到國內重視。例如,一樁2年前關於EZ訂購票平臺個資外洩,致使客戶遭騙的二審判決出爐,法院裁定在個資法賠償外,業者並需負起7成過失責任,且不得在上訴。但值得注意的是,當年另一起關於雄獅旅行社的事件,經消基會發起集體訴訟,在11月初,一審判決暫時以消基會敗訴收場,這也引起個資法將成空談的議論。
另一件在國內資安圈引起關注的議題,是在資安認證方面,因為SGS與BSI兩家驗證公司,這個月被TAF列入資訊安全管理系統減列名單,引發一些企業對於證書有效性與法遵方面的疑慮,後續兩家業者也指出將在3個月後申請增列。
在國際間,以駭客集團利用後門程式入侵MS SQL Server的事件最受注目,這起事件經ESET研究人員曝光,不僅指出疑似中國駭客集團所為,並認為這可能是第一隻針對SQL Server的後門程式。
此外,關於Linux指令sudo被蘋果的資安工程師Joe Vennix揭露,含有可取得最高權限的安全漏洞,以及Docker社群版本被資安研究團隊Unit 42揭露,出現首個挖礦綁架蠕蟲Graboid,也在10月份引起相關領域的重視。
在勒索軟體方面,今年第二季與第三季在全球帶來重大影響的勒索軟體Stop(又名Djvu),這個月已有資安業者Emsisoft宣布,他們從其金鑰串流漏洞展開旁路攻擊,進而破解,因此釋出可解9成變種的解密金鑰工具。
另外,10月份還發生了Adobe被研究人員發現其ElasticSearch資料庫未設定密碼並暴露在外的情況,以及NordVPN等三大VPN業者的金鑰外流事件等。
