加密貨幣交易平臺Coinbase日前宣布，將開始探索研究新增支援5種加密貨幣的可能性，包含了Cardano（ADA）、基本注意力代幣（Basic Attention Token，BAT）、恆星幣（Stellar Lumens，XLM）、Zcash（ZEC）和0x（ZRX），並將與美國當地銀行和監管機構合作，盡可能在更多的司法管轄區內新增支援這些加密貨幣。

Coinbase為了保持資訊透明度，同時對公司內部及公眾發布未來有望新增支援ADA、BAT、XLM、ZEC和ZRX等5種加密貨幣。Coinbase表示，這與目前正在新增支援的以太坊經典（Ethereum Classic）不同，以太坊經典採用的技術與以太坊（Ethereum）相似，而目前計畫新增上架的ADA、BAT、XLM、ZEC和ZRX加密貨幣則需要額外的探索性工作，以確保在Coinbase平臺新增這些加密貨幣的可行性。不過，這並不保證這5種加密貨幣未來會列入交易。

根據Coinbase官方部落格，在Coinbase探索的過程中，顧客有機會看到Coinbase對外公開的API（Public-Facing API），以及Coinbase為了新增支援這5種加密貨幣所進行的工程工作。同時，Coinbase也將會透過官方部落格和官方推特，來提供顧客關於這5種加密貨幣新增支援的探索過程的資訊。

知名的線上訂房平台Airbnb本周因條款不夠清楚、價格含隱藏成本等因素而遭歐盟警告，歐盟要求Airbnb要在今年8月底以前改善或提出解決方案，否則即會面臨執法行動。

Airbnb最容易令人感到困惑的內容之一是價格，因為它的搜尋結果通常只呈現每晚的住宿價格，而未包含許多隱藏價格，像是服務費或清潔費，歐盟認為Airbnb應該提供包含所有費用的完整價格，或者是清楚地提醒消費者會有哪些額外的費用產生。

歐盟司法、消費者與性別平等委員Věra Jourová表示，有愈來愈多的消費者在網路上訂購假期的住處，創造了許多機會，但普及無法成為不遵循歐盟消費者法令的藉口，消費者必須輕易就能了解自己所需支付的費用，若遭房東取消訂房也應有公平的規定。

Jourová向英國衛報透露，該委員會去年就收到6,000件與線上訂房有關的投訴案，且應該只是冰山的一角。

除了價格的透明化之外，歐盟也希望Airbnb應明確地區分私人與專業的房東，因為歐盟對不同角色的消費者保護規範是不同的，另也要求Airbnb不應在與消費者有爭議時，企圖於投訴者居住國之外的法院處理訴訟問題。

Airbnb在全球逾190個國家的80萬個城市提供了超過500萬個房源，這並不是Airbnb第一次面臨法令問題，日本的新版民宿法《民泊法》在今年6月上路之後，Airbnb在當地有8成的房源因未符合新法規定而遭到下架。

古巴近年實行改革開放，新政府近日提供特定使用者行動上網服務，計畫在今年底之前普及全國行動上網。

作為世界僅存的少數共產國家，古巴長年嚴格控制人民存取網際網路，資訊建設也較落後。近年古巴力行開放，引進網咖、廣佈公共Wi-Fi熱點，允許人民透過手機、電腦連網。今年4月古巴選出的新任總統Miguel Diaz-Canel政府則再進一步，透過國營電信公司古巴電信（ETECSA）推動全民行動上網服務。

路透社報導，古巴去年已開放特定企業及大使館申請行動上網服務，今年度則以國營媒體記者為第一批開放對象。計畫今年底將普及古巴1100萬總人口。

古巴目前仍然是2G、3G行動網路共存，但主要城市都已經佈建3G網路。古巴電信指出，今年將持續推動行動網路覆蓋及連網速度、提供人民多樣服務，進而促進經濟及國家發展。古巴電信宣稱，迄今全古巴行動上網人口已經達500萬人。

行動支付蓬勃發展的中國已造成某些商家拒收現金的現象，為了維護人民幣的法定地位，中國人民銀行在上周五（7/13）發出公告，表示將著手整治拒收現金問題，規範市場對支付方式的選擇與應用。

由南華早報、Abacus與創投業者500 Startups的調查顯示，中國行動支付服務的滲透率已達37%，有超過5億的中國人使用行動支付服務，而根據Statista去年8月的調查，中國的微信支付與支付寶為全球前兩大支付平台，第三名則是PayPal。

在行動支付成為中國市場的主要支付工具之際，中國人民銀行卻發現當地的某些風景區、餐飲與零售業因而拒收人民幣現金，既損害人民幣的法定地位，也損害消費者對支付方式的選擇權，決定將整治拒收現金的情況，鼓勵消費者在發現店家的拒收行為時透過各種管道檢舉。

中國相關部門調查了逾2萬個商家，有接近4成在過去一年中曾經拒收現金，而所調查的逾3萬消費者中，亦有超過3成表達曾經被拒收現金。

因此，中國人民銀行在公告中明訂，該國的法定貨幣為人民幣，任何單位與個人不得以條款或聲明等方式拒收現金。不過，包括電子商務或自助服務等不具備現金收取條件的業務則能使用非現金支付工具。

曾經檢驗中國及美國國家漏洞資料庫（National Vulnerability Database，NVD）的網路科技業者Recorded Future，在本周公布了針對俄羅斯國家漏洞資料庫的分析結果，發現俄羅斯的漏洞資料庫不但只含有10%的已知漏洞，而且漏洞的平均發布時間比中國晚83天，亦比美國晚了50天。

這可能與俄羅斯漏洞資料庫的背景有關。俄羅斯的漏洞資料庫簡稱為BDU，是由俄羅斯技術與出口管制聯邦服務（ Federal Service for Technical and Export Control of Russia，FSTEC）經營，FSTEC則是負責保護國家機密與支持間諜及反間諜活動的軍事組織，且一直到2014年才推出BDU，落後中國建立CNNVD的2009年，以及美國NVD的2000年。

根據Recorded Future截至今年3月底的調查，相較於NVD所公布的107,901個CVEs（Common Vulnerabilities and Exposures，通用漏洞披露），BDU只公布了11,036個漏洞資訊，僅佔全球已知漏洞的10%左右。

儘管FSTEC宣稱BDU是為了提供相關人員對資安系統既有威脅的認識，且適用於開發人員、資安專家、測試實驗室或其它組織，分析卻顯示該資料庫主要出版的是針對俄羅斯政府與重要基礎設施所使用系統的安全漏洞，此外，BDU上發布最快的漏洞中，有75%與瀏覽器或工業控制軟體有關。

而BDU的漏洞計算方式也與NVD不同，有時FSTEC會把多個CVE視為單一漏洞，有時則會把單一CVE根據作業系統的差異而拆為多個漏洞。

有趣的是，俄羅斯的APT（Advanced persistent threat，先進持續性威脅）駭客集團在過去4年來所開採的49個漏洞中，有61%曾出現在BDU中，遠高於平均的10%，很可能是因為俄羅駭客主要參考BDU所公布的漏洞所致。

Recorded Future亦猜測，FSTEC的任務既是保護俄羅斯政府的資訊系統，BDU或者代表了俄羅斯自身也曝露於相關漏洞，可進一步了解該國政府的資訊系統。

資料監控廠商Datadog的更新步調很積極，今年積極推出雲端容器監控服務，大力支援AWS、Azure的Kubernetes服務，還有Prometheus等容器應用。而在近日該廠商又宣布，Datadog監控平臺要推出新功能Watchdog，使用者不需要設定警報觸發條件，系統就會自動監測平臺是否出現效能異常的事件。

原先Datadog平臺就已經有異常事件偵測、離群值偵測、系統預報，以及整合式警報等功能，不過Datadog認為，萬一用戶的系統延遲性突然飆高，或者錯誤率開始大增，而系統管理員也未預先設定這些警報條件時，「此時Watchdog就可以派上用場了」，這次推出的新功能，號稱開發者不需要手動設定，使用Datadog在正式環境反覆測試過的機器學習演算法，Watchdog可以自動偵測系統服務的延遲性是否驟升、系統錯誤率上升，甚至公有雲廠商的網路是否出現異常。

在實際功能面上，Watchdog會全面偵測IT環境出現的異常事件，並且將這些事件記錄成不同的Story。而在每一個Story文件中，Watchdog列出該事件事發的時間軸，以及折線圖、長條圖等視覺化圖表，再搭配簡短總結，描述該事件所發生的區域、造成影響，以及總共維持多久時間等資訊。

而使用者想要更進一步瞭解問題，Story文件也可以提供更多細節資料，列出發生異常的服務、位在哪個可用區域等訊息。同時，系統也會使用過去蒐集的歷史資料進行統計運算，預測正常情況下平臺應有的表現，並且畫出趨勢圖表，讓使用者以這些預測資料為基準點，判別異常事件的嚴重程度。

而IT環境發生異常的原因，有時盤根錯節，必須個別討論，有時也可能肇因於單一因素，進而讓影響擴散至其他區域。而Datadog表示，Watchdog比對各個異常事件後，可以將類似行為表現的事件整理出來，「這些問題可能都是源於同一原因」，系統管理員就可以觀察，是否整體環境，或者只有特定應用程式遭受影響。

除了監控內部環境可能的影響因子，Watchdog也可以監控外部環境因素，像是外部公有雲環境網路部分區域發生異常時，使用者可以儘早將工作負載搬遷至網路環境正常運作的區域，或者利用其他雲服務商做備援。

Watchdog會將異常事件記錄成不同的Story。在每一個Story文件中，也會列出該事件事發的時間軸，以及折線圖、長條圖等視覺化圖表，再搭配簡短總結，描述該事件所發生的區域、造成影響，以及總共維持多久時間等資訊。圖片來源：Datadog

而使用者想要更進一步瞭解問題，Story文件也可以提供更多細節資料，列出出現異常的服務、位在哪個可用區域等訊息。圖片來源：Datadog

系統會使用過去蒐集的歷史資料進行統計運算，預測正常情況下平臺應有的表現，並且畫出趨勢圖表，讓使用者以這些預測資料為基準點，判別異常事件的嚴重程度。圖片來源：Datadog

Watchdog比對各個異常事件後，可以將類似行為表現的事件整理出來。系統管理員就可以觀察，是否整體環境，或者只有特定應用程式遭受影響。圖片來源：Datadog

除了監控內部環境可能的影響因子，Watchdog也可以監控外部環境因素。Watchdog會列出公有雲網路的健康狀況，讓使用者判定，是否要將工作負載搬遷至網路環境正常運作的區域，或者利用其他雲服務商做備援，避免降低服務品質。圖片來源：Datadog

去年微軟在Connect();大會上，開始布局雲端DevOps服務，推出了Azure DevOps專案服務，讓企業用戶可以使用Azure App Service，發布應用程式，一併將開發、部署及監控等環節都搞定，當時該服務處於預覽版本狀態，現在該服務已經邁向正式版本，從Azure Portal登入後，開發者就可以開始建立CI、CD工作流程。

微軟表示，使用Azure DevOps專案服務，開發者可以存取所有必要的Azure資源。以Git儲存庫作為程式碼版本控制的樞紐，搭配自動化的CI、CD流程，加快軟體開發流程。在此新服務中，微軟也有提供即時監控儀表板功能，讓開發者可以從Azure Portal中，監控程式碼提交、建置以及部署的狀況。例如，Azure DevOps專案服務就跟微軟Visual Studio Team Service（VSTS）整合。微軟表示，在VSTS帳號內建立Git儲存庫後，未來新專案程式碼就可以提交至該儲存庫，每次整合就會驅動一次建置，而只要建置工作正確完成，服務就可以部署在任一Azure環境中執行。

Azure DevOps專案服務也與自家其他雲服務結合，開發者可以將App部署在VM環境、Azure Kubernetes環境、微服務平臺Azure Service Fabric，或者無伺服器平臺Azure Functions。目前該服務所支援的開發環境，共有.NET、Node.js、Java、Python、Ruby，以及Go等熱門選擇。

在DevOps工作流程中，監控也是個非常重要的環節。使用Azure DevOps專案服務的企業，也可以搭配微軟分析工具Azure Application Insights，遙測應用程式的運作效能、伺服器回應時間、請求次數及失敗次數，再一併回傳至Application Insights。系統管理員也可以設定條件，像是當回應時間超過某臨界值，系統可以透過郵件發布警報。

Azure DevOps專案與其他Azure資源整合，開發者可以選擇要將App部署在Linux或WindowsVM環境、Azure Kubernetes環境、微服務平臺Azure Service Fabric，或者無伺服器平臺Azure Functions。圖片來源：微軟

Azure DevOps專案服務跟微軟Visual Studio Team Service（VSTS）整合，使用者可以選擇要建立新VSTS帳號，或者沿用舊帳號。圖片來源：微軟

在此新服務中，微軟也有提供即時監控儀表板功能，讓開發者可以從Azure Portal中，監控程式碼提交、建置以及部署的狀況。在VSTS帳號內建立Git儲存庫後，每次程式碼整合就會驅動一次建置，而只要建置工作正確完成，服務就可以部署在任一Azure環境中執行。在儀表板內，微軟也有整合分析服務Azure Application Insights。圖片來源：微軟

微軟與通用電器（GE）共同宣布擴大合作夥伴關係，幫助工業客戶進行數位轉型，其中一部分計畫是GE Digital要在Azure上標準化其Predix解決方案，並且深度整合Predix產品組合與Azure的原生雲端功能，替客戶提取、儲存以及分析等資料處理工作，接著透過微軟雲端服務深入從資料中萃取出重要洞察，助客戶把物聯網應用從概念驗證階段推向真正企業級運作。

微軟引用了Gartner的研究提到，企業現在已經開始從談論物聯網應用階段，進到建立概念性驗證的階段。然而雖然物聯網應用專案的概念性驗證很容易進行，但是卻只有少數的企業，願意真正大規模的推動物聯網計畫。微軟與通用電器合作的目的，便是要消弭工業企業在推動數位轉型專案面臨的各種困難。

GE Digital的Predix為一個應用程式開發平臺，讓企業無論在邊緣（Edge）或是雲端，都能快速建構、安全的部署以及有效運作工業物聯網（IIoT）應用程式，並將過程產生的資料，轉為可實際應用的洞察。其解決方案包括Predix資產績效管理和Predix ServiceMax。而在這個合作中，GE Digital要將這些工業應用放上微軟雲端，Predix解決方案將整合Azure，以加速工業應用部署，推動企業成長。

另一部分的合作還包括，GE要在公司內廣泛的採用Azure，來支援IT工作以及生產力工具，除了讓日常工作更有效率外，也期望可以加速數位革命。GE在不同事業皆採用微軟企業級服務，支援Predix平臺管理Peta級資料、內部製造與服務計畫。

兩家企業將共同推出產品進入市場，深度整合Predix IIoT解決方案、Power BI、PowerApps、第三方解決方案與Azure Stack，以實現在公有雲和私有雲的混合部署。

資安業者Fortinet揭露，勒索軟體GandCrab距上個版本發布才兩天，現在又釋出了新版本，並且增加了過去他們不曾觀察到的網路通訊策略。至於外傳GandCrab新版本將會透過伺服器訊息區塊（Server Message Block，SMB）漏洞主動傳染，Fortinet對此表示，經過他們研究後，認為這個說法只是推測，他們並無實際找到任何相關的功能，微軟已修補該漏洞，企業應該要盡速更新。

GandCrab發布4.0版本後的兩天又再度釋出了4.1版本，這兩個版本都是透過埋伏在盜版網站中，偽裝成破解應用程式的下載網址以誘騙受害者。Fortinet提到這個新版本的GandCrab，增加了過去沒看過的通訊策略，其中包含了一份寫死的感染網站列表，紀載了數量多達近千個不同的主機，GandCrab會連接到這些網站上傳資料。

為產生完整的主機的網址，駭客使用隨機演算法，以http://{主機}/{字1}/{字2}/{檔案名稱}.{擴充}格式樣板生成不同的網址，最前面的主機會填入寫死的列表主機位置，後面的選項都有預定義的字詞。在成功連結網址後，惡意程式會傳送受害者的資料到所有的主機，其中包括IP位置、網路域名、作業系統以及GandCrab內部訊息等多項資訊。

Fortinet認為，將資料傳送到所有主機的動作很不尋常，因為通常傳送一次應該就代表成功了，但重複近千次的目的令人匪夷所思，Fortinet推論，這個動作可能是駭客在實驗某種功能，或是單純的進行轉移分析。GandCrab會主動關閉許多常用應用程式的程序，以確保加密檔案攻擊不會意外地被中斷，這些程序包含常用的Office、瀏覽器或是資料庫等，而也因為這些目標文件通常對受害者來說價值較高，勒索成功率也比較高。

由於去年肆虐一時的勒索病毒WannaCry、Petya/NotPeta，使用SMB漏洞進行傳染。而外界最近也一直流傳，GandCrab惡意軟體會透過SMB漏洞主動傳染一事，造成不少企業恐慌。Fortinet提到，他們並沒有在GandCrab上，找到可以實際使用SMB漏洞的功能，GandCrab感染主要是透過網路分享而非漏洞傳播。

Fortinet表示，目前並沒有證據證明GandCrab能透過SMB漏洞傳染，所以那僅是推測而已，一旦他們有所新發現，會即時對外發布相關消息，但他們也認為，GandCrab過去一星期積極發展，假設未來駭客真的增加了新功能，也不會特別令人感到意外。但重點是微軟的MS17-010更新早已修補了該漏洞，企業應該確保自己的系統已經獲得適當的更新。

你經常依賴導航系統嗎？微軟研究院、維吉尼亞理工學院及中國電子科技大學的多名研究人員找到了入侵導航系統的方法，他們打造了一個可攜的GPS欺騙裝置，竄改導航系統的路線，將使用者導至駭客所設定的目的地。

早在2010年就有研究人員提出GPS欺騙攻擊（GPS spoofing），只是當時的攻擊只對天上的飛機或海上的船隻有效，若要應用在汽車導航系統上則頗有難度，因為攻擊行動很可能因與既有道路不符而露出破綻，例如在高速公路上指示駕駛人左轉。

然而，這群研究人員則以樹莓派（Raspberry Pi）為基礎，打造了一個可攜式裝置，它能夠攔截真正的衛星訊號，遞送假的訊號，藉由演算法即時微調GPS的位置，以讓惡意指示能與真實道路匹配。該造價約223美元的裝置可直接藏匿在受害者的車上，或是透過尾隨的方式影響目標對象的導航系統，有效距離為50米。

在研究人員的實際測試中，40個受測者有38個都在無意間被導至錯誤的目的地，成功率高達95%。

相關的攻擊也包括讓受駭者脫離原有的路徑，例如讓警車進入迴圈，或是把受駭者導至方便作案的區域以及錯誤的車道等。

GPS欺騙攻擊得以成功的最大因素在於導航系統與GPS之間的連線並未加密，再者則是受駭者行駛於陌生的街道上，無從辨識導航的正確性。研究人員警告，這類的攻擊在自駕車時代可能更危險，因為駕駛或乘客可能更信賴自駕車的指引，駭客也能輕易地盜走自駕卡車上的貨物。

英國政府數位服務網站GOV.UK上的一篇部落格，提到他們致力於使用HTML來代替PDF，其他的政府部門也努力擺脫PDF，他們認為政府數位服務，應該以容易查詢使用為目標，而PDF檔案本身並非為螢幕顯示而生，釋出的檔案也很難主動更新維護，以數位服務來說可用性太低，雖然在不少情況不得已還是要提供PDF檔。

在英國政府數位服務中，由GOV.UK管理的內容現在完全採用HTML格式，提供給其他發布者的工具，也都預設使用HTML。而駕駛和車輛標準局（Driver and Vehicle Standards Agency，DVSA）與Public Health England也都盡力的教育使用者多使用HTML格式。不過，現在GOV.UK網站上，仍存在約20萬個PDF檔案，每個月都還會增加數萬個，無可避免的，有一些部門因為受到壓力仍然必須使用PDF。但他們的目標是預設格式仍然要以HTML為主，PDF格式作為補充之用，並且該PDF檔案必須符合可用性以及歸檔標準。

GOV.UK列出了數位服務不適合提供PDF的原因，GOV.UK的網站頁面設計，會隨著不同裝置或是螢幕大小而改變，但是PDF無法，使用者必須不停的放大縮小左右滑動頁面，GOV.UK團隊認為，這對於行動裝置來說尤其不方便。而且PDF也並非為螢幕閱讀設計的，原本為離線使用設計的PDF，與現行網頁設計格格不入，而且難以追蹤，GOV.UK也無法獲得使用者閱讀PDF的資料，包括時間與互動方式等資訊。

GOV.UK提到，PDF的可用性取決於創建的方法，一個設計良好的PDF，除了需要有標籤與標題等邏輯結構外，還需具備有意義的文件屬性、高可讀的主體，良好配置的顏色對比等，但這樣設計後續要花費很多時間，而且即便按照最佳實踐設計PDF檔案，仍然無法保證用戶端的環境，可以完整滿足技術的可用性需求。

另外，PDF檔案難以保持最新狀態，PDF一旦創建與發布，就難以被主動維護，而這可能導致用戶獲取錯誤的消息，而且當檔案以多種格式發布，這樣的情況尤其嚴重，GOV.UK需要對數個版本追蹤修改，這也代表更多的時間成本以及可能發生錯誤的機會。相反的，HTML的特性則是鼓勵使用者，隨時在網站上取得最新版本的資料。而且使用者也難以再利用PDF裡的內容，因為其設計與布局，常會造成複製貼上有意料之外的結果。

無可厚非的，在不少情境仍然需要使用PDF檔，GOV.UK表示，PDF檔很容易下載列印，也會讓使用者有獨立產品的感覺，而這可能是因PDF原先是為離線使用而設計，使用者普遍認為，PDF比起HTML的出版物更加可信可靠，GOV.UK提到，這觀念源自於過去的印刷文化，不過由於英國政府現在力推數位化，這種舊的習慣與工作方式需要扭轉。

GOV.UK接下來會繼續改進內容格式，簡化建高可用性HTML的工作，並且計畫提供用戶直接將HTML文件下載成PDF的功能，讓文件發布單位只需要維護一份內容即可。

7/11～7/17 一定要看的資安新聞

美國起訴12名企圖干預美國大選的俄羅斯人，透露比特幣其實沒那麼匿名

美國司法部在近期起訴了12名俄羅斯情報局官員，指控他們在2016年的美國大選前針對候選人希拉蕊（Hillary Clinton）陣營展開網路攻擊，企圖干預美國總統大選，起訴書中也透露了這群駭客使用了諸如比特幣等加密貨幣來租賃伺服器或網域名稱等駭客設備，企圖隱藏身分，卻依然被識破。

這12名俄羅斯人都是俄羅斯軍事外交情報部門的官員，分別隸屬於Unit 26165與Unit 74455兩大單位。Unit 26165在2016年開始針對希拉蕊陣營發動魚叉式網釣攻擊，取得該陣營員工的憑證以竊取電子郵件內容或駭進其它電腦，且包括民主黨國會競選委員會（DCCC）與民主黨全國委員會（DNC）都受駭。更多內容

GitHub將安全通知服務擴大至Python

GitHub在 7月12日宣布，將把原本只用來追蹤Ruby與JavaScript套件之安全漏洞的安全通知服務擴充到Python。

GitHub的安全通知是從相依關係圖所衍生的服務，在相依關係圖中可看出用戶專案與其它套件的相依關係，一旦某個專案所仰賴的套件含有安全漏洞，GitHub即會送出安全通知，根據估計，該站超過75％的專案都具備相依性。更多內容

微軟加強SDWAN布局，推出Azure Virtual WAN及Azure防火牆公開預覽版

近期微軟公有雲服務的網路功能不少新服務上架，包含Azure網路流量分析、服務連線監控功能都陸續正式推出，而在近日，該公司開始加強軟體定義網路功能布局，一次推出了Azure Virtual WAN及Azure防火牆這兩個新公開預覽版功能。

微軟Azure網路部門公司副總裁Yousef Khalidi表示，當今軟體定義網路、SDWAN發展趨勢，讓企業可以加強各地的分支辦公室的網路使用經驗，不過隨之而來的挑戰就是，如何一併管理這些分支網路，並且大規模部署統一的資安、網路管理政策。因此，微軟這次釋出的兩個新服務，互相輔助，透過Azure Virtual WAN簡化大規模網路部署，並且搭配Azure防火牆實行統一管理政策。更多內容

暗網販售RDP非法存取IT系統名單，只要10美元就能駭入國際機場

要當駭客門檻已經降低！安全廠商發現網路罪犯們在暗網兜售可透過遠端桌面協定（remote desktop protocol, RDP）存取的可能受害IT系統相當多樣化，其中不乏物聯網裝置及政府、醫院、國際機場的系統。

McAfee進階威脅研究小組近日研究暗網上數個販售RDP門戶大開的裝置名單的市集，並對這些市集銷售的「商品」做了分析。這些市集銷售的RDP受害裝置名單小至15個，大到俄羅斯主要暗網市集UAS的40,000臺，可讓駭客輕易進入受害電腦行不法之事。更多內容

售票網站Ticketmaster第三方通訊軟體遭駭，僅是大量竊取信用卡和銀行帳號的冰山一角

先前，售票網站Ticketmaster在6月底傳出部分用戶個資外洩的事件。但美國的威脅鑑識公司RiskIQ研究發現，上述的攻擊，並非Ticketmaster初步調查報告所述的單一事件，影響範圍擴及旗下更多網站。

根據Ticketmaster在6月27日公布的資訊，他們於同月23日，在英國版網站上，發現第三方廠商Inbenta的提供客戶支援通訊程式裡，含有惡意軟體。隨後，該公司便停用旗下所有網站上的同款通訊軟體。Ticketmaster強調，僅有5％客戶受到上述攻擊事件影響，該公司也主動聯絡可能受到波及的客戶，請他們更換密碼。更多內容

IBM：10款惡意程式暗藏木馬，成功潛入Google Play

IBM資安團隊X-Force從6月起，在Google Play商店接連發現了至少10款惡意應用程式，這些惡意軟體都以阿奴比斯銀行木馬（BankBot Anubis）感染使用者的裝置，藉由偷取使用者的銀行帳密，進行金融詐欺犯罪。研究團隊提到，雖然10隻惡意程式數量不多，但在每隻惡意軟體的C&C伺服器（Command-and-Control）都可以採集到超過一千個樣本，影響總範圍並不小。

隨著Google Play這類應用程式商店，開始採取了安全層級的機制，進一步阻礙了惡意軟體的散布，不過，這些駭客也並非是省油的燈，研究團隊提到，惡意行為趨向分工化與專業化，為規避不斷發展的應用程式商店防禦機制，駭客現在的策略傾向於不一開始就將惡意軟體本體上傳到商店中，以避免輕易的被偵測以及抽驗發現。更多內容

駭客入侵JavaScript套件ESLint Scope以竊取npm存取令牌

JavaScript工具套件出版商ESLint在 7月12日透露，駭客盜用了該套件維護人員的npm帳號，並上傳了含有惡意程式的版本，以竊取其它用戶的npm憑證，在短短的幾小時內，即有4,500個帳號的存取令牌（access token）遭竊，為了避免災情擴大，npm撤銷了所有在昨天以前建立的存取令牌。

npm的全名為Node Package Manager，是Node.js預設的軟體套件管理系統，而ESLint則是JavaScript套件供應商，主要出版JavaScript程式分析工具。更多內容

智慧電視是否追蹤用戶引發隱私疑慮，美國參議員要求FTC展開調查

兩名美國參議員Edward Markey與Richard Blumenthal在近日發表了公開信，要求美國聯邦交易委員會（FTC）應深入調查坊間智慧電視擅自追蹤及蒐集用戶資料的隱私侵犯行為。

公開信中指出，有許多連網的智慧電視配備複雜的技術，能夠追蹤使用者所觀賞的內容，並利用這些資訊來建立用戶檔案以遞送目標式廣告；然而，用戶也許不知道自己的收視習慣已被紀錄。更多內容

微軟Patch Tuesday修補53個漏洞，瀏覽器就有超過20個

微軟於7月10日的每月例行性安全更新中修補了旗下15個產品的53個安全漏洞，其中有18個屬於重大（Critical）漏洞，並有超過20個瀏覽器漏洞，本月微軟並未修補任何的零時差漏洞。

在53個安全漏洞中有超過20個與IE或Microsoft Edge等瀏覽器有關，而且絕大多數為重大漏洞。Qualys產品管理總監Jimmy Graham認為，工作站類型的裝置應該優先修補這些瀏覽器漏洞，因為這類裝置的使用者通常利用瀏覽器來存取公開網路或郵件服務。更多內容

駭客入侵底特律加油站，一個半小時免費加油，加油站損失600加侖汽油

駭客公然滲透到加油站的自動化系統裡，竄改汽油的價格，這像是電影的情節，最近卻在美國底特律真實上演。根據底特律當地媒體Fox 2 Detroit的報導，大約在6月23日下午1點時，攻擊者鎖定一間距離市中心只有15分鐘車程的Marathon連鎖加油站，駭入他們的自動化系統後，控制其中一個加油機並修改汽油的價格，使得這個加油機免費供油超過1個半小時，這段期間，加油站大約提供了超過600加侖（約2,271公升）的免費汽油，損失估計達1,800美元。

Fox 2 Detroit採訪了加油站的服務人員Aziz Awadh，這名員工指出，在事發當時，他試圖操作控制加油幫浦的軟體，想要停止這個免費加油的現象，然而，系統卻完全不聽使喚。更多內容

媒體估計，Amazon 執行長貝佐斯（Jeff Bezos）周一身價突破1520億美元，不但是當今最有錢的人，也是現代史上擁有最多財富的人。

彭博的億萬富翁指標（Billionaire’s Index）是根據每天美國股市交易收盤價計算。這位電子商務大亨的財富去年11月成為首個破1000億美元的富豪，而本周他的財產又比一年前多了532億美元，遙遙領先第二名的微軟創辦人比爾蓋茲，蓋茲擁有953億美元資產，比去年增加35億美元。

蓋茲在1999年身價為1000億美元，如果考慮通膨因素，約當今天的1490億美元。這也使得身價超過1500億美元的貝佐斯成為近代史上最有錢的人。

貝佐斯的財產取決於Amazon的股價，後者周一股價攀升至1,841.95，周二再升高到1,850.87 美元的歷史新高。隨後跌落至1,843.93。Amazon的股價節節高升不是沒有原因，在稱霸電子商務界後，Amazon開始跨足智慧家庭市場，推出AI智慧喇叭Echo，並進軍實體零售發展無人商店Amazon Go、收購線上藥商Pillpack發展健康照護，最近還傳出可能要賣起網路交換機，所到之處無不引起市場大地震。

其他名單方面，臉書創辦人暨執行長祖克柏（Mark Zuckberberg）以838億美元身價位居第三。其次是投資名人華倫巴菲特，身價792億美元。Google兩名創辦人Larry Page及Sergey Brin分別以584億及569億美元資產名列全球富豪榜單的第8、9名。中國首富阿里巴巴創辦人馬雲則擁有444 億美元位居第14名。

近年來，遭到揭露的物聯網（IoT）設備弱點，可說是不斷浮現。然而，沒有修補就繼續使用，便可能開啟了駭客取得裝置控制權的方便大門。根據物聯網資安公司青天科技（NewSky Security）研究總監Ankit Anubhav在推特上的貼文，文中指出，從能夠找尋物聯網裝置的搜尋引擎ZoomEye上，Ankit發現儲存了數萬臺舊型大華（Dahua）數位監控錄影機（DVR）的管理員密碼，意味著駭客只要透過上述的搜尋引擎，就能得到控管這些監視設備的管理權限。

Ankit指出，這個大華數位監控錄影機設備的漏洞，其實早在2013年就被發現，並列為CVE-2013-6117。有心人士只要傳送特定的封包，以TCP協定存取數位監控錄影機的37777埠，就能得到設備以明文暫存的系統資訊，以及管理者密碼等內容。然而，現在駭客根本不需連線到監控設備，只要利用ZoomEye搜尋引擎，就能得到管理者密碼。

物聯網資安公司青天科技（NewSky Security）研究總監Ankit Anubhav在推特貼文上，表示他發現要駭入IoT裝置門檻更低，根本不需要連線到大華的（數位監控錄影機）裝置，就能取得存取控管的授權。

依據製作IoT惡意軟體BrickerBot作者Janitor的說法，至少有3萬臺大華的數位監控錄影機仍含有上述漏洞，駭客能以前述的搜尋引擎，取得這些設備的管理員密碼。Ankit指出，當時漏洞遭到揭露時，雖然大華已經提供修補的韌體，避免這些監控錄影機以明文顯示管理者的密碼，但是許多用戶更新失敗，因此，這些數位監控設備仍舊延用含有上述漏洞的舊版韌體，並使用至今。

在今年3月BrickerBot作者Janitor在一篇DeepPaste網站上的貼文中，講述IoT裝置的預設密碼，其中便提到了能透過ZoomEye搜尋引擎取得大華數位監控錄影機密碼的方法。Ankit指出，他便是藉此得知上述手法。

外媒Bleeping Computer也向ZoomEye搜尋引擎廠商進一步了解，該廠商認為，光是移除他們索引到的密碼，並不能解決裝置本身暴露密碼的問題，因此他們也沒有計畫在搜尋引擎上屏蔽這些資料。

此外，這些大華設備用戶建立的密碼，也不少是容易被猜到的字串。我們實際在ZoomEye搜尋引擎中搜索，像是採用極為簡單的密碼字串admin，就有19,272臺設備，使用123456的也有15,641臺。

我們在ZoomEye搜尋引擎上，找尋使用123456做為密碼的大華數位監控錄影機裝置，結果多達15,641臺的用戶，採用了這個字串做為密碼。

AWS周二宣佈 Snowball Edge裝置適用的EC2 運算執行個體（EC2 Compute Instances），可讓企業在本地環境也能運行EC2雲端平台。

Snowball Edge是內建儲存和運算能力、以及Amazon Greengrass資料傳輸軟體及Lambda技術的100TB資料傳輸裝置，方便企業大量資料在資料中心及AWS之間傳輸，可作為本地資料的臨時儲存，也很適合在網路頻寬不佳的地區使用。透過EC2運算執行個體，企業就可以在本地部署的環境下，進行大量數據的儲存及分析，或是執行客製化應用系統。

Snowball Edge 具備Intel 1.8Ghz Xeon D處理器，可支援耗用資源最高達24vCPU及32GiB記憶體的任何執行個體。建立適當的AMI (Amazon Machine Images)，企業管理員可用相容於EC2的端點裝置來啟動、中止和結束執行個體，這方便企業使用現有CLI指令來開發工具與程式碼管理多台Snowball Edge裝置。

配合今天的消息，Amazon也同時宣佈新的雲端EC2執行個體方案。包括基於全核心Turbo Boost技術、最高4.0GHz的Z1d，適合EDA、關聯式資料庫及HPC工作負載的高運算任務；最高3.1GHz處理器、記憶體最佳化的執行個體R5，vCPU及記憶體分別比R4多了50%及60%。還有搭載本地NVMe（最高可達3.6TB）儲存空間的記憶體最佳化執行個體R5d。

使用者從遊戲app中買寶物、跟他人買賣寶物，是很常見的行為，但可能暗藏風險。安全業者就發現一宗駭客竊取信用卡號碼後，再利用遊戲買、賣寶物及代幣的機制來洗錢。

安全業者Kromtech研究人員Bob Diachenko指出，利用蘋果App Store或Google Play洗錢並不是新聞，但是這次發現的是一個手法相當高明的洗錢行為。

他們在六月間發現一個未上鎖、不需密碼的MongoDB執行個體，內藏大量信用卡號碼及個人資訊，研究後發現屬於信用卡竊賊集團。研究人員相信，該集團的犯罪手法相當複雜：首先駭客從外部買來或假造數量龐大電子郵件信箱，以一種自動化工具建立假的Apple ID。然後以另外買來的消費者信用卡資訊和這些Apple ID帳號綁在一起。接著，這些Apple ID可再綁上駭客假造的遊戲帳號。另一方面，駭客在數百隻刷過機的iPhone 上安裝遊戲app。

等一切就緒後，駭客開始利用這些遊戲帳號，透過程式內購買（in-app purchase）買賣寶物或代幣，而出錢的就是信用卡號碼外洩的可憐受害者。而等寶物或代幣到手後，駭客再轉售給其他玩家，以獲得乾淨合法的錢，也讓其犯罪行為無從追查。

Diachenko相信，Apple ID驗證不嚴謹給駭客開了一扇方便之門。他指出，Apple ID的建立只需一個有用的電子郵件信箱、密碼、生日和三個安全問題。但電子郵件信箱業者建立也不需什麼驗證，因此讓駭客可以利用自動化工具建立大批AppleID帳號。隨後駭客利用自動工具選用信用卡、購買遊戲寶物、自動轉賣，再自動管理多台iPhone手機「作案」。

駭客只鎖定三款最受歡迎的遊戲，其中二個是SuperCell的《部落衝突》（Clash of Clans）和《部落衝突：皇室戰爭》（Clash Royale），以及Kabam 的《漫威：超級爭霸戰》（Marvel Contest of Champions）。三款app用戶達2.5億，產出營收高達3.3億美元，自然是歹徒下手的好目標。

研究人員發現，自動化工具使用的地方落在沙烏地阿拉伯、印度、印尼、科威特及茅利塔尼亞。而被盜信用卡分屬19家銀行，由於是以1萬、2萬、3萬成批出現，可能是從網路黑市買來。而從今年4月到6月中，近2萬張信用卡已經遭盜刷。

安全廠商已經通報美國司法部及遊戲業者，美國司法部及SuperCell也分別發出警告。

全球最大實體零售通路Walmart周二（7/17）宣布已與微軟建立策略合作夥伴關係，簽署5年的合作協議，透過微軟的雲端解決方案加速Walmart在全球零售上的數位轉型。顯示出Walmart將與微軟攜手共同對抗彼此最大的敵人—Amazon。

在與微軟結盟之前，Walmart已是微軟的重要客戶，不管是前端的客戶服務或是內部的商業應用都採用了微軟的機器學習、人工智慧或資料平台等解決方案，如今雙方則將全面擴大彼此的合作，Walmart與微軟工程師將會共同合作以將數百種既有應用移至雲端架構，例如將walmart.com與samsclub.com的大部份架構遷移到Azure，包含雲端結帳系統在內。

Amazon既是Walmart在全球零售業最大的競爭對手，也是微軟在雲端服務上的主要敵人。微軟執行長Satya Nadella向華爾街日報透露，Amazon這個共同敵人正是微軟與Walmart結盟的關鍵因素。

在這5年的合作協議中，Walmart選用了包含Microsoft Azure與Microsoft 365的全系列微軟雲端解決方案。Walmart打算藉由微軟的協助增進網站效能，加快新功能發表速度，同時改善消費者的購物經驗與流程；此外，Walmart也計畫於Azure上打造全球的IoT平台，可連結全美數千家實體門市的空調及冷藏系統，以降低電力的使用或是透過機器學習技術來調度供應鏈。

Walmart亦準備分階段於內部部署Microsoft 365解決方案，同時讓員工存取各種微軟工具，涵蓋Microsoft Workplace Analytics、Microsoft Stream與Microsoft OneDrive等，以培育協作、創意與溝通的文化。

外界則猜測，Walmart及微軟的深度合作可望催生類似Amazon Go的新一代無人商店。

團隊協作平台Slack周二（7/17）宣布已買下Robots & Pencils旗下的Missions團隊，Missions替Slack打造的同名程式可讓企業中非技術背景的使用者也能建立自動化的流程與任務。

Slack表示，該平台原本就允許用戶整合第三方工具，有94%的付費用戶若不是透過App Directory存取第三方程式，就是建置自己的客製化程式，但若需要打造客製化功能又缺乏技術背景即無從著手，於是決定買下Missions。

相信「團隊傳訊是協作未來」的Missions致力於建置基於Slack的自動化服務，標榜不需撰寫程式就能建立日常任務的自動化流程，它是由一系列的步驟所組成，當任務被觸發時，就能依序執行這些步驟。

例如人事部可以利用Missions在新員工加入時指引他們填寫報稅資料/薪資帳戶，閱讀必要文件，與列出必須認識的對象；也許只是一個管理招募與聘用的同意或否定流程；或者是建立一個簡單的內部流程來接收員工的需求。Missions還建立了許多樣本供用戶參考。

Slack平台總經理Brian Elliott指出，Missions團隊非常熟悉Slack的產品與客戶需求，他們將一同釋放Slack的能量並協助團隊更快完成任務。雙方並未公布交易金額，Slack將在接下來的幾個月把Missions的技術整合至該平台，同時繼續服務Missions的既有客戶，被整併到Slack的Missions團隊也在同一天宣布擴編，號召有志之士加入該團隊。

三星（Samsung Electronics ）於本周二（7/17）宣布已成功開發出業界首款10奈米等級的8Gb LPDDR5 DRAM，與現有的LPDDR4X相較，它的傳輸速度增加了50%，電力損耗最多則可減少30%，替即將來臨的5G與人工智慧等行動應用舖路。

LPDDR為低功率（Low Power）雙倍資料率（Double Data Rate）的簡稱，又稱為行動DDR，為專供行動裝置所使用的動態隨機存取記憶體（DRAM）。儘管負責制定記憶體標準的JEDEC組織尚未發表LPDDR5的正式規格，但三星已經完成8Gbit LPDDR5模組原型的功能測試與驗證。

新款的8Gb LDDR5具備兩種頻寬，分別是基於1.1伏特的6,400Mb與基於1.05伏特的5,500Mb，可應用於新一代的智慧型手機與汽車系統上，前者為目前旗艦級行動裝置所採用的LPDDR4X晶片的1.5倍，每秒可傳送51.2GB的資料量，約等於14部Full HD畫質的影片。

在電力使用上，它除了可根據應用處理器的操作速度調降電壓之外，也具備深度睡眠模式（deep sleep mode），所使用的電力只有LPDDR4X閒置模式（idle mode）的一半，整體而言最多可減少30%的電力損耗。

雖然三星已計畫要開始量產包括DDR5、GDDR6與LPDDR5等新一代的DRAM產品，但並未明確指出生產時程或是採用LPDDR5的行動裝置將於何時上市。

Google釋出內部Grab and Go的IT計畫，這是用來支援設備故障以及遠端工作人員的設備借用方法，員工可以從自助服務站直接借走Chromebook，登入企業帳號接續之前的工作階段，當裝置歸還時，還能立即轉借給下一個用戶，不需要額外的重置工作，因為Chrome OS在預設情況下會加密用戶的配置檔案，所以沒有安全性的疑慮。現在企業可以申請早期存取計畫，取得部署Grab and Go計畫的資源。

Google IT營運經理Russ White提到，當員工的設備故障的時候，其成本損失絕對大於直接更換設備，因此讓員工花費時間排除故障，倒不如IT能以更具策略性的計畫來維護設備，他引用倫敦資訊服務IHS的資料，一家大型企業花費在IT停機的損失，一年約略6,000萬美元。

Google為了解決這個問題，因此在內部開始執行Grab and Go計畫，要讓員工抓了設備就走。他們採用了自助服務站，員工可以自行借走並退回設備。自助服務站全天候提供充滿電量的Chromebook，員工在需要的時候，可以隨時從機架上取得一臺可用的設備，並且登入他們的企業帳號，在工作全部雲端化的狀態，他們可以隨時回到之前的工作階段，接著開始工作。Grab and Go計畫讓裝置故障的影響，從數小時或是數天降到了數分鐘。

這項IT支援計畫最重要的要素便是Chrome裝置和Chrome Enterprise，IT人員可以使用管理控制臺（Google Admin Console）對這些裝置進行管理。而在員工於Chromebook上登入時，公司內部的管理政策也會即刻應用生效，員工除了可以使用安全的裝置外，也能存取工作所需要的網站、電子郵件和文件。Chrome Sync也可以在新裝置上同步書籤、密碼、擴充套件、瀏覽歷史紀錄以及個人配置。

Russ White提到，Grab and Go特別可以滿足那些臨時或是短時間需要設備的工作，像是前線工作人員需要培訓或是發送電子郵件，或是需要轉換工作位置的工作人員，像是醫療保健或是呼叫中心，較舊的應用程式則可以透過Citrix或是VMware的虛擬化解決方案來解決，另外，Grab and Go也適合在多個辦公室移動或是辦公室外工作的遠端工作人員。

員工在登入裝置時，就會收到一封說明電子郵件，上面詳述使用說明以及歸還日期，在需要的時候也能延長借用時間，在裝置歸還後，也能立即再借給下一個人，因為Chrome OS上面的個人帳號資料都預設加密，不需要額外設定或是重置的手續，也不會有安全性的問題。Google在全球多個辦公室都部署了Grab and Go，在2017年，總共約有3萬名不重複的員工，借了10萬次的裝置，Google的IT人員表示，他們初期只花了50天進行專案部署，而後就能大大的節省裝置維護時間。

現在Google釋出詳細的白皮書，指導企業如何在內部部署Grab and Go，並且釋出早期存取計畫，IT人員可以取得所有啟動Grab and Go需要的資源，包括開源的庫存管理應用程式、進入Chrome OS的登入歡迎App，以及完整的部署指南。