資安

有資安業者提出警告，UEFI惡意啟動程式BlackLotus具有強大的攻擊能力，且能繞過Windows各式防護措施；勒索軟體LockBit針對使用特定語言的使用者而來，但值得留意的是，駭客運用了多種合法應用程式來規避偵測

Google強調用戶端加密（CSE）功能擴及Workspace，能降低企業及公部門用戶法遵負擔，確保任何第三方都無法存取用戶的機密資料

LastPass指出，駭客在第一波攻擊成功入侵LastPass的雲端儲存環境後，為了取得AWS存取金鑰及LastPass產生的解密金鑰，再利用第三方軟體套件漏洞，成功入侵該公司一名擁有解密金鑰的DevOps工程師私人電腦

解析2020到2022年的CISA的ICS漏洞通告與CVE漏洞，工控網路安全公司SynSaber今年初發布一份產業CVE追蹤報告，當中指出拖延修補與老舊產品漏洞的問題，以及韌體與協定漏洞其比例占四成，修補難度較高

在2023年2月的資安新聞中，國內有三類資安事件備受關切，包括飛宏遭勒索軟體攻擊的消息，以及百貨業者微風發生資料外洩的狀況，還有和雲行動服務共享汽車業務iRent事件後續與格上汽車租賃公司的事件

這一周公布的已發現鎖定利用漏洞有3個，包括IBM與Mitel的漏洞；在資安威脅與事件方面，有資安業者警告多款WAF可能存在CRLF漏洞，研究人員揭露NPM帳號接管的新攻擊手法，以及微風百貨傳90萬用戶個資與內部資料被駭客取得，該業者已證實接到匿名網路勒索信並即時啟動損害機制

史丹佛大學經濟學系網站設定配置不當，致使2022到2023年博士學程申請人入學檔案資料外洩

2月初半導體設備商MKS Instruments揭露遭勒索軟體攻擊，業務與產線系統受影響，一周後他們又再說明最新調查，表示事件衝擊訂單處理與產品運送。相隔幾天美國半導體製程設備與服務大廠應用材料公開季報，提到一家主要供應商近期發生資安事故，將影響應材下一季出貨，國外多家媒體報導指出這家供應商就是MKS