資安

勒索軟體駭客Lapsus$攻擊微軟、Okta的情況，兩家公司今天皆進一步提出說明；再者，勒索軟體RansomEXX對蘇格蘭心理諮商機構SAMH下手，也導致該組織運作受到波及的情況

Lapsus$透過廣告、網釣攻擊、賄賂等手法取得憑證以存取目標組織的網路服務，也會藉由期間令牌重播等手法通過多因素身分認證要求，並開採組織內部伺服器上未修補的已知漏洞以搜尋盜走機密資料

微軟坦承一個具備有限存取權限的員工帳號遭到入侵，強調客戶的程式碼或資料並未外洩，未提及內部資料是否遭竊

官方修補影響檔案管理員App EdgeRover的CVE-2022-22988，此漏洞允許本地權限的攻擊者提升權限，並且從基本的檔案系統沙箱逃逸出來。一旦遭成功開採，這項漏洞可導致敏感資訊外洩或阻斷服務攻擊

客戶關係管理服務供應商HubSpot坦承員工帳號遭駭，導致採用其服務的Circle、BlockFi、Pantera Capital及NYDIG等加密貨幣交易平臺用戶資料外洩

為了防範俄羅斯以網路攻擊報復國際間反戰制裁，美國總統拜登呼籲關鍵基礎設施、科技及軟體業者強化資安

義大利政府要求卡巴斯基說明該公司如何蒐集使用當地用戶個資、用戶資料在歐盟境外的處理流向，以及第三國政府是否曾索取其用戶資料

曾成功上架Google Play一段時間的Craftsart Cartoon Photo Tools暗藏木馬，在安裝過程會出現臉書登入畫面，以誘騙使用者輸入帳密