oauth

Пока вы охраняли окно, хакеры вошли прямо через парадную дверь. Платформа OneDrive от Microsoft вновь оказалась в центре внимания из-за обнаруженной уязвимости, связанной с механизмом выбора файлов. Проблема затрагивает интеграции с популярными сервисами и может привести к серьёзным утечкам...

Даже ИБ-специалисты сначала не поверили, что такое возможно. Хакеры нашли способ обмануть пользователей, отправляя им письма, которые выглядят так, будто пришли напрямую от Google, хотя на самом деле содержат ссылку на поддельный сайт для кражи данных. Суть атаки заключается в том, что...

Под маской известного бренда скрывается масштабная кампания по краже данных. Исследователи из Proofpoint обнаружили кампанию , в которой злоумышленники продвигают вредоносные OAuth-приложения, выдавая их за официальные сервисы Adobe и DocuSign. Их цель — похищение учётных данных Microsoft...

Фишинговая кампания поразила более 12 000 проектов за считанные дни. Киберпреступники запустили крупномасштабную фишинговую кампанию, нацеленную на разработчиков. Почти 12 000 репозиториев GitHub подверглись атаке с использованием поддельных предупреждений безопасности. Злоумышленники...

Как всего одна уязвимость поставила под угрозу отдых миллионов людей. Исследователи в области кибербезопасности раскрыли детали уязвимости, позволяющей захватывать учётные записи пользователей популярного онлайн-сервиса для бронирования отелей и аренды автомобилей. Уязвимость, которую недавно...

Как «неустранимая» уязвимость способна похоронить индустрию стартапов. Уязвимость в системе аутентификации «Sign in with Google» оставила миллионы американцев под угрозой кражи данных. Проблема затрагивает в основном бывших сотрудников стартапов, особенно тех, которые уже прекратили свою...

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации. Специалисты компании Salt Security , занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают...

Сколько жертв затронуто и какие данные были украдены? Кибератака на DropBox привела к несанкционированному доступу к сервису DropBox Sign, платформе для электронных подписей. Об этом сообщила пресс-служба компании. Инцидент был выявлен 24 апреля, после чего было начато...

Преступники решили добавить немного фишинга в праздничную атмосферу. Microsoft предупредила о росте активности киберпреступной группы Storm-0539, специализирующейся на мошенничестве с подарочными картами. Эта группа осуществляет сложные фишинговые атаки через электронную почту и SMS, целясь...

Безопасный протокол авторизации стал излюбленным инструментом группы Storm-1283 и не только. Корпорация Microsoft опубликовала важное предупреждение о новом виде кибератак. Специалисты утверждают, что преступники начали использовать OAuth-приложения в качестве инструмента для...

К чему обычно приводит такая практика и почему ситуация не меняется с годами? Несмотря на многолетние предупреждения и настойчивые рекомендации экспертов, многие разработчики по-прежнему не могут избежать включения конфиденциальных данных в свой открытый код. Проблема возникает из-за...

Тысячи платформ ставят под угрозу своих пользователей, неправильно проверяя токены. Исследователи компании Salt Security выявили уязвимости в алгоритме OAuth, позволяющем веб-сайтам и приложениям получать доступ к информации из другого сервиса всего в один клик, без необходимости ввода...

Хакеры пытались добраться до клиентов компании на облаке. Microsoft объявила об успешном отражении кибератаки, организованной правительственными хакерами из Китая, направленной против 25 организаций, включая правительственные агентства, в рамках кибершпионской кампании с целью получения...

При входе жертвы на сайт через соцсети хакер мог видеть её учетные данные и взломать аккаунт. Эксперты по кибербезопасности из компании Salt Security обнаружили критическую уязвимость во фреймворке Expo, которая может раскрыть данных пользователей различных онлайн-сервисов. Уязвимость...

Злоумышленники распространяют вредоносные OAuth-приложения и проникают в облачные среды организаций. Microsoft заявила , что отключила поддельные учетные записи Microsoft Partner Network (MPN), которые использовались для создания вредоносных OAuth-приложений в рамках вредоносной кампании...