Natív adathalászat során a Microsoft 365 a támadók eszközévé válik

Beküldte kami911 - 2025. aug. 17. 22:30

Az elmúlt években az adathalász támadások fejlődése egyértelműen rávilágít arra, hogy a kiberbűnözőknek nem feltétlenül van szükségük kifinomult exploitokra, ehelyett sokkal inkább a bizalom megszerzésére fókuszálnak. A mesterséges intelligencia és a no-code platformok térnyerésével a támadók adathalász eszköztára a bizalom kiépítésében és a felhasználók megtévesztésében még soha nem volt ennyire hatékony.

PoisonSeed: többfaktoros hitelesítés kompromittálása FIDO2-vel védett rendszerekben

Beküldte kami911 - 2025. júl. 23. 23:54

A PoisonSeed adathalász kampány támadói képesek megkerülni a FIDO2 biztonsági kulcsok védelmét azáltal, hogy a WebAuthn kereszt-eszközös (cross-device sign-in) bejelentkezési funkcióját kihasználva megtévesztik a felhasználókat, és ráveszik őket, hogy jóváhagyják a hamis vállalati portálokról érkező bejelentkezési hitelesítési kérelmeket.

Súlyos sérülékenységet tártak fel az Auth0-PHP SDK-ban

Beküldte kami911 - 2025. máj. 22. 17:31

A közelmúltban súlyos biztonsági rést azonosítottak az Auth0-PHP SDK-ban, amely lehetőséget adhat a támadók számára jogosulatlan hozzáférés megszerzésére. A hiba az Auth0-PHP SDK 8.0.0-BETA1 vagy újabb verzióit érinti, amennyiben a fejlesztők a CookieStore munkamenet-kezelési konfigurációt használják. Ebben az esetben a session-cookie-khoz generált autentikációs tag-ek olyan gyenge pontokat tartalmaznak, amelyek lehetővé teszik azok kiszámítását vagy kitalálását.