Un kit di phishing-as-a-service legato a OAuth 2.0 mostra perché i moderni attacchi agli account possono avere successo senza mai rubare una password.
Il piano Pass Plus viene offerto a metà prezzo, integrando crittografia, alias, 2FA integrata e monitoraggio del dark web in un abbonamento a costo inferiore.
Un’identità di collaboratore dirottata e un’impennata nella pubblicazione di pacchetti hanno trasformato l’ecosistema @mastra/* in un avvertimento sulla supply chain per chiunque distribuisca JavaScript o TypeScript su larga scala.
Un'operazione di phishing attribuita a Ghostwriter, tracciato anche come UNC1151, mostra come gli aggressori possano trasformare un normale flusso di accesso in una raccolta di credenziali che va oltre il campo password.
Una vulnerabilità segnalata di Copilot legata a SearchLeak mostra come l'IA aziendale possa diventare un ponte tra normali autorizzazioni e dati di autenticazione altamente sensibili.
Una campagna Ghostwriter attribuita a UNC1151 riporta sotto esame un punto debole ben noto: la 2FA basata su codice può ancora essere intrappolata da un convincente falso flusso di accesso.
Un presunto incidente di sicurezza di Dashlane mostra come gli aggressori possano puntare all'autenticazione invece che alla cifratura del vault, trasformando i controlli di accesso nel punto debole che conta di più.
Un piccolo numero di account personali Dashlane è stato colpito da un incidente a livello di autenticazione, mostrando come ciphertext, secondi fattori e controlli di accesso possano fallire in modi molto diversi.
Un presunto abuso del chatbot di supporto di Instagram basato su IA di Meta indica una verità più dura nella sicurezza degli account: gli attaccanti potrebbero non aver bisogno di violare il 2FA se riescono a manipolare il percorso di recupero.
Uno strumento di assistenza conversazionale può essere utile, ma se gli viene affidata la gestione delle modifiche dell'account, gli aggressori possono colpire il percorso di recupero invece del campo password.
Tycoon 2FA ricorda che gli attacchi all'identità non devono per forza violare le password se riescono a inoltrare un accesso in tempo reale e a raccogliere la sessione dietro di esso.
Gli ultimi controlli npm di GitHub aggiungono un checkpoint di rilascio e policy più severe sulla fonte di installazione, spostando la fiducia della supply chain dall'automazione silenziosa verso un'approvazione esplicita.
Un reset dei token a livello di registry mostra quanto rapidamente la sicurezza dei pacchetti possa cambiare quando i segreti di pubblicazione a lunga durata diventano un obiettivo.
Il reset di emergenza mostra come una singola credenziale di pubblicazione possa diventare un punto di controllo della supply chain quando la fiducia nei pacchetti dipende da token di lunga durata.
Un kit di phishing collegato a una campagna di bypass dell’MFA starebbe facendo leva su un legittimo flusso di accesso OAuth, trasformando la comodità in una nuova minaccia per l’identità.
Un kit di phishing collegato all’abuso dei device code mostra come gli aggressori possano strumentalizzare flussi di accesso legittimi e persino livelli affidabili di tracciamento dei link per mettere sotto pressione le identità Microsoft 365.
Un ecosistema di phishing familiare sembra essersi spostato da false pagine di accesso a una debolezza più sottile: l’abuso di un flusso OAuth legittimo per aggirare le protezioni multi-fattore.
Google ha affermato di aver individuato un attore sconosciuto che utilizzava un exploit zero-day probabilmente assistito dall’IA, con un bypass della 2FA in una campagna orientata allo sfruttamento su larga scala.
Un risultato dell’intelligence sulle minacce di Google segnala una rara svolta: lo sviluppo di exploit che sembra essere stato accelerato dall’IA, con implicazioni su quanto rapidamente i difensori debbano ora muoversi.
I ricercatori sulle minacce di Google hanno collegato un zero-day contro uno strumento di amministrazione web a indicatori di sviluppo assistito dall’AI, un segnale che la creazione di exploit potrebbe spostarsi dall’artigianato manuale a un lavoro logico aumentato dalle macchine.