GitHub 要求开发人员使用双因素认证（2FA），3 月 13 日开始执行

GitHub 要求开发人员使用双因素认证（2FA），3 月 13 日开始执行 代码托管平台 GitHub 于去年 5 月宣布，将要求所有向该平台贡献代码的开发者启用双因素身份认证（2FA）。GitHub 在今天发布的中宣布，这项要求于今年 3 月 13 日生效。 GitHub 表示将渐进式推进 2FA 要求，首先从开发人员和管理员开始。这些用户会收到电子邮件提醒，会在网页版 GitHub 上看到横幅提示。开发人员有 45 天的时间来设置 2FA，之后会有一周的缓冲期，如果开发人员还不设置 2FA 将会限制账户访问。 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

3月13日起，GitHub 要求活跃开发人员使用双因素认证（2FA）

3月13日起，GitHub 要求活跃开发人员使用双因素认证（2FA） 分批开始强制要求。 被选中的用户会收到邮件通知，45天内必须启用2FA；45天后如果还不启用就会每天提示，再过7天就禁止登录直到添加2FA。 目标是2023年底前所有贡献代码的开发者都启用2FA。 ====糊==== 解决方案买两把yubikey

上个月，加密货币交易所 Coinbase 披露，攻击者在绕过双因素认证后盗取了6000名客户的加密货币。然而，试图入侵交易所客户

上个月，加密货币交易所 Coinbase 披露，攻击者在绕过双因素认证后盗取了6000名客户的加密货币。然而，试图入侵交易所客户账户的行为仍在进行。 为了实施攻击，犯罪分子需要知道客户的电子邮件地址、密码和与他们的 Coinbase 账户相关的电话号码，并能进入受害者的电子邮件账户。 据信，网络犯罪分子是通过网络钓鱼攻击获得所有这些信息的。例如，使用域名 coinbase.com.password-reset [.]com。 #crypto #ThreatIntelligence

哪些迹象显示您已经遭受 SIM 克隆攻击？如何避免这种攻击？

哪些迹象显示您已经遭受 SIM 克隆攻击？如何避免这种攻击？ SIM卡克隆攻击是指恶意用户复制您的手机SIM卡，使您处于风险之中，您使用的任何基于SIM卡认证的服务都会受到影响。如果您足够快地意识到这一点，就可以将损失降到最低。 当一张SIM卡被 “克隆” 时，意味着两种情况之一：要么是同一网络中存在两张相同的卡，要么是原始卡被封锁，与该卡相关的号码被转移到恶意行为者拥有的新克隆卡中。 虽然有一些工具可以复制一张SIM卡，但也需要原卡的存在。因此攻击者必须首先偷走您的卡。这不是很实际，所以最常见的方法是冒充您，让电话公司来进行SIM卡的交换。 这是一种被称为社交工程的黑客技术，它针对的是安全系统中往往最薄弱的环节：人类。 有时，SIM卡的克隆是通过与电话公司的内部人员勾结完成的，在这种情况下，您所拥有的SIM卡可能不会被封锁，从而使您更难发现自己已经被黑了。 您应该小心以下迹象，它们表明您的卡可能被克隆了： 1. 您突然无法接收短信和电话（而且无法拨打）。 如果攻击者通过冒充您启动了SIM卡交换，那么您手机中的SIM卡将被封锁。您可能会看到一条信息，说您没有连接，或者您的手机 “未授权” 或类似的信息。您将无法拨打或接收电话或短信。如果出现这种情况，最好立即打电话给您的供应商（显然是用另一部电话），询问是否已经启动了SIM卡的交换。 2. 您并没有请求任何2FA，而您却收到了验证码。 在某些情况下，黑客会设法克隆一张卡而不阻止您的原卡，您的手机和克隆的手机都可能收到相同短信的副本。如果您开始收到密码重置代码或其他您没有要求的双因素认证（2FA）信息，建议与您的供应商通电话，以确保您的SIM卡是安全的。 3.您的电话账单里有不明活动。 有时，克隆SIM卡的黑客并不是想直接诈骗您，而是想利用您的号码去诈骗其他人。他们可以通过控制您的电话号码来实施犯罪或冒充您去进行各种诈骗。 因此，建议每个月翻阅自己的电话记录，以确保您的号码中没有发生您没有拨打过的电话。 关于如何防止SIM卡克隆： 当恶意行为者与电话公司的员工勾结时，其实是不可能防止克隆的。然而，在大多数情况下，电话公司本身也是黑客冒充您的受害者。电话公司会问来电者一些个人信息问题，以验证对方是正确的个人。 这里的关键是，这只发生在您主动给电话公司打电话的时候。如果有人自称是您的电话公司的人给您打电话，然后要求您提供这些信息，这几乎可以肯定是有人企图窃取这些信息。具体来说，这样他们就可以转过身去，向电话公司假装是你。因此，如果您接到这样的电话，千万不要提供任何信息。 最好的办法是，首先处理克隆发生的主要原因之一。如果您正在使用任何一种基于短信的、与SIM卡相连的双因素身份认证服务，考虑将其改为另一种安全的验证方式。如果某项服务不提供手机短信验证之外的其他验证渠道，建议放弃使用。 #SelfDefense #Security

Oracle 上周修补了 Java 15 及更高版本中的一个严重错误，该错误使攻击者可以伪造 TLS 证书和签名、双因素身份验证

Oracle 上周修补了 Java 15 及更高版本中的一个严重错误，该错误使攻击者可以伪造 TLS 证书和签名、双因素身份验证消息等 使用甲骨文较新版本的 Java 框架的组织在上周三收到提醒。一个关键的漏洞可以使黑客很容易伪造TLS证书和签名、双因素认证信息以及由一系列广泛使用的开放标准产生的授权凭证。 甲骨文公司上周二修补了这个漏洞，它影响到该公司在Java 15及以上版本中对椭圆曲线数字签名算法的实现。ECDSA是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与RSA或其他加密算法相比，ECDSA的一个关键优势是它生成的密钥规模较小，这使得它非常适合用于包括基于FIDO的2FA、安全断言标记语言、OpenID和JSON等标准。 该漏洞被追踪为CVE-2022-21449，其严重性评级为7.5（满分10分），但Madden说，根据他的评估，他将其严重性评级为10分，"因为在访问管理背景下对不同功能的影响范围很广"。该漏洞可以被脆弱网络之外的人利用，根本不需要验证。 arstechnica

Twilio 提醒 Authy 双重认证应用的用户，称“威胁行为者”已获取他们的电话号码，这次泄露可能会使客户面临被定向钓鱼攻击

Twilio 提醒 Authy 双重认证应用的用户，称“威胁行为者”已获取他们的电话号码，这次泄露可能会使客户面临被定向钓鱼攻击的风险。 据早些时候 TechCrunch 的报道，Twilio 表示有人获得了与其双因素身份验证服务（2FA），Authy 相关的电话号码。在周一的安全警报中，Twilio 警告说，“威胁行为者”可能会尝试使用被盗的电话号码进行网络钓鱼攻击和其他骗局。 此前， 2022 年也发生过泄漏事件，当时一次网络钓鱼活动欺骗了员工，让他们泄露了登录凭证。攻击者访问了 163 个 Twilio 账户的数据，并在 93 个 Authy 账户上访问并注册了额外的设备。 Twilio 追踪到这次泄露源于“一个未验证的端点”，该端点现已被加固。上周，威胁行为者 ShinyHunters 在暗网发布了来自 Authy 账户的 3300 万个电话号码列表。据 BleepingComputer 指出，威胁行为者似乎是通过将大量电话号码输入 Authy 的未加密 API 端点，从而验证它们是否与该应用相关，进而获取了这些信息。 “我们鼓励所有 Authy 用户保持警惕，并高度关注他们收到的短信，”Twilio 写道。它补充说，“没有证据表明威胁行为者获取了 Twilio 的系统或其他敏感数据的访问权限”，并且 Authy 账户没有受到影响。Twilio 建议用户更新其在 Android 和 iOS 上的 Authy 应用程序（Authy 桌面应用程序已被停止使用）。 标签: #2FA #Authy #Twilio 频道: @GodlyNews1 投稿: @GodlyNewsBot