#互联网观察▎谷歌验证器:云同步功能已成为网络安全威胁

#互联网观察 ▎谷歌验证器:云同步功能已成为网络安全威胁 总部位于旧金山的软件开发公司Retool透露,其27名云客户的账户在一次有针对性的SMS社交工程攻击后被侵犯,并指责谷歌验证器近期新推出的云同步功能使得这次侵犯更加严重,称其为“dark pattern”。 “谷歌验证器能够同步到云是一个新的攻击途径”,Retool的工程主管Snir Kodesh说。“我们原本实施的是多因素认证。但通过这次谷歌的更新,之前的多因素认证悄无声息地(对管理员来说)变成了单因素认证。” 黑客通过SMS钓鱼攻击诱使员工点击一个假的链接,之后通过电话深度伪造员工的“真实声音”,获取多因素认证代码。由于员工使用了谷歌验证器的云同步功能,为攻击者提供了更多的访问权限,因此间接导致该公司损失了价值1500万美元的加密货币。 ▎一些建议 由于谷歌验证器支持云功能后不再百分百安全,因此建议大家考虑使用FIDO2兼容的硬件安全钥匙或通行证,这可以提供一个更为安全的验证方法,从而抵抗钓鱼攻击。 频道 @AppDoDo

相关推荐

封面图片

【OKX:建议使用谷歌验证器的用户关闭云端同步】

【OKX:建议使用谷歌验证器的用户关闭云端同步】 5月12日消息,欧易OKX发布安全提示:“建议使用谷歌验证器的用户关闭云端同步。近期谷歌验证器推出的云同步功能并未经过端对端加密,若你的谷歌账户遭到攻击,密码/私钥都会面临安全风险,黑客将可登陆你的OKX账户,建议关闭云同步并将私钥保存在你的个人设备上,或选择云端加密的验证器。”
封面图片

谷歌身份验证器的云端同步功能没有端到端加密

谷歌身份验证器的云端同步功能没有端到端加密 周一,Google Authenticator 将2FA 代码同步到您的 Google 帐户的功能。后来发现该功能不是端到端加密的 (E2EE),谷歌今天解释了原因。 Mysk的安全研究人员昨天对 Google Authenticator 的新同步功能不是端到端加密 (E2EE) 提出批评,因此从理论上讲,Google 可以获取并复制您的 2FA 代码。 那些非常注重安全并且不相信谷歌(或恶意第三方)不会访问用户数据的人希望通过使用只有他们知道的另一个密钥(或密码)对代码进行端到端加密,让除了他们之外没有人可以访问 2FA 代码。 谷歌今天解释说,Authenticator 的新同步功能的目标是“提供保护用户的功能,但又实用又方便。” 承认“E2EE 是一项提供额外保护的强大功能”,缺点是如果用户忘记或丢失了他们的 Google 帐户密码(或额外的安全层),他们可能“无法恢复自己的数据”。 谷歌“计划为谷歌身份验证器提供 E2EE。” 同时,它提醒用户他们可以在离线/不同步 Google 帐户的情况下继续使用该应用程序。
封面图片

【Google身份验证器iOS版本新增支持云同步功能】

【Google身份验证器iOS版本新增支持云同步功能】 4月25日消息,Google 身份验证器的 iOS 端应用推出 4.0 版本,新增支持云同步功能,用户可将验证器生成的验证码同步至所有的 Google 账号和设备,即便丢失设备也可随时获取验证码。
封面图片

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据 美国Twilio公司于7月1日宣布,由于未保护的API端点,黑客获得了其多因素认证工具Authy的大量用户电话号码。Twilio已采取措施保护该端点,并不再允许未经认证的请求。公司呼吁用户立即将Authy应用更新到最新版。 6月27日,黑客组织ShinyHunters在暗网发布了从Twilio获取的包含约3300万用户电话号码的CSV文件。文件中包含Authy的账号ID和电话号码。攻击者通过向未保护的API端点输入大量电话号码,获取了有效号码的相关信息。Twilio已保护其API,防止进一步滥用。 Twilio警告称,尽管Authy账号未被侵害,威胁行为者可能会利用关联的电话号码进行钓鱼或短信欺诈攻击,呼吁所有Authy用户提高警惕。公司在2022年也曾遭遇钓鱼攻击,导致客户数据泄露。 ▎新闻来源 频道 @AppDoDo
封面图片

#羊毛 #互联网观察 #Password

#羊毛 #互联网观察 #Password ▎Proton Pass :免费提供 12 个月的付费 Plus服务 由于Dashlane 密码管理器宣布在11月即将收费,Proton Pass宣布Proton Pass Plus 计划特别优惠。 为了帮助 Dashlane 用户进行迁移,通过下面的特殊链接注册的所有新用户免费提供 12 个月的 Proton Pass Plus。Proton Pass Plus 计划通常为3.99美元/月,提供无限制的隐藏我的电子邮件别名、集成的双因素身份验证、多个保险库等服务。 ▎立即切换到 Proton Pass 频道 @AppDoDo
封面图片

谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将 2FA 代码同步到云端 Google Authenticator刚刚获得更新,对于经常使用该服务登录应用程序和网站的人来说应该会更有用。 从今天开始,Google Authenticator 现在会将其生成的任何一次性双因素身份验证 (2FA) 代码同步到用户的 Google 帐户。以前,一次性身份验证器代码存储在本地的单个设备上,这意味着丢失该设备通常意味着无法登录使用身份验证器的 2FA 设置的任何服务。 要利用新的同步功能,只需更新 Authenticator 应用程序即可。如果您在 Google 身份验证器中登录了 Google 帐户,您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录 Google 帐户,您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。 警告:由于此前谷歌身份验证器更新会造成验证代码无法被正确验证,此次更新是否解决了这个问题编辑未进行确认,请谨慎更新。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人