Dropbox遭受网络钓鱼攻击，暴露客户和员工的电子邮件。

Dropbox遭受网络钓鱼攻击，暴露客户和员工的电子邮件。威胁者获得了属于Dropbox开发人员的GitHub帐户的访问权限，该开发人员因网络钓鱼尝试而堕落。该受损的开发人员反过来为攻击者提供了对大约130个内部代码存储库的访问权限。Dropbox声称这些代码存储库没有连接到其核心应用程序，而是这些存储库包含修改后的第三方库，内部原型和其他内部工具。虽然存储库可能没有连接到其核心应用程序，但Dropbox确实承认，代码中存在一些纯文本秘密，包括API密钥和其他凭据，以及“属于Dropbox员工的数千个姓名和电子邮件地址”。

微软MSRC发文介绍中国黑客组织如何访问美国与西欧政府电子邮件帐户

微软MSRC发文介绍中国黑客组织如何访问美国与西欧政府电子邮件帐户阅读原文：https://www.neowin.net/news/microsoft-explains-how-a-chinese-hacker-group-was-able-to-access-government-email-accounts/微软对MSA（微软账户）密钥的获取方式以及消费者密钥如何访问企业Outlook电子邮件账户展开了调查。本周，该公司在其微软安全响应中心网站上公布了调查结果。微软表示，两年多前发生的一起事件是导致该组织获得MSA密钥的原因：我们的调查发现，2021年4月的一次消费者签名系统崩溃导致了崩溃进程的快照（"崩溃转储"）。崩溃转储是对敏感信息的删减，不应包括签名密钥。在这种情况下，竞赛条件允许密钥出现在崩溃转储中（此问题已得到纠正）。我们的系统没有检测到崩溃转储中存在密钥材料。微软补充说，崩溃转储数据随后被从"隔离的生产网络转移到我们在连接互联网的公司网络上的调试环境中"，这是标准程序。但是，对崩溃转储数据的扫描没有检测到MSA密钥。微软表示，这一点也已得到修复。该公司认为，Storm-0558是通过入侵微软一名工程师的公司账户，从崩溃转储数据中获取MSA密钥的。目前还没有直接证据表明特定账户被入侵，但微软确实认为"这是该行为者获取密钥的最有可能的机制"。最后，该公司认为Storm-0558能够复制MSA密钥并将其转化为用于访问企业电子邮件帐户的密钥，是因为在更新API时出现了错误：作为预先存在的文档库和辅助API的一部分，微软提供了一个API来帮助加密验证签名，但没有更新这些库以自动执行此范围验证（此问题已得到纠正）。邮件系统已于2022年更新为使用通用元数据端点。邮件系统的开发人员错误地认为库执行了完整的验证，而没有添加所需的签发人/范围验证。因此，邮件系统会接受使用消费者密钥签名的安全令牌发送企业电子邮件的请求（这个问题已通过使用更新的库得到纠正）。政府电子邮件账户黑客事件被发现后，微软阻止了MSA密钥的使用，同时也阻止了使用该密钥签发的令牌。今年8月，美国政府的网络安全审查委员会（CSRB）宣布将对该事件进行调查。这将是对黑客攻击云计算系统和公司的总体调查的一部分。...PC版：https://www.cnbeta.com.tw/articles/soft/1382225.htm手机版：https://m.cnbeta.com.tw/view/1382225.htm

【CoinDesk编辑收到涉及亚马逊NFT计划的官方电子邮件】

【CoinDesk编辑收到涉及亚马逊NFT计划的官方电子邮件】3月25日消息，CoinDesk表示其负责全球政策和监管的执行编辑NikhileshDe收到了亚马逊官方的电子邮件，似乎确认了亚马逊电子商务平台上存在数字代币和NFT画廊（NFTGallery）。这封电子邮件提供了对亚马逊Web3扩展计划的新见解，并暗示了这些新工具可能在平台上的位置，其中NFT被存入亚马逊官方网站上托管的画廊中，但是电子邮件中提供的链接似乎尚未生效，该电子邮件还提到了转售机会，并指出NFT“在解锁之前”没有资格转售。此外该邮件表示NikhileshDe在列出NFT之前需要“注册为经销商”，但提供给转售页面的链接似乎已断开。