Последние новости: OAuth

Одна интеграция — много CRM: взлом Klue показал слабое место SaaS-безопасности

Исследователи показали, как MCP-трафик Claude Code уводят через прокси атакующего. Mitiga раскрыла цепочку кражи OAuth-токенов из Claude Code через ~/.claude.json

Один клик в github.dev мог отдать атакующему GitHub-токен разработчика. Microsoft закрыла атаку после публикации PoC для кражи токенов

Telegram, OAuth и Microsoft 365: как Kali365 превратил фишинг в подписочный сервис. Kali365 бьёт по Outlook, Teams и OneDrive через легитимную страницу Microsoft

В криминальных каналах продвигают ConsentFix v3 — набор для автоматизированного OAuth-фишинга против Microsoft Azure и Entra ID. Атака не требует кражи пароля: жертву проводят через настоящий вход Microsoft, получают код авторизации и меняют его на токены доступа к корпоративным сервисам.

Современные атаки всё чаще начинаются в браузере и нередко вообще не выходят за его пределы.

Исследователи обнаружили EvilTokens — новый сервис формата phishing-as-a-service, который использует device code phishing для захвата аккаунтов Microsoft 365. Рассказываем, как работает схема, чем она опасна и что делать компаниям.

MFA не спасает, ключи доступа не спасают, пароль не крадут. 47% атак начинаются с того, что жертва сама выполняет нужное злоумышленнику действие. Push Security разобрала шесть техник. ConsentFix захватывает учётную запись Microsoft одной вставкой URL.