Tin tức
2024-11-02 20:19
Okta: Lỗ hổng bảo mật nghiêm trọng "Tên người dùng dài hơn 52 ký tự có thể bỏ qua xác minh đăng nhập" đã được sửa
Theo tin tức từ BitouchNews, Nhà cung cấp phần mềm quản lý danh tính và quyền truy cập Okta đã chính thức đưa ra tuyên bố cho biết rằng vào ngày 30 tháng 10 năm 2024, một lỗ hổng đã được phát hiện trong nội bộ khi AD/LDAP DelAuth tạo khóa bộ đệm. Thuật toán Bcrypt được sử dụng để tạo khóa bộ đệm. Chuỗi kết hợp userId + tên người dùng + mật khẩu được băm. Trong một số điều kiện nhất định, điều này có thể cho phép người dùng chỉ xác thực bằng cách cung cấp cho tên người dùng khóa được lưu trong bộ nhớ đệm từ lần xác thực thành công trước đó.Lỗ hổng này yêu cầu mỗi lần tạo khóa bộ đệm cho người dùng, tên người dùng phải bằng hoặc vượt quá 52 ký tự. Các sản phẩm và phiên bản bị ảnh hưởng là Okta AD/LDAP DelAuth kể từ ngày 23 tháng 7 năm 2024 và lỗ hổng bảo mật đã được khắc phục trong môi trường sản xuất của Okta vào ngày 30 tháng 10 năm 2024.
Tin tức
2023-11-23 08:47
Lido: Đã giải quyết lỗ hổng nền tảng cho nhà điều hành nút InfStones , không có dấu hiệu nào về khóa bị xâm phạm
Theo tin tức từ BitouchNews, Các quan chức của Lido đã tuyên bố trước đây rằng Trong vòng 24 giờ, những người đóng góp cho Lido DAO đã được thông báo về một lỗ hổng nền tảng ảnh hưởng đến các nhà khai thác nút hoạt động của Lido (InfStones ) trên Ethereum , lỗ hổng này đã bị khai thác trong vài tháng qua. Lỗ hổng này đã được nhà nghiên cứu bảo mật dWallet Labs tiết lộ cho InfStones vào tháng 7 năm 2023. Nhà điều hành nút thông báo rằng lỗ hổng đã được giải quyết. Lỗ hổng này liên quan đến Có khả năng làm lộ quyền truy cập cấp cơ sở vào 25 máy chủ xác thực, có thể bao gồm cả tài liệu quan trọng, cho những kẻ tấn công bên ngoài có thể không liên kết với giao thức Lido. Không rõ liệu những người đóng góp có bao gồm máy chủ và/hoặc khóa liên quan đến Lido Authenticator trong phạm vi hệ thống bị ảnh hưởng hay không. Cộng tác viên Lido DAO đã đưa ra kết luận sau đây về lỗ hổng được đề cập ở trên: Không có dấu hiệu nào cho thấy bất kỳ khóa nào bị xâm phạm do lỗ hổng này; tuy nhiên, như một biện pháp phòng ngừa, InfStones đã tự nguyện gỡ bỏ tất cả các trình xác thực và chuyển sang các khóa mới đang chờ biểu quyết DAO. Tất cả ETH từ trình xác thực thoát sẽ quay trở lại giao thức Lido thông qua quá trình rút tiền và sau đó sẽ được đặt lại vào các khóa có sẵn trong bộ đệm.
Tin tức
03-30 18:03
T-Mobile bị lệnh phải trả 33 triệu đô la vì tội trộm tiền điện tử thông qua việc hoán đổi SIM
Theo tin tức từ BitouchNews, Theo báo cáo của Greenberg Glusker, T-Mobile được phát hiện có "nhiều lỗ hổng bảo mật" dẫn đến các cuộc tấn công hoán đổi SIM và trộm cắp tiền điện tử. Công ty luật Greenberg Glusker thông báo vào ngày 20 tháng 3 rằng họ đã giành được phán quyết trọng tài trị giá 33 triệu đô la chống lại T-Mobile.Cuộc trọng tài diễn ra vào mùa thu năm 2023 và kéo dài 12 ngày. Theo Greenberg Glusker, hội đồng trọng tài nhận thấy T-Mobile phải chịu trách nhiệm về "nhiều lỗi bảo mật dẫn đến các cuộc tấn công hoán đổi SIM, dẫn đến tình trạng trộm tiền điện tử".
Tin tức
2024-06-19 22:58
CertiK: Sau khi báo cáo lỗ hổng bảo mật cho Kraken , nhân viên CertiK đã bị đội ngũ vận hành bảo mật của công ty này đe dọa
Theo tin tức từ BitouchNews, Cơ quan an ninh blockchain CertiK thông báo trên nền tảng xã hội rằng họ đã phát hiện ra một loạt lỗ hổng nghiêm trọng trên sàn giao dịch Kraken, có thể dẫn đến tổn thất tiềm tàng hàng trăm triệu đô la.Cuộc điều tra của CertiK cho thấy hệ thống gửi tiền của Kraken không thể phân biệt hiệu quả giữa các trạng thái chuyển tiền nội bộ khác nhau và có nguy cơ các tác nhân độc hại có thể giả mạo giao dịch gửi tiền và rút tiền giả. Trong quá trình thử nghiệm, hàng triệu đô la tiền giả có thể được gửi vào tài khoản Kraken và hơn 1 triệu đô la tiền điện tử giả được rút vào tài sản hợp lệ mà không có bất kỳ cảnh báo nào được hệ thống Kraken kích hoạt.Sau khi CertiK thông báo cho Kraken, Kraken đã phân loại lỗ hổng này là "nghiêm trọng" và bước đầu đã khắc phục sự cố. Tuy nhiên, CertiK chỉ ra rằng nhóm bảo mật Kraken sau đó đã đe dọa nhân viên CertiK và yêu cầu hoàn trả số tiền điện tử không khớp trong một thời gian không hợp lý mà không cung cấp địa chỉ trả nợ. Để bảo vệ an ninh người dùng, CertiK quyết định công khai vấn đề này, kêu gọi Kraken ngăn chặn mọi mối đe dọa đối với hacker mũ trắng, nhấn mạnh rằng cần hợp tác để giải quyết rủi ro và cùng nhau bảo vệ tương lai của Web3.