重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要:部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险原理:部分应用内置支付宝支付组件，可在用户无支付宝App环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付漏洞级别:重要［需要用户注意］漏洞利用难度:一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］注意:由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息处置建议:更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付注意:由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

GitHub：2023年底前所有用户账户需启用双因素身份验证

GitHub：2023年底前所有用户账户需启用双因素身份验证据GitHub此前的内部统计显示，只有约16.5%的活跃用户在账户上启用了增强的安全措施，鉴于该平台的用户群体，这个数字低得令人惊讶。根据新的规定，如果用户账户没有在规定的最后期限内启用2FA，账户将会被GitHub注销。谷歌此前也曾透露，只需在账户中添加一个辅助电话号码，就可以阻止多达100%的自动机器人攻击、99%的批量网络钓鱼攻击和66%的定向攻击。https://www.freebuf.com/news/332057.html——————这届用户不行

暗网惊现诺基亚和微软员工信息大泄露

暗网惊现诺基亚和微软员工信息大泄露客“888”在暗网公布9305名诺基亚和微软员工的个人信息。诺基亚泄露数据包括7258名员工的职称、全名、公司名称、国家/地区/州、手机号码和电子邮件地址，时间跨度为2022年6月至2023年2月，占比约8.3%。微软泄露数据涉及2047名员工，包含职称、姓名、国家/州/城市、领英资料卡、手机号码和电子邮件地址，占比约1.4%。关注频道@ZaiHuaPd频道爆料@ZaiHuabot

Telegram 测试 P2PL 服务，利用用户手机向其他用户发送验证码

Telegram测试P2PL服务，利用用户手机向其他用户发送验证码用户可能每个月要发送多达150条短信，作为回报Telegram会向用户提供价值5美元的TelegramPremium兑换码。这个功能的争议在于无法阻止验证码接收者看到您的电话号码，泄露自己的手机号码会带来潜在隐私问题。因为报酬是以兑换码形式提供的，因此存在转卖的空间。或许Telegram的目标就不是普通用户。https://www.landiannews.com/archives/103118.html

【io.net创始人：将在6小时内完成OKTA用户级身份验证集成部署】

【io.net创始人：将在6小时内完成OKTA用户级身份验证集成部署】2024年04月25日11点11分老不正经报道，io.net首席执行官兼创始人AhmadShadid在X平台发文称，io.net元数据API遭遇安全时间，攻击者利用用户ID到设备ID的可访问映射，导致未经授权的元数据被更新，此漏洞并未影响GPU访问，但确实影响了前端向用户显示的元数据，io.net不收集任何PII，也不会泄露敏感的用户或设备数据。io.net系统设计允许自我修复，不断更新每个设备，帮助恢复任何错误更改的元数据。鉴于此事件，io.net加快了OKTA的用户级身份验证集成的部署，此部署将在接下来的6小时内完成。此外，io.net还推出Auth0Token进行用户验证，阻止未经授权的元数据更改。数据库恢复期间，用户将暂时无法登录。所有正常运行时间记录均不受影响，并且这不会影响供应商的计算奖励。

Privy 扩展嵌入式钱包的多因素身份验证（MFA）功能

Privy扩展嵌入式钱包的多因素身份验证（MFA）功能身份验证工具提供商Privy扩展了嵌入式钱包的多因素身份验证（MFA）功能，增加了对通行密钥的支持。激活MFA后，任何访问钱包私钥的操作，如签署信息、发送交易、导出钱包或在新设备上恢复钱包，都需要MFA验证。密码钥匙使用户能够使用生物识别数据进行验证，从而增强了安全性和体验。Privy还支持短信和一次性密码验证应用程序作为MFA方法。Privy的工具包允许开发人员将web2登录选项集成到自己的应用程序中，包括电子邮件、短信和社交媒体登录。