GitHub将在2023年底前要求活跃开发者提供2FA

第273期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、GitHub将在2023年底前要求活跃开发者提供2FA

GitHub近期宣布,到2023年底,所有在其平台上贡献代码的用户(估计总共有8300万名开发者)都将被要求在其帐户上启用双因素身份验证(2FA)。必须启用2FA的活动贡献者包括但不限于提交代码、使用操作、打开或合并拉取请求或发布包的GitHub用户。

开发者可以使用一个或多个2FA选项,包括物理安全密钥、内置在手机和笔记本电脑等设备中的虚拟安全密钥,或基于时间的一次性密码(TOTP)认证应用。[阅读原文]

2、Pixiv,DeviantArt艺术家收到自称来自“Cyberpunk Ape Executives”NFT项目的多条消息

Pixiv、DeviantArt和其他面向创作者的在线平台上的用户报告称,他们收到了自称来自“Cyberpunk Ape Executives”NFT项目的多条消息,主要目的是用窃取信息的恶意软件感染艺术家的设备。“Cyberpunk Ape Executives”是一个有限的不可替代代币(NFT)集合,遵循封闭式俱乐部的做法,给类似的企业带来了天文数字的声誉和价值。

据Malwarebytes报道,威胁行为者将目标锁定在艺术家身上,邀请他们与项目背后的人合作,设计一组新角色,用新的NFT扩大收藏,每天提供高达350美元的补偿。[阅读原文]

3、新的网络钓鱼警告:您已验证的Twitter帐户可能存在风险

网络钓鱼电子邮件越来越多地以经过验证的Twitter账户为目标,通过电子邮件窃取其账户凭据,这一点可以从威胁行为人正在进行的众多活动中看出。Twitter上经过验证的账户在其名字旁边用蓝色徽章标出,这表明账户持有人是著名的影响者、名人、政客、记者、活动人士、政府和私人组织。

要获得这个“蓝色徽章”,Twitter用户必须申请验证,这需要提交额外的信息,包括身份证、网站参考资料,以及其他让你的账户“引人注目”的因素。[阅读原文]

4、SEC将网络部门增加一倍,加大打击加密货币欺诈的力度

美国证券交易委员会(SEC)今天宣布,它将把加密资产和网络部门几乎增加一倍,以加大打击加密货币欺诈的力度,保护投资者免受“网络相关威胁”。SEC表示,将在网络团队中增加20个职位(包括主管、调查人员律师、审判律师和欺诈分析师),将其扩大到50名专注于打击基于加密的网络犯罪的员工。

SEC主席加里·根塞尔(Gary Gensle)在今天发布的一份声明中表示:“通过将这个关键部门的规模扩大近一倍,SEC将更好地监控加密市场中的不法行为,同时继续识别与网络安全有关的披露和控制问题”。[阅读原文]

5、网络间谍使用IP摄像头部署后门、窃取和交换电子邮件

一个新发现的、非常隐蔽的高级持续性威胁(APT)组织正在破坏企业网络,从参与并购等企业交易的员工那里窃取Exchange(内部和在线)电子邮件。

Mandiant的研究人员发现了这一威胁因素,现在将其追踪为UNC3524。他们表示,该组织已经展示了其“高级”功能,因为它可以保持对受害者环境的访问超过18个月(在某些情况下)。

“一旦UNC3524成功获得了受害者邮件环境的特权凭据,他们就开始向本地Microsoft Exchange或Microsoft 365 Exchange Online环境发出Exchange Web Services(EWS)API请求,”Mandiant说。[阅读原文]

(完)