Popularne tematy
#
Bonk Eco continues to show strength amid $USELESS rally
Hosico
Hosico+292,67%
USELESS
USELESS-6,98%
IKUN
IKUN-5,04%
gib
gib-20,79%
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
Bonk
Bonk-3,38%
ALON
ALON+10,49%
LAUNCHCOIN
LAUNCHCOIN-2,85%
GOONC
GOONC-3,73%
KLED
KLED-14,88%
#
Boop.Fun leading the way with a new launchpad on Solana.
BOOP
BOOP-0,07%
Boopa
Boopa+1%
PORK
PORK0,00%
ℏεsam
ℏεsam
10 lut, 05:14·
Każdy, kto zarezerwował spotkania za pomocą @calcom, może być zhakowany, a jego konto X może być narażone. Moje konto zaczęło publikować 2-3 posty oszustów, co zauważyłem dzięki losowemu powiadomieniu o odpowiedzi i usunąłem w ciągu kilku minut. Oto co się stało i jak to może się zdarzyć również Tobie:
ℏεsam
ℏεsam9 lut, 12:19
🚨 Możliwe, że widziałeś, jak moje konto publikowało oszustwo kryptowalutowe w ciągu ostatnich kilku godzin. Miałem szczęście, że zauważyłem to na czas. Na chwilę pomyślałem, że moje konto zostało zhakowane, potem podejrzewałem, że to może być OpenClaw, o którym pamiętałem, że nigdy nie dałem mu dostępu do mojego prawdziwego konta. Po dokładniejszym sprawdzeniu zauważyłem, że to była połączona aplikacja o nazwie cal.com, którą połączyłem, aby umówić się na spotkanie online z oszustem (błąd). Nie wiem, czy cal.com jest złośliwe, czy zostało użyte do złośliwego zamiaru. Unikałem niezliczonej liczby tych ataków, ale chcę przeprosić za ten błąd. Dla tych, którzy mnie znają, jasne jest, że nigdy nie angażuję się w kryptowaluty, niezależnie od tego, czy są to oszustwa, czy nie, i nigdy nie narażam nikogo, kto mi zaufał.
Poproszono mnie przez redaktora techcrunch (naprawdę oszusta) o umówienie spotkania przez @calcom. To była prawdziwa strona (bez phishingu) w domenie. Po wybraniu slotu czasowego i wypełnieniu mojego imienia, zostałem przekierowany na stronę oszusta, która żądała, abym zalogował się przez X, aby sfinalizować moje spotkanie.
Sprawdziłem aplikację, była pod oficjalną domeną @calcom. To była również prawdziwa domena. Oszust nie stworzył fałszywej integracji aplikacji OAuth, stworzył fałszywą stronę, aby zachęcić do integracji pod prawdziwą aplikacją. DLACZEGO?
oszuści skontaktowali się pod przykrywką pracownika techcrunch, ale to może się zdarzyć w inny sposób. każdy, kto wysyła ci linki do umówienia spotkania z pozornie legitnej strony, może wykorzystać tę lukę przeciwko tobie.
ma prawdziwe luki w zabezpieczeniach, które umożliwiają hakerom wykorzystanie ich integracji OAuth do uzyskania dostępu do połączonych kont.
mieli liczne KRYTYCZNE luki w zabezpieczeniach na swoim githubie, które wciąż są otwarte. według cyberpress @calcom miało bardzo podobne luki w zabezpieczeniach, które zostały publicznie zgłoszone, tak niedawno jak 28 stycznia.
175