Актуальные темы
#
Bonk Eco continues to show strength amid $USELESS rally
Hosico
Hosico+240,78 %
USELESS
USELESS-7,51 %
IKUN
IKUN-4,47 %
gib
gib-17,72 %
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
Bonk
Bonk-4,7 %
ALON
ALON+11,2 %
LAUNCHCOIN
LAUNCHCOIN-12,88 %
GOONC
GOONC-5,64 %
KLED
KLED-10,7 %
#
Boop.Fun leading the way with a new launchpad on Solana.
BOOP
BOOP-0,17 %
Boopa
Boopa-2,29 %
PORK
PORK0,00 %
ℏεsam
ℏεsam
10 февр., 05:14·
Каждый, кто забронировал встречи через @calcom, может быть взломан, и его аккаунт X может быть скомпрометирован. Мой аккаунт начал публиковать 2-3 мошеннических поста, о чем я узнал из случайного уведомления о ответе и удалил их за считанные минуты. Вот что произошло и как это может произойти с вами:
ℏεsam
ℏεsam9 февр., 12:19
🚨 Возможно, вы видели, как мой аккаунт публиковал крипто-мошенничество в последние несколько часов. Мне повезло заметить это вовремя. На секунду я подумал, что мой аккаунт взломан, затем заподозрил, что это может быть OpenClaw, к которому, как я помнил, я никогда не давал доступ к своему реальному аккаунту. После более тщательной проверки я заметил, что это было подключенное приложение под названием cal.com, которое я подключил, чтобы запланировать онлайн-встречу с мошенником (ошибка). Я не знаю, является ли cal.com вредоносным или оно использовалось для злонамеренной попытки. Я уклонялся от бесчисленного количества этих атак, но хочу извиниться за ошибку. Для тех, кто меня знает, очевидно, что я никогда не занимаюсь криптовалютой, мошенничеством или нет, и никогда не ставлю под угрозу тех, кто доверяет мне.
Меня попросил редактор TechCrunch (на самом деле мошенник) забронировать встречу через @calcom. Это был настоящий сайт (без фишинга) в домене. После выбора временного слота и заполнения моего имени, меня перенаправили на страницу мошенника, где говорилось, что для завершения встречи я должен войти через X.
Я проверил приложение, оно находилось под официальным доменом @calcom. Это был также настоящий домен. Мошенник не создал фальшивую интеграцию OAuth, он создал поддельную страницу, чтобы побудить к интеграции под настоящим приложением. ПОЧЕМУ?
мошенники связались с вами под видом сотрудника techcrunch, но это может произойти и другим способом. любой, кто отправляет вам ссылки для бронирования встречи с, казалось бы, легитимного сайта, может использовать эту уязвимость против вас.
имеет реальные уязвимости в безопасности, позволяющие хакерам использовать их интеграцию OAuth для получения доступа к связанным аккаунтам.
у них было множество КРИТИЧЕСКИХ уязвимостей в их github, которые все еще открыты. согласно cyberpress, у @calcom были очень похожие уязвимости в безопасности, о которых сообщалось публично, как недавно, 28 января.
142