Актуальні теми
#
Bonk Eco continues to show strength amid $USELESS rally
Hosico
Hosico+244,19%
USELESS
USELESS-7,35%
IKUN
IKUN-4,47%
gib
gib-17,72%
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
Bonk
Bonk-4,64%
ALON
ALON+11,16%
LAUNCHCOIN
LAUNCHCOIN-13,5%
GOONC
GOONC-5,64%
KLED
KLED-10,41%
#
Boop.Fun leading the way with a new launchpad on Solana.
BOOP
BOOP-0,17%
Boopa
Boopa-2,29%
PORK
PORK0,00%
ℏεsam
ℏεsam
10 лют., 05:14·
Будь-хто, хто записався на зустрічі у @calcom, може бути зламаний, а їхній акаунт X буде розкритий. Мій акаунт почав публікувати 2-3 шахрайські пости, які я помітив за випадковим сповіщенням про відповідь і видалив за кілька хвилин. Ось що сталося і як це може статися з вами:
ℏεsam
ℏεsam9 лют., 12:19
🚨 Ви, можливо, бачили, як у моєму акаунті останніми годинами публікувалося крипто-шахрайство. Мені пощастило встигнути це вчасно. на мить я подумав, що мій акаунт зламали, потім запідозрив, що це може бути OpenClaw, хоча згадав, що ніколи не давав йому доступу до свого справжнього акаунта. Перевіривши уважніше, я помітив, що це був підключений додаток під назвою cal. com, до якого я підключився, щоб призначити онлайн-зустріч із шахраєм (помилка). Я не знаю, чи cal. com є зловмисним, чи це було використано для зловмисної спроби. Я уникав незліченної кількості таких атак, але хочу вибачитися за помилку. для тих, хто мене знає, зрозуміло, що я ніколи не займаюся криптой, незалежно від шахрайства, і ніколи не наражаю на небезпеку тих, хто мені довірився.
Редактор techcrunch (насправді шахрай) попросив мене забронювати зустріч через @calcom. Це був справжній сайт (без фішингу) у домені. після вибору часового слоту та заповнення свого імені мене перенаправили на сторінку шахрая з проханням, щоб для завершення зустрічі я мав увійти через X.
Я перевірив додаток, він був під офіційним доменом @calcom. це також була справжня сфера. шахрай не створив фальшиву інтеграцію з додатком OAuth, він створив фейкову сторінку, щоб заохотити інтеграцію під справжнім додатком. ЧОМУ?
Шахраї звернулися до неї під виглядом працівника TechCrunch, але це могло статися інакше. Будь-хто, хто надсилає вам посилання для запису на зустріч з, здавалося б, легітимним сайтом, може використати цю вразливість проти вас.
має реальні недоліки безпеки, що дозволяє хакерам використовувати інтеграцію з OAuth для доступу до підключених акаунтів.
у них було багато КРИТИЧНИХ проблем із безпекою на їхньому Github, які досі відкриті. За даними Cyberpress, @calcom публічно повідомляли про дуже схожі вразливості безпеки, ще 28 січня.
145