Фишеры используют дыры OAuth в реализации Microsoft и Google

Екатерина Быстрова 10 Декабря 2021 - 16:26

Домашние пользователи

...

Исследователи в области кибербезопасности обнаружили ранее неизвестные методы запуска кибератак с URL-редиректами на слабые имплементации OAuth 2.0. Такие атаки могут приводить к обходу средств детектирования фишинга и защиты электронной почты, а также внушать жертвам ложное чувство безопасности при посещении фишинговых страниц.

На проблемы в безопасности указали специалисты компании Proofpoint. По их словам, злоумышленники атакуют Outlook Web Access, PayPal, Microsoft 365 и Google Workspace, используя бреши в имплементации OAuth 2.0.

Кстати, уязвимостям протокола OAuth 2.0 мы посвятили аналитическую статью, в которой эксперт объясняет, опасно ли аутентифицироваться через профиль в соцсетях.

При разработке приложений с поддержкой OAuth девелоперы могут выбрать среди различных типов потоков, в зависимости от своих потребностей. На примере реализации от Microsoft можно посмотреть, как это взаимосвязано:

Потоки требуют от разработчика, чтобы тот определил конкретные параметры, среди которых уникальный идентификатор клиента и URL, на который будет перенаправляться пользователь после успешной аутентификации.

Как выяснили эксперты Proofpoint, атакующие могут модифицировать отдельные параметры в валидных потоках аутентификации. В итоге условный злоумышленник может организовать редирект жертвы на вредоносный сайт. Например, этого можно добиться изменением параметра запроса «response_type».

«Этот вектор атаки использует ряд сторонних приложений Microsoft 365 с вредоносными URL-редиректами, определёнными для каждого из таких приложений», — отмечают в отчёте исследователи.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 17:53

Соответствие законодательству РФ Домашние пользователи Государство

К 2030 году у каждого россиянина появится цифровой медицинский профиль

К 2030 году у каждого россиянина должен появиться цифровой медицинский профиль. Об этом заявил глава Минздрава Михаил Мурашко на расширенном заседании коллегии ведомства, где обсуждали итоги работы за 2025 год и планы на 2026-й.

По словам министра, к этому же сроку в стране должны завершить создание единой цифровой платформы для управления здоровьем.

Идея в том, чтобы собрать в одной системе всё, что связано с пациентом: данные о состоянии здоровья, сведения о маршруте лечения, информацию о ресурсах медорганизаций и даже о компетенциях врачей.

Фактически Минздрав продолжает линию на постепенный отказ от бумажного формата. Цифровизация в медицине идёт не первый год, но теперь акцент явно смещается с отдельных сервисов на единую платформу, которая должна связать данные, учреждения и врачей в общий контур.

Параллельно министерство собирается ещё активнее расширять применение искусственного интеллекта. Причём ИИ хотят использовать не только в диагностике и лечении, но и в более рутинных задачах: для составления расписаний, голосового ввода протоколов и запуска чат-ботов для пациентов.

Если всё это действительно дойдёт до полноценной реализации, для пациентов это должно означать более связанную и удобную систему: меньше бумажной волокиты, быстрее доступ к данным и более цельную картину лечения.

Но, как обычно бывает с такими большими цифровыми проектами, главный вопрос будет не только в сроках, но и в том, насколько аккуратно получится собрать всё это в одну работающую систему.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!