VS Code Zero-Day Vulnerability Exposes GitHub Tokens to Theft
A security researcher just revealed a shocking VS Code zero-day vulnerability that lets attackers swipe your GitHub authentication tokens with just one click, exposing your online projects to potential theft. This exploit cleverly abuses VS Code's system to run malicious code and extract sensitive tokens.
#Keycloak question: is there a way to allow multiple service accounts/machines to use one OIDC client?
Normally we'd go one OIDC client in confidential mode with the service account using client credentials flow - per machine access.
However, each OIDC client/service account means a new OIDC audience - and AWS has a hard limit of 100.
Direct Access grant flow is deprecated already and removed entirely I think from Oauth2.1 spec in strict mode.
Maybe we could just create users to represent the machines - but we'd have to find a way to exempt them from Realm policies like MFA etc and it still feels icky.
OAuth device code phishing (RFC 8628 abuse) bypasses MFA and delivers 90-day M365 refresh tokens to attackers without a password. This guide covers how to disable device authorization grant in Entra ID, Keycloak, and Auth0, plus SIEM detection rules for Sentinel and Splunk.
Trying the Element #Matrix chat client again on Android is a mess. I've used #Element (classic) before and now installed #ElementX.
Even after clearing app data and uninstalling both , after reinstalling both remember my account 🤔, but repeatedly fail to login with #OAuth "already used" and that's it. No way to login. Awful UX.
🔑 Credential Theft Alert: OAuth tokens stolen via SSO redirect attacks
Attackers exploiting OAuth 2.0 redirect URI bypasses to hijack SSO sessions on enterprise cloud platforms. Mandatory MFA alone isn't enough when token injection bridges the gap between auth and session.
Full guide → https://cyber.murati.net
#cybersecurity #infosec #SSO #OAuth #credentialtheft
@iron_bug
> токен - это такая хрень, которая даёт полный доступ к твоему аккаунту любому, кто им владеет. это ключ на предъявителя
#OAUth работает не так.
__
рекомендуется в redirect_uri добавлять уникальный для каждого пользователя идентификатор для предотвращения CSRF-атак (в примере это 123). При получении кода надо проверить, что этот идентификатор не изменился и соответствует текущему пользователю.
___
> grant_type=authorization_code&client_id=464119&client_secret=deadbeef&code=DoRieb0y&
redirect_uri=http%3A%2F%2Fexample.com%2Fcb%2F123
Обратите внимание, что в запросе используется client_secret, который в данном случае хранится на сервере приложения, и подтверждает, что запрос не подделан.
@iron_bug для входа через #OAuth вовсе не надо
> регистрировать какой-то левый аккаунт непонятно где
Там используется обычный логин-пароль от того же самого аккаунта e-mail.
Это фактически способ не хранить пароль в программе-клиенте (который могут рано или поздно пронюхать и украсть).
Ты ведь желаешь отправлять почту не из родного GMail, а из программы стороннего разработчика?
Мы обсуждаем такой сценарий отправки?
@shuro
Managing Shadow AI Tools Requires a Proactive Security Approach
Employees are now using three to five AI tools daily, outpacing the controls in place to manage them, and creating a growing security gap that's hard to ignore. This surge in shadow AI tools is fueled by three key areas: OAuth connections, browser extensions, and bundled AI.
#ShadowAiTools #Oauth #BrowserExtensions #ArtificialIntelligence #EmergingThreats
Patrick 
Analyst207
Bit Regurgitator
IAMDevBox
happyborg
Старый По Литикан