スイスで開催されたサイバーセキュリティ技術カンファレンス「Black Alps 2024」では、一般的なパスワードマネージャーから認証情報を流出させる方法についての講演が行われた。
この講演では、GitGuardian プラットフォームと Google Best Current Practice (SIP) を使用してセキュリティを検討しているブルー チーム向けのヒントも取り上げられました。
IT プロフェッショナルやハッカーを含む 600 名を超える参加者が参加しました。
特に注目すべき点は、パーソナル アクセス トークンは、電子メールを通じて盗まれたり抽出されたりする可能性のある秘密キーを復号化するために使用されることです。
ハッカーがユーザー アカウント キー情報を盗む可能性があります。
アプリケーションの uel-in-program キーは、BitWarden 従業員が漏洩した PAT のような悪意のあるコード リポジトリ アプリであっても悪用可能です。
PAT は GCPC 経由で配布されていました。
専門家は、一部の脆弱性について「アクセス制御システムがない」と述べています。
..
コメント