Doctor Web Pacificの江川です。
マイナビニュースで表記の情報が公開されましたので、ご紹介します。
ユーザーのCircleCIセッションの期限切れを装いGitHubの認証情報を使ってログインさせようとするフィッシングメッセージが使われていました。
タイムベースド・ワンタイムパスワードベースの二要素認証を有効にしていても、攻撃者はアカウントに侵入することが可能と報告されています。
しかし、ハードウェアセキュリティキーで保護されているアカウントは、この攻撃に対して脆弱ではないと報告されています。
詳しくは、ニュース本文をご確認ください。
(ニュース本文は以下をご覧ください)
https://news.mynavi.jp/techplus/article/20220925-2461997/
