Huntress research on the EvilTokens phishing-as-a-service (PhaaS) campaign reveals a 1,380% surge in device code phishing between H2 2025 and early 2026. The campaign abuses legitimate Microsoft 365 authentication flows via Railway.com PaaS to steal tokens at scale, with no malware or fake login pages involved. AI is central to the threat: across 344 victim organizations, no two phishing lures were identical, breaking pattern-based defenses. Security experts warn that AI has collapsed attacker timelines from weeks to hours and that MFA alone is insufficient when legitimate auth flows are exploited. Recommended defenses include restricting device code authentication, monitoring for suspicious sign-ins, revoking tokens quickly, and treating non-human identity management as a growing priority.
Nguồn: https://securityboulevard.com/2026/07/eviltokens-campaign-reveals-device-code-phishing-ticks-up-1380-powered-by-ai. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán mất việc hàng loạt vừa đòi quyền kiểm soát hạ tầng vô hạn, nhấn mạnh nhu cầu xây dựng một hệ sinh thái AI phân tán thay vì tập trung vào vài mô hình thống trị. Microsoft ủng hộ xu hướng này bằng cách tung ra các mô hình AI giá rẻ và cân nhắc lưu trữ DeepSeek, nhằm cạnh tranh với OpenAI và Anthropic trước các đợt IPO sắp tới.
Những lập trình viên muốn xây dựng tương lai công nghệ bền vững và cạnh tranh trong thị trường AI đang phát triển nên đọc bài này để hiểu cách cân bằng lợi ích kinh tế với trách nhiệm xã hội, tránh rủi ro về tập trung quyền lực và tìm kiếm giải pháp công bằng trong cuộc cách mạng trí tuệ nhân tạo.
RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.
Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.
Microsoft chia sẻ cách họ chuyển đổi quy trình phát triển phần mềm nội bộ bằng cách triển khai nền tảng agentic (agentic platform) xuyên suốt toàn bộ vòng đời kỹ thuật. Hơn 90% nhà phát triển Microsoft sử dụng GitHub Copilot, 90% pull request được xem xét bởi AI, và Azure SRE Agent đã tiết kiệm hơn 50.000 giờ làm việc của nhà phát triển. Những kết quả nổi bật bao gồm tỷ lệ chính xác 80-90% khi di chuyển hàng trăm kho lưu trữ, giảm 55% công việc thủ công, và 88% nhà phát triển báo cáo tăng năng suất nhiệm vụ. Bài viết giới thiệu loạt blog "Customer Zero" với các trường hợp sử dụng thực tế như tự động hóa ứng phó sự cố, quản lý bảo mật tuân thủ quy mô lớn, và chuyển đổi vận hành mạng Azure.
Những công nghệ AI như GitHub Copilot và Azure SRE Agent không chỉ là công cụ hỗ trợ, mà là cách mới để tăng hiệu quả làm việc, giảm thiểu công việc thủ công và nâng cao chất lượng phát triển phần mềm trong tương lai.
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.

Lỗi mật mã trong xác thực và quản lý phiên (session) là một trong những rủi ro bảo mật ứng dụng web nghiêm trọng nhất, thường do sử dụng thuật toán băm mật khẩu lỗi thời (MD5, SHA-1), salts yếu, chế độ mã hóa không an toàn (ECB), khóa bí mật cứng, token phiên yếu hoặc tái sử dụng IV. Các biện pháp khắc phục bao gồm triển khai TLS 1.3, AES-GCM, thiết lập cookie bảo mật (Secure, HttpOnly, SameSite=Strict) và xoay khóa ký định kỳ.
Là lập trình viên phát triển ứng dụng web, bạn phải hiểu cách bảo vệ dữ liệu người dùng và hệ thống khỏi các lỗ hổng mật mã, vì những sai lầm trong xác thực và quản lý phiên sẽ khiến ứng dụng dễ bị tấn công và gây thiệt hại lớn về dữ liệu và uy tín.
An exploration of Kong Konnect's two API authentication surfaces — the platform admin API (using personal access tokens) and the Dev Portal developer API (using portalaccesstokens) — and why neither enables fully automated, agent-first onboarding. The author benchmarks Kong against SoundCloud's programmatic onboarding flow and finds Kong lands in a 'paste a token' bucket: the first credential still requires a human clicking through a UI. A complete Node.js script is provided that automates everything after that bootstrap step, supporting both admin listing and developer application registration with Key-Auth or OIDC/DCR credentials. The post closes with a call for Kong to publish a stable, documented public developer portal API that lets agents onboard end-to-end without manual console interaction.
Cơ quan FBI và CISA cảnh báo hacker tình báo Nga (UNC5792, UNC4221) đang lừa đảo người dùng Signal để chiếm đoạt recovery key, cho phép truy cập toàn bộ tin nhắn ngay cả khi đổi thiết bị. Tin nhắn giả mạo hỗ trợ Signal, dụ nạn nhân tiết lộ key thông qua các thủ đoạn xã hội kỹ thuật.
Lập trình viên nên đọc bài này để hiểu cách các nhóm hacker lợi dụng lỗ hổng xã hội trong ứng dụng giao tiếp phổ biến để trộm dữ liệu quan trọng, từ đó nâng cao kiến thức bảo mật cho các ứng dụng web/mobile của riêng mình.
Hướng dẫn từng bước tích hợp Okta với Google Workspace qua giao thức SCIM, bao gồm cấu hình xác thực API, quyền OAuth, đồng bộ hai chiều, quản lý mật khẩu và xác minh hoạt động người dùng.
Lập trình viên nên đọc bài này để hiểu cách tự động hóa và an toàn hóa việc quản lý người dùng giữa Google Workspace và Okta bằng SCIM, giúp tiết kiệm thời gian và tránh rủi ro khi xử lý thủ công.