Japanese telecom KDDI disclosed a data breach affecting up to 14.2 million email accounts across six ISPs including STNet, JCOM, NIFTY, and BIGLOBE. Attackers exploited a vulnerability in unnamed third-party software on KDDI's shared email system, potentially exposing email addresses and passwords. Some passwords were stored hashed or encrypted, but KDDI did not disclose the method or proportion stored in plaintext. The breach was discovered June 17 and reported to Japanese regulators. Affected customers are advised to reset passwords and enable 2FA. CISOs are warned about downstream risks from shared provider infrastructure, credential stuffing, and business dependence on personal ISP email accounts for recovery workflows.
Nguồn: https://securityboulevard.com/2026/06/kddi-breach-exposes-up-to-14-2-million-email-logins-at-six-isps. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.
LastPass thông báo dữ liệu hỗ trợ khách hàng (bao gồm tên, số điện thoại, email, địa chỉ) bị đánh cắp thông qua vụ xâm nhập tại Klue – đối tác nghiên cứu thị trường. Vault mật khẩu của LastPass không bị ảnh hưởng, nhưng nhóm tấn công Icarus đe dọa công bố dữ liệu nếu không trả tiền chuộc. Đây là vụ xâm nhập thứ hai của LastPass trong vài năm gần đây.
Lập trình viên nên đọc bài này để hiểu cách bảo mật hệ thống và dữ liệu khách hàng của các ứng dụng như LastPass, từ đó có thể áp dụng các biện pháp phòng ngừa và cải thiện an ninh cho các dự án của mình.
KDDI Corporation, one of Japan's largest ISPs, disclosed a data breach affecting up to 14.2 million email accounts across six ISPs. Threat actors exploited a vulnerability in unnamed third-party software to access an email system shared by STNet, JCOM, Chubu Telecommunications, NIFTY, and BIGLOBE. Exposed data includes email addresses and passwords, though some passwords were stored in hashed or encrypted form. KDDI discovered the breach on June 17, notified Japanese regulators, and is advising affected customers to reset passwords and enable 2FA.
South Africa's mobile operators, coordinated through the Association of Comms & Technology (ACT), have agreed a framework to strengthen SIM card registration and combat SIM fraud. The framework introduces enhanced identity verification, tighter registration controls, improved compliance monitoring, and closer cooperation with law enforcement. It serves as an interim industry-led measure while ACT simultaneously pushes for legislative reform of Rica's section 40, which governs SIM registration. Key issues addressed include the bulk pre-registration of SIMs by distributors ('pre-Rica'd' cards) and packaging that exposes SIM identifying numbers. Proposed solutions include biometric authentication at registration points and secure SIM packaging. The Competition Commission was consulted to ensure the inter-operator coordination does not raise competition concerns.
A security executive exempted themselves from MFA requirements they enforced on other employees, illustrating a classic 'one rule for workers, another for executives' double standard in corporate security policy. The story highlights how security leadership can undermine the very practices they mandate for others.
Các nền tảng FinTech di động cần áp dụng chiến lược "defense-in-depth" vì không có biện pháp bảo mật đơn lẻ nào đủ mạnh. Kiểm soát thiết kế, tín hiệu runtime, bảo vệ mạng, ủy quyền backend và đánh giá rủi ro giao dịch phải phối hợp chặt chẽ, với backend đóng vai trò là điểm tin cậy cuối cùng để xác minh danh tính, phiên giao dịch, tính toàn vẹn thiết bị và ngăn chặn các cuộc tấn công. Bài viết cũng chỉ ra những quan niệm sai lầm phổ biến và cung cấp checklist thực tế cho các luồng xử lý nhạy cảm.
Là lập trình viên phát triển ứng dụng tiền điện tử trên di động, bạn cần đọc bài này để hiểu cách xây dựng lớp bảo mật đa tầng (defense-in-depth) hiệu quả, tránh những lỗ hổng từ việc chỉ phụ thuộc vào một giải pháp kỹ thuật duy nhất.
Threat actors are abusing Shopify's Shop order-tracking app by injecting fake purchase receipts from brands like Norton, McAfee, Apple, and PayPal into users' order histories. The fraudulent receipts include a phone number victims are urged to call to dispute the charge — a callback phishing technique. Callers are then socially engineered into revealing credentials, payment details, or one-time passcodes, and sometimes tricked into installing remote access software. Shopify has deployed new controls to reduce the activity. The attack is notable because it exploits user trust in a legitimate app rather than email, and can escalate from consumer fraud to enterprise endpoint compromise if employees are targeted on work devices.