A large-scale automated password spray attack targeted Microsoft 365 accounts, with attackers making 81 million login attempts against Huntress customers between June 12–26, successfully compromising at least 78 accounts. The attack originated from a single IPv6 address range controlled by LSHIY LLC and exploited the OAuth ROPC flow using previously exposed credentials. Success was enabled by misconfigured MFA policies — some organizations enforced MFA only for specific apps or user groups rather than all cloud apps, leaving gaps that attackers exploited via Azure CLI logins.
Nguồn: https://www.csoonline.com/article/4192819/microsoft-365-users-fall-victim-to-one-in-a-million-password-spray-attack.html. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Bản phát hành LTS mới Red Hat build of Quarkus 3.33 mang đến nhiều cải tiến quan trọng như nâng cấp Hibernate ORM 7.2, Reactive 3.2, Search 8.2, hỗ trợ Java 25 đầy đủ, kiểm soát bảo mật OIDC chi tiết hơn, cùng công nghệ AOT caching (dưới dạng preview) để giảm thời gian khởi động JVM. Ngoài ra, phiên bản này còn bổ sung tích hợp Jakarta Data, mặc định TLS 1.3, băm credential SHA-512, và cải thiện trải nghiệm nhà phát triển với nhiều backend cache, vòng đời đóng gói Maven mới, cũng như hỗ trợ Kafka request-reply (dưới dạng preview).
Lập trình viên phát triển ứng dụng Java doanh nghiệp nên đọc để cập nhật về Quarkus 3.33 LTS, từ đó tối ưu hiệu suất, ổn định và tính bảo mật cho dự án với các tính năng mới như Java 25, TLS 1.3, và cải tiến ORM/Hibernate, đồng thời khám phá các công nghệ tiên tiến như AOT và Kafka SmallRye để nâng cao hiệu suất và kinh nghiệm phát triển.
Một nhà phát triển phàn nàn rằng chu kỳ hỗ trợ 3 năm (LTS) của .NET là quá ngắn, không đủ cho nhu cầu nâng cấp doanh nghiệp khi phiên bản LTS mới ra mắt thì phiên bản cũ chỉ còn 1 năm hỗ trợ. Điều này khiến nhiều doanh nghiệp phải tiếp tục sử dụng .NET Framework cũ hơn do có chu kỳ hỗ trợ dài hơn (khoảng 10 năm) nhờ gắn liền với Windows OS.
Lập trình viên cần đọc bài này để hiểu cách Microsoft đang đối mặt với thách thức phải cân bằng giữa phát triển nhanh chóng của .NET Core/5+ với quy trình bảo mật và hỗ trợ lâu dài của các doanh nghiệp, và quyết định của họ có thể ảnh hưởng đến sự ổn định cho dự án hiện tại.
Microsoft ra mắt Frontier Company với khoản đầu tư 2,5 tỷ USD, triển khai 6.000 chuyên gia kỹ thuật trực tiếp tại doanh nghiệp để cùng xây dựng hệ thống AI chuyên dụng. Dự án tập trung vào "Frontier Transformation", giúp doanh nghiệp phát triển giải pháp AI bảo vệ sở hữu trí tuệ (IP) và tối ưu hóa dữ liệu riêng, hỗ trợ đa dạng mô hình (OpenAI, Anthropic, mã nguồn mở) và đảm bảo chủ quyền dữ liệu.
Nếu bạn là lập trình viên AI muốn chuyển từ xây dựng mô hình đơn giản sang giải quyết vấn đề doanh nghiệp thực tế, đọc bài này để hiểu cách Microsoft kết hợp kỹ thuật, pháp lý và kinh doanh để tạo ra hệ sinh thái bảo vệ IP và tối ưu hóa hiệu quả kinh doanh thông qua các giải pháp AI cá nhân hóa.
Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán mất việc hàng loạt vừa đòi quyền kiểm soát hạ tầng vô hạn, nhấn mạnh nhu cầu xây dựng một hệ sinh thái AI phân tán thay vì tập trung vào vài mô hình thống trị. Microsoft ủng hộ xu hướng này bằng cách tung ra các mô hình AI giá rẻ và cân nhắc lưu trữ DeepSeek, nhằm cạnh tranh với OpenAI và Anthropic trước các đợt IPO sắp tới.
Những lập trình viên muốn xây dựng tương lai công nghệ bền vững và cạnh tranh trong thị trường AI đang phát triển nên đọc bài này để hiểu cách cân bằng lợi ích kinh tế với trách nhiệm xã hội, tránh rủi ro về tập trung quyền lực và tìm kiếm giải pháp công bằng trong cuộc cách mạng trí tuệ nhân tạo.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.
Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.
Microsoft chia sẻ cách họ chuyển đổi quy trình phát triển phần mềm nội bộ bằng cách triển khai nền tảng agentic (agentic platform) xuyên suốt toàn bộ vòng đời kỹ thuật. Hơn 90% nhà phát triển Microsoft sử dụng GitHub Copilot, 90% pull request được xem xét bởi AI, và Azure SRE Agent đã tiết kiệm hơn 50.000 giờ làm việc của nhà phát triển. Những kết quả nổi bật bao gồm tỷ lệ chính xác 80-90% khi di chuyển hàng trăm kho lưu trữ, giảm 55% công việc thủ công, và 88% nhà phát triển báo cáo tăng năng suất nhiệm vụ. Bài viết giới thiệu loạt blog "Customer Zero" với các trường hợp sử dụng thực tế như tự động hóa ứng phó sự cố, quản lý bảo mật tuân thủ quy mô lớn, và chuyển đổi vận hành mạng Azure.
Những công nghệ AI như GitHub Copilot và Azure SRE Agent không chỉ là công cụ hỗ trợ, mà là cách mới để tăng hiệu quả làm việc, giảm thiểu công việc thủ công và nâng cao chất lượng phát triển phần mềm trong tương lai.
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.