A new phishing-as-a-service (PhaaS) platform called Forg365 targets Microsoft 365 accounts using a combination of adversary-in-the-middle (AiTM) and device-code phishing techniques, with AI-assisted lure generation built directly into its dashboard. The platform includes a browser extension (ForgCookie) that silently refreshes Microsoft SSO cookies for persistent post-compromise access, keyword monitoring of compromised mailboxes, and anti-analysis features like AES-encrypted redirectors and sandbox detection. It leverages Amazon SES for email delivery, Cloudflare Pages for landing pages, and Gophish for campaign management. Defenders are advised to restrict device-code authentication, monitor Entra logs, and revoke all tokens if compromise is suspected.
Nguồn: https://www.bleepingcomputer.com/news/security/new-forg365-phishing-platform-uses-ai-to-target-microsoft-365-accounts. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Xbox vừa thông báo sa thải 3.200 nhân viên, nâng tổng số việc làm bị cắt kể từ khi mua Activision Blizzard lên hơn 7.000. Việc đóng cửa bốn studio nổi tiếng và cách thông báo gây tranh cãi cho thấy chiến lược của Xbox đang gặp khó khăn, khi các kế hoạch như Game Pass hay đa nền tảng không đạt kỳ vọng.
Những thay đổi radical ở Xbox nhắc nhở lập trình viên cần cảnh giác trước những quyết định chiến lược không rõ định hướng, đặc biệt khi thị trường game biến động nhanh như gió, vì một chiến lược cắt giảm không bền vững có thể khiến công ty mất đi những tài năng sáng tạo và cơ hội hợp tác lâu dài.
Một nhà phát triển phàn nàn rằng chu kỳ hỗ trợ 3 năm (LTS) của .NET là quá ngắn, không đủ cho nhu cầu nâng cấp doanh nghiệp khi phiên bản LTS mới ra mắt thì phiên bản cũ chỉ còn 1 năm hỗ trợ. Điều này khiến nhiều doanh nghiệp phải tiếp tục sử dụng .NET Framework cũ hơn do có chu kỳ hỗ trợ dài hơn (khoảng 10 năm) nhờ gắn liền với Windows OS.
Lập trình viên cần đọc bài này để hiểu cách Microsoft đang đối mặt với thách thức phải cân bằng giữa phát triển nhanh chóng của .NET Core/5+ với quy trình bảo mật và hỗ trợ lâu dài của các doanh nghiệp, và quyết định của họ có thể ảnh hưởng đến sự ổn định cho dự án hiện tại.
Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán mất việc hàng loạt vừa đòi quyền kiểm soát hạ tầng vô hạn, nhấn mạnh nhu cầu xây dựng một hệ sinh thái AI phân tán thay vì tập trung vào vài mô hình thống trị. Microsoft ủng hộ xu hướng này bằng cách tung ra các mô hình AI giá rẻ và cân nhắc lưu trữ DeepSeek, nhằm cạnh tranh với OpenAI và Anthropic trước các đợt IPO sắp tới.
Những lập trình viên muốn xây dựng tương lai công nghệ bền vững và cạnh tranh trong thị trường AI đang phát triển nên đọc bài này để hiểu cách cân bằng lợi ích kinh tế với trách nhiệm xã hội, tránh rủi ro về tập trung quyền lực và tìm kiếm giải pháp công bằng trong cuộc cách mạng trí tuệ nhân tạo.
Microsoft sẽ ngừng hỗ trợ .NET 8 và .NET 9 vào ngày 10/11/2026, khuyến nghị nâng cấp lên .NET 10 (LTS, hỗ trợ đến 11/2028) bằng cách thay đổi TargetFramework trong project files và cập nhật môi trường phát triển. Các ứng dụng trên phiên bản cũ vẫn chạy nhưng gặp rủi ro bảo mật chưa vá.
Lập trình viên nên đọc bài này để tránh rủi ro về bảo mật và chi phí bảo trì khi ứng dụng của họ vẫn hoạt động nhưng không nhận được cập nhật an toàn sau ngày kết thúc hỗ trợ .NET 8 và 9.
XAA là khung danh tính của Okta thay thế API keys tĩnh và OAuth rải rác bằng cơ chế truyền token dựa trên danh tính giữa các ứng dụng. Để tích hợp XAA vào OIN, ISV phải hỗ trợ OIDC/SAML SSO, triển khai ID-JAG token exchange flows, vượt qua bài test xác minh rồi gửi form chi tiết qua email tới Okta OIN team.
Lập trình viên phát triển ứng dụng cần đọc để hiểu cách xây dựng kết nối bảo mật Cross App Access (XAA) trên Okta, tránh rủi ro bảo mật và tối ưu hóa tính liên kết giữa các ứng dụng theo tiêu chuẩn hiện đại.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
Microsoft sa thải khoảng 4.800 vị trí (2,1% lực lượng lao động toàn cầu), chủ yếu tại mảng Thương mại và Xbox, nhằm tái cấu trúc doanh nghiệp trước những thay đổi nhanh chóng của ngành, chứ không phải do AI thay thế trực tiếp. Hãng đã tái bố trí hơn 4.000 nhân viên vào vai trò mới và triển khai chương trình nghỉ hưu tự nguyện trong năm qua. Bốn studio game sẽ chuyển sang quản lý mới, trong khi Microsoft cam kết đào tạo nâng cao kỹ năng (bao gồm AI) cho nhân viên còn lại và hỗ trợ tài chính cho người bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu cách công nghệ lớn như Microsoft ứng dụng chiến lược tái cấu trúc công ty để chuyển đổi sang thị trường đòi hỏi AI và đổi mới nhanh chóng, giúp họ dự đoán xu hướng việc làm trong tương lai và chuẩn bị kỹ năng cho sự phát triển bền vững.
Bài viết hướng dẫn toàn diện về bảo mật xác thực trong ứng dụng web hiện đại, từ lưu trữ JWT trong localStorage (dễ bị XSS đánh cắp) đến giải pháp an toàn hơn như token trong bộ nhớ, cookie httpOnly kết hợp bảo vệ CSRF, phiên server-side so với JWT, xoay vòng refresh token OAuth, và mô hình Backend for Frontend (BFF). Khuyến nghị chính là lưu phiên trong cookie httpOnly kèm server-side session store, sử dụng CSRF token cùng SameSite/Origin header, và đẩy toàn bộ xử lý token OAuth vào BFF để trình duyệt không bao giờ tiếp xúc trực tiếp. Ngoài ra, bài viết cũng đề cập đến mối đe dọa mới nổi là infostealer/pass-the-cookie và giải pháp bảo vệ cấp phần cứng DBSC của Chrome, kèm theo ví dụ code React để xử lý yêu cầu refresh token đồng thời.
Là người phát triển cần hiểu cách bảo mật xác thực hiện hiệu nhất để tránh các lỗ hổng như XSS, CSRF, và tấn công mới như pass-the-cookie, đồng thời tối ưu hóa hiệu suất và bảo mật cho ứng dụng hiện đại.