momento f5

O novo phishing: como o consentimento OAuth está burlando o MFA

19 mai. 2026·The Hacker News
O novo phishing: como o consentimento OAuth está burlando o MFA

Em fevereiro, a plataforma de phishing-as-a-service EvilTokens entrou no ar — e em cinco semanas comprometeu mais de 340 organizações que usam Microsoft 365 em cinco países.

O truque é cirúrgico: a vítima recebe um link, autentica no provedor de identidade legítimo, completa o MFA normalmente e clica em "Aceitar" numa tela de consentimento OAuth. Nesse instante, o atacante recebe um refresh token válido com escopo de e-mail, drive, calendário e contatos — sem login suspeito, sem MFA acionado, sem senha trocada de mão. Trocar a senha não invalida o grant: só a revogação explícita do token fecha a porta.

O recado é claro: tratar o consentimento OAuth com o mesmo rigor que a autenticação virou questão de sobrevivência pra qualquer time de segurança em 2026.

👉 Leia o artigo completo no The Hacker News

Créditos: The Hacker News — Maio 2026

ÚLTIMAS NOTÍCIAS
Tudo o que o Google anunciou no keynote de devs do I/O 2026Desenvolvimento

Tudo o que o Google anunciou no keynote de devs do I/O 2026

1 jun. 2026
O loop de código com IA: como guiar a IA com regras e testesDesenvolvimento

O loop de código com IA: como guiar a IA com regras e testes

1 jun. 2026
Novo relatório mostra como a IA dá vantagem competitiva em cibersegurançaSegurança

Novo relatório mostra como a IA dá vantagem competitiva em cibersegurança

1 jun. 2026