在线服务面临预劫持攻击风险

关键要点

超过35个在线服务可能面临预劫持攻击风险，包括LinkedIn、WordPress、Zoom、Instagram和Dropbox。这些攻击利用已被修复的漏洞，在用户创建账户之前接管账户。预劫持攻击的影响与账户接管相似，能让攻击者访问和修改敏感信息。

据 BleepingComputer 的报道，超过35个广泛使用的在线服务，包括LinkedIn、WordPress、Zoom、Instagram和Dropbox，可能会遭遇预劫持攻击。这些攻击涉及威胁行为者利用已经被修复的漏洞，在用户创建账户之前接管在线账户。来自微软安全响应中心的研究人员安德鲁帕弗德Andrew Paverd和独立安全研究员阿维纳什苏多丹Avinash Sudhodanan的研究显示，预劫持攻击的影响与账户接管相似。

研究人员指出：“根据目标服务的性质，成功的攻击可能允许攻击者读取/修改与账户相关的敏感信息例如：消息、账单声明、使用历史等，或利用受害者的身份执行操作例如：发送伪造消息、使用保存的支付方式进行购买等。”

攻击者只需掌握目标的电子邮件地址，便可以在特定网站建立一个账户，并等待他们的目标自己创建账户。此阶段可能包括经典的联合合并、未过期的会话ID、未过期的邮件更改、非验证身份提供者以及特洛伊识别码攻击，报告显示。

西部世界vqn

预劫持攻击漏洞在热门在线服务中普遍存在媒体