chatgpt-oauth-bridge 소개 chatgpt-oauth-bridge는 API 키 없이 ChatGPT/Codex OAuth sessions를 사용해 로컬에서 OpenAI 호환 방식으로 실험할 수 있게 해주는 개발자용 브리지입니다. 저장소 설명 기준으로 text, images, Realtime audio, embeddings, files, local OpenAI-compatible routes를 다룹니다. Source: https://github.com/sueun-dev/chatgpt-oauth-bridge

Read more: CyberSecBrief

OAuth Consent Bypass: O Novo Vector de Ataque que Contorna o MFA A recente evolução no cenário de ameaças cibernéticas revelou um novo tipo de phishing que desafia as defesas tradicionais, especialmente aquelas baseadas em autenticação multifator (MFA). Em fevereiro de 2026, uma plataforma PhaaS chamada EvilTokens foi lançada e, em apenas cinco semanas, comprometeu mais de 340 organizações do Microsoft 365 em cinco países. A técnica utilizada consiste em enganar os usuários a clicarem em um pedido de consentimento OAuth durante o processo de login no dispositivo, onde eles inserem um código e completam uma autenticação MFA válida — mas acabam concedendo acesso ao refresh token do usuário, com escopo completo sobre caixa postal, drive, calendário e contatos. Esse ataque é particularmente perigoso porque o usuário acredita estar realizando uma operação legítima de verificação. O atacante não precisa de credenciais ou desencadeia prompts MFA — ele simplesmente obtém um token que pode ser usado indefinidamente, dependendo da política do tenant. A falha está na percepção do usuário: o consentimento OAuth se tornou uma ação automática, quase inconsciente, semelhante ao clique em banners de cookies. O problema é que os controles tradicionais de segurança focados em credenciais não analisam esse nível de consentimento. Enquanto isso, o MFA já foi executado e validado no domínio legítimo — então ele não pode bloquear a concessão do token. Além disso, esses refresh tokens podem permanecer ativos mesmo após uma troca de senha, exigindo revogação explícita ou políticas condicionais para reverter o acesso. A técnica não é nova; o OAuth já existia há anos. O que mudou foi a quantidade e frequência com que os usuários interagem com essas telas de consentimento — hoje, um profissional de conhecimento pode ver mais solicitações legítimas de consentimento em um mês do que havia quando os modelos de ameaça originais foram criados. E as mensagens dos escopos são frequentemente ambíguas: "Ler seu e-mail" parece limitado, mas na prática permite acesso a todos os dados do usuário. Essa nova forma de ataque — chamada de consent phishing ou abuse OAuth grant — representa uma ameaça estrutural que se encontra abaixo das defesas tradicionais de identidade. É um problema de design e comportamento combinados, exigindo novas abordagens de segurança para proteger não apenas credenciais, mas também os direitos concedidos durante o processo de autorização. 🛡️ O foco deve ser redefinido: além do MFA, é preciso monitorar e controlar as concessões OAuth. 🚨 A falta de visibilidade sobre consentimentos pode levar a brechas críticas em ambientes corporativos. 💻 As políticas condicionais precisam ser revisadas para exigir reconsentimento após eventos significativos. #phishing #OAuth #MFA #SegurançaCibernética #consentimento #RefreshToken #Microsoft365 #IdentitySecurity #SIEM #ThreatModeling Link: https://thehackernews.com/2026/05/the-new-phishing-click-how-oauth.html

Read more: CyberSecBrief