黑客利用虚假CircleCI 通知窃取GitHub帐户

GitHub警告称，自9月16日以来的网络钓鱼活动中，黑客通过冒充持续集成持续部署工具平台CircleCI电子邮件瞄准其用户。

据悉，在钓鱼攻击活动中，黑客仿冒CircleCI平台通过电子邮件通知收件人童虎条款和隐私政策已更改，进而诱导普通用户登录GitHub帐户以接受修改并继续使用服务。黑客的目的则是通过反向代理中继窃取GitHub帐户凭据和双因素身份验证 (2FA) 代码。

GitHub表示，虽然GitHub本身没有受到影响，但此类攻击活动已经影响了许多受害组织。目前，CircleCI在其论坛上发布啦一条通知，称该平台永远不会要求用户输入凭据查看或更改其服务条款。[阅读原文]