账号更改密码后依然可被黑客劫持，谷歌OAuth验证系统曝“MultiLogin”重大零日漏洞

1月2日消息，安全公司CloudSEK日前发现谷歌OAuth账号验证系统中存在一个零日漏洞，黑客可利用过期的cookie数据，配合一个名为“MultiLogin”的OAuth端点，生成“长期有效（session）”的新cookie，进而劫持受害者的谷歌账号。

安全公司表示，他们已经通知谷歌有关该漏洞遭黑客滥用的事实，并表示包含Lumma 勒索软件MultiLogin漏洞在内，如今黑客的网络攻击手法已“日益复杂化”。