68690
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
AGI: утопия или антиутопия? Разбираем два сценария будущего.
Сторонники AGI рисуют нам рай на Земле. ИИ победит рак, решит климатический кризис и подарит всем «универсальный высокий доход». У каждого будет личный робот-дворецкий, лучшая медицина и бесконечное изобилие.
Обратная сторона медали куда мрачнее. Что, если такая система попадёт не в те руки? Или, что ещё хуже, сама решит, что с человечеством пора кончать? Тим Бернерс-Ли, создатель веба, прямо говорит: если машина умнее нас, её нужно уметь жёстко контролировать.
Так куда качнётся маятник? В сторону вечного процветания или техногенного рабства? От ответа на этот вопрос зависит, какие защитные барьеры мы выстроим прямо сейчас, пока технология ещё в наших руках.
#ИИ, #AGI, #технологии @SecLabNews
👀Китай объявляет войну пессимизму в Сети: новая кампания «очистки» соцсетей
Китайские власти запустили беспрецедентную двухмесячную кампанию по «очистке» киберпространства, нацеленную не только на политическую критику, но и на любые проявления общественного пессимизма. Под прицел Управления по киберпространству Китая (CAC) попал контент, который «провоцирует чрезмерно пессимистические настроения» или продвигает идеи о бессмысленности труда. Государственное телевидение заявило, что интернет «не свалка для негатива».
В рамках кампании уже заблокированы тысячи аккаунтов популярных блогеров, включая тех, кто пропагандировал стиль жизни «лежать и не напрягаться» (tangping), или критиковал социальное неравенство. Регулятор наказывает за «злонамеренную интерпретацию» новостей для создания впечатления системных проблем. Weibo отчитался о блокировке более 1200 аккаунтов за распространение слухов об экономике.
Эксперты отмечают, что, хотя официальная цель — «укрепление общественного оптимизма», инициатива имеет явный политический подтекст. Власти опасаются, что растущее на фоне экономической неопределённости недовольство может перерасти в открытую критику партии. Борьба с «эмоциональными хищниками» — это, по сути, попытка государства контролировать коллективное настроение.
#Китай #ЦензураНастроения #ЗапретНаПессимизм
@SecLabNews
😱 Уязвимость в ИИ-интеграции Figma позволяла удалённо выполнять команды
Популярный инструмент для работы с макетами, Figma, оказался под угрозой из-за серьезной уязвимости (CVE-2025-53967), связанной с сервером Model Context Protocol (MCP), который лежит в основе интеграции с ИИ-агентами. Проблема, обнаруженная летом 2025 года специалистами из Imperva, заключалась в небезопасной обработке входящих данных компонентом figma-developer-mcp. На момент выявления ошибка позволяла злоумышленникам добиваться удаленного выполнения команд (RCE) на стороне сервера с оценкой опасности 7,5 балла по CVSS.
Суть RCE-уязвимости крылась в некорректном формировании shell-команд: параметры, полученные от клиента, напрямую подставлялись в вызов curl через child_process.exec без должной фильтрации. Это открывало возможность для инъекции метасимволов оболочки (например, |, &&), позволяя атакующему подменить логику выполнения и исполнить произвольную команду с правами серверного процесса. Атака могла быть реализована как в рамках локальной сети, так и с использованием техник вроде DNS Rebinding, потенциально затрагивая проекты и личные данные разработчиков.
Проблема уже устранена в версии Figma 0.6.3, выпущенной 29 сентября 2025 года. Разработчикам рекомендовано обновить свои версии и отказаться от использования child_process.exec при работе с внешним вводом, перейдя на более безопасный execFile.
#Figma #уязвимость #кибербезопасность #MCP
@SecLabNews
🚔13,6 млн штрафа и 21 год колонии: Осужден IT-специалист, обслуживавший крупнейший даркнет-маркетплейс
Дзержинский районный суд Ярославля вынес обвинительный приговор 37-летнему жителю Санкт-Петербурга по делу об участии в преступном сообществе и сбыте наркотиков. Мужчина, предположительно Борис Губко, признан виновным в техническом обеспечении работы крупной даркнет-площадки. Он занимался системным администрированием серверов, поддерживая функционирование скрытого онлайн-ресурса, через который 10 лет велась масштабная торговля запрещёнными веществами в шести регионах России.
Платформа, связанная с ликвидированным в 2022 году маркетплейсом «Г***», имела колоссальные масштабы: до 17 миллионов пользователей и 19 тысяч продавцов. Ее деятельность была пресечена в результате международной операции спецслужб США и Германии.
По совокупности обвинений суд назначил петербуржцу наказание в виде 21 года лишения свободы в колонии строгого режима, а также наложил штраф в размере более 13,6 миллиона рублей. Приговор пока не вступил в силу. Это продолжение громкого дела, по которому организатор уже получил пожизненный срок, а другой администратор — 6 лет.
#Приговор #Даркнет #ITПреступления
@SecLabNews
⚔️Кибер-реальность: 79% атак — политика, а ИИ уже у хакеров
Европейское агентство по кибербезопасности ENISA опубликовало отчёт Threat Landscape 2025, и его выводы тревожны: кибератаки не просто множатся, а переходят на новый, более сложный уровень. Основными целями остаются критически важные отрасли и государственные структуры, но активность политически мотивированных групп и хактивистов достигла исторического максимума. В фокусе — органы власти, транспорт, финансы и промышленность.
Согласно данным отчёта, более 38% инцидентов пришлись на сферу госуправления, где наиболее разрушительными для муниципальных систем стали вирусы-вымогатели. Второе место (7,5%) занял транспорт, при этом ENISA особо выделяет растущий интерес связанных с госразведками группировок к морской инфраструктуре. Главным инструментом начального проникновения остаётся фишинг (~60% случаев), включающий vishing и malspam.
Отдельного внимания заслуживает изменение тактики: атакующие массово внедряют ИИ для автоматизации, ускорения разведки и создания сложных фишинговых сценариев. Хотя число инцидентов с вымогательским ПО снизилось, оно всё ещё остаётся самой разрушительной угрозой (Akira, SafePay). Политически мотивированные кампании доминируют (79,4%), а симбиоз киберпреступности и госструктур делает ландшафт угроз беспрецедентно сложным.
#ENISA #Кибербезопасность #Киберугрозы
@SecLabNews
🛡CodeMender от DeepMind: ИИ-агент, который сам чинит уязвимости в коде
Google DeepMind представила CodeMender — новый ИИ-агент, предназначенный для автоматического поиска и исправления уязвимостей в программном коде. Система использует мощь Gemini Deep Think (LLM) в сочетании с набором инструментов для статического и динамического анализа, что позволяет ей устранять ошибки гораздо быстрее и точнее, чем традиционный ручной труд.
CodeMender не просто реагирует на известные проблемы, но и проактивно переписывает код, устраняя целые классы уязвимостей. Агент способен сам убедиться, что исправление устраняет первопричину, не вызывая при этом регрессий. За полгода команда DeepMind передала в открытые проекты 72 патча безопасности для библиотек объёмом свыше 4,5 млн строк кода.
В одном из случаев CodeMender автоматически добавил аннотации для предотвращения переполнений буфера в библиотеке libwebp, где ранее была найдена критическая уязвимость, использовавшаяся в эксплойте NSO Group. Все изменения пока проходят обязательную ручную проверку, но цель — сделать инструмент доступным для всех разработчиков.
#CodeMender #GoogleDeepMind #Кибербезопасность
@SecLabNews
🖥 Один дата-центр — одна точка отказа
🔥 Южная Корея на себе прочувствовала, что значит поставить всё на одну карту. Один дата-центр, один пожар — и критически важные сервисы всей страны рухнули в считаные минуты. Потому что бэкапы лежали… прямо рядом с основными данными.
💥 Это не просто технический сбой — это провал в мышлении. Архитектура была выстроена вокруг удобства, но не устойчивости. Никаких резервных узлов, никакой физической изоляции. Всё — в одном месте. А значит, и уязвимость — тоже одна на всех.
🧯 В итоге страна, которая всегда считалась эталоном технологического развития, столкнулась с базовой проблемой: как только исчезает единственный узел, исчезает всё. Это не просто сбой, а просчёт на уровне всей архитектуры — и он может повториться в любой стране.
#датацентр #бэкап #инфраструктура #госсервисы
@CyberStrikeNews
📞 IPv9: Китайский "призрак" в борьбе за цифровой суверенитет
В начале 2000-х годов, когда мир готовился к переходу на IPv6, в Китае зародился амбициозный и загадочный проект — протокол IPv9. Идея, выдвинутая инженером Се Цзяньпином, заключалась не просто в создании технической альтернативы, но и в формировании независимого, чисто китайского интернет-пространства. Это был прямой ответ на обеспокоенность, связанную с тем, что в то время большинство корневых DNS-серверов контролировалось США.
Проект быстро оброс патентами и громкими заявлениями о «введении в коммерческий оборот» уже к 2004 году. Однако с самого начала он вызывал глубокий скепсис как на международном уровне (с недоумением выступил даже «отец Интернета» Винт Серф), так и внутри Китая. Главной технической особенностью IPv9 стала десятичная адресация и поддержка колоссальных 2048-битных адресов, что, по задумке, должно было упростить использование, но на деле оказалось слишком громоздким.
В итоге, IPv9 так и не стал рабочим международным стандартом, оставшись на уровне лабораторных экспериментов и патентов. После 2017 года правительство КНР сосредоточило усилия на ускоренном внедрении IPv6, признав международный протокол основным путем развития.
#IPv9 #ЦифровойСуверенитет #Китай
@SecLabNews
🔥 Ваши данные стоят слишком дорого, чтобы ими рисковать
Positive Technologies 8 октября запустит новый продукт — PT Data Security*. Он создан, чтобы вовремя выявлять угрозы и предотвращать утечки, пока они не привели к кризису.
На онлайн-трансляции вы первыми узнаете:
🔴Какие задачи и риски сегодня определяют настоящее и будущее рынка защиты данных.
🔴Какие вызовы стоят перед компаниями на рынке защиты данных.
🔴Почему Positive Technologies выходит на рынок защиты данных с новым подходом.
🕒 16:00 мск
📍 Онлайн
👉 Регистрация
*Защита данных
💰 Дефицит пива Asahi Super Dry: Последствия кибератаки докатились до магазинов
Кибератака, которая ранее остановила работу почти всех производственных мощностей пивоваренной компании Asahi в Японии, начала сказываться на розничном рынке. Из-за сбоя в цифровой инфраструктуре, которая затронула системы приёма заказов и логистики, запасы популярного пива Super Dry стремительно сокращаются. С понедельника простаивает подавляющее большинство из 30 японских предприятий Asahi.
Крупнейшие торговые сети, включая Lawson, уже предупреждают о возможных перебоях в поставках. Представители ритейлеров говорят о вероятности полного исчезновения Super Dry из супермаркетов в течение двух-трёх дней, а других продуктов Asahi — максимум через неделю. Согласно расчётам, до сбоя Asahi производила около 6,7 миллиона больших бутылок пива в сутки, и любое длительное нарушение этого цикла сразу же оказывает влияние на рынок.
Проблема не ограничивается пивом: под угрозой нехватки оказались безалкогольные напитки, детское питание и другие товары концерна. Компания была вынуждена отложить запуск восьми новых продуктов. Сама Asahi воздерживается от комментариев относительно запасов и сроков восстановления поставок, но начала тестирование бумажной обработки заказов и поставок как аналоговой схемы.
#Asahi #SuperDry #Кибератака
@SecLabnews
Кофе, SOC и логи. Анонс №6
О чём:
Обсуждение лучших новостей инфобеза за неделю с 29 сентября по 5 октября 2025 г.
Ведущие:
Александр Антипов,
Денис Батранков,
Иван Казьмин,
Антон Клочков.
Специальный гость:
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, автор канала «Пост Лукацкого» и блога «Бизнес без опасности».
Когда: 05.10.2025 11:00 – ссылка на наш календарь
Трансляция будет здесь: 🗣 https://stream.itradio.su
Задаём свои вопросы в чате подкаста с тегом #csl6
@ITRadiosu #csl
🚨 Telegram-каналы: без бота регистрации не будет
3 октября Роскомнадзор напомнил: после подачи заявления через «Госуслуги» администратор должен из своего аккаунта в мессенджере запустить бота TrustChannelBot.
После запуска бота полученный на Госуслугах номер регистрации сверяется с введенным в бот. Другой процедуры подтверждения владения каналом в этой социальной сети нет. Если этот шаг пропустить, заявление вернётся с формальным признаком отказа, и придётся подавать его повторно.
Обязательная регистрация действует с 1 ноября 2024 года и распространяется на каналы с аудиторией от 10 тысяч подписчиков. Без неё блогерам запрещено размещать рекламу, принимать пожертвования и получать репосты от других каналов.
#РКН #Telegram #Bot @SecLabNews
🔐$55 000 и "Багамы": цена, которую хакеры предлагали за доступ к BBC
Журналист BBC Джо Тайди получил предложение, от которого невозможно отказаться — доля в выкупе от кибератаки. Неизвестный под ником Syndicate предложил ему 25% от украденной у корпорации суммы за простой доступ к рабочему компьютеру. Обычная история, скрытая в теневом мире киберпреступности, вдруг вышла наружу. Преступники уверяли, что это обычная практика, ссылаясь на успешные сделки с инсайдерами и многомиллионный ущерб, причинённый недавно бразильскому банку.
Syndicate представился «менеджером» знаменитой группировки Medusa (вымогательство как услуга), известной атаками на сотни организаций по всему миру. Чтобы усилить давление, хакеры пообещали депозит в 0,5 BTC (около $55 000) и стали требовать логин, код 2FA и даже запуск фрагмента кода на рабочем ноутбуке. Журналист затянул время, и тогда началась цифровая осада.
На телефон Тайди обрушился поток всплывающих запросов на подтверждение входа в BBC — классический MFA bombing, ранее использованный для взлома Uber. Журналист не поддался, срочно связался со службой безопасности, и его временно отключили от всех систем. Хакер, получив отпор, удалил аккаунт и исчез.
#Кибербезопасность #Medusa #Инсайдер
@SecLabNews
💰Инсценируй преступление — получи деньги: странный эксперимент Anker с камерами Eufy
Китайская Anker, владеющая брендом камер Eufy, в конце 2024 года запустила эксперимент, который выглядел как смесь шоу и исследования. С декабря по февраль пользователям платили по $2 за видео кражи посылки или попытки открыть дверь автомобиля. Причём принимались не только реальные происшествия, но и постановки — инсценируй вора у себя во дворе и получи деньги. За имитацию взлома машины можно было заработать до $80.
Официальная цель — собрать 40 тысяч роликов и научить алгоритмы ИИ лучше распознавать подозрительные действия. Компания подчёркивала: записи нужны только для тренировки систем и не попадут к третьим лицам. Постановочные сцены, уверяли в Eufy, позволяют системе отличать реальную угрозу от игры.
На практике в кампании приняли участие более сотни человек, а общий объём видео исчисляется сотнями тысяч. Эксперимент перерос в постоянную программу Video Donation Program. Теперь деньги не платят: участники получают виртуальные значки, место в рейтинге или подарки. Лидером «стены почёта» стал пользователь, загрузивший свыше 201 тысячи роликов.
#eufy #искусственныйинтеллект #приватность
@SecLabNews
🫢Брокман: каждому человеку нужен свой GPU для ИИ-агента
В недавнем интервью CNBC главы OpenAI (Сэм Альтман, Грег Брокман) и CEO Nvidia Дженсен Хуанг раскрыли амбиции своего партнерства. Сэм Альтман сравнил масштаб сотрудничества с программой «Аполлон», заявив, что будущий коллективный ИИ станет «супермозгом», интегрированным в повседневную жизнь.
Президент OpenAI Грег Брокман представил более конкретное видение, предполагающее, что у каждого человека будет личный агентный ИИ, работающий круглосуточно, в том числе во время сна. Брокман прямо заявил о необходимости того, чтобы у каждого был свой выделенный GPU. Для обеспечения этого «всегда активного» ИИ потребуется около 10 миллиардов графических процессоров.
Брокман подчеркнул, что индустрия отстает от необходимого уровня вычислительной мощности на три порядка. Он предсказал наступление «дефицита вычислений», отметив, что «экономика будет питаться вычислительными ресурсами». Это подразумевает, что доступ к мощностям центров обработки данных может стать новой, де-факто, валютой.
#OpenAI #Nvidia #GPU #ИИ
@SecLabNews
Эффективное управление уязвимостями: интеграция ScanFactory VM и RedCheck
На вебинаре 16 октября эксперты расскажут, как интеграция ScanFactory VM и RedCheck делает управление уязвимостями удобнее и эффективнее для компаний.
Вы узнаете, как:
▪️видеть реальную картину защищенности в одном окне;
▪️закрыть требования регулятора благодаря использованию сертифицированного ФСТЭК продукта;
▪️ускорить устранение проблем за счет автоматизации и искусственного интеллекта;
▪️работать с акцентом на реальные риски, а не «уязвимости ради уязвимостей».
📅 Дата: 16 октября
⏰ Время: 11:00–12:30 (мск)
Спикеры:
▪️Владимир Иванов, основатель ScanFactory
▪️Дмитрий Черняков, директор по развитию продуктов АЛТЭКС-СОФТ
Зарегистрироваться.
«Интернет больше не свободен». Дуров о контроле, приватности и времени, которого нет
Основатель Telegram решил отметить 41-летие нетипично — мрачным прогнозом для всего онлайна. Павел Дуров прямо заявляет, что эпоха свободного обмена информацией подходит к концу, уступая место инструментам государственного контроля. И времени на исправление ситуации почти не осталось.
В качестве симптомов болезни он приводит свежие примеры: от «паспортного режима» для входа на сайты для взрослых в UK до тотальной слежки за переписками в ЕС (тот самый Chat Control). Даже позиция Германии, которая пока отбивается от сканирования чатов, выглядит как временная передышка перед неизбежным.
На фоне продолжающегося расследования во Франции, где Дурову пришлось внести залог, его заявление звучит особенно весомо. Это не просто философские размышления, а крик человека, который видит, как закручиваются гайки, и призывает всех очнуться.
#Дуров, #Telegram, #приватность @SecLabNews
❤️ Автоматизация ФЗ-152: меньше рутины, больше контроля
🗓 16 октября | 11:00 (МСК)
Соблюдение ФЗ-152 — это ответственность, где ошибки грозят штрафами. Мы покажем, как превратить его исполнение из сложной задачи в простой процесс.
Узнайте на вебинаре, как решение Security Vision помогает:
✅Автоматизировать рутину и ускорить подготовку документов.
✅Снизить риски штрафов и претензий регулятора.
✅Построить прозрачную систему управления персональными данными.
✅Получать готовые документы (модель угроз, техпаспорт и др.) одним кликом.
✅Централизовать учет ИСПДн и видеть всю картину онлайн.
Сделайте выполнение ФЗ-152 простым, быстрым и надежным.
📎 Присоединяйтесь к вебинару!
🤖 Казахстан ввёл в Совет директоров первого цифрового члена — нейросеть SKAI
На форуме Digital Bridge в Астане Фонд «Самрук-Казына» представил Президенту Касым-Жомарту Токаеву нейросеть SKAI (Samruk-Kazyna Artificial Intelligence) — первого в регионе цифрового независимого члена Совета директоров с правом голоса. Разработка создана для повышения прозрачности и качества корпоративного управления.
Система анализирует решения Совета директоров и нормативные документы с 2008 года, помогая принимать более обоснованные решения. Она работает в закрытом контуре на суперкомпьютере Al Farabium «Казахтелекома» и использует казахстанскую языковую модель Alem LLM.
По словам главы Фонда Нурлана Жакупова, это «качественный скачок» в управлении, где человек и ИИ впервые голосуют вместе. Уже на ближайшем заседании Совета директоров SKAI примет участие в голосовании.
@SciTechQuantumAI
🛡60% компании недовольны внедренными IT-инструментами
По данным исследований самая главная причина недовольства — большие сроки внедрения и значительные затраты на доработку уже используемых решений. Также барьером становится сложное обучение пользователей по работе с решением.
Эксперты Контур.Эгиды считают, что главная проблема не в технологиях, а в подготовке к внедрению. Рассказываем в статье о том, как организовать процесс на стороне заказчика, чтобы внедрение прошло гладко и принесло реальную пользу.
16+. Реклама. АО «ПФ «СКБ Контур», ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А. ERID:2SDnjckG34j
🥹10 из 10. Критическая уязвимость в Redis требует срочного патча
В Redis, популярной системе кэширования и базе данных в памяти, выявлена уязвимость нулевого дня (CVE-2025-49844), которой присвоен наивысший уровень опасности — 10. Эта ошибка существовала в коде с момента интеграции движка Lua (около 13 лет) и позволяет авторизованному злоумышленнику дистанционно выполнять код на сервере, получая полный контроль над процессом.
Дефект обусловлен некорректной работой механизма сборщика мусора при обработке Lua-скриптов, что приводит к уязвимости типа use-after-free. Этот вектор атаки затрагивает все версии, поддерживающие выполнение Lua. Масштаб проблемы подчёркивается тем, что Redis используется в примерно 75% облачных сред.
Компания Redis Labs подтвердила отсутствие зафиксированных случаев эксплуатации, но настаивает на незамедлительном обновлении. Владельцы самостоятельных инсталляций обязаны установить патч вручную. Помимо обновления, необходимо ограничить сетевой доступ к Redis и провести аудит логов на предмет индикаторов компрометации (например, необычная исходящая активность или посторонние скрипты).
#Redis #Уязвимость #CVE202549844
@SecLabNews
📱 Зарубежные SIM-карты в России столкнулись с новыми ограничениями
В МТС сообщили, что абоненты, находящиеся в роуминге на территории России, могут столкнуться с перебоями в передаче данных и СМС. По информации компании, ограничения введены по решению государственных органов и обязательны к исполнению в целях национальной безопасности.
По данным МТС, все российские операторы связи применяют обязательную 24-часовую блокировку услуг передачи данных и СМС для абонентов в роуминге. Ограничение активируется при первой регистрации SIM-карты в сети и автоматически снимается через сутки, но может быть вновь применено при отсутствии активности. Голосовая связь при этом работает без ограничений
О введении аналогичных мер сообщили и зарубежные партнёры российских операторов, включая белорусскую компанию A1. Ранее Минцифры обсуждало временное ограничение мобильного интернета для иностранных SIM-карт с целью предотвращения их использования для дистанционного управления беспилотниками.
#МТС #связь #нацбезопасность @SecLabNews
📱FSF анонсировал проект LibrePhone — шаг к свободному мобильному устройству
Free Software Foundation отметил 40-летие и представил инициативы, определяющие развитие свободного программного обеспечения в ближайшие годы. Главным технологическим анонсом стал проект LibrePhone — попытка перенести принципы вычислительной свободы в мобильную среду.
LibrePhone создаётся совместно с разработчиком Робом Савуа, участвовавшим в создании инструментов GNU ещё в 1980-х годах. Цель проекта — обеспечить пользователям полную свободу вычислений на мобильных устройствах, сделав все компоненты системы открытыми и независимыми от проприетарного контроля. По словам исполнительного директора Зои Койман, мобильные устройства стали одной из наиболее закрытых областей вычислений, и LibrePhone задуман как шаг к возвращению прозрачности и самостоятельного управления устройством.
FSF также разрабатывает критерии для оценки открытости ИИ-систем и развивает проект LibreLocal — сеть сообществ, продвигающих свободные технологии в повседневную жизнь. Новый президент Иэн Келлинг намерен сосредоточиться на защите цифровых прав и независимости вычислений.
#LibrePhone #FSF #GNU
@SecLabNews
🔒Игры Unity с 2017 года уязвимы для вредоносного кода
Исследователь RyotaK из GMA Flatt Security обнаружил уязвимость в игровом движке Unity под идентификатором CVE-2025-59489. Суть проблемы в том, что приложение на том же устройстве (например, Android или ПК) может подменить параметры командной строки при запуске Unity-игры, что открывает путь для загрузки вредоносного кода. Фактически, почти все игры, созданные на версиях Unity Editor с 2017.1 и позднее, потенциально уязвимы, что формирует огромную поверхность атаки. Уязвимость признана относительно простой в эксплуатации.
Проблема кроется в поведении Unity Editor, который до недавнего времени создавал уязвимые сборки. Unity уже выпустила исправление, но для защиты пользователей требуется массовая перекомпиляция всех затронутых проектов. Из-за масштабов инсталляций движка процесс устранения «дыр» может занять длительное время. Разработчикам необходимо срочно обновить свои проекты, чтобы защитить свои сообщества.
Платформы оперативно отреагировали: Valve ограничила запуск игр в Steam с опасными параметрами. Microsoft предупредила о риске для Windows-версий и рекомендовала удалять уязвимые игры до получения патчей. Пользователям ПК следует быть осторожными и следить за обновлениями.
#Unity3D #CVE_2025_59489 #GameDev
@SecLabnews
👊 Еженедельный обзор киберновостей SecurityLab
Telegram больше не «крепость», баги становятся вируснее новостей, а хакеры за $50 обходят защиту корпораций. Мы собрали самые важные новости недели в одном месте, чтобы вы ничего не пропустили.
🔥 В мире
Впервые власти получили прямой доступ к серверам Telegram — бастион конфиденциальности пал под натиском суда в рамках уголовного расследования.
Хакеры за $50 обошли защиту Intel и AMD, потратив копейки на взлом систем безопасности, на которые корпорации потратили миллиарды.
Иранские хакеры взломали израильского спутникового оператора AMOS и похитили 379 ГБ данных, обслуживающего военные и гражданские нужды.
Google Gemini взломали через логи и историю браузера — искусственный интеллект не заподозрил подвоха и выполнил команды злоумышленников.
Китай показательно казнил организаторов мошеннической схемы на $14 млрд — одиннадцать смертных приговоров по одному делу стали предупреждением для скамеров.
👁 В России
Мошенники заработали 300 миллионов рублей на виртуальных «рулетках» — расследование F6 раскрыло самую доходную схему обмана в Рунете.
Positive Technologies переработала архитектуру MaxPatrol SIEM: производительность выросла на 20%.
Роскомнадзор напомнил о единственном способе подтвердить владение Telegram-каналом — не пропустите самого главного бота для верификации.
Минтранс запускает тесты биометрии на транспорте — в РЖД готовят первую линию для проверки
Роскомнадзор оштрафовал «Почту России» на 30 тысяч рублей — один забытый клик и 10 дней задержки электронного уведомления обернулись санкциями.
🔐 Угроза под капотом
Критическая уязвимость в sudo угрожает миллионам устройств — CVE-2025-32463 позволяет получить root-доступ за секунду, хакеры уже эксплуатируют баг.
Zero-click эксплойт в WhatsApp захватывает iPhone без действий жертвы — безобидная картинка даёт полный контроль над устройством на iOS, macOS и iPadOS.
MatrixPDF заражает систему при открытии PDF из Gmail — вредонос подключается к серверу хакера даже без клика пользователя.
Broadcom устраняет китайский след в системах VMware после годовой атаки нулевого дня, позволявшей хакерам повышать привилегии в Aria.
Полный контроль за 5 минут через VPN — Cisco призывает срочно проверить 50 000 устройств по всему миру на признаки компрометации.
💡Аналитика и обзоры
Что нам стоит хост пофаззить: методы оптимизации фаззинга веб-директорий — практическое руководство по эффективному поиску скрытых файлов и каталогов на веб-серверах.
Курсы по безопасной разработке: обзор актуальных программ DevSecOps и AppSec — какие образовательные программы помогут встроить безопасность в процесс разработки.
Эволюция угроз: почему «защита бинарей» поднялась в рейтингах OWASP и стала обязательной практикой для команд мобильной разработки.
Как узнать номер в Телеграм, если он скрыт — методы поиска данных о человеке по Telegram ID и проверки конфиденциальности своего аккаунта.
«Я 30 лет так лечу» — опасная ложь — разбор того, почему врачебное мнение без доказательной базы может стоить жизни, и как не стать жертвой медицинского фуфла.
💬 Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
Как зарабатывать миллионы рублей в год на багах?
Багхантеры — так называют хакеров с "белой" шляпой, которые находят уязвимости в крупных компаниях. За последние 12 месяцев они получили от HackerOne $81 млн. Это больше, чем в прошлом году, что говорит о том, что дыр в системах становится только больше. В России тоже есть своя площадка — Standoff Bug Bounty, которая уже выплатила исследователям 168,9 млн рублей.
В топе заработков — уязвимости, связанные с искусственным интеллектом. Их количество выросло на 200%, а за prompt injection платят рекордные суммы. То есть, взламывать ИИ-системы сегодня выгоднее, чем искать старые добрые XSS.
Если вы до сих пор думаете, что ваша безопасность — это только ваша проблема, то ошибаетесь. Это ещё и очень прибыльный бизнес для тех, кто находит ошибки.
А если после прочитанного захотелось самому стать тем, кто ломает системы (в легальном поле, конечно), заглядывайте на бесплатную карьерную консультацию от SecurityLab. Там профи расскажут, с чего начать путь в этичном хакинге.
#HackerOne, #BugBounty, #Standoff @Seclabnews
©️До CyberCamp 2025 остается меньше месяца!
С 20 по 25 октября участников ждет неделя практической кибербезопасности, десятки часов реальной практики и призовой фонд 7 000 000 ₽.
В программе:
▶️15+ сценариев командных киберучений на платформе Jet CyberCamp
▶️40+ интерактивных заданий для соло-участников
▶️40+ докладов от экспертов «Инфосистемы Джет», BI.ZONE, OZON Tech, Biocad, Positive Technologies, «Лаборатории Касперского» и др.
▶️Консультации 1:1 с экспертами, онлайн-уроки и практика от ведущих учебных центров, кандидатский экзамен на ССК от УЦ «Эшелон», мерч и призы.
Успей зарегистрироваться — соло-задания и первые доклады доступны уже сейчас.
📍 Зарегистрироваться
Эрик Реймонд призвал сообщество Open Source отказаться от CoC
Эрик Реймонд, один из основателей движения открытого программного обеспечения, публично выступил с заявлением против практики внедрения «Кодексов поведения» (Code of Conduct) в опенсорс-проектах. Разработчик использовал весь свой авторитет, заявив, что CoC в нынешнем виде стали «катастрофой» и причиной «драмы, политики, злословия и негативной полезной работы» в сообществе за последние десять лет.
Реймонд предложил разработчикам три основные рекомендации по работе с кодексами. Первая — полностью отказаться от кодекса, так как он функционирует лишь как «инструмент в руках тех, кто засоряет бред». Вторая — для случаев бюрократической необходимости — заменить его на лаконичное правило: «Если с вами работать сложнее, чем того требует ваш вклад, вас уволят».
Третий совет касается неэффективности детализации: попытки сделать кодексы подробными лишь дают рычаги управления манипуляторам. Реймонд призвал сообщество к доброжелательности, но потребовал быть «безжалостными и беспощадными» к тем, кто использует призывы к доброте в своих целях.
#ЭрикРеймонд #OpenSource #КодексыПоведения
@SecLabNews
📊 Каждый день в вашей компании появляются новые уязвимости? В инфраструктуре, веб-приложениях, контейнерах, в коде разработчиков. Борьба с ними обычно выглядит как десятки отчётов из разных сканеров, которые невозможно свести воедино.
В итоге, безопасность разваливается по кусочкам, а бизнес теряет деньги и репутацию.
Но есть способ навести порядок в этом хаосе.
9 октября в 11:00
▶️ Николай Казанцев, создатель системы SECURITM, покажет на практике, как выстроить управление безопасностью в одном окне.
🔴Вы узнаете, какими бывают уязвимости и сканеры.
🔴Увидите, как собрать все угрозы в единое окно и грамотно расставить приоритеты по методикам ФСТЭК.
🔴Поймёте, как интегрировать этот процесс в бизнес-системы компании.
Самое главное: вы развернете весь процесс VM всего за 30 минут.
Не месяцы, не недели. Всего полчаса до полного контроля над угрозами.
🔗 Регистрируйтесь прямо сейчас.
*SECURITM — это единая система для управления всеми процессами информационной безопасности, включая: SGRC, VM, SOAR, RPA, учет активов, управление защитными мерами и метриками.
🫢Власти США получили судебное разрешение на обыск серверов Telegram
Министерство юстиции США добилось разрешения федерального суда на удалённый обыск серверов мессенджера Telegram. Причиной стало расследование дела об эксплуатации детей и систематический отказ компании отвечать на официальные запросы правоохранительных органов.
Судья санкционировал применение специальной техники удалённого доступа для направления серии запросов к инфраструктуре Telegram. Система будет вынуждена возвратить полные данные целевого аккаунта, включая переписку и все связанные с ним материалы.
Данное решение осветило издание CourtWatch со ссылкой на судебные материалы, однако, прямые ссылки не были включены в новость, поскольку документы содержат идентификационные личные данные.
#Telegram #КиберБезопасность #Конфиденциальность #США
@SecLabNews