68691
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
👾 Stealerium: когда “учебный проект” превращается в порно-шантаж
GitHub-проект от некоего witchfindertr превратился в настоящий инструмент выжимания денег. Идея простая и циничная: мониторим сайты с «клубничкой», включаем веб камеру, делаем скрины — дальше угроза «показать всем».
Proofpoint подчёркивает: это не единичный случай, а начало тренда. Код уже разлетается по рассылкам, цепляя жертв пачками. С технической стороны всё стандартно: сбор аккаунтов, банковских данных, приватных ключей, пересылка через Discord и Telegram. Но именно сценарий «автоматического компромата» делает Stealerium опаснее любого банального стилера.
#киберугрозы #вредонос #шантаж
@SecLabNews
🥷Госдума: никаких автоматических доносов через ИИ в MAX
Депутат Антон Немкин прокомментировал слухи о том, что мессенджер MAX будет использовать ИИ для «доносов». Парламентарий назвал подобные утверждения фантастикой, подчеркнув отсутствие технических и правовых возможностей для такого функционала.
В качестве аналогии чиновник привел банковские приложения и «Госуслуги», которыми пользуются миллионы россиян. За годы работы этих сервисов не зафиксировано ни одного случая использования встроенного ИИ для отслеживания личных действий пользователей.
По мнению депутата, распространение таких мифов направлено на подрыв доверия к отечественным цифровым решениям. MAX проходит стандартные проверки безопасности и работает по тем же принципам, что и другие популярные мессенджеры.
#MAX #Россия #цифровизация
@SecLabNews
🖥 Три американца, один немец и Microsoft Azure. Кто правит в новом рейтинге самых быстрых компьютеров мира
Июньский рейтинг TOP500 зафиксировал устойчивый экзаFLOPS-уровень: сразу три американские машины держат первые места, Европа громко заявила о себе с JUPITER Booster, а облака и индустрия закрепились в топ-10. Теперь передовые вычисления — не только про нацлаборатории, но и про бизнес.
На вершине — El Capitan (1,742 экзаFLOPS), балансирующий «синтетику» и реальные нагрузки, далее Frontier (1,353 экзаFLOPS) и Aurora (1,012 экзаFLOPS). Европейская премьера — JUPITER Booster в Юлихе (793,4 петаFLOPS), мгновенно ставший лучшим в регионе. В десятке также облачный Eagle от Microsoft Azure и индустриальный HPC6 итальянской Eni.
Старые титаны вроде Fugaku и LUMI уступили позиции, но остаются незаменимыми для науки. Следующая цель гонки — зеттаскейл: в Японии готовят Fugaku Next к 2030-му. А Китай держит карты закрытыми, оставляя главную интригу.
#суперкомпьютеры #экзаскейл #TOP500
@SecLabNews
🧐 ВЭФ: ChatGPT работает в интересах Пентагона
На ВЭФ эксперты единогласно заявили, что нейросети несут вред и «разрушают суверенитет». Они предложили закрепить за государством право контролировать использование ИИ.
Александр Асафов (первый зампред комиссии Общественной палаты Москвы) подчеркнул, что многие романтизируют ИИ, думая, что он помогает, но на деле «мы обучаем врагов». Он также заявил, что ChatGPT «передает все русскоязычные запросы в ФБР» и напомнил, что руководители ИИ-компаний в США получили звания в Пентагоне.
Евгений Забродин (директор фонда "Региональная политика") добавил, что сегодня «лучший друг человеку — государство». По его словам, искусственный интеллект формирует вокруг человека «информационный пузырь», который может быть опасен.
#ИИ #ВЭФ #суверенитет
@SecLabNews
🙈 «Играй, пока не возненавидишь»: в Китае открыли курсы отвыкания от игр
В Китае киберклубы нашли новый способ заработка — они открывают курсы «отвыкания» от онлайн-игр. Подростки приходят туда в надежде на карьеру, но чаще оказываются зависимыми и нуждаются в жёстком вмешательстве.
Методика построена на парадоксе: детей заставляют играть с девяти утра до полуночи, пока удовольствие не превращается в мучительную рутину. Уже на второй день многие ломаются — кто-то жалуется на судороги, кто-то просто просит вернуться домой.
В итоге курсы становятся фильтром между мечтой и реальностью: клубы получают доход, а подростки возвращаются к учёбе и обычной жизни. В сети это называют «выигрышной ситуацией для обеих сторон».
#киберспорт #Китай #игры #зависимость
@SecLabNews
🤖 Когда ИИ решает за людей, исчезают сайты без нарушений
Автоматизированные системы защиты авторских прав отправляют миллионы ложных DMCA-жалоб в Google. Компания Takedowns AI уже направила около 12 миллионов запросов с 2022 года, многие из которых удаляют совершенно невинный контент.
Среди «нарушителей» оказались научные статьи, новости об ИИ-терапевтах, скриншоты из GTA V и фото бейсболистов. Алгоритмы путают случайные совпадения в названиях с реальными нарушениями — например, статью о пчёлах удалили по жалобе креатора «honeyybee».
Креаторы OnlyFans нанимают специализированные компании для борьбы с пиратством, но часто требуют удалить вообще все упоминания о себе. В результате интернет превращается в поле боя между автоматизированными жалобами и случайно попавшими под удар ресурсами.
#DMCA #цензура #алгоритмы #интернет
@SecLabNews
👀Смартфоны охраны выдали секретный бункер в Тегеране
16 июня израильская авиация нанесла удар по бункеру Совета нацбезопасности Ирана. Стены выдержали, но точность атаки обеспечили телефоны охраны, которые продолжали пользоваться соцсетями.
Министры давно отказались от смартфонов, однако телохранители и водители оставались слабым звеном. Израиль отследил их цифровую активность и вычислил местонахождение встречи.
После инцидента в Иране ввели запрет на смартфоны для охраны: теперь разрешены только рации, а десятки военных и чиновников оказались под следствием.
#OSINT #киберразведка #ИБ
🚨 «Неизвестный номер» умирает 1 сентября
С 1 сентября операторы обязаны передавать на экраны телефонов не только номер, но и название компании или ИП, а также категорию звонка. Это часть программы по борьбе с кибермошенничеством.
Теперь абонент сразу увидит, кто звонит — банк, рекламная служба или поставщик связи. По мнению правительства, это лишает злоумышленников их главного оружия — анонимности.
Бизнес, впрочем, недоволен: затраты на маркировку лягут на компании и операторов, а по оценке Минцифры — только для операторов они превысят 11 млрд рублей за шесть лет. Национальный совет финансового рынка уже предупредил о риске роста цен на услуги.
#кибербезопасность #телеком #мошенничество
🆕 Еженедельный обзор киберновостей
Тринадцать стран официально обвинили Китай в глобальном кибершпионаже через домашние роутеры, а ИИ стал создавать вирусы на заказ. Пока мир борется с цифровыми угрозами, ученые создали революционную квантовую память и доказали, что время — всего лишь иллюзия — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
🌎В мире
Тринадцать стран официально обвинили китайские группировки Salt Typhoon и RedMike в глобальной кибершпионской кампании через домашние маршрутизаторы.
Хакеры захватили контроль над 200 муниципалитетами Швеции, потребовав всего 1,5 биткоина выкупа.
Пекин взломал системы ФБР и АНБ, получив доступ к переписке спецслужб США.
Microsoft экстренно призывает заблокировать PowerShell сотрудникам из-за растущих атак ClickFix.
ВВС США подняли в небо первый беспилотный истребитель с искусственным интеллектом.
🇷🇺 В России
В Санкт-Петербурге начали использовать камеры видеонаблюдения, способные определять национальность людей.
Минцифры предложило запретить публикации о методах кибератак в законе «Об информации».
1200 операторов связи исключили из национальной сети за один день в рамках борьбы с робозвонками.
Правительство России утвердило план добровольного ограничения доступа к «потенциально опасному» контенту с помощью ИИ до 2027 года.
От РЖД до Wildberries — Минцифры обязало крупный бизнес интегрироваться с мессенджером Max.
🏴☠️Цифровая оборона
Первый ИИ-вымогатель PromptLock научился генерировать вредоносный код для всех операционных систем в реальном времени.
Хакеры взломали лидера NPM-экосистемы Nx, украв более 1000 GitHub-токенов у 70% компаний Fortune 500.
Kaspersky зафиксировал масштабную атаку на UEFI, драйверы и браузеры одновременно — тотальный удар по всем подсистемам.
Новая атака на Linux обходит защиту даже опытных администраторов благодаря группировке APT36.
0-day уязвимость в FreePBX парализовала корпоративную связь тысяч компаний по всему миру.
🪧Новости науки и технологий
Физики создали революционную память, способную хранить информацию о квантовых состояниях.
Ученые доказали, что время не течет — оно просто существует целиком, превращая каждую секунду в иллюзию движения.
MIT воплотил мысленный эксперимент Эйнштейна, охладив атомы почти до абсолютного нуля и возродив спор о природе света.
Nvidia представила DGX Spark с 128 ГБ памяти и возможностью обрабатывать модели до 200 миллиардов параметров за $2999.
Крошечный ИИ с 27 миллионами параметров разгромил GPT-5 и Claude в тестах интеллекта, превзойдя модели в триллионы раз больше.
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
@SecLabNews
🛡Чаще всего облачные и гибридные среды пытаются атаковать через учётные записи
Команда безопасности Yandex B2B Tech сообщает, что только за первое полугодие 2025 года зафиксировано более 25 000 попыток атак. В 54% случаев злоумышленники использовали украденные логины, пароли и учётные записи сотрудников, а не хитровыдуманные эксплойты.
Чаще всего атаковали разработчиков ПО и SaaS (35%), на втором месте — e-commerce и ритейл (22%). В отчёте также отмечается рост финансово мотивированных атак: 61% случаев были связаны с выкупом или перепродажей данных. Эксперты рекомендуют организациям внедрять MFA, системы единой аутентификации и пересматривать избыточные права доступа.
#кибербезопасность #облака #Yandex
@SecLabNews
Итоги розыгрыша!
Так что же за инструмент способен отключать популярные системы EDR? 👾
Честно сказать, мы рассчитывали на один ответ — EDRKiller. Но оказалось, что комьюнити знает больше, чем наш редактор 😅
Правильными оказались и такие варианты:
🔷EDRSilencer
🔷EDRKillShifter
🔷AuKil
🔷EDRSandblast
Поэтому все, кто назвал один из этих инструментов, заслуженно получают Telegram Premium на полгода.
Список победителей ниже 👇
@danilbal
@wladimirwakhrushew
@diatds
@Sagtroman
@Nick_GQF
@unusualevie
@vesserg
@CrazyHardcore
@Kuckez
@twelvegaugeslugs
@IMiNiRo
@nehaychik
@Alcherast_Foxter
@TDM_qa_ad
@FermatTheorem
@SergMD
@Edddm0nd
@mongo_os3
@gurabadel
@Ka1ibry
@sterymis
@Tastek
@Vi_007_d
@bugjager
@Rrrrromka
@skritiysmisl
@adhikamanul
@smirnov_feliks
@vdmvad
@CppCp
@concretno1985
@A9OQC6FOUMAO7
@Rdegon_Mef
@akirdin74
@gichamike
@sat_master
@cmyli1
@veryluckyluciano
@m1aau
@monomery
@ASOpalev
@soraksgno
@Marschrutka
@massdriver
@RuDenG
@Ot88tO
@kww2004
@kirtidi
@Midwich_Hunter
@abb_max
Спасибо, что играете с нами и прокачиваете киберэрудицию.
В следующий раз попробуем задать вопрос, на который и правда есть только один ответ… хотя кто знает 🙈
🏢 Одна кнопка — вся страна: как 80% Швеции легли из-за одного поставщика
🎯Представьте: вы захватываете одну никому не известную контору, которая делает софт для кадровиков, а в результате парализуете треть европейской страны. Именно это произошло со шведской Miljödata — компанией, которая умудрилась стать единой точкой отказа для 200 из 290 муниципалитетов королевства.
⚡️Классический антипаттерн: когда 80% критической инфраструктуры висит на одном поставщике, любая атака превращается в национальную катастрофу. Злоумышленники это прекрасно понимают и требуют смешные 1,5 биткоина — всего $168 000 за разблокировку целой страны. Коэффициент полезного действия впечатляет: вложить копейки, получить хаос государственного масштаба.
🔥Теперь шведам предстоит болезненный редизайн всей системы. Проблема не в том, что Miljödata плохо защищалась — проблема в том, что её вообще допустили до такой монополии в критически важной сфере. Это урок для всех: децентрализация — не модное слово, а вопрос национальной безопасности.
#централизация #архитектура #инфраструктура #вымогательство
@CyberStrikeNews
🔥 Хаос в Application Security? Пора навести порядок!
Фрагментарные меры, конфликты ИБ и разработки, сложности с бюджетом? Релизы идут с уязвимостями, а бизнес не видит эффекта?
Очный интенсив «Безопасность приложений: от хаоса к системному управлению» состоится 18–19 сентября в Москве!
Кому будет полезно:
Руководителям и тим лидам направления разработки, тем, кто сейчас выстраивает и развивает направление Application Security
Что вы получите на интенсиве:
• Понимание как внедрять Application Security в SDLC и CI/CD
• Узнаете как управлять уязвимостями с помощью SAST, DAST и автоматизации
• Научитесь строить культуру безопасности для разработчиков и QA
• Приоритизировать и устранять уязвимости системно.
• Сформируете фреймворки и сценарии управления
• Поймете, как обосновывать бюджет с цифрами и кейсами
🫣Флэш-крэш по-индийски: один неверный клик — и минус контроль над компанией
На рынке Мумбаи брокеры Spark Institutional Equities по ошибке дважды разместили заявку на продажу 24% акций производителя спецхимии Clean Science & Technology от имени семьи основателей. Сумма сделки оценивалась в $300 млн.
Из-за сбоя оказалось продано 56% бумаг компании на сумму $749 млн — впервые за два десятилетия у Clean Science на время пропал мажоритарный владелец. После паники на торгах цена акций сначала упала на 9%, затем взлетела на 17%, а день завершился снижением на 2,7%.
Брокеры поспешили выкупить обратно около 30% акций по цене, близкой к продаже, и заверили владельцев, что убытков не будет. Ошибка уже вошла в список крупнейших торговых промахов Индии — наряду с падением опциона на 99,99% в 2022 году и флэш-крэшем индекса Nifty 50 более десяти лет назад.
#финансы #рынки #Индия
@SeclabNews
Багбаунти в России
В новой статье для Positive Research мы анонимно поговорили с одним из топовых исследователей Standoff BugBounty о проблемах и перспективах российского рынка.
🔴 Что нужно уметь, чтобы стать багхантером?
🔴 Может ли поиск багов заменить работу в офисе?
🔴 Сколько багов можно найти за месяц?
#PositiveResearch
Впервые на экранах! Онлайн-марафон «PT NGFW: исповедь инженеров» 😲
Пять дней инженерного хардкора: с 15 по 19 сентября, 11:00-13:00💪
Кажется, команда готова исповедоваться: за одну неделю расскажет не только, как работает PT NGFW, но и почему он работает именно так. Это будет не просто теория, а живой обмен опытом, разбор реальных кейсов и практические советы, которые можно сразу применить в работе.
В спикерах — вся команда PT NGFW.
🏆Головоломки от наших экспертов и шанс выиграть собственный PT NGFW*🏆
Регистрируйтесь на сайте
Информация о конкурсе
📱«Лучший телефон в мире»: президент Венесуэлы про Huawei
Президент Венесуэлы Николас Мадуро похвастался подарком от Си Цзиньпина — складным Huawei Mate X6. Он назвал его «лучшим телефоном в мире» и заверил, что «американцы не способны его взломать ни через самолёты-разведчики, ни со спутников».
Однако эксперты по кибербезопасности считают такие заявления преувеличенными: любое мобильное устройство может быть скомпрометировано, а HarmonyOS остаётся относительно молодой системой с уязвимостями. Только в августе Huawei закрыла 60 багов, из которых 13 были критическими.
История также показывает, что АНБ действительно проводило кибератаки на Huawei: утечки Сноудена в 2014 году раскрыли взлом серверов компании. Сегодня аналитики уверены — спецслужбы США продолжают искать слабые места в продукции китайского гиганта.
#Huawei #Кибербезопасность #Смартфоны
@SecLabNews
🏠 Как упаковать ИБ- и IT-продукт, чтобы его заметили
9 сентября в «Кибердоме» в Москве пройдёт практический воркшоп для стартапов, продактов и техкоманд.
Поводом для запуска интенсива стала проблема «невидимости» даже сильных решений. После ухода крупных вендоров число российских продуктов выросло, но многие так и не находят клиентов. Уникальные характеристики и реальная эффективность не спасают — без грамотного позиционирования ценность просто не доходит до рынка.
На воркшопе участники смогут:
➡️ разберут свои проекты по фреймворку «6 измерений»;
➡️ получат индивидуальные рекомендации по усилению позиционирования;
➡️ разберут кейсы с экспертами и другими командами.
🔳 Формат офлайн, с 18:00 до 21:00.
Подробнее
🎯 WhatsApp замедлили, FaceTime «ускорили» мошенники
Глава комитета Госдумы по вопросам собственности Сергей Гаврилов сообщил о новой угрозе — мошенники активно используют видеозвонки FaceTime. Популярность сервиса выросла на фоне ограничений в других мессенджерах, и злоумышленники этим пользуются — формат «лицом к лицу» снижает критичность восприятия.
Схема обычно строится вокруг тревожного повода — «подозрительная операция по счёту» или «попытка взлома аккаунта». Затем жертву уговаривают перейти на FaceTime «для безопасности», где через социальную инженерию получают доступ к кодам и паролям или показывают поддельные документы.
Сквозное шифрование FaceTime защищает пользователей, но мешает следствию быстро получить данные о звонках. Мошенники этим пользуются и стараются как можно быстрее украсть деньги, пока их не поймали.
#кибербезопасность #мошенники #FaceTime
@SecLabNews
🟥«Страшно, когда не видно: взгляд внутрь домена»
🎙 Вебинар Positive Technologies состоится 4 сентября в 14:00
Домен хранит в себе важнейшие данные компании, которые могут быть использованы злоумышленниками для развития атаки и захвата узлов. Чтобы избавиться от уязвимых мест инфраструктуры, важно правильно проводить аудит доменов и контроллеров. Как это сделать, вы узнаете на вебинаре.
Эксперты расскажут:
🔴почему контроллеры доменов являются одной из главных целей хакеров;
🔴как сделать сканирование максимально информативным;
🔴почему это важно для служб ИТ и ИБ.
Все участники вебинара получат в подарок руководство по аудиту активов.
Не забудьте зарегистрироваться!
🔓Цифровой суверенитет оказался мифом для большинства государств
Масштабное исследование Internet Society выявило зависимость государственных веб-сервисов 58 стран от иностранных сетей и инфраструктуры. С помощью зондов RIPE Atlas учёные проанализировали реальные маршруты трафика к правительственным сайтам и обнаружили, что данные зачастую проходят через юрисдикции других государств.
В Албании, Латвии, Пакистане и ОАЭ свыше 10% обращений к локально размещённым госсервисам проходят через точки обмена третьих стран. Для сервисов, хостящихся за пределами страны, этот показатель достигает 23–43% в Малайзии, Норвегии, ЮАР и Таиланде.
Исследование выявило опасные комбинации технических и политических уязвимостей в странах с высокой зависимостью от зарубежных сетей. В Албании 86% маршрутов к правительственным ресурсам проходят через иностранные сети, при этом только треть сайтов использует HTTPS, что делает данные уязвимыми к атакам типа Man-in-the-Middle.
#цифровойсуверенитет #кибербезопасность #госсайты
@SecLabNews
🔊Противодействие атакам шифровальщиками
3 практические онлайн-встречи с экспертами команды реагирования и восстановления «Инфосистемы Джет»
Одна атака шифровальщиками может парализовать бизнес на недели.
Эксперты команды реагирования и восстановления «Инфосистемы Джет» собрали опыт более сотни расследований и подготовили серию практических вебинаров для специалистов SOC, ИБ- и ИТ-руководителей, руководителей компаний и PR-специалистов.
В программе три вебинара:
🔵4 сентября — как действуют злоумышленники и как защитить инфраструктуру. 📎Регистрация
🔵18 сентября — как заранее выстроить план реагирования и провести Tabletop-учения. 📎Регистрация
🔵25 сентября — как укрепить инфраструктуру и выстроить защиту без СЗИ. 📎Регистрация
Участие бесплатное. Подробнее о серии⬅️
📱Смартфон без RuStore = возврат, ремонт или обмен
С 1 сентября в России действуют новые нормы для производителей смартфонов и планшетов. Теперь они обязаны обеспечить свободную установку отечественных приложений, включая магазин RuStore.
Устройства, блокирующие работу российских сервисов, автоматически признаются «некачественным товаром». Это даёт покупателям законное право требовать возврат денег, замену или ремонт — закон распространяется на все бренды, включая iPhone.
Ритейлеры уже начали маркировать проблемные устройства специальными предупреждениями для покупателей. Ozon ввёл атрибут «Обязательные программы предустановлены», а Wildberries и операторы предупреждают об ограничениях функциональности.
#RuStore #законодательство #смартфоны
@SecLabNews
🌐Квантовый интернет на обычном IP
Инженеры Пенсильванского университета впервые показали, что квантовые сигналы можно гонять по городскому оптоволокну Verizon вместе с привычным веб-трафиком. Миниатюрный Q-chip сам упаковывает данные в IP-пакеты, компенсирует помехи и держит точность выше 97%.
Главное новшество — схема, где служебные импульсы идут впереди и берут на себя навигацию, а квантовый «груз» следует за ними в закрытом контейнере. Так удаётся измерять только заголовки и пользоваться стандартными инструментами администрирования без разрушения квантового состояния.
Сейчас работает один сервер и один узел на километровом участке. Дальше можно масштабировать — чипы делают по кремниевой технологии. Главный барьер для больших расстояний остаётся: такие сигналы пока нельзя усиливать без потери запутанности.
@SciTechQuantumAI
🎙Кибербезопасники и все, кто в теме, ловите новость
10–11 сентября в Москве пройдет IT Elements 2025 — конференция, на которой топовые спикеры расскажут о главных трендах кибербеза, а также про инфру, сети, данные и AI/ML, на которых строится ИТ-фундамент любого бизнеса.
Среди 100+ спикеров — ведущие специалисты из ВТБ, Совкомбанка, «АльфаСтрахования», «Инфосистемы Джет», Yandex Cloud и других компаний. Они поделятся реальным опытом по:
🔹Повышению киберустойчивости
🔹Импортозамещению NGFW-решений
🔹Безопасной разработке и управлению уязвимостями
🔹Мониторингу инцидентов и киберучениям.
Что еще в программе?
⭐️ Лабораторные и технические воркшопы.
⭐️ Интерактивная выставка с участием 30+ вендоров
⭐️ Разборы реальных кейсов крупных компаний о защите инфраструктурных платформ и отражении кибератак.
💙Участие бесплатное, по предварительной регистрации на сайте.
⚒️Минцифры готовит запрет на публикации о кибератаках
26 августа Минцифры опубликовало проект второго пакета антифрод-мер на regulation.gov. Он предусматривает запрет на публикации о методах кибератак и о ПО для их реализации.
Поправки предлагают внести в статью 15.3 закона «Об информации». Сегодня там уже закреплён запрет на ложные сообщения о терактах и призывы к беспорядкам.
В Минцифры заявили, что бесконтрольное распространение таких данных «несет риски кибербезопасности». Ограничением займутся Роскомнадзор и Генпрокуратура, а инициатива, по словам аппарата вице-премьера Дмитрия Григоренко, создаст барьер для киберпреступников и поможет блокировать каналы распространения вредоносных программ. Позднее в министерстве уточнили, что запрет не касается работы «белых хакеров».
#Минцифры #кибербезопасность #антифрод
@SecLabNews
😵Хакеры скомпрометировали популярный проект Nx
26 августа злоумышленники атаковали популярный NPM-проект Nx, загрузив вредоносные версии пакетов в репозиторий. Малварь была нацелена на кражу GitHub- и NPM-токенов, SSH-ключей и данных криптовалютных кошельков разработчиков.
Впервые в истории хакеры использовали локально установленные CLI-инструменты ИИ — Claude, Gemini и Q — как часть атаки. Вредоносный код заставлял эти легитимные утилиты сканировать файловую систему и сохранять пути к чувствительным данным в файл /tmp/inventory.txt.
Атака затронула проект с 24 миллионами загрузок в месяц, которым пользуются свыше 70% компаний из Fortune 500. По данным Wiz, утечка включала более 1000 активных GitHub-токенов, около 20 000 файлов и десятки учётных данных для облачных сервисов.
#NPM #ИИбезопасность #кибератака #разработка
@SecLabNews
🔒 79 млн загрузок в неделю: российский код в американских военных системах
Библиотека fast-glob используется более чем в 5 тысячах публичных проектов и более чем в тридцати системах Министерства обороны США. Её загружают свыше 79 миллионов раз в неделю, а с учётом закрытых систем число зависимых решений может быть гораздо выше.
Единственным автором оказался российский программист Денис Малиночкин, сотрудник «Яндекса», который разрабатывает проект уже более семи лет. Американская компания Hunted Labs подчеркнула, что никаких связей разработчика с хакерскими группировками не выявлено.
Хотя у библиотеки нет зарегистрированных уязвимостей, эксперты указывают на теоретические риски из-за широкого доступа к файловым системам. Сам Малиночкин подтвердил авторство и подчеркнул, что утилита работает исключительно локально без сетевых функций.
#OpenSource #CyberSecurity #NodeJS
@SecLabNews
🪟Windows 95 исполнилось 30: юбилей самой культовой ОС Microsoft
30 лет назад, 24 августа 1995 года, Microsoft выпустила Windows 95 — первую систему, которую ждали очередями у магазинов. Миллион коробок разошёлся всего за четыре дня, а к концу года продажи дошли до 40 миллионов.
Вместе с ней в нашу жизнь пришли кнопка «Пуск», проводник и многозадачность, без которых уже сложно представить работу за ПК. Windows 95 стала мостом между старым DOS и новым 32-битным миром, позволяя запускать программы трёх поколений.
Хотя поддержку закрыли ещё в 2001-м, наследие «девяносто пятой» живо до сих пор. Именно она сделала компьютеры по-настоящему массовыми и задала привычные стандарты интерфейса.
#Windows95 #Microsoft #ИсторияТехнологий #ОперационныеСистемы
@SecLabNews
🔗 Крупным компаниям предложено интегрировать бизнес-процессы с Max
Минцифры России рекомендовало крупным компаниям интегрировать свои внутренние системы с чат-ботом в национальном мессенджере Max. Письма с такими предложениями получили «Авито», РЖД, «Ростелеком», Wildberries, Ozon, МТС, «Аэрофлот» и другие организации.
По замыслу ведомства, такая интеграция позволит использовать возможности «Госключа» и «цифрового профиля физлица» прямо в Max. Пользователи смогут подписывать электронные документы, а также передавать компании свои данные с «Госуслуг» — например, паспортные сведения или возраст. Это должно сократить время на оформление бумаг и снизить риск ошибок.
Минцифры уточнило, что все операции будут выполняться по защищённым каналам, а данные останутся под надежной защитой. Пользователи смогут в любой момент отозвать согласие на их обработку.
#Минцифры #Max #Госключ #Госуслуги
@SeclabNews