66549
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
🧩 Grinex вместо Garantex: смена вывески или схема обхода санкций?
После ликвидации криптобиржи Garantex на её месте выросла Grinex — подозрительно похожая по дизайну, структуре и даже команде. По данным TRM Labs, это может быть не запуск нового проекта, а рестайлинг прежней площадки, связанной с отмыванием средств даркнета и вымогательским ПО.
На фоне ареста фигурантов Garantex и конфискации её доменов, Grinex предлагает старым клиентам "компенсации" через токен A7A5 — причём его запуск странным образом совпал по времени с крахом Garantex. Интерфейс — копия, Telegram-продвижение — из тех же каналов. Знакомый стиль? Более чем.
В связке с Grinex всплывают и другие игроки: ABCEX, связанный с Сергеем Менделеевым, и Rapira, уже подхватившая часть пользователей. Схема очевидна: санкционный ребрендинг с использованием токенов, мостов и децентрализованной оболочки. Пока одна платформа уходит под воду — всплывают три. И всё это под соусом "возврата средств".
#Grinex #Криптовалюта2025 #СанкционныйЛабиринт
@SecLabNews
📲 Смартфон без обновлений = троян на борту
Половина мобильников в мире живёт на мёртвых ОС — без апдейтов и шансов на спасение. На фоне взрывного роста смишинга и вишинга уязвимости множатся быстрее, чем успевают выходить новые модели.
Четверть устройств уже списаны в утиль, но продолжают работать, притягивая вредоносов вроде Vultur и Errorfather. А приложения? Более 60% iOS- и треть Android-программ вообще не умеют защищать свой код.
Если бизнес продолжит строить безопасность на песке, смартфоны станут не только личным риском, но и готовым плацдармом для атак на корпоративные сети. Zero Trust — не роскошь, а базовая необходимость.
#МобильнаяБезопасность #Смишинг #ZeroTrust
@SecLabNews
🛡 Виджетное недоразумение: Telegram парирует обвинения
ИБ-энтузиаст из России заявил о способе обойти двухфакторку и облачный пароль в Telegram через авторизацию в виджетах. Якобы, сессии там были "прокачаны" правами и оставались невидимыми.
Telegram ответил жёстко: авторизация через виджеты — это не полноценная сессия, а урезанная прокладка для сайта. Без переписки, без звонков, да ещё и с отдельным уведомлением.
Ирония в том, что для реального захвата токена всё равно нужен доступ к устройству. А значит, проблема — скорее в доверии к своему железу, чем в уязвимости мессенджера.
#Telegram #Безопасность #Уязвимость
@SecLabNews
Учёные нашли способ обойти защиту смартфонов через USB
🔌 USB-угроза Juice Jacking вновь громко напомнила о себе. Специалисты из Технологического университета Граца выяснили, что защита на запрос доступа по USB в действительности обходится пугающе просто. Разработчики современных ОС банально недооценили возможность вредоносных устройств одновременно исполнять разные роли. Например: компьютера и периферийного устройства.
🧠 Атака ChoiceJacking позволяет вредоносной зарядке подтверждать доступ к файлам без участия пользователя. Она использует особенности USB-протоколов и механизмов Bluetooth, чтобы незаметно управлять телефоном. При этом действия выглядят для владельца как обычная зарядка.
📱 Apple закрыла дыру в последних версиях iOS, однако большинство Android-смартфонов остаются уязвимыми из-за высокой фрагментации системы. Владельцам старых устройств стоит проявить особую осторожность при зарядке вне дома.
#безопасность #смартфоны #usb #уязвимости
@ZerodayAlert
💳 Карты — не игрушка: дропперов зажмут УК
Передал свою карту мошенникам — готовься к шести годам. В Белом доме подготовили поправки к статье 187 УК: теперь за оформление или передачу банковских карт злоумышленникам будут наказывать не административно, а уголовно.
Проект закона включает штрафы до миллиона рублей, обязательные и исправительные работы, а в ряде случаев — лишение свободы на срок до шести лет. Степень ответственности будет зависеть от роли дроппера и характера операции: от передачи карты до участия в переводах украденных денег.
Инициатива дополняет комплекс мер против мошенников: за 2024 год заблокировали более 700 тысяч счетов, а потери граждан превысили 27 миллиардов рублей. Теперь хотят поставить и дропперов в жёсткие рамки.
#дропперы #мошенничество #уголовнаяответственность
@SecLabNews
🕵♂️Вы думали, одиночные игры — это личное? Ubisoft так не считает
Когда игра, не имеющая сетевого режима, требует постоянного подключения к интернету и шлет зашифрованные данные на сторонние сервера, это уже не просто баг, а системная проблема. Жалоба noyb на Ubisoft вскрыла неприятную тенденцию: компании без ясного согласия пользователей собирают данные там, где в этом нет технической необходимости.
Формальный аргумент о «проверке права собственности» не выдерживает критики на фоне скрытых офлайн-режимов и потока телеметрии к Amazon и Google. За каждым таким случаем стоит фундаментальный вопрос: насколько незаметно для игрока индустрия превращает лицензии на развлечение в лицензии на слежку?
Ubisoft может заплатить до 92 миллионов евро. Если noyb добьётся успеха, это будет не просто штраф для Ubisoft, а начало масштабного пересмотра стандартов в индустрии — где понятие «одиночная игра» снова придётся наполнять реальным смыслом, а не маркетинговыми уловками.
#конфиденциальность #игры #GDPR
@SecLabNews
📵 WhatsApp: переписка без права на вынос
Привычное сквозное шифрование в WhatsApp получает подкрепление: мессенджер вводит расширенную защиту конфиденциальности в чатах. Теперь можно не только шифровать переписку, но и отрезать доступ к её содержимому для других участников.
Технически новинка позволяет блокировать экспорт чатов, автоскачивание медиа и использование ИИ-инструментов. Всё это — одной настройкой в меню чата.
Особый прицел — на группы взаимопомощи и закрытые сообщества, где доверие к незнакомцам — хрупкая штука. Функция уже начинает раскатываться на актуальные версии приложения.
#WhatsApp #Конфиденциальность #Шифрование
@SecLabNews
Прятки в ядре: руткит Curing обходит защиту Linux
🔍 Исследование ARMO вскрыло уязвимость в логике мониторинга Linux-систем. Оказалось, что механизм io_uring позволяет выполнять операции в обход системных вызовов, оставаясь невидимым.
🧬 PoC-руткит под названием Curing напрямую взаимодействует с кольцевыми буферами ядра. Это позволяет ему принимать команды с C2-сервера без малейших следов на уровне стандартных защит.
⚙️ Популярные решения вроде Falco, Tetragon и Microsoft Defender оказались бессильны против такого подхода. Даже Falcon от CrowdStrike пришлось дорабатывать — иначе руткит был бы для него невидимкой.
Эксперты советуют пересматривать архитектуру мониторинга: одного перехвата системных вызовов уже недостаточно — нужны более глубинные методы анализа поведения ядра.
#linux #io_uring #curing #руткит #безопасность
@ZerodayAlert
📩 Email-доступ = TLS-сертификат. Что пошло не так в SSL[.]com
В SSL[.]com нашли уязвимость: сертификаты можно было получить, имея email на любом домене. Достаточно было контролировать почтовый ящик — и можно было запросить TLS-сертификат даже для gmail[.]com.
Ошибка валидации через DNS TXT: система принимала домен из почты (например, @gmail[.]com) как подтверждение владения самим доменом (gmail[.]com), даже если сертификат запрашивался на другой адрес.
Это ставит под сомнение саму модель доверия к email и DNS в сертификационной цепочке. Если такой баг не заметили раньше, стоит спросить: кто ещё из ЦС проверяет так же?
#tlsсертификаты #dnsвалидация #инфраструктурадоверия
@SecLabNews
💣 Секреты — на стол до 30 мая
Власти дали бизнесу последний шанс «сдать» старые утечки без последствий. До 30 мая операторы персональных данных могут уведомить Роскомнадзор о компрометациях — и избежать штрафов, включая оборотные.
С 30 мая начнут действовать нормы закона №420-ФЗ: штрафы за нарушение правил обработки ПДн и за неуведомление регулятора. Уголовная ответственность по №421-ФЗ за неправомерный доступ к персональным данным уже в силе с декабря. При этом датой правонарушения считается не сам инцидент, а момент раскрытия информации неограниченному кругу лиц.
Если оператор уже достоверно знает об утечке — тянуть нельзя. После дедлайна даже молчание станет нарушением. Новый режим: либо признался — либо попал.
#персональныеданные #утечкаинформации #штрафы2025
@SecLabNews
🟥 Страшно, когда не видно: управление активами как фундамент проактивной защиты
Вебинар Positive Technologies пройдет 24 апреля в 14:00
Управление активами — одна из важнейших задач в процессе обеспечения кибербезопасности любой компании. Чтобы выстроить эффективную защиту инфраструктуры, необходимо контролировать все ее составляющие. Команда Positive Technologies запускает серию вебинаров, которые помогут разобраться во всех тонкостях и выбрать правильные подходы к asset management*.
Присоединяйтесь, чтобы узнать, как обезопасить новые сервисы, отслеживать их изменения, взаимодействие и влияние на критически важные системы.
На вебинаре вы узнаете:
🔴что такое цифровые активы и как по-разному на них смотрят ИБ-, ИТ-подразделения и владельцы сервисов;
🔴как к процессу управления активами подходят российские компании;
🔴какие технологии Positive Technologies помогают эффективно управлять инфраструктурой.
*управление активами
🔒 «Госуслуги» ударят по пиратскому флоту?
Пока администраторы доменов .ru и .рф не торопятся сверять паспорта пользователей, интернет-пираты не упускают шанса развернуть очередную гавань с бесплатными сериалами и вирусами в комплекте. Новый законопроект, предложенный депутатом Горелкиным, заставит регистраторов подключить обязательную проверку через «Госуслуги» — без паспорта теперь не «причалишь».
Архитектурно всё выглядит логично и строго: каждому админу домена придётся авторизоваться через личный кабинет на «Госуслугах», а государство получит прямой контроль за валидностью данных. Учитывая, что 22,8% пиратских доменов сейчас уютно устроились именно в зоне .ru, такое решение выглядит своевременным, если не запоздалым.
Но не всё гладко — с одной стороны, инфраструктурный контроль может резко снизить число пиратов, а с другой — процесс интеграции потребует изменений в архитектуре платформ регистраторов и неизбежно породит сопротивление. Так или иначе, любителям бесплатного кино пора задуматься об альтернативе, а регистраторам — о чистоте собственных данных.
#ИБзаконы #пиратство #Госуслуги
@SecLabNews
🔒 Разрешено большим: расследовать утечки — по доверенности
Расследование утечек персональных данных в России может перестать быть уголовно наказуемым... но не для всех. Минцифры и АБД обсуждают поправки к УК и закону «О персональных данных», которые позволят крупным ИБ-компаниям и бизнесу «со зрелым ИБ» анализировать компрометацию данных клиентов без риска попасть под статью.
Сейчас, напомним, за это — до 4 лет лишения свободы, а при трансграничной утечке с последствиями — до 10. Даже если вы просто выявили инцидент, уведомили Роскомнадзор или провели тест на проникновение, формально это уже «незаконное хранение». Работать приходится буквально на свой страх и риск.
Суть инициативы — в фильтрации: из-под удара хотят вывести только тех, кто проводит такие исследования и имеет лицензию на техническую защиту конфиденциальной информации, а также капитал от 1 млрд рублей или от 100 млн рублей, если более половины доходов компания получает от защиты информации. Остальные — мимо.
#персональныеданные #утечка #информационнаябезопасность
@SecLabNews
📦 «Бэкдор?» — Telegram лучше уедет, чем сдаст приватность
Франция чуть не стала первой страной, где приватность признали вне закона: Сенат одобрил бэкдоры, Ассамблея остановила. Но ровно на три дня — дальше слово взял префект полиции.
Дуров напомнил, почему идея провальна: нельзя сделать бэкдор только для полиции — уязвимость будет для всех. Плюс преступники просто уйдут в менее известные приложения, с VPN в придачу.
Telegram снова чётко обозначил позицию: шифрование — это не про преступников, а про защиту обычных людей. И если придётся выбирать между рынком и правами пользователей — мессенджер уйдёт с рынка.
#Telegram #Дуров #Шифрование
@SecLabNews
🧪 От пробирки до сервера: где ломается геномика
Секвенаторы нового поколения — это уже не просто лабораторные приборы, а полноценные киберфизические системы. И как показало новое исследование, они открывают не только геном, но и ворота для атак.
Уязвимость NGS-платформ (секвенирование нового поколения) начинается с биообразца и заканчивается алгоритмами интерпретации ДНК. На каждом этапе — цифровые дыры: прошивки, сети, хранилища, программные модули, API и даже искусственно созданная ДНК с вредоносной вставкой. Добавим сюда машинное обучение и открытые базы данных — и получим идеальную точку входа для атак с непредсказуемыми последствиями.
Кибербиобезопасность — пока что белое пятно. Авторы исследования составили подробную карту угроз и подчёркивают: нужна защита на стыке ИБ и биотехнологий. Потому что компрометация генетических данных — это не просто утечка, а прямое вмешательство в основы человеческой природы.
#кибербиология #генетика #информационнаябезопасность
@SecLabNews
🐧 Open source 2025: иллюзия свободы рассыпается
Свежий отчёт OpenLogic вместо очередной оды свободному ПО показывает обратную сторону: крупные компании вязнут в легаси, не справляясь с поддержкой своих open source-ландшафтов.
На бумаге всё красиво — 96% используют FOSS, треть наращивает внедрение. Но факты тревожные: 25% всё ещё сидят на мёртвом CentOS, треть инженеров не знают, что делать в случае атаки на устаревший дистрибутив, а половина строит решения на технологиях, в которых «не очень уверены». Переход на Alma, Rocky или RHEL массово не пошёл. Angular.js 2010-х годов до сих пор в строю у трети крупных компаний.
Open source обещает открытые стандарты и независимость, а на деле без опыта и денег быстро превращается в лабиринт без выхода. Обучение стоит всё дороже, а обновления для инфраструктуры становятся роскошью. В 2025 году иллюзия «бесплатного ПО» трещит по швам.
#OpenSource2025 #ЛегасиИнфраструктура #БезопасностьКода
@SecLabNews
«МКО Системы» проведет в Москве ежегодное мероприятие, посвященное корпоративной информационной безопасности, — «CIRF ‘25»!
В этом году его программа объединит две больших тематических секции: «Бизнес» и «Техника».
Делиться экспертизой и опытом с вами будут:
❗️Алексей Шульмин (Kaspersky)
❗️Влад Азерский (F6)
❗️Юрий Тихоглаз (Zero eDiscovery)
❗️Дмитрий Беляев («АБТ»)
❗️Александр Дмитриев («Нейроинформ»)
❗️Никита Вьюгин («МКО Системы»)
❗️Максим Суханов (СICADA8)
❗️Олег Безик («Лаборатория цифровых исследований»)
Вход бесплатный, но регистрация обязательна.
Программа мероприятия и регистрация: https://mko-security.ru/cirf
🎛 XKeyscore на минималках: ChatGPT и разведка без галстуков
Что общего у спецслужб и чат-бота? Всё просто: поиск паттернов. Один из игроков, тестируя модуль XKeyscore в симуляторе киберопераций, вдруг понял — ChatGPT работает почти так же. Только без шпионских звездочек на погонах.
На практике ИИ помог разобрать арабско-англо-ивритский хаос в чате хактивистов, выстроить временные линии, вычислить фальшивые аккаунты и даже провести акустическую проверку голосов. Ограничение в 512 МБ? Пфф, вопрос техники.
Мораль истории проста: инструменты разведки давно вышли за пределы серверов АНБ. Теперь любой упорный гражданин может выстроить мини-NSA прямо у себя на ноутбуке — с бесплатной подпиской на ChatGPT.
#OSINT #ChatGPT #Киберразведка
@SecLabNews
Курс на киберустойчивость: Как изменились стратегии CISO ➡️
CISO активно переосмысливают подходы к ИБ и смещают фокус на практики киберустойчивости, которые помогают не только реагировать и предотвращать атаки, но и оперативно адаптироваться и восстанавливаться.
В исследовании собраны мнения CISO более чем из 70 российских компаний, принадлежащих к разным сферам бизнеса.
⬇️ Собрали главное в карточках, а полную версию исследования можно найти здесь.
🏗 Пиратство по лицензии
Рынок инженерного ПО в России за год вырос на 16–18%, а вместе с ним — и уровень формального «пиратства»: теперь под «нелицензионку» попадает уже 70% пользователей. Причина? Западные вендоры, вроде Autodesk, сами объявили все ранее купленные лицензии недействительными.
Переход на российские аналоги идёт, но не магией «щёлк — и пересели». Пересадить 2–3 тысячи инженеров за раз — всё равно что поменять шасси самолёта в полёте. Де-юре импортозамещение будет через несколько лет, а де-факто всё упирается в качество продуктов и поддержку.
На фоне правового хаоса рынок тем временем растёт — +16–18% за год, с перспективой удвоения к 2030-му. Но выживет тот, кто успеет не просто заменить, а создать лучшее.
#инженерноеПО #импортозамещение #пиратство
@SecLabNews
Как СaT запутал в клубке сразу несколько группировок? 🧶
Осенью 2024 года наше внимание привлек интересный инструмент, обнаруженный во время изучения активности группировки PhaseShifters. Это оказался криптор по подписке (CaaS) Crypters And Tools — мы уже подробно разбирали его в первой части исследования: как он работает, чем именно выделяется среди других и как устроена его инфраструктура.
Теперь же мы возвращаемся к теме APT-группировок, но фокус сместим на других злоумышленников — TA558, Blind Eagle и Aggah, чью деятельность мы рассмотрим более детально.
🐾 Какие группы точно использовали Crypters And Tools в своих атаках?
🔎 Насколько связаны между собой эти группировки, использующие CaT?
🇵🇰 Как Aggah поживает после 2022 года?
🧩 Как мы установили конкретных пользователей?
💥 Какие пользователи являются членами группы TA558 и причем тут negrocock?
🇳🇬 Из какой африканской страны разослали 60 тысяч писем и причем тут Crypters And Tools?
На эти и другие вопросы вы найдете ответы во второй части нашей статьи про Crypters And Tools.
#TI #APT #hacktool
@ptescalator
🤖 GPT-эксплойт за один вечер
Исследователь Мэтт Кили показал, что GPT-4 может писать рабочие эксплойты для критических уязвимостей — ещё до публикации PoC. На вход — CVE-2025-32433, баг в SSH-сервере Erlang/OTP с CVSS 10.0. На выход — готовый код для удалённого выполнения без аутентификации.
ИИ сам нашёл коммит с фиксом, сравнил с уязвимой версией, локализовал проблему, написал эксплойт, отладил, доработал. Всё — за один вечер. Раньше на это ушли бы дни и экспертиза по Erlang. Теперь — достаточно знать, как правильно промтить.
Эта история — не про ИИ, а про темп. Между раскрытием уязвимости и готовым эксплойтом — всего несколько часов. У кого нет автоматизации патчей, будет первый в очереди — не на апдейт, а на взлом.
#exploitgpt #cve202532433 #кибербезопасность
@SecLabNews
⚡ Производство PHDays Badge запущено ⚡
🔥 До старта PHDays Fest 2025 осталось меньше месяца. Подготовка идет полным ходом, и сегодня мы готовы приоткрыть завесу тайны и показать, как создается наш интерактивный бейдж. Смотрите увлекательное видео с производства и узнавайте, какие этапы проходит бейдж при сборке!
📆 Уже совсем скоро мы представим вам финальный облик бейджа и расскажем о его новых крутых функциях. Следите за новостями!
🍪 Google не спешит хоронить cookie
Обещанное отключение сторонних cookie в Chrome снова откладывается. Google смягчает курс: ни отдельного окна для управления трекерами, ни радикального пересмотра настроек — пользователи по-прежнему настраивают приватность вручную через «Конфиденциальность и безопасность».
Причина — отсутствие согласия в отрасли. Рекламщики, регуляторы и разработчики не пришли к единой позиции по Privacy Sandbox. А пока Google усиливает защиту в Chrome: в инкогнито уже блокируются сторонние cookie, впереди — запуск IP Protection для скрытия реального IP.
Google идёт своим путём: между рекламной моделью и приватностью. Safari и Firefox уже заблокировали сторонние cookie по умолчанию, а Chrome всё ещё балансирует. Пауза — не конец, но явный сигнал: быстро мир без cookie не наступит.
#googlechrome #privacyupdate #cookies2025
@SecLabNews
🛠 Когда senior-задачи — по цене middle
IT-компании 2025 года трансформируют свои HR-модели: теперь каждое штатное решение — просчитанный шаг. Открытые вакансии — редкость, а на первое место выходит соотношение «затраты–польза».
Selecty проанализировала 2700 оферов: в приоритете — системные аналитики, как предвестники проектной активности. В разработке — перекос: Java‑разработчики востребованы, Python — на периферии. Рынок выровнялся, но за счёт сужения.
Зарплаты не покрывают рост цен, а психологический климат просел: уверенность кандидатов — на минимуме с 2020-х. Главная ставка — на гибкость и способность адаптироваться. ИТ-специалисту больше не достаточно «подходить по стеку» — нужно доказать, зачем он бизнесу.
#ITрынок2025 #наймвпаузе #ценностьвместогрейда
@SecLabNews
🛑 Лицензия на лазейку: Пакистан упаковывает VPN в бюрократию
Регулятор PTA выдал первые три лицензии на работу VPN в стране. Остальным — ультиматум: или встаёшь в очередь, или готовься к бану. Схема, знакомая по другим странам: сначала лицензия, потом DPI, потом — привет, деанон.
Интересно, что к шагу власти пришли не внезапно: к декабрю 2024 уже разрабатывали отдельную категорию лицензий, а сейчас запустили её в производство. Фактически VPN в Пакистане официально перестал быть средством приватности.
Цель — вытеснить «неудобные» зарубежные решения, которые нельзя прослушать, и заменить их своими, удобными. Следующий шаг — мониторинг, и без иллюзий: если VPN одобрен государством, он уже не VPN.
#Пакистан #VPN #ЦифровойКонтроль
@SecLabNews
Первый обучающий SECURITM воркшоп в серии встреч по созданию автоматизированной СУИБ.
🗓 25 апреля в 11:00
Тема: «Ведение реестра защитных мер»
Спикер: Николай Казанцев
Кому: CISO, методологам и инженерам, создающим и развивающим системы ИБ.
Когда: раз в 2 недели, старт 25.04.25
О чем: темы воркшопов охватят все процессы СУИБ, от учета и мониторинга СЗИ до построения процессов управления рисками. Ближайшие темы встреч - управление защитными мерами, оценка соответствия, учет ИСПДн.
Как: в форме вебинаров, на которых теория чередуется с практическими заданиями, которые вы сможете выполнять прямо во время встречи.
Для участия потребуется регистрация в SGRC SECURITM.
А в результате серии воркшопов вы получите единую систему управления ИБ настроенную на ваших данных.
➡️Регистрация по ссылке.
🧱.RU — дом родной для пиратов, а хостинг уехал в Нидерланды
Компания F6 вскрыла фундамент пиратского рынка в России — на 12 CDN приходится до 90% всей дистрибуции видеоконтента для нелегальных онлайн-кинотеатров. Именно они играют ключевую роль в распространении пиратских фильмов, в отличие от сайтов, которые регулярно блокируются. Один видеобалансер может содержать более 550 000 видеофайлов.
F6 изучила 1400 ресурсов и составила топ: Alloha (61% сайтов), Rewall (42%), Lumex (11%), Kodik (9%) и HDVB (7%). Общая инфраструктура этих CDN — более 4400 доменов, многие с поддоменами третьего и четвёртого уровня. Стрим идёт через HTTP и WebSocket — последний используется у HDVB и Rewall.
Классика жанра: 22,8% пиратских сайтов — в зоне .ru, что объясняется простотой и дешевизной регистрации. А инфраструктура CDN размещена на хостингах в Нидерландах, США, Германии, Франции и на Украине. Пока блокируют витрины, фундамент сети остаётся распределённым и живучим.
#пиратство #CDN #кибербезопасность
@SecLabNews
🕊Firebird Conf 2025 – всё о разработке и администрировании Firebird
29 мая в Москве состоится крупнейшая в России конференция, посвященная СУБД Firebird. Это ключевое событие для разработчиков, администраторов баз данных и всех, кто использует Firebird в своих проектах.
📖Что вас ждет на Firebird Conf 2025?
✅Выступления экспертов и разработчиков Firebird с рекомендациями и идеями для пользователей, разработчиков и администраторов СУБД
✅Кейсы и реальный опыт разработки Firebird и прикладного ПО
✅Обучение с возможностью стать сертифицированным администратором СУБД РЕД База Данных
✅Стенды ИТ-компаний с конкурсными активностями и ценными призами
Вечерняя программа с неформальным общением
Не упустите шанс получить ценные знания и отлично провести время!
Скидка 25% только до 20 апреля!
⛓Купить билет
Реклама. ООО «Ред Софт Центр», ИНН 7727836231, erid:2SDnjcYgbiD
📡 Уязвимость в роутерах ASUS: AiCloud даёт злоумышленнику ключи от вашей сети
Невидимая дыра в облачном сервисе превращает домашнюю сеть в проходной двор
ASUS продолжает платить по счетам за идею "домашнего облака". На этот раз — через критическую уязвимость в AiCloud, позволяющую удалённый доступ без авторизации. Сценарий прост: специально оформленный запрос — и злоумышленник внутри вашей домашней сети.
Особенность в том, что брешью оказалась не экспериментальная функция, а одна из ключевых — с постоянным внешним подключением и глубокой интеграцией в прошивку. Уязвимость поражает десятки моделей с разными ветками прошивок — от 382 до 388 и выше.
AiCloud задумывался как удобство, а стал ахиллесовой пятой для всей линейки. Если роутер уже не поддерживается — отключайте сервис и изолируйте доступ извне. Обновляемые устройства — срочно патчить. В противном случае «удалённый доступ» может очень скоро оказаться не только у вас.
#CVE2025_2492 #ASUSvulnerability #CloudSecurity
@SecLabNews