82251
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
Бразильский коп из Африки и юный миллионер из Таиланда, или как Интерпол накрыл главную фабрику разводов планеты
Международная полицейская облава под кодовым названием «Первый свет» показала поистине голливудский масштаб сетевой преступности. Силовики из 97 стран одновременно задержали почти шесть тысяч человек и заблокировали больше 31 тысячи банковских счетов. Сумма арестованных активов превысила 293 миллиона долларов, наглядно демонстрируя истинные масштабы финансового бедствия.
Организаторы схем проявили потрясающую изобретательность. Чего стоит только детально воссозданный фальшивый полицейский участок в крошечном африканском Эсватини. Жулики построили настоящую декорацию с бразильской формой и вывесками, чтобы кошмарить доверчивых граждан по видеосвязи. А в Таиланде двадцатилетний юноша в одиночку отмыл через виртуальные кошельки 122 миллиона долларов. Такой размах показывает, что традиционные методы защиты полностью буксуют перед лицом столь гибких психологических атак и мгновенных переводов.
Любопытно, что весь этот грандиозный праздник правосудия спонсировало Министерство общественной безопасности Китая, а наши ведомства активно помогали процессу. Для индустрии это четкий сигнал, ведь эпоха разрозненной борьбы с сетевой преступностью окончательно ушла в прошлое. Теперь против международных синдикатов будет работать жесткая глобальная координация, способная за считанные минуты блокировать подозрительные транзакции на другом конце планеты. Обычным пользователям пора перестать верить картинкам в экранах, ведь даже суровый бразильский полицейский на видео может оказаться актером из африканской глубинки.
#интерпол, #мошенничество, #крипта @SecLabnews
Снято очевидцами: в центре Москвы плавает кот на надувном фламинго, потягивая коктейль🍹
Выяснили, что так приглашают на «Лето в КиберКэмпе» — опэн-эйр про технологии и кибербезопасность.
17 июля в «Березы Парк» Строгино организаторы обещают настоящий летний фестиваль у воды:
🔹доклады и дискуссии про ИБ, ИИ и технологии;
🔹D&D и другие настолки;
🔹научпоп-лекцию Владимира Сурдина;
🔹пинг-понг, активности и мерч.
Похоже, безопасники наконец решили отдохнуть летом по-человечески!
Билеты доступны по ссылкам:
Стандартный
Студенческий
📣Едете от компании? Билеты можно оформить по счёту на юридическое лицо.
📍17 июля, Москва, Берёзы Парк Строгино
🚌 Бесплатный трансфер от м. «Щукинская»
🔩США учат спутники выбирать цели без человека
Пентагон переводит орбитальную разведку на полную автоматику. Суть предельно ясна. Программа непрерывно сканирует поверхность планеты и самостоятельно ищет цели. Машина отслеживает перемещения техники и живой силы без перерывов на обед и моральных терзаний.
Теперь математическая модель решает кому жить. Система сравнивает кадры до и после обстрела, моментально вычисляя уцелевших. Людей убрали из контура управления. Нейросеть сама формирует списки на уничтожение и передает координаты напрямую ударным комплексам.
Коммерческая космонавтика окончательно слилась с оборонкой. Важна лишь скорость передачи приговора от камеры к ракете. Алгоритмы получают реальное право на убийство. Спрятаться от глобального надзора больше не получится.
#Нейросети #Безопасность #Оружие @SecLabnews
✨ Бесплатный комплаенс и харденинг с «2К» – то, что ФСТЭК прописал
🗓 16 июля, начало в 11:00 по московскому времени
За последние месяцы регулятор выпустил рекордное число рекомендаций по безопасной настройке системного и прикладного ПО. Игнорировать риски, скрытые в конфигурациях ИТ-активов, больше нельзя. Но ручной контроль – это долго, больно и чревато ошибками.
Узнайте, как управлять безопасностью конфигураций на автопилоте с бесплатной версией системы «Контроль конфигураций» («2К») от компании «ЛИНЗА»!
⚙️ На вебинаре покажем, как «2К» автоматизирует рутину
• Контроль на лету: мгновенная проверка ключевых ИТ-активов
• Соответствие ФСТЭК: аудит конфигураций по лучшим практикам регулятора
• Харденинг без забот: экспертные отчеты и автоматизация исправлений
• Ноль затрат: реальное повышение защищенности без скрытых условий
📣 Кому полезно: CISO, CIO, ИБ-специалистам и ИТ-администраторам
✨ Участие бесплатное. Необходима регистрация
💰 Слабоумие и Bluetooth: почему копеечные аккумуляторы стали кошмаром для таксистов
Пока Илон Маск строит беспилотное будущее, настоящий киберпанк уже наступил в Нью-Дели, причем в самой нелепой форме. Местные шутники превратили обычное приложение для диагностики аккумуляторов BAT-BMS в инструмент для дистанционной остановки чужого транспорта.
Схема предельно проста. Злоумышленник замечает электрорикшу, подключается по Bluetooth к системе управления батареей без пароля и отключает разрядную цепь. Машина мгновенно теряет тягу посреди плотного потока. Пассажиры выходят, а блогеры снимают растерянного водителя и публикуют ролик в соцсетях. Некоторые пошли дальше и начали зарабатывать на собственной диверсии. После остановки рикши мошенники предлагали «починить» аккумулятор за несколько сотен рупий, а затем просто включали батарею обратно.
Полиция уже задерживает авторов подобных роликов, а Министерство электроники Индии блокирует BAT-BMS и аналогичные приложения, включая Lossigy. Радикально решить проблему такие меры вряд ли смогут. Запрет в индийском App Store не мешает скачать программу с неофициального сайта или написать собственный скрипт. Протокол обмена данными с китайскими платами Shenzhen Grenergy Technology давно изучен и доступен разработчикам.
Причина гораздо глубже. Значительная часть индийского транспорта перешла на литиевые аккумуляторы ради экономии, но владельцы и сборщики часто выбирали самые дешевые компоненты без базовой защиты. Производители сэкономили на программном обеспечении и механизмах авторизации. Расплачиваются за такую экономию водители, которым приходится вручную толкать тяжелые электрорикши по улицам и подъемам.
#уязвимость, #транспорт, #интернетвещей @SecLabnews
Кофе, SOC и логи. Эпизод №46, прямой эфир
Через несколько минут начинаем, подключайте ваши безопасные интернет-приёмники с TLS 1.3, музыка уже играет здесь 🗣 https://itradio.su/streaming
и тут 🗣 https://stream.itradio.su
О чём:
Обсуждение лучших новостей инфобеза за неделю с 6 июля по 12 июля 2026 г.
Ведущие:
Александр Антипов,
Ева Кузнецова,
Денис Батранков,
Антон Клочков.
Специальный гость:
Шарафутдинова Дарья, независимый эксперт по информационной безопасности, автор Telegram-канала «Шарф Безопасности»
Когда: 12.07.2026 11:00 – ссылка на наш календарь
Задаём свои вопросы в чате подкаста с тегом #csl46
Поддержать проект своим трудовым рублём:
https://itradio.su/donations
@ITRadiosu #csl
«Анонимность» Web3 оказалась иллюзией для миллионов пользователей
Почти 28 млн пользователей браузерных криптокошельков могут быть деанонимизированы через обычные сайты, не имеющие никакого отношения к криптовалютам, и для этого не нужно воровать ключи или подтверждать транзакции. К такому выводу пришли исследователи из Лёвенского католического университета, проверив 85 популярных кошельков в Chrome Web Store, которыми пользуются свыше 35 млн человек.
Оказалось, что по одним только сетевым запросам при проверке баланса можно связать разные адреса одного владельца. Это касается 17 кошельков и около 23 млн пользователей. Не менее серьёзна ситуация с разрешениями. Из 36 совместимых кошельков 22 не удаляли выданный сайту доступ корректно, а среди 30 проверенных Ethereum‑приложений отзывали разрешение при выходе только 11.
Скрытые iframe‑блоки позволяют обычному сайту получить адрес кошелька в 23 расширениях, которыми пользуются почти 28 млн человек, причём в 14 случаях это работает даже после блокировки расширения. Авторы называют проблему системной и предлагают набор мер. Среди них запрет объединять адреса в одном запросе, ограничение срока действия разрешений и запрет на загрузку приложений внутри чужих сайтов.
#Крипто #Приватность #Кибербезопасность
@SecLabNews
Лавочка закрылась. Забугорные симки больше не спасают от блокировок
Владельцы зарубежных симок лишились возможности свободно заходить на сайты, ограниченные в России. Раньше их трафик шёл напрямую через сеть зарубежного оператора и не подпадал под российские блокировки. Теперь к нему применяются те же правила фильтрации, что и к обычным российским симкам — независимо от страны выпуска карты. При этом сервисы, которые сами ограничили работу в России (например, Netflix и часть зарубежных нейросетей), по-прежнему доступны.
В Минцифры подтвердили: речь не о полном отключении интернета, а об ограничении доступа к ресурсам, заблокированным по российскому законодательству. Доступ ко всему остальному у абонентов с иностранными симками сохраняется. Изменения начались около полутора недель назад.
Такими симками для постоянного выхода в интернет пользовалось около 500 тыс. россиян из 2 млн карт, находящихся на руках. Сами контракты зарубежных операторов по-прежнему продаются на российских площадках по цене от 600 рублей до 5,5 тыс.
#телеком #интернет #блокировки
@SecLabNews
TPM: цифровой отпечаток, который нельзя стереть даже форматированием диска
Помните хакера, которого Microsoft помогла привязать к компьютеру через GDID? Тогда речь шла о глобальном идентификаторе устройства в Windows, телеметрии, логах Ngrok, Azure и запуске игр с точными временными метками.
Но GDID оказался только верхним слоем. Программную метку при большом желании можно удалить или заменить вместе с окружением. А в современных ПК есть TPM, защитный модуль с Endorsement Key, уникальным ключом, записанным на этапе выпуска чипа. Microsoft прямо указывает, что EK нельзя изменить или удалить. Переустановка Windows, переход на Linux и замена диска такой след не стирают.
TPM нужен для Windows Hello, BitLocker, корпоративных VPN, банковских приложений и других механизмов защиты. Но та же привязка превращает компьютер в устройство с постоянной аппаратной идентичностью. Очистка TPM через BIOS не меняет корневой ключ и может сломать вход по лицу, отпечатку, ключи доступа или доступ к данным при включенном BitLocker.
#TPM #GDID #Приватность
@SecLabNews
Специалисты обнаружили скрытый пароль в прошивках Tenda
Уязвимость CVE-2026-11405 затрагивает несколько версий прошивок Tenda, включая модели FH1201, W15E, AC10, AC5 и AC6. Специалисты CERT обнаружили в файле /bin/httpd скрытый механизм, который при неудачной обычной авторизации обращается к запасному значению sys.rzadmin.password и сравнивает его с введённым паролем в открытом виде.
Имя пользователя при этой проверке не учитывается, поэтому злоумышленнику достаточно указать любое имя и подобрать скрытый пароль, чтобы получить действующую сессию с правами администратора. Такой механизм не описан в документации Tenda, а в панели управления владелец устройства не видит связанных с ним настроек.
Успешная атака даёт полный контроль над веб-интерфейсом, позволяя менять параметры сети, отключать защитные функции и использовать роутер как точку входа для атаки на локальную сеть. CERT сообщил, что не смог связаться с Tenda, поэтому владельцам уязвимых устройств советуют отключить удалённое управление через интернет и ограничить доступ к панели администрирования из локальной сети.
#tenda #роутер #уязвимость #пароль
@ZerodayAlert
YouTube растёт вопреки всему: аудитория сервиса увеличилась несмотря на ограничения
YouTube в России работает с перебоями уже почти два года, но дневная аудитория сервиса не только не исчезла, а продолжает расти. В январе-мае 2026 года дневной охват YouTube увеличился на 4%, до 22,4 млн человек. «Яндекс Видео» прибавило 7,5% и достигло 6,1 млн пользователей.
Российские платформы берут охваты не только контентом, но и привычной средой вокруг него. «VK Видео» встроено в соцсеть, где у сервиса есть своя аудитория и внутренняя дистрибуция. «Яндекс Видео» появляется там, где человек уже что-то ищет. Поэтому сравнивать эти показатели с YouTube напрямую сложно: у площадок разные точки входа, разные способы подсчета и разная роль в поведении зрителя.
У Rutube дневной охват снизился на 13,6%, до 7,2 млн человек, хотя в «Газпром-медиа» говорят о более чем 20 млн ежедневных пользователей по другой методике. Главная проблема не только в цифрах, а в контенте: пока российские сервисы не нарастят сильных авторов, рекомендации и библиотеки, зрители будут держаться за YouTube даже при ограничениях.
#YouTube #VKВидео #Видеосервисы
@SecLabNews
Минцифры не будет вводить отдельный платёж за иностранный интернет
Власти России не рассматривают введение отдельной платы за «иностранный» мобильный интернет. Об этом в Госдуме заявил замглавы Минцифры Иван Лебедев, отвечая на вопрос депутата КПРФ Олега Смолина.
Весной на закрытых совещаниях с операторами и цифровыми платформами обсуждали меры против VPN. Операторам предлагали брать дополнительную плату, если абонент использует больше 15 ГБ международного трафика в месяц. Цифровым платформам параллельно предлагали ограничивать доступ к сервисам для пользователей с включенным VPN.
Запуск такой опции сначала ждали до 1 мая, затем сроки переносили на июнь и ближе к осени. Отдельной проблемой называли учет международного трафика: многие российские сервисы и сайты используют иностранные IP-адреса, поэтому технически отделить зарубежный трафик от обычного сложно.
#интернет #Минцифры #VPN
@SecLabNews
🤯 Ищешь VPN от слежки, а качаешь товарища майора
Пока люди пытаются обойти цензуру, связанные с иранской киберслежкой хакеры сами подсовывают им «свободный интернет». Вскрылась свежая схема проиранской группы TAG-182: сеть бесплатных сервисов с названиями вроде Pis2ray VPN и StarVPN маскировалась под привычные инструменты обхода блокировок, включая подделку под Starlink. Сложные эксплойты не понадобились, напуганные блокировками пользователи сами скачивали фейковые установщики.
Внутрь подделки зашит MarkiRAT, знакомый по старым операциям Ferocious Kitten. Троян использует штатную службу Windows BITS для фоновой передачи данных, поэтому вредоносную активность проще спрятать среди обычных системных процессов. Пока пользователь думает, что получил VPN, программа может сливать нажатия клавиш, файлы и буфер обмена, а также выполнять команды на зараженном компьютере.
Вся схема построена на панике. Когда начинаются массовые блокировки, люди торопятся найти рабочее решение и ставят приложения из сомнительных источников. Ирония в том, что инструмент, установленный ради приватности, превращается в канал наблюдения. Бесплатный сыр в мышеловке не просто с плесенью, он еще и логирует каждый твой клик.
#кибербезопасность #vpn #социальнаяинженерия
@SecLabNews
Российская виртуализация показала отсутствие уязвимостей по результатам grey-box тестирования
Разработчик Orion soft представил результаты нового этапа анализа защищенности платформы виртуализации zVirt. По итогам grey box-тестирования в согласованном периметре специалисты CICADA8 не подтвердили наличие уязвимостей в версии zVirt 5.0 и дополнительных сценариях проверки.
Специалисты CICADA8 проверили механизмы аутентификации и авторизации, управление сессиями, контроль доступа, API, обработку пользовательского ввода, клиентскую часть, конфигурацию и известные риски используемых компонентов. Отдельное внимание уделялось сценариям, которые могут приводить к несанкционированному доступу, повышению привилегий, нарушению изоляции пользователей или некорректной обработке данных.
Проверка zVirt 5.0 продолжает долгосрочное сотрудничество Orion soft и CICADA8.В его рамках проводится регулярный анализ защищенности продуктов Orion soft по мере выхода релизов и в формате повторных проверок.
#OrionSoft #zVirt #Виртуализация
@SecLabNews
Как бесплатно выкачать мозги работяг для роботов Илона Маска
Создать умного робота без реального физического опыта невозможно, поэтому технологические компании нашли идеальный полигон в Индии. Сотрудники фабрик теперь пашут с объективами на голове, записывая тысячи часов видео от первого лица. Разработчики из EgoLab чистят полученные архивы от мусора, размечают правильные движения и продают готовые датасеты в Tesla и другие технологические конторы.
Ключевой нюанс кроется в полном бесправии доноров информации. Работяг вслепую используют как дешёвые датчики, не заплатив за уникальные профессиональные секреты ни копейки. Заодно софт анализирует темп труда, поэтому из цехов исчезает нормальное человеческое общение — люди боятся даже собираться в группы под прицелом линз.
Происходит тихий рейдерский захват человеческих навыков в промышленных масштабах. Сначала живые сотрудники отдают нейросети профессиональные секреты, затем попадают под тотальный надзор, а в финале уступают место обученным машинам. Скоро подобная запись биомеханики может стать обязательным условием найма на любую физическую работу.
@SciTechQuantumAI
🚰Один преступный VPN чуть не выключил короткие ссылки Telegram
США внесли в санкционный список 1VPNS, его администратора Дмитрия Рашевского и продавца средств маскировки вредоносных программ Евгения Силаева. По версии Минфина, сервис годами снабжал вымогателей серверами, VPN-доступом и инфраструктурой, через которую атаковали компании, банки, больницы и городские службы. Проект работал как минимум с 2014 года и обещал не хранить данные клиентов и не помогать правоохранителям.
В санкционном документе среди адресов 1VPNS указали Telegram-канал на домене t.me. Вскоре весь домен получил статус serverHold и перестал открываться. Пользователи предположили, что система проверки могла принять адрес отдельного канала за домен преступного сервиса и заблокировать короткие ссылки Telegram целиком.
Подтверждений связи между санкциями и блокировкой пока нет. Оператор доменной зоны .me публично не объяснил причину serverHold, а этот статус устанавливает реестр зоны, а не обычный регистратор. Известно лишь, что санкции США согласовали с Великобританией, а ещё в мае 2026 года европейские правоохранители отключили сайт 1VPNS и часть связанной с ним инфраструктуры.
#кибербезопасность #вымогатели #Telegram
@SecLabnews
🎭GitHub и Apple массово сбоят в России, но общей причины пока не нашли
Утром 14 июля пользователи из десятков российских городов столкнулись с проблемами при доступе к GitHub и сервисам Apple. Detector404 зафиксировал жалобы из 33 городов. У GitHub 94% сообщений касаются недоступности сайта, у Apple пользователи жалуются на сайт, приложения и сразу несколько функций.
GitHub признал сбой только в Codespaces, при этом основной сайт, репозитории и программный интерфейс официально работают штатно. Такая версия не объясняет российские жалобы, где пользователи не могут открыть сам GitHub и отдельные репозитории.
Apple общий инцидент пока не подтверждала. Связь между проблемами двух компаний тоже не установлена. Сейчас речь идёт о масштабных региональных сбоях доступа, причины которых остаются неизвестными.
К 12:00 GitHub и сервисы Apple снова стали доступны. Роскомнадзор не ограничивает доступ к сервисам Google, GitHub и Apple, заявили в ведомстве.
#GitHub, #Apple, #Роскомнадзор @SecLabnews
🤵Миллионы роутеров и умных приборов под угрозой. В популярном загрузчике нашли ошибку тринадцатилетней давности
Исследователи Binarly опубликовали детальный разбор шести уязвимостей в загрузчике U-Boot. Проблема затрагивает базовый уровень инициализации оборудования: маршрутизаторы, IoT-устройства и серверные контроллеры BMC. Уязвимый код присутствует в кодовой базе начиная с версии 2013.07, что автоматически ставит под угрозу более 50 стабильных релизов и неизвестное количество кастомных вендорских форков.
Ключевой архитектурный просчет заключается в логике работы механизма Verified Boot. Загрузчик начинает парсинг структуры образа FIT (Flattened Image Tree) до завершения криптографической проверки цифровой подписи. Передача специально сформированного файла приводит к повреждению памяти. Это позволяет злоумышленнику выполнить произвольный код в контексте загрузчика еще до того, как система признает подпись недействительной.
Традиционные средства защиты, включая EDR-системы и антивирусы внутри ОС, не способны детектировать подобные угрозы, так как получают управление значительно позже. Персистентность таких закладок сохраняется при любых перезагрузках и переустановках операционной системы.
#безопасность, #уязвимости, #сети @SecLabNews
📞 BitTorrent разменял четверть века — пережил суды, рейды, банкротство собственного магазина и смену владельца, а простую вещь так и не сделал: не заработал на этом всём ни цента
Четверть века назад появилась технология, из-за которой боссы киностудий по всему миру глотали успокоительное. Классические сети нулевых рушились, стоило юристам ударить по центральному серверу. Новый протокол вывернул архитектуру наизнанку. Чем больше людей качали файл, тем быстрее шла загрузка у всех остальных. Разработчик просто убрал единый каталог, превратив каждого пользователя в самостоятельный узел обмена информацией.
Правообладатели бросились давить новую сеть судебными исками, но быстро осознали всю безнадежность ситуации. Когда закрывали одного координатора, моментально рождался десяток новых площадок, а распределенные таблицы позволили компьютерам находить друг друга напрямую. Самое смешное, создатели технологии тоже сломали зубы об собственное детище. Попытка открыть легальный магазин с платными фильмами закончилась провалом, поскольку люди отказались покупать искусственно ограниченный товар при наличии идеальной бесплатной альтернативы.
Сегодня система живет собственной жизнью и спокойно переживает любые блокировки. Ежемесячная аудитория протокола насчитывает свыше пятидесяти миллионов человек, не считая пользователей независимых программ. Индустрия получила великолепную оплеуху. Если честный покупатель вынужден оплачивать пять разных подписок ради любимых сериалов, технология всегда предоставит бесплатный и надежный обходной путь.
#сети, #алгоритмы, #провал @SecLabnews
🆕 Еженедельный обзор киберновостей
Интерпол за неделю задержал почти шесть тысяч человек в 97 странах, в России всерьёз обсуждают конец анонимного хостинга с паспортом через «Госуслуги», а ООН при поддержке Anthropic и Ватикана потребовала запретить полностью автономное боевое оружие. Мы — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
🌎В мире
Интерпол подвёл итоги операции «First Light 2026»: почти шесть тысяч задержанных в 97 странах и разгром глобальных сетей телефонного и онлайн-мошенничества.
С 7 июля каждый новый автомобиль в ЕС обязан следить за лицом водителя и подавать сигнал, если тот отвлёкся дольше 3,5 секунды.
ООН при поддержке Anthropic и Ватикана потребовала провести «красную линию» и запретить полностью автономное оружие, решающее вопросы жизни и смерти без человека.
Китай впервые успешно вернул многоразовую ракету March-10B с первой попытки, сделав серьёзную заявку на конкуренцию со SpaceX.
Брюссель предложил объединить законы стран ЕС, чтобы закрыть доступ к соцсетям для миллионов подростков без согласия родителей.
🇷🇺 В России
Чиновники обсуждают идею обязать покупателей серверов и VPS подтверждать личность через «Госуслуги» — по сути, конец анонимного хостинга.
Минцифры готовится стать главным регулятором искусственного интеллекта в стране, получив два десятка новых полномочий вплоть до доступа к госданным.
С сентября российские отели смогут заселять гостей через мессенджер Max — даже без паспорта на руках.
Правообладатели бьют тревогу из-за законопроекта, который может превратить Россию в бесплатную площадку для обучения нейросетей на чужом контенте.
Масштаб утечек персональных данных в России резко сократился — 114 млн скомпрометированных строк вместо прежних 200 млн.
ℹ️Новости в сфере ИБ
Positive Technologies показала, как устроен теневой рынок, где доступ в корпоративную сеть продаётся всего от $100, а ущерб компаниям исчисляется миллионами.
Выяснилось, что Anthropic тайно наблюдала за пользователями Claude Code из Китая — и теперь компании приходится объясняться за скрытый эксперимент.
Следователи из США и Испании выследили и арестовали в Паленсии человека, который годами помогал хакерам заметать следы за криптовалюту.
Исследователи Bishop Fox собрали три миллиона фавиконов в единый инструмент разведки, который по значку вкладки вычисляет роутер, сервер и даже ловушку.
Flipper Devices пересмотрела будущее Flipper Zero после волны критики: культовый гаджет переходит на модель разработки с опорой на сообщество.
🔒Статьи и аналитика
Пока защита в среднем 14 дней не замечает чужака в сети, атакующие перепродают доступ за 22 секунды — разбираем, как вычислять атаку по ранним отклонениям в трафике.
Как перестать управлять сетью «по памяти»: гайд по NIM, нулевому доверию и SSH-ключам вместо паролей для инфраструктуры, которая не рассыпается при первом сбое.
За 2025 год нашли почти 42 000 уязвимостей — на 45% больше рекорда, и старая схема «сканер — список — патч» уже не успевает за атакующими.
Одна строка pickle.loads() с недоверенными данными способна обернуться выполнением произвольного кода — разбираем самую коварную десериализацию в Python.
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
@SecLabNews | Мы в Мах
👀 Чем закончилась охота на хакера, за которым следили годами? Публикуем новый захватывающий эпизод ИИ-сериала о киберпреступности.
К громкому аресту случайно привела обыкновенная просрочка — мужчина в Испании вовремя не внес платеж за автомобиль. Владельцы автосалона пожаловались на должника в полицию, и уже совсем скоро преступника выводили под конвоем и с наброшенной на голову синей курткой.
‼️ Неплательщиком оказался лидер группировки Cobalt, известный в криминальных кругах как Джузеппе. Благодаря информации от российских и белорусских силовиков полиция идентифицировала и задержала одного из самых опасных хакеров. И свой срок он получил совсем не за просрочку.
🎥 В новой серии CyberStory от F6 и @SecLabNews рассказываем историю главы хакерской преступной группы Cobalt и подробности его задержания.
Pickle: удобство, которое может стоить вам сервера
Каждый питон-разработчик хоть раз кидал объект в pickle.dumps() — две строчки, и готово. Но pickle восстанавливает не данные, а целые объекты, послушно выполняя всё, что нужно для сборки. И если данные пришли снаружи и попали в pickle.loads() без проверки, злоумышленник дописывает вызов системной функции, а сервер сам выполняет его команды. Base64 тут не спасает, ведь это не шифрование, а обёртка над тем же опасным потоком.
В новой статье разбираем, почему __reduce__ превращает удобную сериализацию в готовый RCE, по каким признакам пентестер вычисляет проблему и почему фильтрация символов почти не работает. А ещё про то, как безопасный внутренний сервис однажды тихо начинает принимать пользовательские данные, и так рождается классическая уязвимость.
Проверить всё руками можно на задаче «Элитный сомелье» из бесплатного курса «Профессия Белый Хакер». По легенде ваш знакомый Володя запустил сайтик про вино, увлёкся «нотками дуба» и забыл про безопасность. Сайт крутит pickle, а ваше дело найти, где сломана граница доверия, добиться выполнения команд и забрать флаг из корня.
@SecLabNews
🕵️♂️ Канада официально призналась во взломах. И это не баг, а госуслуга
Спецслужбы редко показывают, как выглядят кибероперации, проведённые с разрешения властей. Но канадский Центр безопасности коммуникаций (местное АНБ) в ежегодном отчёте раскрыл сразу несколько таких операций за прошлый год — против структур, связанных с продажей химических веществ для синтеза наркотиков, насильственным экстремизмом и вымогательским ПО.
Спецслужба выследила посредников, поставлявших химические вещества, и сорвала их канал поставок. Занялись и экстремистской группой, которая вербовала сторонников в том числе внутри Канады, — подорвали её репутацию и лишили притока новых участников. Ещё один удар пришёлся на вымогательский сервис, который атаковал медицину, транспорт и бизнес Канады: спецслужба вывела его инфраструктуру из строя и удалила часть данных с серверов преступников. Заодно накрыли ещё десяток крупных вымогательских групп и отбили фишинговую кампанию против федеральных систем.
Как именно всё это ломали и кого конкретно — не говорят: детали и техники такие ведомства светить не любят, иначе следующая атака уже не сработает.
#кибербезопасность #Канада #хакеры
@SecLabNews
🛡 42 000 уязвимостей за год. Успеваете патчить, а не только читать про них?
В 2025 году NIST обработал почти 42 000 уязвимостей, а NVD всё равно захлебнулась в очереди. С весны 2026 года база обогащает только приоритетные CVE, остальные записи часто остаются почти пустыми: без оценки серьёзности, без нормального описания продуктов и без ссылок на исправления.
Параллельно ужесточились требования регулятора. Новая методика ФСТЭК требует закрывать критичные уязвимости за часы, максимум за сутки. Старый цикл со сканером, заявкой, согласованием и патчем до конца квартала больше не выдерживает темпа. Атакующие успевают быстрее, особенно когда рабочий эксплойт появляется через несколько дней или даже часов после публикации.
В материале разбираем, почему одного CVSS уже мало, зачем нужны EPSS и CISA KEV, как Security Vision NG VM строит живую карту инфраструктуры, ищет реальные маршруты атаки и не верит галочке в тикете. Уязвимость считается закрытой только после повторной проверки. Всё остальное для атакующего остаётся открытым окном.
ООН предупредила об угрозе роботов-убийц
ООН хочет поставить жесткую границу для военного ИИ: машина не должна сама выбирать цель и решать, кто погибнет. Антониу Гутерриш на первом Глобальном диалоге по управлению ИИ в Женеве призвал запретить летальное автономное оружие и прямо назвал такие системы «роботами-убийцами».
Спор уже не теоретический. Армии разных стран используют алгоритмы не только на поле боя, но и в командных центрах, где скорость обработки данных влияет на решения командиров. Сторонники говорят, что человек сохранит контроль, противники предупреждают: чем больше полномочий получает машина, тем сложнее остановить ошибку, неверную оценку обстановки или опасную эскалацию.
Критика звучит все громче. Папа Лев XIV предупредил, что ИИ-оружие может сделать войну проще для начала и труднее для контроля. В Женеве более 4000 представителей государств, университетов, компаний и организаций обсуждают главный вопрос: успеет ли международное право ограничить военный ИИ до того, как автономные системы станут обычной частью конфликтов.
#ВоенныйИИ #АвтономноеОружие #ООН
@SecLabNews
Как атакуют e-commerce?
Раньше фишинг выглядел как сайт-однодневка с грубым копированием. Сегодня мошенники используют связки из ботов, лендингов с платежными шлюзами по модели scam‑as‑a‑service и не только. Инфраструктура мошенников по сложности порой не уступает легитимным сервисам.
Главная проблема — разрозненность площадок, которые нужно мониторить.
Ландшафт угроз на примере крупного ритейлера М.Видео:
75,6% — доски объявлений: схемы продажи промокодов и баллов
7,9% — сайты с копированием бренда
5,5% — мессенджеры: фейковые боты и аккаунты
3,3% — социальные сети: фейковые группы и аккаунты
За 6 лет сотрудничества М.Видео и BrandSecurity удалили 91 824 нарушения на 12 256 ресурсах — 97,5% всех угроз.
Решение покрывает цикл защиты: автоматическое обнаружение, анализ экспертами и оперативная блокировка.
Узнать о проекте и решении →
Выключи монитор, мы в эфире. Как слить базу данных через штатный кабель от компьютера
Инженеры могут сколько угодно изолировать серверы от интернета, запрещать флешки и прятать системы в закрытых помещениях, но физику обмануть сложнее. Исследователи из Китая показали TrojPix, метод, который превращает обычный HDMI-кабель в скрытый канал утечки. Вредоносная программа незаметно меняет отдельные пиксели на экране, а кабель начинает излучать управляемый электромагнитный сигнал, который можно принять антенной снаружи.
Для пользователя картинка остается обычной. Можно работать с документами, смотреть на рабочий стол или видеть «спящий» черный экран, а данные все равно уходят через побочные излучения видеосигнала. В одном тесте сигнал принимали за бетонной стеной на расстоянии 10 метров с точностью около 99%, а на открытом пространстве полный пакет удалось получить с 208 метров. Сетевые средства защиты тут бессильны: трафика нет, Wi-Fi нет, интернета нет, а пиксели слегка меняются.
Простое экранирование кабеля ухудшает канал, но не закрывает его полностью: успешность оставалась выше 91%. Авторы предлагают глушить нужные частоты, случайно менять порядок передачи видеосигнала, сглаживать пиксельные изменения или уходить на оптоволоконные видеосоединения. Неприятный вывод простой: даже «полностью изолированный» компьютер может оказаться слишком разговорчивым, если к нему подключен обычный монитор.
#кибербезопасность #утечки #TrojPix
@SecLabNews
Microsoft помогла посадить хакера по коду материнской платы
Дело участника группировки «Scattered Spider» Питера Стоукса показало реальную цену «приватности» в Windows. Хакер погорел на системной телеметрии, которую невозможно выключить стандартными инструментами. Специалисты Microsoft передали ФБР данные Global Device Identifier. Идентификатор привязан к конкретному железу компьютера и обычно сбрасывает лицензию системы, если поменять материнскую плату или процессор.
Силовики следили за подозреваемым еще с 2024 года, когда фигурант жил между Эстонией и ОАЭ. Задержать взломщика в Хельсинки с двумя жесткими дисками помог именно код GDID, который связал сетевую активность с конкретным оборудованием. Корпорация выкатила следствию логи запуска Ngrok, статусы в Azure и историю запуска игр с точными временными метками. Трекер работает на уровне железа, поэтому никакие прокси и VPN не скрыли реальную картину.
После экстрадиции в США и суда в Чикаго хакер остался под стражей. Эта история показала главную проблему коммерческих ОС: система намертво привязана к железу и непрерывно шлет отчеты разработчикам. VPN и шифрование теряют смысл, когда операционка сливает готовые логи сторонней компании. Сегодня база помогла следствию, а завтра может утечь в сеть.
#кибербезопасность #windows #телеметрия
@SecLabNews
GTA VI ещё не вышла, а деньги у геймеров уже воруют
Релиз GTA VI ещё впереди, а охота на фанатов уже открыта. Мошенники запустили целый арсенал схем, заточенных под русскоязычную аудиторию: от поддельных страниц предзаказа до фальшивого набора «тестировщиков» из стран СНГ. Логика проста и цинична — чем сильнее ажиотаж, тем легче усыпить бдительность.
Схемы разные, а финал один. Поддельные сайты копируют официальный брендинг, крутят настоящие трейлеры и просят оформить предзаказ — а на деле собирают ваши платёжные данные, оставляя без денег и без игры. Другой сценарий — «безопасная» бета, которую продвигают роликами в соцсетях: скачанный файл вместо Вайс-Сити приносит вредоносное ПО и кражу аккаунтов. Досталось даже криптоэнтузиастам — им подсовывают токены под стилистику GTA, ведущие к потере активов.
Вывод предсказуем, но от того не менее важен: покупать — только на официальных платформах, по ссылкам из непроверенных источников не переходить. Мошенники мастерски приурочивают атаки к важным для геймеров датам, зная, что напряжённое ожидание ослабляет осторожность.
#GTA6 #кибербезопасность #мошенничество
@SecLabNews
SMS или Max могут стать каналами для подтверждения значимых действий в сети
В третьем пакете антифрод-мер может появиться спорная норма: подтверждать «значимые действия» в интернете через смс-сообщения или мессенджер «Макс». СМИ пишут, что такую идею обсуждает Минцифры, хотя само ведомство заявляет, что мера сейчас не рассматривается.
Бизнес и эксперты видят в инициативе сразу две проблемы. Первая связана с безопасностью: смс-сообщения давно считаются не самым надежным способом подтверждения, а у крупных сервисов уже есть собственные системы защиты, включая уведомления внутри приложений и проверку подозрительной активности. Вторая проблема финансовая: массовая рассылка смс и уведомлений в «Макс» может увеличить расходы банков, маркетплейсов и онлайн-платформ.
Главный вопрос пока остается без ответа: что именно попадет под «значимые действия». Под такую формулировку можно подвести вход в аккаунт, перевод денег, оформление заказа, изменение данных и еще десятки операций. Во втором пакете антифрод-мер похожая норма уже появлялась, но ко второму чтению ее убрали.
#Минцифры #Антифрод #Кибермошенничество
@SecLabNews