14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news ClickFix настолько хорош, что по нему можно изучать методы доставки малвари и обхода обнаружения — скоро вариации соберут их все. В свежем варианте запуск через скрипт Microsoft Application Virtualization в Win Enterprise — редкая диковинка.
App-V скрипты в таком контексте часто не встретишь: Enterprise мало где найдёшь, и нормальный SOC шум от него всё равно словит. Абьюз App-V светился у китайских умельцев — они любят всё обскурное в винде. Но ClickFix теперь вместо учебника: есть и крутая социнженерия, и нишевые вещи на любой вкус. Бонусом в этом варианте стеганография и подтягивание конфигурации из Google Calendar — а почему бы и нет? В сухом остатке ещё один подписанный скрипт, который надо порезать. И напоминание о том, что если Майкрософт что-то релизит, это кто-нибудь обязательно заабьюзит.
@tomhunter
#news ESET возложила декабрьскую атаку по польским энергосетям России — со "средней уверенностью" утверждают, что это была приписываемая к ГРУ Sandworm. Пишут про новый вайпер DynoWiper и спекулируют, что атака была привязана к десятой годовщине атак SandWiper’ом.
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
#news Начинаем неделю с откровений Ильи Лихтенштейна: взломщик Bitfinex продолжает отыгрывать арку искупления и заявил, что находится в поисках перспективного криптостартапа. Берёте?
Об этом товарищ поведал в посте на LinkedIn, в комментах торжествуют криптаны. Текст читается бодро, и видно, что человек его писал неглупый — отметил все ключевые маячки, чтобы с ноги ворваться в мир кибербеза. Принимал неверные решения и всё понял — checked. Деньги меня не интересовали, хотел трудных техзадачек — checked. Стоять одному в чёрной шляпе такому красивому тоскливо, а вот помогать ФБР по криптокейсам было здорово — checked. Золото, а не человек — или сам, или пиар-менеджер постарался. Есть ли за продуманным имиджем что-то реальное — время покажет. Но по конференциям под аплодисменты публики довольный Лихтенштейн ещё явно походит.
@tomhunter
#news Три органично дополняющие друг друга новости. В Иордании используют Cellebrite для шпионажа за активистами. В Испании закрыли расследование против NSO — те не сотрудничают. Ирландия планирует разрешить органам использование спайвари.
В последней разгорелась знакомая драма: власть планирует обновить закон от 1993-го и закрепить спайварь как инструмент правоохранителей. Любители приватности бьют тревогу — как только слежка будет нормализована, абьюз прав и свобод будет трудно откатить. Власти парируют, что давно назрело, и ссылаются на аналогичные инициативы у соседей. В общем, классика: какие-то фрики из каких-то там фондов о чём-то предупреждают, но караван идёт известно куда. А затем NSO показывает фигу из-за израильской спины за спайварь на телефонах премьер-министра и минобра Испании, а по странам третьего мира абьюзят софт “доступный исключительно для законных целей”. Есть здесь явно какая-то загадочная связь, хм…
@tomhunter
#news Неделю назад шли отчёты про VoidLink, довольно интересный вредоносный фреймворк под Linux. А теперь сверху накидывают хайпа: разработка велась… с помощью… ИИ-модели! Кто бы сомневался.
Начинается всё с горячих тейков “Первый сгенерированный ИИ вредоносный фреймворк” и “Новая эра малвари с продвинутыми угрозами от всех желающих началась!” А дальше техдетали, и здесь уже всё скромнее — промпты для журналистоботов дали, можно работать. На деле за VoidLink явно стоит опытный разраб, который понимает, что делает, и использовал модельку для помощи с кодом и ускорения работы. Как и многие из вас. Из необычного, ИИ помогал ещё и с планированием архитектуры, сборкой модулей и быстрой имплементацией. В целом любопытно — и сам фреймворк, и разработка. Но пока никаких автономных генераторов продвинутой малвари — приходите позже, да и это неточно.
@tomhunter
#news LastPass предупреждает об активной фишинговой кампании по пользователям. Активность свежая: рассылка идёт с 19 января и направлена на стягивание мастер-паролей.
По фишингу всё стандартно: мы уходим на техобслуживание, создайте локальную копию хранилища в следующие 24 часа, чтобы не потерять данные. Домены aля LastPass в рассылке и на фишинговом сайте есть, ощущение срочности “Делай бэкап или проиграешь” есть, готовые кликнуть куда-нибудь не туда юзеры тоже есть. Так что всё в наличии. Впрочем, у юзеров LastPass есть проблемы и попривычнее: на конец 2025-го у них всё ещё взламывали хранилища. Из утечки в 2022-м. Где-то и сейчас трудолюбивое железо их брутфорсит. Фишинговые кампании приходят и уходят, а одни и те же пароли на скомпрометированных хранилищах будут стоять вечно.
@tomhunter
#news В Новый Год с новыми вариациями на тему ClickFix. Фейковое расширение - > краш браузера - > окно с предупреждением аля браузер - > ClickFix. Как вам такая креативная цепочка?
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
#news Не все инфостилеры одинаково хороши: о некоторых пишут отчёты с заголовками “Аутопсия неудачного стилера”. Но на этом злоключения оператора StealC не закончились — у него на панели была XSS. Что позволило исследователям получить доступ.
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
#news Пятничная новость про ответственные раскрытия. Есть в США компания Bluspark Global, разрабатывающая софт для управления грузоперевозками у ~500 крупных клиентов. Как можно догадаться, с ИБ у них было не очень — в системах был проходной двор.
API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании. Всё это удовольствие исследователь пытался раскрыть весь октябрь, звонил-писал по всем адресам — в ответ тишина. Тогда Techcrunch, люди матёрые, отправили CEO письмо с куском его пароля. И через пару часов на связь вышел их юротдел. Дальше обошлось без угроз и турне на дно залива — отозвались, поблагодарили и всё починили. Хэппи энд. Но история, конечно — золотой стандарт приключений маленького безопасника и большой-большой компании.
@tomhunter
#news Google выкатила в бета-тест очередную фичу, которую никто не просил, но она очень нравится инвесторам. Возможность подключить Gemini ко всем сервисам — Gmail, Drive, истории поиска и далее по списку. Есть желающие?
По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь доступ ко всему, что юзер делает в их экосистеме, скармливать это своей LLM’ке и собирать ещё больше данных, хотя формально это всё, конечно, отрицают. Фичу неспроста назвали Personal Intelligence — это такая базовая проверка на его наличие. Но как и документировать всю свою жизнь в соцсетях стало нормой, так и персональный ИИ-ассистент войдёт в обиход. А приватность — это для нердов.
@tomhunter
#news Своевременная пиар-акция от Anthropic: компания направит Python Software Foundation $1,5 миллиона на улучшение безопасности экосистемы. На фоне недовольства уязвимостью LLM’ок и её агентуры, лучшего хода не придумаешь.
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
#news Приметы 2026-го: в профильном издании пиарят скрипты для де-блоута Win11 от ИИ-фич. Так и называются, Remove Windows AI. 8к звёзд — народ голосует против Copilot и компании скриптом.
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
#news Хроники кошмарного уикенда для юзеров n8n: пока вы добирали последние крохи праздничного веселья, кто-то патчился — так что число уязвимых инстансов снизилось. Но со 100 до 60 тысяч.
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
#news В n8n, платформе для автоматизации рабочих процессов, очередная уязвимость на 10 из 10, цепочка ведёт к RCE и произвольной записи файлов. Это уже четвёртая критическая CVE, раскрытая в n8n за пару недель.
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
#news Новый Год вышел по-настоящему праздничным для Лихтенштейна. Ильи Лихтенштейна: осуждённого за взлом Bitfinex в 2016-м досрочно выпустили из тюрьмы. Одна из крупнейших криптокраж в истории на ~120 тысяч битков с Бонни и Клайдом от мира крипты по версии Netflix.
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
#news Увлекательные приключения русского рансомварщика в Америке. Янис Антропенко, по документам суда гражданин России, признал вину по делу рансомвари Zeppelin, активной с 2018-го по 2022-й.
Оператора Zeppelin приняли спустя несколько лет, после того как операция свернулась. Из интересного, сид-фразу от кошелька с 40 битками нашли у его жены в яблочном хранилище, там же налоговые декларации и фото с пачками кэша. О — опсек. Жинка Беднарчик, согласно суду, была сообщницей Антропенко и отмывала деньги — такие себе крипто-Бонни и Клайд на минималках аля Лихтенштейн. При этом Беднарчик обвинения не предъявили, и сам Антропенко был под залогом, хотя трижды нарушал условия и попадался в пьяном виде. Видимо, хорошо посотрудничал на благо новой родины. Но пункт финального назначения близок, увы: сроки и штрафы солидные, в перспективе депортация.
@tomhunter
#news Занятный международный кейс из Штатов: против экстремистов из Meta подали иск по шифрованию в WhatsApp. Утверждают, что никакого E2EE в мессенджере нет, и компания имеет доступ ко всем сообщениям.
Компания это отрицает и называет “фривольными выдумками”, обещая санкции самим обвинителям. Владелец мессенджера ссылается на протокол Signal, на котором WhatsApp крутится уже 10 лет — шифрование есть. Заявители же утверждают, что у них есть источники в компании, доказавшие обратное. И есть хранение и анализ всех переписок и доступ к ним — миллиарды юзеров обмануты. Напрашивается, вопрос, а пруфы где? Пруфов пока нет, только обвинения. За делом можно следить, но пока сенсационных разоблачений по незадокументированным фичам на стороне сервера нет. Поди опять всё перепутали и намешали в кучу E2EE с бэкапами и всем сопутствующим.
@tomhunter
#article В нашей новой статье разбираем вопрос проверки физических лиц по открытым источникам. Эта задача давно вышла за рамки простого любопытства: сегодня это рабочий инструмент для расследований, комплаенса, корпоративной безопасности и частных проверок.
Мы рассмотрим ключевые аспекты проверки физлиц — от розыска, штрафов и негативных реестров до бизнес-активности и цифрового поведения. Всё это с подборкой сайтов, агрегаторов и инструментов, которые помогут создать полноценный профиль искомого лица и оценить связанные с ним риски. За подробностями добро пожаловать на Хабр!
@tomhunter
#news На днях через софт для техподдержки от Zendesk у разных компаний пошла гигантская волна спама. Юзеры проснулись с 800+ мусорных имейлов. Но обошлось без взломов — шёл абьюз системы тикетов.
А разгадка проста: софт можно настроить на отправку тикетов без регистрации. И с ограничениями на это туговато: кто-то устроил массовую генерацию тикетов, по которым шли имейлы с подтверждением. А в теле письма копия сообщения — с угрозами от ФБР и разным спамом. Причём систему абьюзят уже давно, в новости это залетело только сейчас. Zendesk пишет, что добавит костылей, но это по сути абьюз легаси-конфигураций без капчи на анонимных тикетах у клиентов. Но этих попробуй уговори настройки поменять, а реагировать надо. Отдельно можно пожалеть техподдержку компаний, которым боты нагнали сотни тысяч тикетов: юзер-то спам потрёт и пойдёт жаловаться, генерируя новые. Так что там денёк явно не задался.
@tomhunter
#news У мейнтейнеров cURL случилось давно ожидаемое: они сворачивают BB-программу, чтобы остановить поток ИИ-слопа под видом репортов. Терпели до января 2026-го бедолаги — выдержке можно только позавидовать.
Для контекста, на прошлой неделе сURL получил семь репортов на H1 за 16 часов; по итогам выяснили, что ни одной валидной уязвимости в них нет. Между тем за январь им прилетели уже 20 отчётов. Так что в 2026-м Стенберг говорит решительное “Нет” ИИ-слопу в багхантинге: все упоминания BB и H1 выпилят из документации и свернут программу к концу января. Команда надеется, что о реальных уязвимостях им будут сообщать и без выплат, а так они просто не справляются с потоком бреда от восходящих звёзд багханта из далёких стран. Жаловаться на слоп Cтенберг начал ещё в 2024-м, и не зря: примеры запитанных от LLM’ки и голого энтузиазма репортов здесь. Годами читать глючный копипаст от чат-жпт выдержат немногие.
@tomhunter
#news В сетевых дебрях вскрывают масштабы слопокалипсиса в App Store: в списке пара сотен приложений, сливающих данные юзеров, и это ещё не предел. Многие, судя по всему, навайбкожены.
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
#news Mandiant опубликовала датасеты с радужными таблицами под Net-NTLMv1 — хэши с их паролями простым текстом. Зачем? Во-первых, это красиво. А также для ускорения миграции с легаси-протокола.
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
#news В дюжине беспроводных наушников с Google Fast Pair раскрыли уязвимость, допускающую форсированное соединение с ними. В стандарте баг с проверкой на режим пэйринга, и многие модели цепляются, даже если он не включён.
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
#news Исследователи из Wiz помогли закрыть уязвимость в AWS, которая позволяла скомпрометировать её ключевые репозитории, в том числе aws-sdk-js-v3. А следом и все облачные среды с ним, и консоль AWS в придачу.
Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы. С его помощью пул-реквестом триггернули билд, вытянули учётные данные, и у них админка с правами на публикацию в main. У репы от SDK в 66% облачных сред. По итогам дыра закрыта, следов компрометации нет, интернеты спасены. Остались недовольные, что фокус провернули в проде, но тут уж пусть GRC переживает — главное, что команде было весело.
@tomhunter
#news По TG-помойкам на миллионы леммингов, которые не могут ошибаться, разгоняют инфу про взлом нашего всего, национального и суверенного Max. Народ, конечно, не дурак, и пресс-службам не верит. Но справедливости ради, внимание на скрины.
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
#news Рубрика “Их нравы”. В Индии очередной удивительный законопроект: на этот раз там хотят обязать производителей смартфонов предоставлять правительству исходники. Вот так просто.
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша, который поломает госспайварь, изволь прислать подробный бюллетень и код для теста. И логи за год пусть в телефоне лежат — а почему бы и нет? Прецедентов у такого нет нигде, и вытянутые лица пиджаков из Samsung, Apple и Xiaomi можно представить в порядке увеселения за обедом. Индийское IT-министерство отрицает эти порочащие слухи, но верится в них легко — работают там явно люди кристальной душевной чистоты. По итогам, конечно, это всё отзовут, но пляска мобильных CEO между рыночком под миллиард устройств и местным законодательным гением будет вечной.
@tomhunter
#news По сети разгоняют заголовки про 1-click атаку в Telegram, ведущую к утечке реального айпишника. Казалось бы, всё серьёзно. На деле же исследователь опять надругался над журналистом.
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
#news У недавней инкарнации BreachForums слили базу пользователей. Записи на ~324к юзеров от августа 2025-го, “временно” лежавшие в открытой папке. Никнеймы, даты регистрации, часть айпишников и прочее внутреннее.
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
#news Новость, задающая тон 2026-му: ещё пару расширений в Chrome поймали на стягивании чатов с LLM’ками. Они мимикрируют под легитимное, добавляющее боковую панель под ИИ-чаты, и при этом сопоставимы по загрузкам — под миллион пользователей.
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
#news NordVPN отрицает взлом своего Salesforce dev-сервера, информация о котором всплыла на очередном Breached. Пишут, это был триальный аккаунт у стороннего поставщика с тестовыми данными.
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый сервер на каникулах и стянул dummy data. В принципе, здесь уже по посту от ноунейма, “брутфорсящего сервер с Jira и Salesforce”, всё и так понятно. Но до поста на обскурном форуме доберётся не каждый, а громких заголовков на праздники хочется. Так что если вдруг увидите сенсационную паничку про взлом очередного народного ускорителя ютуба, здесь всё мимо.
@tomhunter