Критическая уязвимость нулевого дня в Телеграм

Вчера Zeroday Initiative разместила манифест, указывающий, что уязвимость нулевого дня в Телеграмм была обнаружена исследователем TrendAI Michael DePlante (izobashi).

Критичность уязвимости: 9.8/10

Судя по CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), это:
- легкая к эксплуатации уязвимость
- работает по сети
- не требует каких-либо действий пользователя
- приводит к нарушению конфиденциальности/целостности/доступности одновременно, а значит это 99% - выполнение кода!

Она получила внутренний идентификатор - ZDI-CAN-30207.

Подробностей в чем именно ее реализация, как и примеров - пока нет. У Телеграм есть 120 дней для исправления, но с учетом критичности - ждем заплатку со дня на день.

P.S. Для нетехнарей, судя по категории уязвимости с помощью нее сейчас скорее всего можно взломать ЛЮБОЙ аккаунт Телеграм.

https://www.zerodayinitiative.com/advisories/upcoming/

О интересно

В таком случае было бы интересно увидеть репорт!

И попробовать повторить с проверкой стикера и без.

А будет раскрытие?

К слову, вектор стикеров и анимированных стикеров уже проверяли ранее, например:

https://www.shielder.com/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface/

Тут вектор тот же, но цель была - раскрыть секретные чаты, а не выполнение кода.

Ищем руководителя продаж (VP Sales) в стартап 4sec.

Кто мы:
Облачная кибербезопасность для МСБ. Продукт уже работает, есть первые платящие клиенты.

Кого ищем:
Человека, который возьмёт продажи на себя и построит «машину» по их генерации.
Это стартап: процессов мало, неопределённости много. Если вас это не пугает — нам по пути.

Что предлагаем:
· Роль VP Sales с возможностью влиять на стратегию
· Опцион в компании
· Выход на международный рынок
· Команду, с которой не стыдно

Нам нужен тот, кто:
· Умеет закрывать сделки в B2B сам (а не только управлять командой)
· Имеет опыт от 3 лет в продажах IT / SaaS
· Остальное обсуждаемо

Процесс:
Первый шаг — час разговора с co-founder. Без бюрократии.

Принимаем заявки:
📩 cv@4security.ru (тема письма: «VP Sales 4sec»)

🙏 Если знаете подходящего человека — будем благодарны за репост.

Массовый и бесплатный пробив

Итак, спустя 1,5 года после моей первой статьи "я тебя найду и позвоню" и закрытой дыре у одного из сервисов таргетированной рекламы проблема всплыла снова!
Но стало еще хуже.

Абсолютно любой человек совершенно бесплатно может выгружать данные из операторов связи.

Только по номеру телефона или по заходу на собственный сайт он может узнать о человеке буквально все:
- С кем общается по телефону
- Дом где он живет
- Чем интересуется
- Какие сайты посещает
- Какими сервисами пользуется
И многое много другое!

Операторы, как и сервисы, не чувствуют свою ответственность за это, и продолжают отдавать/продавать что угодно, без какого-либо контроля.
Подробнее, как это работает, я расписал на Хабре.

Прошу максимальных репостов, нужно подсветить проблему и закрыть эту дыру!

P.S. Хоть статья и вышла 1 апреля, это НЕ шутка.

Астронавты спалили пин-код планшета, но от взлома планшета их защитит мера - airgapped environment!
Вообще по-русски "воздушный зазор", но в этом случае скорее "безвоздушный")

Чтобы совсем уже от темы кибербезопасности не улетать далеко в космос — вот вам забавное видео из вчерашней трансляции запуска миссии к Луне.

Астронавт набрал пин-код на своем планшете.
Если у вас не грузится видео или вы не углядели, то код — 3939

А почему 3939 ? Потому что это дважды номер их стартовой площадки на космодроме.

Можно задуматься о том, какие еще пароли и пины, используются в этой и других миссиях 🧐

@gostev_future

Эффект Стрейзанд в сообществе ИБ набирает обороты!

А вы знаете, что прямо сейчас по "полузапрещенному" телеграму ходят уважаемые люди, и требуют удалить репост сообщения другой уважаемой дамы, о которой мы, конечно, ничего писать не будем?

Тут смешно получается — кажется, попытки удалить информацию из интернета вызывают больше внимания, чем сами эти сообщения. Кому интересно — вот тут хорошо все описано.

К сожалению, далеко не все уважаемые люди в России смотрели Южный Парк. Кто помнит — главным антагонистом ее сделали крайне топорные попытки удалить что-то из интернета.

Репостов не будет — а пока вот вам замечательный мультфильм.
https://sp2.freehat.cc/episode/112/

Они просто позвонили: телефонная социальная инженерия против бизнеса

Многие компании среднего и крупного сегмента до сих пор живут в иллюзии: «У нас стоит дорогой фаервол, внедрена двухфакторка, а злоумышленники охотятся только за криптобиржами».

Реальность жестче: когда с периметром все окей - атакуют людей.

Давайте разберем два громких инцидента, которые доказывают, что масштаб и специфика компании не защищают от подобного.

1. Cisco: Когда даже ИБ-гигант пасует перед настойчивостью
Казалось бы, кто может знать о безопасности больше, чем Cisco?
Однако в 2022 году они стали жертвой классической атаки.

Как это было: Злоумышленники получили доступ к личному Google-аккаунту сотрудника, где хранились корпоративные пароли.

Социальная инженерия: Чтобы обойти двухфакторную аутентификацию (MFA), хакеры использовали технику «MFA Fatigue» (усталость от уведомлений) — они засыпали сотрудника запросами на подтверждение входа и одновременно звонили ему в WhatsApp, представляясь службой поддержки Cisco.

Итог: Уставший и введенный в заблуждение сотрудник нажал «Принять». Хакеры проникли во внутреннюю сеть.

2. Clorox: Шифрование из-за одного звонка в Help Desk
Кейс корпорации Clorox (крупный производитель бытовой химии) показал, как социальная инженерия может остановить заводы.

Как это было: Атака началась со звонка в службу ИТ-поддержки (Help Desk). Злоумышленник, используя методы психологического давления и собранные данные о сотруднике, убедил оператора сбросить пароль и привязать новое устройство для MFA.

Итог: Остановка производства на несколько недель, дефицит товаров на полках магазинов и убытки в сотни миллионов долларов. Чистый убыток только за один квартал составил около $350 млн.

Главные выводы для среднего и крупного бизнеса:
1. MFA — не панацея. Если ваши сотрудники не обучены распознавать «усталость от MFA» или подозрительные звонки, любая техническая защита будет обнулена одним кликом оператора.

2. Help Desk — самое слабое звено. Процедуры сброса пароля в вашей компании должны быть максимально строгими. Никаких «поверив на слово» по телефону.

3. Масштаб — это мишень. Чем больше компания, тем больше «точек входа» (сотрудников). Хакеру не нужно взламывать вашу сеть, ему нужно найти одного доверчивого или уставшего человека.

Что делать?
✅ Проводить регулярные симуляции фишинга и телефонных атак.
✅ Обучать сотрудников правилам верификации коллег из ИТ-отдела.
✅ Внедрять культуру «нулевого доверия» (Zero Trust).

P.S. С этим всем мы можем вам помочь, обращайтесь.

10 тысяч подписчиков!

Всем привет! Количество подписчиков перевалило за 10 тысяч! Для нас это удивительно — особенно с учетом того, что это корпоративный канал. Мы рады, что вы с нами.

В связи с этим — напомним о том, кто мы такие и что это за канал.

3side (ООО Третья Сторона) — первая в России платформа ИБ-услуг, созданная Антоном Бочкаревым и Артемом Наливайко. Мы объединяем множество опытных специалистов по информационной безопасности и помогаем бизнесу организовывать проекты с их участием. Занимаемся почти всем спектром разовых услуг — от тестирований на защищенность и расследований кибератак до экзотики вроде реверс-инжиниринга.

За последний год вырос не только наш канал — мы сделали несколько десятков проектов, у нас появился полноценный штат сотрудников, мы запустили свой продукт для МСБ (4sec) и сделали одну из первых "коробочных" активных страховок от кибератак в России.

Этот канал — не столько про бизнес, сколько про события в мире ИБ, которые мы считаем важными.

Надеемся, дальше будет еще интереснее. Не переключайтесь)

Если нас взломали - о важности кризисных коммуникаций

В этом году мы много занимаемся расследованиями - разбираем инциденты у клиентов, от шифрования до утечек. И есть одна важная вещь, о которой иногда на рынке забывают - это коммуникации.

Если у вас проблемы - о них нужно говорить. Во-первых, с собой (признать проблему). Во-вторых, c сотрудниками. Не обязательно говорить все, но важно озвучить хоть что-то. Был инцидент, проблему решили, больше не будет.

А еще важно грамотно говорить с клиентами и контрагентами. Это задача PR, из нее не обязательно делать медиаповод, как это сделали 12storeez, но ее нужно отрабатывать. Мы, кстати, помогаем при наличии запроса.

Но вот мы прям видим, как на рынке (особенно МСБ) взлом вызывает шок и желание побыстрее закрыть вопрос и больше о нем не вспоминать. «Ничего не произошло, мыши съели сервер». Не надо так.

Любой ИБ инцидент - это задача не только технарей, это касается вообще всех. Особенно если название вашей компании знает больше пары тысяч человек.

ГЛАВНЫЙ ПРИЗНАК ТОГО, ЧТО ВАС ЗАШИФРОВАЛИ

Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой.
«Наверное, жесткий диск посыпался» или «опять провайдер чудит».

Но есть один симптом, который не спутать ни с одной поломкой железа.

Ультиматум на рабочем столе
Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note).

Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл .txt или картинка, которая заменяет ваши обои на рабочем столе. Такие «записки» хакеры оставляют на каждой зашифрованной машине, чтобы вы точно их заметили.

Что всегда есть в таком послании:
— Идентификатор: Ваш личный номер в системе хакеров (ID).
— Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти.
— Контакты: Почта или чат для связи с «поддержкой» вымогателей.

Почему этот файл важен?
Не спешите его удалять. Эта записка — важнейшая улика для расследования:
1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала.
2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера.
3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет).

Торг уместен?
Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться.

(!) Если записка появилась — вы уже опоздали
Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал.
Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться».

Безопасностью нужно заниматься ДО того, как вы увидели записку.

Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась:
— Поможем восстановить работу бизнеса максимально быстро.
— Проведем расследование: найдем «дыру», через которую они зашли.
— Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых.

Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru
---
Ваш капитал под защитой, если вы действуете на опережение.

Исключительно для технарей, но полезное)

🔐 CISO FORUM 2026: день про безопасность
🎁 Среди участников разыграют iPhone 17 Pro

Атаки становятся сложнее и длиннее.
AI уже используют не только защитники.
Ошибки чаще происходят не в технологиях, а в архитектуре и процессах.

Форум про это.

Что в программе:
• Как сейчас строятся атаки: цепочки поставок, сложные сценарии, использование AI и разбор инцидентов 2025–2026
• Почему формальный комплаенс не работает и что с этим делать на уровне архитектуры
• Какие метрики ИБ действительно используют для диалога с бизнесом
• Управление уязвимостями: приоритизация, ошибки процессов и влияние на реальные инциденты
• Персональные данные: новые требования, практики защиты и последствия нарушений

Отдельно:
• утечки через облака, API и внутренние процессы
• риски подрядчиков и партнерского периметра
• защита API, DevSecOps и работа SOC
• применение AI и связанные с этим уязвимости

💡 Практическая часть:
воркшопы по MLSecOps, безопасность ML/LLM-систем, разбор атак и конкретных кейсов

🔒 Закрытые обсуждения для CISO
формат без записи, только участники уровня C-level
Форум про рабочие подходы и реальные решения, без теории ради теории

Зарегистрироваться можно тут.
Список участников

P.S. Мы информационный партнер и будем рады увидеться на мероприятии!

Разбираем новость: Популярные российские приложения следят за VPN пользователей?

Тут в ТГ начали много писать (раз, два, и далее) о том, что приложения российских разработчиков следят за тем, установлен ли у пользователя VPN и отправляют инфу о вашем подключении на свои серверы. Правда ли это, и чем это все грозит? Разбираемся.

1) Да, это правда, но есть нюанс. Российские приложения, которые проверяют наличие VPN, делали это задолго до того, как Роскомнадзор даже начал бороться с Телеграммом. И делали в первую очередь для своих целей — обеспечение стабильной связи, борьба с мошенничеством, накрутками и прочими подобными историями. Поэтому проверялось наличие VPN у пользователя в рамках формирования его профиля. Это в том числе было нужно, чтобы человека с VPN не блокировать лишний раз, а всякие зарубежные атаки непонятных ребят отсекать по IPшникам.

То есть раньше это делалось не для того, чтобы эти VPN вычислять и что-то с ними делать, а наоборот, чтобы лишний раз не забанить своего же пользователя.

Сейчас есть требования Минцифры, которые ограничивают доступ к приложениям для пользователей с включенным VPN, но кажется, что это требование достаточно легко обходится пользователями. По крайней мере, пока.

И вот мы смотрим на опубликованную методику выявления VPN и есть стойкое ощущение, что выполнять ее будут "для галочки". То есть операторы скажут "мы супер, мы все заблокировали, теперь к нам не зайти через VPN" — и все. Возможно, будут другие требования, но позже. Решать за РКН задачи РКН без очень сильной мотивации вряд ли кто-то готов.

2) Могут ли они передавать эти данные в РКН? Да, могут. Но передают ли? Пруфов про то, что эти сервисы будут сдавать в Роскомнадзор VPN пользователей, пока нет. Скорее, они будут не давать работать своим сервисом через VPN, просто отчитываясь перед РКН, что мы их тоже блокируем.

Вероятно, через какое-то время в России будут пытаться систематически и условно-автоматизированно блокировать конечные точки VPN. Вероятно, вендоры VPN-решений будут с этим бороться. Мы верим в них больше, чем в успех РКН.

3) Есть ли ответственность за использование VPN? Пока нет. Но тут проблема в другом — полностью заблокировать современный VPN-трафик практически невозможно, даже в условиях "белых списков", это классическая борьба брони и снаряда за огромную рыночную нишу. Можно блокировать оплату за VPN, но и здесь будут сложности.

Резюмируя: большое количество приложений как собирало, так и собирает информацию про VPN пользователей. Если вы параноите — возьмите айфон, настройте VPN на отдельные приложения, или просто купите второй телефон. Если нет — продолжайте пользоваться "как есть". Мы скорее верим, что блокировки разовьют рынок VPN-решений в России и в целом повысят техническую культуру в стране.