Массовый и бесплатный пробив

Итак, спустя 1,5 года после моей первой статьи "я тебя найду и позвоню" и закрытой дыре у одного из сервисов таргетированной рекламы проблема всплыла снова!
Но стало еще хуже.

Абсолютно любой человек совершенно бесплатно может выгружать данные из операторов связи.

Только по номеру телефона или по заходу на собственный сайт он может узнать о человеке буквально все:
- С кем общается по телефону
- Дом где он живет
- Чем интересуется
- Какие сайты посещает
- Какими сервисами пользуется
И многое много другое!

Операторы, как и сервисы, не чувствуют свою ответственность за это, и продолжают отдавать/продавать что угодно, без какого-либо контроля.
Подробнее, как это работает, я расписал на Хабре.

Прошу максимальных репостов, нужно подсветить проблему и закрыть эту дыру!

P.S. Хоть статья и вышла 1 апреля, это НЕ шутка.

Астронавты спалили пин-код планшета, но от взлома планшета их защитит мера - airgapped environment!
Вообще по-русски "воздушный зазор", но в этом случае скорее "безвоздушный")

Чтобы совсем уже от темы кибербезопасности не улетать далеко в космос — вот вам забавное видео из вчерашней трансляции запуска миссии к Луне.

Астронавт набрал пин-код на своем планшете.
Если у вас не грузится видео или вы не углядели, то код — 3939

А почему 3939 ? Потому что это дважды номер их стартовой площадки на космодроме.

Можно задуматься о том, какие еще пароли и пины, используются в этой и других миссиях 🧐

@gostev_future

Эффект Стрейзанд в сообществе ИБ набирает обороты!

А вы знаете, что прямо сейчас по "полузапрещенному" телеграму ходят уважаемые люди, и требуют удалить репост сообщения другой уважаемой дамы, о которой мы, конечно, ничего писать не будем?

Тут смешно получается — кажется, попытки удалить информацию из интернета вызывают больше внимания, чем сами эти сообщения. Кому интересно — вот тут хорошо все описано.

К сожалению, далеко не все уважаемые люди в России смотрели Южный Парк. Кто помнит — главным антагонистом ее сделали крайне топорные попытки удалить что-то из интернета.

Репостов не будет — а пока вот вам замечательный мультфильм.
https://sp2.freehat.cc/episode/112/

Они просто позвонили: телефонная социальная инженерия против бизнеса

Многие компании среднего и крупного сегмента до сих пор живут в иллюзии: «У нас стоит дорогой фаервол, внедрена двухфакторка, а злоумышленники охотятся только за криптобиржами».

Реальность жестче: когда с периметром все окей - атакуют людей.

Давайте разберем два громких инцидента, которые доказывают, что масштаб и специфика компании не защищают от подобного.

1. Cisco: Когда даже ИБ-гигант пасует перед настойчивостью
Казалось бы, кто может знать о безопасности больше, чем Cisco?
Однако в 2022 году они стали жертвой классической атаки.

Как это было: Злоумышленники получили доступ к личному Google-аккаунту сотрудника, где хранились корпоративные пароли.

Социальная инженерия: Чтобы обойти двухфакторную аутентификацию (MFA), хакеры использовали технику «MFA Fatigue» (усталость от уведомлений) — они засыпали сотрудника запросами на подтверждение входа и одновременно звонили ему в WhatsApp, представляясь службой поддержки Cisco.

Итог: Уставший и введенный в заблуждение сотрудник нажал «Принять». Хакеры проникли во внутреннюю сеть.

2. Clorox: Шифрование из-за одного звонка в Help Desk
Кейс корпорации Clorox (крупный производитель бытовой химии) показал, как социальная инженерия может остановить заводы.

Как это было: Атака началась со звонка в службу ИТ-поддержки (Help Desk). Злоумышленник, используя методы психологического давления и собранные данные о сотруднике, убедил оператора сбросить пароль и привязать новое устройство для MFA.

Итог: Остановка производства на несколько недель, дефицит товаров на полках магазинов и убытки в сотни миллионов долларов. Чистый убыток только за один квартал составил около $350 млн.

Главные выводы для среднего и крупного бизнеса:
1. MFA — не панацея. Если ваши сотрудники не обучены распознавать «усталость от MFA» или подозрительные звонки, любая техническая защита будет обнулена одним кликом оператора.

2. Help Desk — самое слабое звено. Процедуры сброса пароля в вашей компании должны быть максимально строгими. Никаких «поверив на слово» по телефону.

3. Масштаб — это мишень. Чем больше компания, тем больше «точек входа» (сотрудников). Хакеру не нужно взламывать вашу сеть, ему нужно найти одного доверчивого или уставшего человека.

Что делать?
✅ Проводить регулярные симуляции фишинга и телефонных атак.
✅ Обучать сотрудников правилам верификации коллег из ИТ-отдела.
✅ Внедрять культуру «нулевого доверия» (Zero Trust).

P.S. С этим всем мы можем вам помочь, обращайтесь.

10 тысяч подписчиков!

Всем привет! Количество подписчиков перевалило за 10 тысяч! Для нас это удивительно — особенно с учетом того, что это корпоративный канал. Мы рады, что вы с нами.

В связи с этим — напомним о том, кто мы такие и что это за канал.

3side (ООО Третья Сторона) — первая в России платформа ИБ-услуг, созданная Антоном Бочкаревым и Артемом Наливайко. Мы объединяем множество опытных специалистов по информационной безопасности и помогаем бизнесу организовывать проекты с их участием. Занимаемся почти всем спектром разовых услуг — от тестирований на защищенность и расследований кибератак до экзотики вроде реверс-инжиниринга.

За последний год вырос не только наш канал — мы сделали несколько десятков проектов, у нас появился полноценный штат сотрудников, мы запустили свой продукт для МСБ (4sec) и сделали одну из первых "коробочных" активных страховок от кибератак в России.

Этот канал — не столько про бизнес, сколько про события в мире ИБ, которые мы считаем важными.

Надеемся, дальше будет еще интереснее. Не переключайтесь)

Если нас взломали - о важности кризисных коммуникаций

В этом году мы много занимаемся расследованиями - разбираем инциденты у клиентов, от шифрования до утечек. И есть одна важная вещь, о которой иногда на рынке забывают - это коммуникации.

Если у вас проблемы - о них нужно говорить. Во-первых, с собой (признать проблему). Во-вторых, c сотрудниками. Не обязательно говорить все, но важно озвучить хоть что-то. Был инцидент, проблему решили, больше не будет.

А еще важно грамотно говорить с клиентами и контрагентами. Это задача PR, из нее не обязательно делать медиаповод, как это сделали 12storeez, но ее нужно отрабатывать. Мы, кстати, помогаем при наличии запроса.

Но вот мы прям видим, как на рынке (особенно МСБ) взлом вызывает шок и желание побыстрее закрыть вопрос и больше о нем не вспоминать. «Ничего не произошло, мыши съели сервер». Не надо так.

Любой ИБ инцидент - это задача не только технарей, это касается вообще всех. Особенно если название вашей компании знает больше пары тысяч человек.

ГЛАВНЫЙ ПРИЗНАК ТОГО, ЧТО ВАС ЗАШИФРОВАЛИ

Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой.
«Наверное, жесткий диск посыпался» или «опять провайдер чудит».

Но есть один симптом, который не спутать ни с одной поломкой железа.

Ультиматум на рабочем столе
Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note).

Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл .txt или картинка, которая заменяет ваши обои на рабочем столе. Такие «записки» хакеры оставляют на каждой зашифрованной машине, чтобы вы точно их заметили.

Что всегда есть в таком послании:
— Идентификатор: Ваш личный номер в системе хакеров (ID).
— Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти.
— Контакты: Почта или чат для связи с «поддержкой» вымогателей.

Почему этот файл важен?
Не спешите его удалять. Эта записка — важнейшая улика для расследования:
1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала.
2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера.
3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет).

Торг уместен?
Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться.

(!) Если записка появилась — вы уже опоздали
Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал.
Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться».

Безопасностью нужно заниматься ДО того, как вы увидели записку.

Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась:
— Поможем восстановить работу бизнеса максимально быстро.
— Проведем расследование: найдем «дыру», через которую они зашли.
— Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых.

Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru
---
Ваш капитал под защитой, если вы действуете на опережение.

Исключительно для технарей, но полезное)

🔐 CISO FORUM 2026: день про безопасность
🎁 Среди участников разыграют iPhone 17 Pro

Атаки становятся сложнее и длиннее.
AI уже используют не только защитники.
Ошибки чаще происходят не в технологиях, а в архитектуре и процессах.

Форум про это.

Что в программе:
• Как сейчас строятся атаки: цепочки поставок, сложные сценарии, использование AI и разбор инцидентов 2025–2026
• Почему формальный комплаенс не работает и что с этим делать на уровне архитектуры
• Какие метрики ИБ действительно используют для диалога с бизнесом
• Управление уязвимостями: приоритизация, ошибки процессов и влияние на реальные инциденты
• Персональные данные: новые требования, практики защиты и последствия нарушений

Отдельно:
• утечки через облака, API и внутренние процессы
• риски подрядчиков и партнерского периметра
• защита API, DevSecOps и работа SOC
• применение AI и связанные с этим уязвимости

💡 Практическая часть:
воркшопы по MLSecOps, безопасность ML/LLM-систем, разбор атак и конкретных кейсов

🔒 Закрытые обсуждения для CISO
формат без записи, только участники уровня C-level
Форум про рабочие подходы и реальные решения, без теории ради теории

Зарегистрироваться можно тут.
Список участников

P.S. Мы информационный партнер и будем рады увидеться на мероприятии!

Разбираем новость: Популярные российские приложения следят за VPN пользователей?

Тут в ТГ начали много писать (раз, два, и далее) о том, что приложения российских разработчиков следят за тем, установлен ли у пользователя VPN и отправляют инфу о вашем подключении на свои серверы. Правда ли это, и чем это все грозит? Разбираемся.

1) Да, это правда, но есть нюанс. Российские приложения, которые проверяют наличие VPN, делали это задолго до того, как Роскомнадзор даже начал бороться с Телеграммом. И делали в первую очередь для своих целей — обеспечение стабильной связи, борьба с мошенничеством, накрутками и прочими подобными историями. Поэтому проверялось наличие VPN у пользователя в рамках формирования его профиля. Это в том числе было нужно, чтобы человека с VPN не блокировать лишний раз, а всякие зарубежные атаки непонятных ребят отсекать по IPшникам.

То есть раньше это делалось не для того, чтобы эти VPN вычислять и что-то с ними делать, а наоборот, чтобы лишний раз не забанить своего же пользователя.

Сейчас есть требования Минцифры, которые ограничивают доступ к приложениям для пользователей с включенным VPN, но кажется, что это требование достаточно легко обходится пользователями. По крайней мере, пока.

И вот мы смотрим на опубликованную методику выявления VPN и есть стойкое ощущение, что выполнять ее будут "для галочки". То есть операторы скажут "мы супер, мы все заблокировали, теперь к нам не зайти через VPN" — и все. Возможно, будут другие требования, но позже. Решать за РКН задачи РКН без очень сильной мотивации вряд ли кто-то готов.

2) Могут ли они передавать эти данные в РКН? Да, могут. Но передают ли? Пруфов про то, что эти сервисы будут сдавать в Роскомнадзор VPN пользователей, пока нет. Скорее, они будут не давать работать своим сервисом через VPN, просто отчитываясь перед РКН, что мы их тоже блокируем.

Вероятно, через какое-то время в России будут пытаться систематически и условно-автоматизированно блокировать конечные точки VPN. Вероятно, вендоры VPN-решений будут с этим бороться. Мы верим в них больше, чем в успех РКН.

3) Есть ли ответственность за использование VPN? Пока нет. Но тут проблема в другом — полностью заблокировать современный VPN-трафик практически невозможно, даже в условиях "белых списков", это классическая борьба брони и снаряда за огромную рыночную нишу. Можно блокировать оплату за VPN, но и здесь будут сложности.

Резюмируя: большое количество приложений как собирало, так и собирает информацию про VPN пользователей. Если вы параноите — возьмите айфон, настройте VPN на отдельные приложения, или просто купите второй телефон. Если нет — продолжайте пользоваться "как есть". Мы скорее верим, что блокировки разовьют рынок VPN-решений в России и в целом повысят техническую культуру в стране.

Макс на багбаунти — выплачено 22 млн рублей

Про то, что "национальный мессенджер" делался в весьма сжатые сроки, писали давно. Очевидно, что уязвимости там будут. Багбаунти в таком случае — хорошее решение.

Тут самое интересное вот это:

По данным на 10 апреля, всего было принято 288 отчетов об уязвимостях (из 454 сданных). Общая сумма выплат белым хакерам составила почти 22 млн руб., средняя выплата — 349 тыс. руб. Мессенджер также исследовали участники платформ Bi.Zone и «Киберполигон», им было выплачено около 1,5 млн руб.

288 принятых отчетов — это много. То, что занялись безопасностью — хорошо. Но тут ключевой вопрос — что из найденного будет исправлено, потому что найти проблему это одно, а исправить немного другое.

Но масштаб, конечно, впечатляет.

Шифровальщик или взлом? Порекомендуй нас и получи 20% от стоимости работ!

Мы запускаем новую программу по реагированию на инциденты и расследованиям. Взлом — ситуация частая и мы знаем, что нужно делать.

С начала года мы сделали ряд проектов по расследованиям инцидентов. В одном случае с нами связались в 4 часа дня воскресенья, а в 8 вечера исполнитель уже был на объекте заказчика. В другом случае мы нашли исполнителя, который был готов утром следующего дня оказаться в 400 километрах от Москвы. Во всех случаях заказчики были довольны — мы работаем быстро, качественно и конфиденциально. Мы стремимся строить длительные взаимовыгодные отношения.

К слову, в одном случае инцидент оказался гораздо проще — форензика (расследование) оказалась не нужна. Если происходит подобное — мы прямо говорим заказчику, что произошло. Никакого миссейлинга.

Работаем как с небольшими компаниями, так и с крупным бизнесом с оборотами в десятки миллиардов. Только опытные профессионалы с десятками проектов за плечами и кристальной репутацией. Способ выплаты вознаграждения обсуждаем.

Как лгать машине. Разбираем принципы работы полиграфа и способы обойти проверку

Итак, вышла моя вторая статья на Хакере.

И она снова не совсем техническая, но ведь про технику пишут многие и пишут хорошо!

А вот про мои темы, к сожалению, пишут зачастую мифы.

Поэтому, кто если не я?

Читать с подпиской тут:
https://xakep.ru/2026/04/15/polygraph-tricks/

Всем привет, на связи Антон Бочкарев!

Завтра днем буду на конференции Merge в Иннополисе, в кои то веки не выступаю)

Если кому я нужен, пишите/подходите пообщаемся!

Про запреты и киберкультуру

А все так и есть. Я представляю лица школьников, когда им рассказывают про "угрозу ужасного VPN". А потом учитель голосом мистера Маки из Южного Парка говорит "наркотики VPN это плохо, п-нятненько?". И школьник такой думает — какой именно ВПН, у меня три, один семейный, еще один я поставил бабушке, и это не считая сервака друзей в Польше ...

Причем проблема то в другом. И даже не в том, что практически НИКТО из учителей не сможет внятно ответить, почему VPN это плохо. Все хуже — реальные угрозы и реальные проблемы размываются откровенным кринжом.

Например, реальной угрозой может быть браузерное расширение, в том числе VPN, да. Вспоминаем историю конца прошлого года — там одобренное (!!) Google бесплатное расширение VPN Proxy 6 тайно собирало и продавало переписку пользователей с ИИ-ассистентами. Фейковые расширения для Chrome воровали логины и пароли пользователей. PLAYFULGHOST бандилась с популярными VPN-решениями. И другой вагон проблем с бесплатным VPN за год: "если вы не платите за товар деньгами, то платите своими данными".

Вот только неотъемлемая часть обучения киберграмотности — это воспитание критического мышления. А о каком критическом мышлении идет речь, когда аргументы в пользу "угрозы VPN" у любого более-менее технически грамотного школьника (то есть почти у любого) вызывают искренний хохот?

Павел Дуров обвиняет французских (а только ли?) чиновников в похищениях криптанов

Есть такой термин, wrench attacks ("гаечные ключи") — это физическая атака на владельца криптокошелька. Как вы думаете, в какой стране похищают больше всего криптанов? В Колумбии? В Бразилии? В США? А вот нифига — во Франции (привет, безопасный Евросоюз). Тут Дуров написал просто базу о том, почему это происходит. Спойлер: похищения "поощряет" государство.

Ключевым фактором являются ... французские налоговые чиновники. Которые плевать хотели на налоговую тайну и с огромным удовольствием продают любую информацию местному криминалу. А теперь самое офигенное — как вы думаете, сколько чиновников было привлечено за подобное?

Одна. Но там божественно — дама была ранее судима за передачу наркотиков заключенным (!), сливала криминалитету адреса сотрудников тюрем (!!), и до кучи занималась пробивом. Собственно говоря, она "спалилась" только из-за того, что действовала ну совсем непрекрыто нагло.

А теперь зададимся офигенно интересным вопросом — а что происходит в России? В теории, у нас есть банковская и налоговая тайна. На практике, банки "текут" так, что проще уже API подключать. С налоговой тоже интересно: мы очевидно не будем давать явки и пароли, но купить на "черном" рынке практически любую информацию о владельцах, оборотах, связях, счетах итд итп не составляет проблему. За очень небольшие деньги.

И вот тут всплывает главный вопрос: вот в ЕС есть GDPR, в России есть 152-ФЗ, за который (в теории) сейчас будут немилосердно штрафовать. А готово ли государство нести ответственность за утечки с его стороны? Готово ли оно наказывать коррумпированных чиновников и сотрудников (хотя бы запретом на трудоустройство)?

Если ответ "нет" — то не надо удивляться, почему у нас криптоиндустрия будет бояться выйти из тени. А то, что о похищениях в России не пишут — не значит, что их нет.