Еженедельный обзор киберновостей🎄

До Нового года остаются считанные дни, но расслабляться рано. На этой неделе критическая уязвимость в n8n получила 9.9 баллов и поставила под удар тысячи систем автоматизации, хакеры научились угонять аккаунты Microsoft 365 через легитимные страницы авторизации, а в России обсуждают введение единого идентификатора для отслеживания пользователей на всех платформах.

Читайте подробности в нашем обзоре:

🌎В мире

Платформа автоматизации n8n получила критическую уязвимость с оценкой 9.9, превратившую полезный инструмент в угрозу для пользователей.

США разворачивают 72-спутниковую систему слежения для непрерывного глобального мониторинга ракетных пусков.

DDoS-атака парализовала почтовую службу за несколько дней до Рождества, сорвав доставку праздничных посылок.

Вымогатели атаковали водную инфраструктуру Румынии, заблокировав тысячи рабочих станций.

Утечка LastPass 2022 года продолжает приносить убытки — хакеры похитили ещё $35 млн из криптокошельков пользователей со слабыми паролями.

👁В России

РКН обвинил WhatsApp в использовании для терроризма и мошенничества и пригрозил полной блокировкой мессенджера в России.

Минцифры предлагает ввести единый ID пользователя, привязанный к номеру телефона, для точного подсчёта аудитории всех платформ.

VPN в 2026 году ограничивать не будут, но за поиск экстремистских материалов через него уже штрафуют до 5 тысяч рублей.

Мошенники используют приложение MAX для кражи данных россиян по новой схеме социальной инженерии.

Telegram пока не заблокируют — депутаты признали значительные вложения государственных каналов в платформу.

🎯Под прицелом хакеров

Хакеры освоили угон аккаунтов Microsoft 365 через легитимную страницу авторизации — жертвам достаточно ввести одноразовый код.

В npm полгода находился вредоносный пакет, маскировавшийся под библиотеку WhatsApp Web и похищавший переписки.

Обнаружен способ обхода всех антивирусов с помощью легального софта для администрирования, невидимого для сигнатурного анализа.

Двое ИБ-специалистов получили 20 лет за участие в кибератаках против компаний, которые они же должны были защищать.

Старая уязвимость Fortinet снова эксплуатируется — неправильная конфигурация LDAP-групп превращает двухфакторную аутентификацию в декорацию.

👨‍🔬Полезные статьи

Разбираемся, как SOAR помогает разгрузить SOC и превратить хаос оповещений в управляемый процесс реагирования на инциденты.

Почему ограничивать детям время в интернете — плохая идея, и как выстроить цифровые правила, которые реально работают.

Что происходит с вашими аккаунтами после смерти и как подготовить цифровое завещание, чтобы близкие не потеряли доступ к важным данным.

Практическое руководство по безопасным покупкам на маркетплейсах: от выбора товара до возврата денег.

🧠На подумать

Война как эволюционная адаптация: почему парохиальный альтруизм может оказаться Великим Фильтром для любой цивилизации.

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🧱20 карт максимум: по карманам дропперов ударят лимитом

Правительство внесло в Госдуму второй пакет мер против телефонного и интернет-мошенничества. В документе около 20 инициатив: от борьбы с дропперами до ускоренной блокировки фишинга.

По картам предлагают лимит: не более 20 банковских карт на человека, а операторам переводов средств - не выдавать одному физлицу больше пяти платежных карт. По звонкам - маркировка международных вызовов и опция полностью заблокировать входящие с иностранных номеров.

Операторов связи обяжут передавать в систему "Антифрод" номера, с которых идут мошеннические вызовы. Фишинговые сайты и ресурсы с вредоносным ПО предлагают блокировать без суда. Доступ к Госуслугам хотят восстанавливать только доверенными способами: биометрия, банк, УКЭП, мессенджер Мах или МФЦ. Дополнительно обсуждают детские SIM и лимит виртуальных SIM до 10, а также размещение виртуальных АТС только в РФ.

#антифрод #мошенники #Госуслуги

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🤗 Заряжаем ваш 2026-й правильным железом

Пока все закупаются мандаринами, мы решили запастись железом. Чтобы в следующем году вам было на чем поднимать сервера и тестировать безопасность, разыгрываем полезный пак девайсов.

Что на кону?

🐬 3 Flipper Zero — мультитул, в представлении не нуждается.
🏎 3 Raspberry Pi 5 (8GB) — самая мощная «малинка» для ваших проектов.

Условия участия:

1. Нужно подписаться на каналы: @ZerodayAlert и @SecLabNews
2. Нажать кнопку «Участвую!» под этим постом.

Как распределяются призы:

Бот @randombeast сформирует список из 6 победителей. Призы распределяются согласно очереди в финальном списке победителей от бота. Участники под номерами 1-3 получают главный приз (Flipper Zero), 4-6 — Raspberry Pi 5.

Что с доставкой?

📦 Отправим в ближайший к вам пункт выдачи Ozon (только РФ). Вам останется дойти до него (можно даже в домашних тапках, благо пункты сейчас на каждом углу) и забрать свой подарок.

*Участвуя в конкурсе вы даете согласие на публикацию активной ссылки на свой аккаунт в случае победы в телеграм-канале @SecLabNews и @ZerodayAlert

Итоги подведём 12.01.2026

Всем удачи! 👇

🚨 Аттракцион невиданной щедрости или ловушка? В R6 Siege массово раздавали миллиарды кредитов

В Rainbow Six Siege произошел масштабный технический сбой. Игроки по всему миру столкнулись с аномалией, похожей на сон читера — на аккаунтах внезапно появлялись астрономические суммы R6 Credits, горы Renown и редкая косметика. Однако радость быстро сменилась паникой: пользователям начали массово прилетать уведомления о блокировках, причем бан можно было получить просто за вход в игру, даже не притрагиваясь к внезапному богатству.

Ubisoft оперативно вмешалась в ситуацию и прояснила детали. Разработчики заявили, что пугающие сообщения о банах были ошибкой старой системы уведомлений и не связаны с реальными санкциями. Игроков пообещали не наказывать за трату случайно полученных кредитов, но объявили о принудительном откате всех транзакций, совершенных после 11:00 UTC 27 декабря. Чтобы локализовать проблему, серверы и внутриигровой Marketplace пришлось временно отключить.

На текущий момент работа серверов восстановлена, но расследование продлится еще две недели. Большинство пользователей не заметят изменений в инвентаре, однако у небольшого процента игроков могут временно отсутствовать некоторые предметы. Внутриигровой магазин пока остается закрытым до особого распоряжения, пока команда Ubisoft проводит финальные корректировки и проверку данных.

#RainbowSixSiege #Ubisoft #R6Siege

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

⚒️Без полномочий: суд отклонил иск 106 россиян против блокировки звонков в мессенджерах

Таганский районный суд Москвы прекратил производство по делу, поданному группой из 106 пользователей. Истцы требовали признать незаконными действия Роскомнадзора и Минцифры по ограничению голосовой связи в иностранных мессенджерах, введенному в августе 2025 года под предлогом борьбы с мошенничеством.

Суд принял исковое заявление к производству, однако спустя несколько дней прекратил дело. Согласно сообщению официального телеграм-канала судов общей юрисдикции Москвы, производство прекращено, поскольку истец «не представил доказательств, что он уполномочен на подачу иска в защиту прав владельцев информационных ресурсов Telegram и WhatsApp».

Заявители настаивали, что блокировка звонков нарушает конституционные права на тайну связи и частную жизнь, а статистика ЦБ доказывает, что мошенники чаще используют обычные мобильные вызовы и СМС. В качестве альтернативы предлагалось ввести опциональную блокировку по желанию самих пользователей, однако теперь судебный процесс по этому вопросу завершен не в пользу граждан.

#Роскомнадзор #Суд #Мессенджеры

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🧮Математика сюрпризов: как 17-летняя школьница разрушила 40-летнюю гипотезу

Математика 2025 года доказывает: в науке о строгих правилах всё еще полно места для сюрпризов. Даже в областях, где всё казалось изученным до мелочей, старые гипотезы внезапно рушатся под свежим взглядом. Ярким примером стала 17-летняя школьница Ханна Кайро, которая, обучаясь дома на Багамах, смогла опровергнуть 40-летнюю гипотезу из гармонического анализа. Она нашла контрпример там, где опытные ученые десятилетиями видели лишь подтверждение устоявшихся теорий, доказав, что математическая интуиция порой важнее академических регалий.

Геометрия и физика тоже преподнесли невероятные результаты, граничащие с парадоксами. Исследователи наконец обнаружили «нопертэдр» — первый в истории выпуклый многогранник, сквозь который невозможно протащить его собственную копию, а также создали тетраэдр, способный стоять лишь на одной из четырех граней. Параллельно с этим математики представили новое, универсальное решение знаменитой «задачи десяти мартини», окончательно связав квантовую физику электронов с причудливыми фрактальными структурами.

На самом фундаментальном уровне ученые замахнулись на пересмотр природы бесконечности и чисел. Пока одни группы исследователей предлагают новые типы бесконечностей, которые делают математическую вселенную еще более хаотичной и сложной, другие находят способы доказать иррациональность целых наборов чисел. Эти открытия показывают, что даже привычная со школы числовая прямая остается территорией поиска, где за простыми вопросами скрываются глубокие истины, меняющие наше представление о реальности.

#Математика #Наука #Геометрия

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🫢Подростки теряют доступ к смартфонам, пытаясь обойти блокировку Roblox

Российские подростки, пытающиеся обойти блокировку Roblox, стали целью мошенников — их iPhone превращают в «кирпичи» и требуют выкуп. Дети активно ищут способы вернуть доступ к игре, особенно часто жертвами становятся владельцы iPhone. Одна из них — 14-летняя девочка из Башкирии — перешла по ссылке, где ей предложили скачать приложение. Там её попросили ввести логин и пароль от аккаунта Apple, якобы это было необходимо для появления игры в App Store.

После этого телефон перезагрузился, а на экране появилось сообщение о блокировке. Когда девочка призналась родителям, они зашли в её Telegram с другого устройства и обнаружили требование выкупа за разблокировку и угрозу удаления всех данных. В сервисном центре заявили, что сделать с гаджетом практически ничего нельзя: его можно либо продать на запчасти, либо попробовать перепрошить за 20 тысяч рублей — без гарантии успеха и с полной потерей информации.

Специалисты отмечают, что подобные случаи стали частыми — только за последнее время зафиксировано около 15 обращений. Ранее Роскомнадзор ограничил доступ к Roblox в России, пояснив, что причиной стали материалы с пропагандой экстремизма, терроризма и призывы к противоправным действиям.

#Roblox #iPhone #мошенничество

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

3️⃣2️⃣1️⃣ [INFO] 31.12.2025 23:59:59 — Статус: Завершение сессии...

Время щёлкает как таймер на панели мониторинга: ещё секунду назад в логах светился декабрь, а теперь перед нами чистая страница с меткой 00:00:01, 1 января.

Новый год всегда приходит будто тихое обновление системы: внешне всё то же, но где-то внутри уже поменялись правила, приоритеты и то, что мы считаем «нормой».

2025-й показал характер: ИИ стал ближе и дерзче. Атаки хитрее, а защита умнее, но никогда не окончательной. Уязвимости рождались быстрее, чем успевали состариться пресс-релизы.

Цифровая реальность научила нас главному: безопасность это не состояние, это процесс. Живой, нервный, иногда упрямый. Как вы.

Спасибо, что читали, спорили, присылали наводки и не проходили мимо важного. SecurityLab.ru держится не на магии «самых мощных решений», а на вашей привычке задавать правильные вопросы. Иногда неудобные. Иногда спасительные.

Впереди — туман 2026-го, и это прекрасно. Будущее редко приходит в парадном костюме: чаще оно прячется в новых протоколах, в странных паттернах трафика и в тихих «почему так?» среди ночи.

В новом году желаем вам:
🔹 Ясности там, где раньше были догадки.
🔹 Спокойствия там, где был лишний риск.
🔹 Энергии на то, что действительно важно.

Пусть ваши пароли будут длиннее, решения взвешеннее, а удача — стабильнее любого аптайма.

С Новым годом! 🎄 Ваша редакция SecurityLab.ru

🙉 Бесплатный активатор KMSAuto стал ловушкой на миллион долларов

Литовский умелец три года кормил интернет фейковым KMSAuto с очень дорогим сюрпризом внутри. Пока юзеры радовались халявной активации, софт тихо мониторил память и подменял адреса криптокошельков в буфере обмена. Схема сработала почти три миллиона раз. Человек копирует адрес, вставляет его в приложении, а магия малвари мгновенно меняет реквизиты на хакерские.

На этом аттракционе парень настриг больше миллиона баксов с восьми тысяч транзакций. Корейские копы пять лет распутывали цепочки переводов через шесть стран из-за одного украденного биткоина. В итоге «бизнесмена» вычислили и дожали, несмотря на все попытки запутать следы и спрятать кэш на биржах.

Финал истории случился в Грузии, где хакера приняли по красной карточке Интерпола и депортировали в Сеул. Теперь вместо литовских баров его ждет корейская тюрьма и очень долгие допросы. Мораль тут простая как пять копеек. Если ставишь ломаный софт на комп с криптой, то ты уже не инвестор, а добровольный спонсор для таких вот гениев.

#крипта, #скам, #безопасность @SecLabNews