Forwarded from 3side кибербезопасности
«Ваше лицо скомпрометировано!»
В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
Forwarded from Похек
Интересное видео с демонстрацией Account Takeover через punycode
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
🌚 @poxel
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
The Most Underrated 0-Click Account Takeover Exploit Using Punycode IDN Attacks | Bug bounty
IF you Enjoyed the video, don't forget to Like 👍, Subscribe, and turn on the Notification Bell 🔔 to stay updated!
🎭 WHO AM I ?
I'm Coffinxp, a hacker & Security Researcher and aspiring Cybersecurity Specialist and Bug Hunter. With a strong passion for…
🎭 WHO AM I ?
I'm Coffinxp, a hacker & Security Researcher and aspiring Cybersecurity Specialist and Bug Hunter. With a strong passion for…
www.opennet.ru
Уязвимость в KDE Konsole, позволяющая выполнить код при открытии страницы в браузере
В развиваемом проектом KDE эмуляторе терминала Konsole выявлена уязвимость (CVE-2025-49091), позволяющая организовать выполнение кода в системе при открытии в браузере специально оформленной страницы.
🔗Ссылка:
https://opennet.ru/63410/
https://opennet.ru/63410/
Forwarded from Offensive Xwitter
😈 [ Elastic Security Labs @elasticseclabs ]
Dive deep into malware detection with the latest article by John Uhlmann: "Call Stacks: No More Free Passes for Malware." Discover how call stacks provide vital insights into malware behavior. Read more:
🔗 https://www.elastic.co/security-labs/call-stacks-no-more-free-passes-for-malware/
🐥 [ tweet ]
Dive deep into malware detection with the latest article by John Uhlmann: "Call Stacks: No More Free Passes for Malware." Discover how call stacks provide vital insights into malware behavior. Read more:
🔗 https://www.elastic.co/security-labs/call-stacks-no-more-free-passes-for-malware/
🐥 [ tweet ]
Forwarded from Kali Linux
🛡️ Public Pentesting Reports — архив реальных отчётов по взлому
Репозиторий на GitHub собирает более 200 публичных отчётов по тестированию на проникновение от компаний и независимых исследователей.
📂 Что внутри:
• Взлом web‑приложений, облаков, корпоративной инфраструктуры
• Настоящие кейсы от Google, Yahoo, HackerOne, NCC Group и др.
• Отчёты в формате PDF, Markdown, блоги и презентации
• Отличная база для обучения, анализа атак и построения защиты
🧠 Полезно для:
• Пентестеров и Bug Bounty‑исследователей
• Разработчиков — чтобы видеть, как реально ломают продукты
• Специалистов по безопасности — для тренингов и анализа рисков
• Всех, кто хочет углубиться в практику Offensive Security
📎 GitHub: github.com/juliocesarfort/public-pentesting-reports
@linuxkalii
Репозиторий на GitHub собирает более 200 публичных отчётов по тестированию на проникновение от компаний и независимых исследователей.
📂 Что внутри:
• Взлом web‑приложений, облаков, корпоративной инфраструктуры
• Настоящие кейсы от Google, Yahoo, HackerOne, NCC Group и др.
• Отчёты в формате PDF, Markdown, блоги и презентации
• Отличная база для обучения, анализа атак и построения защиты
🧠 Полезно для:
• Пентестеров и Bug Bounty‑исследователей
• Разработчиков — чтобы видеть, как реально ломают продукты
• Специалистов по безопасности — для тренингов и анализа рисков
• Всех, кто хочет углубиться в практику Offensive Security
📎 GitHub: github.com/juliocesarfort/public-pentesting-reports
@linuxkalii
Forwarded from SecuriXy.kz
Проанализировали архив утечки: «Жители Казахстана 2024»
📁 Обнаружен CSV-файл с персональными данными казахстанцев, содержащий 16,3 млн строк. В таблице присутствуют следующие поля:
Фамилия, Имя, Отчество, Пол, Дата рождения, Идентификатор, ИИН, Мобильный, Рабочий, Домашний, Гражданство, Национальность, Адрес, Адрес подтвержден, Дата начала и конца проживания.
📊 Результаты анализа
📦 Общее количество записей: 16 302 107
🔐 Уникальных ИИН: 15 851 699
📱 Уникальных номеров телефонов: 16 901 555
📦 Описание архива
Размер архива: 799 МБ (сжатый .zip)
SHA256-сумма: bbfc54507c502b612e5e89aa601d8930a92732924c0db11f314e398113ccf014
Файл внутри архива: CSV-файл размером 7.03 ГБ
Дата упаковки: 2024-06-13 23:06:48 (+0500)
🧭 Предварительные выводы
В графе “адрес” часто встречаются адреса стоматологий, поликлиник, Налогового комитета, университетов и других организаций.
Это может указывать на:
массовый сбор данных через публичные/полуоткрытые API;
взломы poorly configured сервисов, возвращающих ФИО/ИНН/телефон по ID;
или ошибочные дампы из интеграционных систем.
🚨 Вывод
Утечка содержит чувствительные персональные данные, включая ИИН и контактные номера.
Она представляет риск: для фишинга, социальной инженерии, подделки документов, телефонного мошенничества.
Будьте внимательны. При возникновении подозрений на утечку собственных данных - проверьте активности в eGov, мобильных банках, налоговой и пр.
📁 Обнаружен CSV-файл с персональными данными казахстанцев, содержащий 16,3 млн строк. В таблице присутствуют следующие поля:
Фамилия, Имя, Отчество, Пол, Дата рождения, Идентификатор, ИИН, Мобильный, Рабочий, Домашний, Гражданство, Национальность, Адрес, Адрес подтвержден, Дата начала и конца проживания.
📊 Результаты анализа
📦 Общее количество записей: 16 302 107
🔐 Уникальных ИИН: 15 851 699
📱 Уникальных номеров телефонов: 16 901 555
📦 Описание архива
Размер архива: 799 МБ (сжатый .zip)
SHA256-сумма: bbfc54507c502b612e5e89aa601d8930a92732924c0db11f314e398113ccf014
Файл внутри архива: CSV-файл размером 7.03 ГБ
Дата упаковки: 2024-06-13 23:06:48 (+0500)
🧭 Предварительные выводы
В графе “адрес” часто встречаются адреса стоматологий, поликлиник, Налогового комитета, университетов и других организаций.
Это может указывать на:
массовый сбор данных через публичные/полуоткрытые API;
взломы poorly configured сервисов, возвращающих ФИО/ИНН/телефон по ID;
или ошибочные дампы из интеграционных систем.
🚨 Вывод
Утечка содержит чувствительные персональные данные, включая ИИН и контактные номера.
Она представляет риск: для фишинга, социальной инженерии, подделки документов, телефонного мошенничества.
Будьте внимательны. При возникновении подозрений на утечку собственных данных - проверьте активности в eGov, мобильных банках, налоговой и пр.
Forwarded from Похек
How-Anthropic-teams-use-Claude-Code_v2.pdf
5.9 MB
How Anthropic teams use Claude Code
#Anthropic #Claude #vibecoding #coding #dev #ai #ии
PDFка от Anthropic, где они делятся своим опытом использования Claude Code для разработки, безопасности, API и т.д. Это не читшит/гайд с промптами или как правильно, а как не правильно. В каждой теме команда приводит пример последотельности мыслей/действий и топ советов, как использовать Claude Code под конкретную задачу
Оглавление:
Claude Code for data infrastructure
Claude Code for product development
Claude Code for security engineering
Claude Code for inference
Claude Code for data science and visualization
Claude Code for API
Claude Code for growth marketing
Claude Code for product design
Claude Code for RL engineering
Claude Code for legal
🔗 pdf прикреплена к посту
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#Anthropic #Claude #vibecoding #coding #dev #ai #ии
PDFка от Anthropic, где они делятся своим опытом использования Claude Code для разработки, безопасности, API и т.д. Это не читшит/гайд с промптами или как правильно, а как не правильно. В каждой теме команда приводит пример последотельности мыслей/действий и топ советов, как использовать Claude Code под конкретную задачу
Оглавление:
Claude Code for data infrastructure
Claude Code for product development
Claude Code for security engineering
Claude Code for inference
Claude Code for data science and visualization
Claude Code for API
Claude Code for growth marketing
Claude Code for product design
Claude Code for RL engineering
Claude Code for legal
Please open Telegram to view this post
VIEW IN TELEGRAM
Fsecurity | HH
🔗Ссылка: https://www.kali.org/blog/kali-linux-2025-2-release/
www.opennet.ru
Выпуск дистрибутива для исследователей безопасности Kali Linux 2025.2
Представлен релиз дистрибутива Kali Linux 2025.2, основанного на пакетной базе Debian и предназначенного для тестирования систем на наличие уязвимостей, проведения аудита безопасности, анализа остаточной информации и выявления последствий атак. Все оригинальные…
🔗Ссылка:
https://opennet.ru/63411/
https://opennet.ru/63411/