Бот ChatGPT может использоваться для DDoS-атак из-за уязвимости 💡
Исследователь Бенджамин Флеш обнаружил уязвимость в веб-краулере ChatGPT, позволяющую использовать его для DDoS-атак. Один HTTP-запрос к API ChatGPT может спровоцировать массовую отправку запросов (до 5000+ в секунду) на указанный сайт.
Проблема связана с обработкой HTTP POST-запросов к https://chatgpt.com/backend-api/attributions. Если передать API список URL с минимальными отличиями, бот начнёт обращаться к ним параллельно, игнорируя повторения.
Даже при блокировке IP-адресов бот продолжает отправлять запросы. Хотя мощности таких атак могут быть недостаточны для вывода из строя защищённых сайтов, эксперт считает это серьёзной недоработкой OpenAI.
Исследователь Бенджамин Флеш обнаружил уязвимость в веб-краулере ChatGPT, позволяющую использовать его для DDoS-атак. Один HTTP-запрос к API ChatGPT может спровоцировать массовую отправку запросов (до 5000+ в секунду) на указанный сайт.
Проблема связана с обработкой HTTP POST-запросов к https://chatgpt.com/backend-api/attributions. Если передать API список URL с минимальными отличиями, бот начнёт обращаться к ним параллельно, игнорируя повторения.
Даже при блокировке IP-адресов бот продолжает отправлять запросы. Хотя мощности таких атак могут быть недостаточны для вывода из строя защищённых сайтов, эксперт считает это серьёзной недоработкой OpenAI.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4❤3🔥3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥3❤🔥2👍1
Ищем менеджера по продажам ✉️
👉 Менеджер по продажам
Поделись новостью с друзьями и знакомыми, которым может быть интересна вакансия!
👉 Менеджер по продажам
Поделись новостью с друзьями и знакомыми, которым может быть интересна вакансия!
👍5
В 7-Zip обнаружена опасная уязвимость 🚨
Исследователи из команды Trend Micro Zero Day Initiative выявили уязвимость в популярном архиваторе 7-Zip, которая позволяет злоумышленникам обходить защитный механизм Windows — Mark-of-the-Web (MoTW). Уязвимость получила идентификатор CVE-2025-0411 и оценку 7 баллов по шкале CVSS, что указывает на высокий уровень риска.
💡 Что это значит?
Mark-of-the-Web — это механизм Windows, который предупреждает пользователей о потенциальной опасности файлов, загруженных из интернета. Однако из-за ошибки в обработке архивов 7-Zip файлы, извлечённые из специально созданных архивов, могут не получать эту метку. В результате пользователь может открыть вредоносный файл, даже не подозревая об угрозе. Это позволяет злоумышленникам выполнять вредоносный код в контексте текущего пользователя.
🛠 Что делать?
Разработчики 7-Zip уже выпустили обновление — версию 24.09, в которой проблема устранена. Если вы используете 7-Zip, настоятельно рекомендуем обновить программу до последней версии, чтобы защитить себя от возможных атак.
Берегите свои данные и будьте внимательны! 💻✨
Исследователи из команды Trend Micro Zero Day Initiative выявили уязвимость в популярном архиваторе 7-Zip, которая позволяет злоумышленникам обходить защитный механизм Windows — Mark-of-the-Web (MoTW). Уязвимость получила идентификатор CVE-2025-0411 и оценку 7 баллов по шкале CVSS, что указывает на высокий уровень риска.
💡 Что это значит?
Mark-of-the-Web — это механизм Windows, который предупреждает пользователей о потенциальной опасности файлов, загруженных из интернета. Однако из-за ошибки в обработке архивов 7-Zip файлы, извлечённые из специально созданных архивов, могут не получать эту метку. В результате пользователь может открыть вредоносный файл, даже не подозревая об угрозе. Это позволяет злоумышленникам выполнять вредоносный код в контексте текущего пользователя.
🛠 Что делать?
Разработчики 7-Zip уже выпустили обновление — версию 24.09, в которой проблема устранена. Если вы используете 7-Zip, настоятельно рекомендуем обновить программу до последней версии, чтобы защитить себя от возможных атак.
Берегите свои данные и будьте внимательны! 💻✨
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5❤🔥3👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤🔥1❤1
Комплексный пентест ЦОД: уязвимости периметра и внутренних систем ⏳
В статье описан пентест критической инфраструктуры ЦОД, который помог выявить уязвимости периметра и внутренних систем.
Какие слабые места удалось найти и что с этим делать?
👉 Читайте в статье — https://vk.com/@-182424391-kompleksnyi-pentest-cod-uyazvimosti-perimetra-i-vnutrennih-s
В статье описан пентест критической инфраструктуры ЦОД, который помог выявить уязвимости периметра и внутренних систем.
Какие слабые места удалось найти и что с этим делать?
👉 Читайте в статье — https://vk.com/@-182424391-kompleksnyi-pentest-cod-uyazvimosti-perimetra-i-vnutrennih-s
Please open Telegram to view this post
VIEW IN TELEGRAM
VK
Комплексный пентест ЦОД: уязвимости периметра и внутренних систем
ЦОД = критическая инфраструктура
🔥8⚡3❤3
Рекомендации от сотрудника: книги на тему кибербезопасности 💭
Смотрим, читаем и сохраняем себе!
Смотрим, читаем и сохраняем себе!
🔥11❤5❤🔥2
Анализ уязвимостей защиты критической инфраструктуры 🛜
Статья детально описывает этапы несанкционированного проникновения в центр обработки данных (ЦОД), относящийся к критической инфраструктуре. На примере спланированного проникновения через вентиляционные системы и установки аппаратных закладок демонстрируются недостатки в физической безопасности объекта.
👉 Подробнее читайте в статье
Статья детально описывает этапы несанкционированного проникновения в центр обработки данных (ЦОД), относящийся к критической инфраструктуре. На примере спланированного проникновения через вентиляционные системы и установки аппаратных закладок демонстрируются недостатки в физической безопасности объекта.
👉 Подробнее читайте в статье
Please open Telegram to view this post
VIEW IN TELEGRAM
VK
Проникновение в ЦОД и установка аппаратных закладок
ЦОД = Критическая инфраструктура
❤7🔥6👍4
Осторожно: Капча Telegram заставляет запускать вредоносные скрипты PowerShell ⏳
Киберпреступники используют новость о помиловании Росса Ульбрихта (основателя Silk Road) для атак. Фальшивые аккаунты в соцсетях направляют пользователей в Telegram-каналы, где предлагают пройти «проверку личности» — «Safeguard».
Жертвам предлагают выполнить PowerShell-команду, которая загружает вредоносный ZIP-архив. Это позволяет злоумышленникам получить удаленный доступ к устройству через инструмент Cobalt Strike. Такие атаки часто предшествуют ransomware или краже данных.
Советы по безопасности:
✔️ Не выполняйте неизвестные команды
✔️ Проверяйте источники информации
✔️ Будьте бдительны к подозрительным действиям
🔔 Подпишись на наш канал, тут мы говорим о кибербезопасности
Киберпреступники используют новость о помиловании Росса Ульбрихта (основателя Silk Road) для атак. Фальшивые аккаунты в соцсетях направляют пользователей в Telegram-каналы, где предлагают пройти «проверку личности» — «Safeguard».
Жертвам предлагают выполнить PowerShell-команду, которая загружает вредоносный ZIP-архив. Это позволяет злоумышленникам получить удаленный доступ к устройству через инструмент Cobalt Strike. Такие атаки часто предшествуют ransomware или краже данных.
Советы по безопасности:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍4
Ищем менеджера по продажам ✉️
👉 Менеджер по продажам
Поделись новостью с друзьями и знакомыми, которым может быть интересна вакансия!
👉 Менеджер по продажам
Поделись новостью с друзьями и знакомыми, которым может быть интересна вакансия!
👍5
Мошенники атакуют DeepSeek: сотни фейков и кража данных 🖱
Киберпреступники запустили масштабную кампанию против DeepSeek, создав сотни поддельных сайтов. Их цель — кража учетных данных, криптовалюты и обман пользователей через фальшивые инвестиционные предложения.
Злоумышленники применяют различные методы: от фишинга до краж через QR-коды. Некоторые подделки легко распознать, но другие выглядят очень убедительно. Эксперты ESET и Cyble также выявили фальшивые страницы с мнимыми акциями и вредоносными приложениями. Несмотря на блокировку части сайтов, их количество растет. Специалисты призывают пользователей быть бдительными, так как мошенники активно используют момент, пока информация об атаках не стала широко известной.
🔔 Подпишись на наш канал, тут мы говорим о кибербезопасности
Киберпреступники запустили масштабную кампанию против DeepSeek, создав сотни поддельных сайтов. Их цель — кража учетных данных, криптовалюты и обман пользователей через фальшивые инвестиционные предложения.
Злоумышленники применяют различные методы: от фишинга до краж через QR-коды. Некоторые подделки легко распознать, но другие выглядят очень убедительно. Эксперты ESET и Cyble также выявили фальшивые страницы с мнимыми акциями и вредоносными приложениями. Несмотря на блокировку части сайтов, их количество растет. Специалисты призывают пользователей быть бдительными, так как мошенники активно используют момент, пока информация об атаках не стала широко известной.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7⚡3❤🔥3
Фейковые приложения российских банков — как не стать жертвой мошенников
С развитием цифровых технологий банковские услуги стали доступнее, чем когда-либо. Однако вместе с удобством растут и риски: мошенники активно используют фейковые приложения, чтобы обмануть пользователей и получить доступ к их деньгам. Под видом официальных программ банков злоумышленники создают поддельные приложения, которые могут выглядеть очень убедительно.
Будьте внимательны и осторожны: ваша финансовая безопасность — в ваших руках!
С развитием цифровых технологий банковские услуги стали доступнее, чем когда-либо. Однако вместе с удобством растут и риски: мошенники активно используют фейковые приложения, чтобы обмануть пользователей и получить доступ к их деньгам. Под видом официальных программ банков злоумышленники создают поддельные приложения, которые могут выглядеть очень убедительно.
Будьте внимательны и осторожны: ваша финансовая безопасность — в ваших руках!
👍6❤3🔥3