هک جهانی :
🔴تمامی پسورد هاتون رو تغییر بدید

۱۶ میلیارد پسورد فاش شده و دست هکر هاست

از فیسبوک - اپل و گوگل


@solywebcom سولی وب

🔴هشدار سم آلتمن: اطلاعات خیلی شخصی‌تون رو تو ChatGPT ننویسید!

▪️سم آلتمن، مدیرعامل OpenAI، تو یه مصاحبه تازه گفته فعلاً نمی‌تونن تضمین کنن که اطلاعات خیلی حساس کاربرا توی چت‌بات‌ها مثل ChatGPT کاملاً محرمانه بمونه.

▪️آلتمن توضیح داده وقتی از این ابزارها برای چیزایی مثل مشاوره احساسی یا حتی پزشکی استفاده می‌کنید، دیگه خبری از محرمانگی‌ای مثل «پزشک و بیمار» نیست!

▪️چون هنوز چارچوب قانونی مشخصی برای گفتگو با هوش مصنوعی وجود نداره، اگه شکایتی مطرح بشه، ممکنه محتوای چت‌ها به درخواست مراجع قانونی ارائه بشه.

🚨🚨به تازگی سایت‌های کلاهبرداری فیشینگ به بهانه ابلاغیه ثنا، با وارد کردن کد ملی، جهت جلب اعتماد بیشتر کاربر، از روی چند رقم اول کد ملی، شهر رو تشخیص و اعلام میکنن ابلاغیه از شهر خود شما صادر شده است.
پیام صدور ابلاغیه از شهر خود کاربر، باعث جلب اعتماد بیشتر و فریب افراد بیشتری میشه .
——————————
@solywebcom

🪙 هک ۱۴ هزار وب‌سایت وردپرسی؛ هکرها بدافزاری در سطح وب پخش کردند

🔺 هکرها با استفاده از روشی نوآورانه و بهره‌گیری از بلاک‌چین، امنیت ۱۴ هزار وب‌سایت وردپرسی را به خطر انداخته‌اند. گوگل گزارش داده که گروه UNC5142 با نفوذ به سایت‌های وردپرسی دارای نقص امنیتی، بدافزار گسترش داده است. بدافزار از طریق اسکریپت CLEARSHORT دانلود می‌شود.

🔻 این گروه از تکنیک جدید EtherHiding استفاده می‌کند که گوگل آن را تکنیکی برای پنهان‌کردن کد یا اطلاعات مخرب از طریق ذخیره‌کردن آن در یک بلاک‌چین عمومی مانند زنجیره‌ی هوشمند BNB توصیف کرده. این روش منحصر‌به‌فرد، مقابله با بدافزار را دشوارتر می‌کند.
🔻قرارداد هوشمند حاوی این کد در بلاک‌چین، صفحه‌ی فرود CLEARSHORT را فراخوانی می‌کند که معمولاً روی یک صفحه‌ی توسعه‌دهنده در کلادفلر میزبانی می‌شود و از ترفند مهندسی اجتماعی ClickFix بهره می‌برد.

🔹این ترفند کاربران را فریب می‌دهد تا از طریق پنجره‌ی Run در ویندوز یا اپ ترمینال در مک، فرمان‌های مخرب را روی سیستم خود اجرا کنند....

منبع خبر و اطلاعات بیشتر:
https://cloud.google.com/blog/topics/threat-intelligence/unc5142-etherhiding-distribute-malware?utm_source=chatgpt.com

🎓🔐 چطور یه پسورد واقعاً غیرقابل‌نفوذ بسازیم؟

تا حالا شده یه سایت ازت بخواد پسورد قوی بزنی و ذهنت قفل کنه؟ 😅
بذار یاد بگیری چطور مثل یه کارشناس امنیت، یه رمز عبور حرفه‌ای بسازی 👇

1️⃣ از "عبارت عبور" استفاده کن نه فقط یه کلمه!
به جای رمزای سخت و بی‌معنی، یه جمله‌ی خلاقانه بساز:
✨ Blue!Horse!Battery!Correct!78
هم به‌راحتی یادت می‌مونه، هم هیچ سیستمی نمی‌تونه حدسش بزنه 🔥

2️⃣ حتماً پسوردت رو تست کن!
با سایت Have I Been Pwned ببین رمزت قبلاً جایی لو رفته یا نه 😬

3️⃣ از اطلاعات شخصی استفاده نکن!
تاریخ تولد، اسم سگت، یا عدد گوشی؟ 😅
اینا همش طعمه‌ی خوشمزه برای هکرهاست!

4️⃣ این ۳ اشتباه رو همین الان کنار بذار:
🚫 یه رمز برای چند حساب
🚫 تغییر بی‌دلیل و مداوم رمز
🚫 ذخیره پسورد توی مرورگر یا نوت گوشی

✅ در عوض از یه Password Manager مطمئن استفاده کن
و حتماً احراز هویت دو مرحله‌ای (2FA) رو فعال کن 💪

👇 برای توضیحات تخصصی‌تر و آموزش کامل ساخت رمز حرفه‌ای بخون:

🔗 ادامه مطلب در سایت solyweb

🔓 بزرگ‌ترین‌ هک‌ تاریخ | وقتی‌ امنیت‌ جهانی‌ لرزید
دنیای‌ فناوری‌ بارها شاهد هک‌های‌ بزرگ‌ بوده، اما یکی‌ از جنجالی‌ترین‌ و بزرگ‌ترین‌ هک‌های‌ تاریخ، حمله‌ SolarWinds در سال‌ ۲۰۲۰ بود.
در این حمله، مهاجمان‌ موفق‌ شدند به‌ زیرساخت‌ نرم‌افزار SolarWinds نفوذ کنند و از طریق به‌روزرسانی‌ آلوده، هزاران‌ سازمان‌ دولتی‌ و خصوصی‌ را در سراسر‌ جهان‌ هدف‌ قرار‌ دهند.

📜 جزئیات‌ مهم:

نفوذ‌ به بیش‌ از ۱۸,۰۰۰ سازمان‌

دسترسی‌ به داده‌های‌ حساس‌ دولت‌ آمریکا

سوءاستفاده‌ از اعتماد‌ به‌ به‌روزرسانی‌ رسمی‌

پیچیدگی‌ و پنهان‌کاری‌ بی‌سابقه

این‌ حمله‌ نشان‌ داد که حتی‌ بزرگ‌ترین‌ نهادهای‌ امنیتی‌ هم می‌توانند‌ آسیب‌پذیر‌ باشند و امنیت‌ سایبری‌ نیازمند‌ توجه‌ مداوم‌ است.

▶️ @solywebcom

🚀 HTTPS دقیقاً چطور امنیت ما رو حفظ می‌کنه؟

دیروز یکی از دوستام پرسید:

> «HTTPS از رمزگذاری نامتقارن استفاده می‌کنه، درسته؟ 🤔»



جوابش هم آره‌ست، هم نه 😅

🔹 آره، چون در ابتدای ارتباط (TLS Handshake) از رمزگذاری نامتقارن (Public / Private Key) برای تبادل امن کلید استفاده می‌شه.
🔹 نه، چون بعد از اون، داده‌ها با رمزگذاری متقارن رد و بدل می‌شن — سریع‌تر، سبک‌تر و مناسب‌تر برای تبادل مداوم داده‌ها.

بریم ببینیم پشت‌صحنه‌ی این ماجرا دقیقاً چی می‌گذره 👇


---

🧠 TLS Handshake؛ مغز پشت HTTPS

1️⃣ مرورگر می‌گه:
«سلام! من می‌خوام امن حرف بزنم، اینم لیست الگوریتم‌هایی که بلدم.»

2️⃣ سرور جواب می‌ده:
«باشه، این الگوریتم رو انتخاب می‌کنم 😉»

3️⃣ سرور گواهی دیجیتال (SSL Certificate) خودش رو می‌فرسته — شامل کلید عمومی و اطلاعات دامنه.
مرورگر بررسی می‌کنه که گواهی واقعاً معتبره (توسط CA امضا شده باشه).
وقتی مطمئن شد، می‌فهمه داره با همون سرور واقعی حرف می‌زنه، نه یه مهاجم وسط راه 🔒

4️⃣ سرور ممکنه پارامترهایی مثل Diffie–Hellman برای تولید کلید مشترک بفرسته.

5️⃣ مرورگر یه pre-master secret می‌سازه، با کلید عمومی سرور رمز می‌کنه و می‌فرسته.
فقط خود سرور با کلید خصوصی خودش می‌تونه بازش کنه 🔐

6️⃣ حالا هر دو طرف (مرورگر و سرور) از اون secret، یه کلید متقارن مشترک می‌سازن.

7️⃣ مرورگر می‌گه:
«از اینجا به بعد، همه‌چی رمزنگاری می‌شه! 😎»
یه پیام تست رمزنگاری‌شده می‌فرسته تا مطمئن شن کلید درسته.

8️⃣ سرور هم همین کار رو می‌کنه، و وقتی همه‌چی اوکی بود...

🎉 از این لحظه به بعد، تمام داده‌ها با رمزگذاری متقارن منتقل می‌شن — سریع، امن و مطمئن.


---

🔒 خلاصه ماجرا:
HTTPS مثل یه گفت‌وگوی خصوصی توی یه اتاق قفل‌شده‌ست 🗝️
اول مطمئن می‌شه با آدم درست حرف می‌زنه،
بعد یه کلید مشترک می‌سازه،
و در نهایت، همه حرف‌ها رو رمز می‌کنه 🧩

▶️ @solywebcom

کشف نوع جدیدی از حمله‌ی سایبری: وقتی الگوهای ترافیک، راز گفتگوی شما با چت‌بات‌ها را لو می‌دهند!

باورتان می‌شود که هکرها می‌توانند از گفتگوهای شما با چت‌ چی‌پی‌تی (یا هر هوش مصنوعی مشابهی) مطلع شوند؟ البته این موضوع شرایط خاصی دارد که در ادامه توضیح می‌دهیم:

مایکروسافت در یک گزارشی پژوهشی جدید از یک حمله جدید با نام «Whisper Leak» خبر داده که می‌تواند بدون شکستن رمزنگاری، موضوع مکالمات کاربران با مدل‌های زبانی بزرگ (LLM) را شناسایی کند.

این حمله، به خاطر ضعف در پروتکل‌های رمزنگاری مانند HTTPS نیست، بلکه یک حمله‌ی تحلیل ترافیک (Side-Channel) محسوب می‌شود.

بر اساس این گزارش، زمانی که کاربر با یک چت‌بات هوش مصنوعی گفتگو می‌کند و پاسخ‌ها به صورت استریم (تکه‌تکه و لحظه‌ای) ارسال می‌شوند، الگوهای قابل تحلیلی در ترافیک شبکه شکل می‌گیرد؛ از جمله:

- اندازه بسته‌های داده
- فاصله زمانی میان ارسال بسته‌ها

گروه تحقیقاتی مایکروسافت نشان داده که یک مهاجم ناظر بر ترافیک رمزنگاری‌شده (برای مثال در سطح اپراتور، شبکه سازمانی، یا وای‌فای عمومی) می‌تواند با استفاده از این الگوها و با کمک مدل‌های یادگیری ماشینی، تشخیص دهد که آیا مکالمه کاربر درباره یک موضوع حساس مشخص است یا خیر؛ بدون آن‌که به متن واقعی گفتگو دسترسی داشته باشد.

در این مدل حمله، مهاجم به‌دنبال تشخیص مستقیم محتوای پیام‌ها نیست، بلکه بررسی می‌کند آیا گفتگو حول محور موضوعاتی خاص مانند مسائل سیاسی، مالی و… می‌چرخد یا نه.

آزمایش‌ها نشان داده‌اند که در برخی سناریوها، دقت این تشخیص به حدود ۹۸ درصد می‌رسد. این موضوع به‌ویژه از منظر حریم خصوصی نگران‌کننده است.

مایکروسافت تأکید می‌کند که این یافته‌ها به معنی ناامن بودن رمزنگاری نیست، بلکه نشان می‌دهد نحوه پیاده‌سازی استریم پاسخ در سرویس‌های هوش مصنوعی می‌تواند اطلاعات فراداده‌ای (متادیتا) حساسی را افشا کند.

توصیه‌هایی برای کاربران و سازمان‌ها
- از اتصال به وای‌فای عمومی یا شبکه‌های غیرقابل‌اعتماد خودداری کنند.

- استفاده از VPN معتبر می‌تواند تحلیل ترافیک را برای مهاجم دشوارتر کند.

- استفاده از حالت‌هایی که پاسخ‌ها را یکجا و غیر استریمی ارسال می‌کنند، به کاهش الگوهای قابل تحلیل کمک می‌کند.

- سازمان‌ها و نهادها هنگام به‌کارگیری LLMها (ابری یا داخلی) باید حملات مبتنی بر تحلیل ترافیک را نیز در مدل تهدید خود لحاظ کرده، تست‌های امنیتی تکمیلی انجام دهند و از مکانیزم‌های دفاعی مناسب استفاده کنند.

این گزارش بار دیگر نشان می‌دهد که در عصر هوش مصنوعی، حفاظت از حریم خصوصی تنها به رمزنگاری محتوا محدود نمی‌شود و الگوهای رفتاری ترافیک نیز می‌توانند به منبع افشای اطلاعات تبدیل شوند.

جالب‌تر اینجا است که اینجا از یک هوش مصنوعی برای رمزگشایی از یک هوش مصنوعی دیگر استفاده می‌شود!


▶️ @solywebcom

🔴توی نمایشگاه کیش اینوکس به جای ربات انسان‌نما ، انسان واقعی گذاشتن !!

🔻توی کیش یه نمایشگاه زدن واسه معرفی فناوری های «رباتیک» ، بعد یه خانم رو گریم کردن به جای ربات انسان‌نما آوردن تو نمایشگاه ، اسمشم گذاشتن Miss Data - دختر داده ها ! منبع

+ وسطای ویدیو که برسین با مستر دیتا سوپرایز میشین 🤣


😎@solywebcom

قطعی کلود فلر

کلود فلر دچار مشکل شده و به صورت موقع قطع شده اگر سایتتون روی کلود فلر هست و باز نمیشه از کلود فلر هست برخی از سرور های کلود فلر دچار مشکل شدن و پنل خوده کلود فلرم برای بعضیا کلا از دسترس خارج شده

▶️@solywebcom

چند وقت پیش یه هندی رو از یه شرکت اخراج کرده بودن

اونم زده بود تمام سرور های مجازی ( بالای 200 تا ) رو پاک کرده بود نزدیک 10 میلیون دلار خسارت زده بود به شرکت

حالا میبنی کلود فلرم سرش همین اومده بار اولیه میبنیم کلود فلر چنین تداخل شدیدی خورده

▶️@solywebcom

شبکه X توییتر هم قطع شده

@solywebcom

نزدیک 900 میلیون سایت قطع به خاطر کلود فلر

تقریبا نصف اینترنت دنیا فلج شده

@solywebcom

↔️ فاجعه امنیتی در واتساپ؛ شماره‌ 3.5 میلیارد کاربر لو رفت!

🔴محققان دانشگاه Vienna و مرکز SBA Research یه باگ سنگین تو سیستم Contact Discovery واتساپ پیدا کردن؛ با همین ضعف، تونستن وضعیت بیش از 3.5 میلیارد شماره رو در 245 کشور چک و تأیید کنن!

🔴محقق‌ها قادر بودن بیش از 100 میلیون شماره در ساعت رو تست کنن و اطلاعات زیر رو از زیرساخت واتساپ بیرون بکشن :

• شماره تلفن
• کلید عمومی رمزنگاری (Public Key)
• زمان‌ها (Timestamps)
• و اگه پروفایل عمومی بوده: عکس پروفایل + بخش About

😎@solywebcom

💰رکوردشکنی جدید در حملات DDoS

⚙️مایکروسافت اعلام کرد که سرویس ابری Azure توانسته یکی از بزرگ‌ترین حملات DDoS ثبت‌شده در تاریخ کلاد را با موفقیت خنثی کند.

💀این حمله با اوج ۱۵.۷۲ ترابیت‌برثانیه و ۳.۶۴ میلیارد بسته در ثانیه انجام شده است؛ رقمی که تمام رکوردهای قبلی حملات DDoS ابری را پشت سر گذاشته.

💣منشأ حمله، بات‌نت Aisuru بود؛ مجموعه‌ای عظیم از صدها هزار دستگاه آلوده (عمدتاً تجهیزات IoT مانند روترها و دوربین‌های خانگی). این حجم از قدرت مخرب، نتیجه‌ی گسترش اینترنت پرسرعت خانگی و افزایش دستگاه‌های هوشمند است.

🪡با وجود این شدت بی‌سابقه، زیرساخت DDoS Protection آژور توانست ترافیک مخرب را تشخیص، فیلتر و جذب کند؛ بدون اینکه خدمات مشتریان دچار اختلال شوند.

😎@solywebcom

🚨نقض جدید: اطلاعات داخلی و مکاتبات سازمانی شرکت داروسازی رازی

🔍 مجموعه‌ بزرگی از داده‌های حساس منتسب به شرکت "داروسازی رازی" در فهرست فروشندگان بانک‌های اطلاعاتی غیرمجاز مشاهده شده است. این داده‌ها شامل بخش‌هایی از صندوق‌های ایمیل کارکنان، پیوست‌ها، اسناد داخلی، مکاتبات مربوط به فعالیت‌های سازمانی و اطلاعات مرتبط با زنجیره تأمین را شامل می‌شود.

📌 با توجه به احتمال سوءاستفاده از داده‌ها، توصیه می‌شود تمام افرادی که با شرکت رازی همکاری یا تبادل اطلاعات داشته‌اند، از جمله مشتریان و شرکای تجاری، رمزهای عبور خود را تغییر دهند، نسبت به پیام‌ها و ایمیل‌های مشکوک حساس باشند و در صورت امکان احراز هویت چندمرحله‌ای را فعال کنند.

✅ صحت داده‌های نمونه بررسی شده و قابل تایید است!

لیکفا

🆔 @solywebcom

🗺 نقشه گنج: مسیر صفر تا صد موفقیت در دنیای وردپرس

خیلی از دوستان می‌پرسند "از کجا شروع کنم؟" یا "چطور درآمدم رو بیشتر کنم؟". این تصویر دقیقا جواب شماست. بیایید این مسیر ۶ مرحله‌ای را با هم مرور کنیم:

1️⃣ جسارت شروع کردن: منتظر نباشید همه‌چیز را بلد باشید! پروژه بگیرید و حین کار یاد بگیرید. چالش‌ها معلم شما هستند.

2️⃣ پروژه اول، دروازه ورود: حتی یک پروژه کوچک می‌تواند مسیر شغلی شما را باز کند. آن را جدی بگیرید.

3️⃣ فراتر از ابزارها: فقط به صفحه‌سازها بسنده نکنید. یادگیری HTML و CSS دست شما را برای شخصی‌سازی‌های حرفه‌ای باز می‌کند.

4️⃣ قدرت شبکه سازی: در رویدادها شرکت کنید و در سوشال مدیا فعال باشید. پروژه‌های بزرگ از دل روابط بیرون می‌آیند.

5️⃣ متخصصِ یک گوشه (Niche): اقیانوس نباشید با عمق یک سانت! در یک حوزه خاص (مثل لندینگ پیج یا افزونه نویسی) متخصص شوید.

6️⃣ مهارت‌های نرم (جادوی درآمد): فن بیان، مذاکره و بستن قرارداد شفاف، درآمد شما را چند برابر می‌کند. مهارت فنی شرط لازم است، اما کافی نیست!

♨️ هک جدید والت‌های کریپتویی؛ فقط با زدن یه تیک من ربات نیستم...!

▪️اخیراً یک روش هک خیلی خطرناک بین کاربرا پخش شده که از صفحه‌ی Fake Cloudflare Verification استفاده میکنه ؛ همون صفحه‌ای که باید تیک "I’m not a robot" رو بزنی.

▪️در این مدل هک، با زدن تیک، یک فایل مخفی روی سیستم‌تون دانلود میشه و منتظر می‌مونه تا کیف پولتون رو در لحظه مناسب خالی کنه ، بدون اینکه حتی متوجه بشید.

⚠️ چطور ازش جلوگیری کنیم؟

تا حد ممکن هیچ باکس تأیید مشکوکی رو تیک نزنید. و خیلی مهم‌تر ، دانلود خودکار فایل‌ها در مرورگر رو ببندید.

🔒 مسیر بستن دانلود خودکار در Chrome

• برید به Settings
• بخش Privacy & Security
• گزینه Site settings
• قسمت Additional permissions
• وارد Automatic downloads بشید
• روی Don’t allow sites to automatically download multiple files بذارید

@solywebcom

🚨 هشدار مهم برای مدیران سایت‌ها و وبمسترها: حتماً از سایت خود بکاپ بگیرید! 🚨

متأسفانه اوضاع منطقه بی‌ثبات شده و ممکنه روزهای آینده اتفاقات غیرمنتظره‌ای برای دیتاسنترها بیفته. بسیاری از شرکت‌های هاستینگ هیچ تعهدی بابت بکاپ داده‌های سایت شما ندارند.
اگر اتفاقی برای دیتاسنتر برج میلاد یا شبکه ارتباطی بیفته، احتمالاً ۶۰ تا ۷۰ درصد هاستینگ‌ها از دسترس خارج میشن. امیدواریم اینطور نشه،

🌟 اما عاقلانه‌ترین کار، گرفتن فول بکاپ از سایت و نگهداری اون روی سیستم شخصی یا فضای ابری مستقل هست.**


📦 آموزش تصویری گرفتن فول بکاپ از سی‌پنل (cPanel):

1. وارد سی‌پنل بشید (آدرس معمولاً: yourdomain.com/cpanel)

2. به بخش Files برید و روی Backup کلیک کنید.

3. در بخش Full Backup، گزینه‌ی Download a Full Website Backup رو انتخاب کنید.

4. مسیر ذخیره‌سازی را روی Home Directory قرار بدید و ایمیلتون رو وارد کنید تا بعد از اتمام بکاپ بهتون اطلاع بده.

5. روی Generate Backup کلیک کنید.

6. منتظر بمونید تا بکاپ ساخته بشه (بسته به حجم سایت ممکنه چند دقیقه تا چند ساعت طول بکشه).

7. دوباره به همین بخش برگردید و فول بکاپ ساخته‌شده رو دانلود کنید و روی سیستم یا هارد اکسترنال نگهداری کنید.



دایرکت ادمین (DirectAdmin):

1. وارد دایرکت ادمین بشید (معمولاً: yourdomain.com:2222)

2. از منوی سمت راست، روی Create/Restore Backups یا بخش Backup بزنید.

3. می‌تونید انتخاب کنید که از کدوم بخش‌ها بکاپ بگیرید (بهتره همه گزینه‌ها رو تیک بزنید).

4. روی Create Backup کلیک کنید.

5. وقتی بکاپ ساخته شد، معمولاً لینک دانلودش در لیست بکاپ‌ها ظاهر میشه.

6. روی فایل بکاپ کلیک کنید تا دانلود بشه و حتماً روی سیستم یا فضای ابری شخصی ذخیره کنید.

❗️فراموش نکنید: هیچ کس غیر از خودتون مسئول حفظ اطلاعات نیست.

📩 سوالی در مورد بکاپ یا بازیابی داشتید، همینجا بپرسید تا راهنمایی کنم

@solywebcom

@solyweb