#news Напоминание для тех, кто планирует провести праздничные выходные в компании эксплойтов и прочих нердовых удовольствий: под видом PoC на GitHub и другие платформы регулярно заливают вредонос.
У “Лаборатории Касперского” описан очередной случай. Кампанию заметили в октябре: злоумышленники распространяли WebRat, маскируя под эксплойты свежих CVE в Internet Explorer, WordPress, компоненте Windows —всего полтора десятка репозиториев. В описании на поверхностный взгляд убедительный ИИ-слоп, характерный для репортов об уязвимостях в 2025-м. Ну а в архиве бэкдор с инфостилером в придачу. Неопытный исследователь или подающий надежды студент, расслабившись на праздниках, рискует зайти не в ту дверь. Точнее, не в ту репу. Так что не теряйте бдительность и не ленитесь поднимать виртуалки. Словить троянец по глупости, конечно, очень познавательно, но лучше не стоит.
@tomhunter
У “Лаборатории Касперского” описан очередной случай. Кампанию заметили в октябре: злоумышленники распространяли WebRat, маскируя под эксплойты свежих CVE в Internet Explorer, WordPress, компоненте Windows —всего полтора десятка репозиториев. В описании на поверхностный взгляд убедительный ИИ-слоп, характерный для репортов об уязвимостях в 2025-м. Ну а в архиве бэкдор с инфостилером в придачу. Неопытный исследователь или подающий надежды студент, расслабившись на праздниках, рискует зайти не в ту дверь. Точнее, не в ту репу. Так что не теряйте бдительность и не ленитесь поднимать виртуалки. Словить троянец по глупости, конечно, очень познавательно, но лучше не стоит.
@tomhunter
👍6😁2❤1
#news Похититель Рождества Гринч в 2025-м, конечно же, обязан быть криптаном. Расширение TrustWallet под Chrome было скомпрометировано в атаке на цепочку поставок. И обзавелось криптодрейнером.
Троянизированную версию опубликовали прямиком под Рождество: релиз 2.68.0 от 24 декабря начал стягивать сид-фразы. Параллельно шла фишинговая кампания от тех же лиц. TrustWallet тихонько залил чистую версию и сегодня подтвердил, что расширение было скомпрометировано. Подробностей пока нет, но оно и неудивительно: кто-то в команде ещё в состоянии шевелиться и реагировать на инцидент — уже неплохо. Между тем юзеры потеряли около $7 миллионов, но TrustWallet обещает их компенсировать. Главная интрига, не инсайдерская ли это работа — может, ушлый разраб уже танцует с мохито в руке и тайской красоткой в обнимку. Новогоднего чуда-то хочется всем, а в его отсутствии находятся готовые, так сказать, взять дело в свои руки.
@tomhunter
Троянизированную версию опубликовали прямиком под Рождество: релиз 2.68.0 от 24 декабря начал стягивать сид-фразы. Параллельно шла фишинговая кампания от тех же лиц. TrustWallet тихонько залил чистую версию и сегодня подтвердил, что расширение было скомпрометировано. Подробностей пока нет, но оно и неудивительно: кто-то в команде ещё в состоянии шевелиться и реагировать на инцидент — уже неплохо. Между тем юзеры потеряли около $7 миллионов, но TrustWallet обещает их компенсировать. Главная интрига, не инсайдерская ли это работа — может, ушлый разраб уже танцует с мохито в руке и тайской красоткой в обнимку. Новогоднего чуда-то хочется всем, а в его отсутствии находятся готовые, так сказать, взять дело в свои руки.
@tomhunter
😁10🔥5👍3😱1
#article В расследовательской работе есть занятие столь же утомительное, сколь и неизбежное — рутинный мониторинг. Постоянная проверка контрагентов превращается в сизофов труд.
Но что если ваш главный инструмент для этой рутины — обычный Google Sheets — сможет стать автономной аналитической станцией? Давайте разберём, как можно организовать такую систему мониторинга, используя встроенные функции таблиц и немного скриптинга. За подробностями добро пожаловать на Хабр!
@tomhunter
Но что если ваш главный инструмент для этой рутины — обычный Google Sheets — сможет стать автономной аналитической станцией? Давайте разберём, как можно организовать такую систему мониторинга, используя встроенные функции таблиц и немного скриптинга. За подробностями добро пожаловать на Хабр!
@tomhunter
👍13😁1💯1
#news Новость, которая многое говорит о нашем ИБ-обществе. Fortinet предупредила об активном эксплойте уязвимости на обход 2FA в FortiOS SSL VPN. Только её давно исправили. В июле 2020-го.
Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно.
@tomhunter
Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно.
@tomhunter
😁8👍3🔥1
#news Ещё один подарок от Гринча на Рождество: в MongoDB идёт активный эксплойт уязвимости, получившей название MongoBleed со всем из этого, так сказать, вытекающим. А утекают у нас чувствительные данные из памяти.
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам. В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни.
@tomhunter
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам. В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни.
@tomhunter
😁10🔥2
#digest Подводим итоги месяца дайджестом ключевых ИБ-новостей. Декабрь удался на славу: его открыла React2Shell, встряхнувшая сеть, а закрывает MongoBleed, подпортившая многим праздничный сезон.
Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте на Хабре!
@tomhunter
Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте на Хабре!
@tomhunter
👍9❤3
#news Есть на конец декабря и воодушевляющие новости: у Ubisoft взломали её флагман Rainbow Six Siege. И на волне новогоднего настроения доброумышленники решили немного пошалить.
Все игроки обнаружили у себя игровой валюты на пару миллиардов кредитов — это около 13,3 миллионов долларов. Также всем разблокировали все скины в игре, включая девелоперские. Кого-то побанили, кого-то разбанили — развлекались как могли. Долго новогоднее чудо, конечно, не продлилось: все изменения откатят. Параллельно вокруг взлома развернулась целая сага с шантажом Ubisoft липовыми утечками, срывом покровов с маленьких обманщиков, драмами в индийском коммьюнити из-за обвинений сидящей в Индии техподдержки в продаже доступа за мелкий прайс… В общем, праздничная вакханалия удалась. Плохие новости для Ubisoft, но с учётом её репутации, все остальные остались довольны.
@tomhunter
Все игроки обнаружили у себя игровой валюты на пару миллиардов кредитов — это около 13,3 миллионов долларов. Также всем разблокировали все скины в игре, включая девелоперские. Кого-то побанили, кого-то разбанили — развлекались как могли. Долго новогоднее чудо, конечно, не продлилось: все изменения откатят. Параллельно вокруг взлома развернулась целая сага с шантажом Ubisoft липовыми утечками, срывом покровов с маленьких обманщиков, драмами в индийском коммьюнити из-за обвинений сидящей в Индии техподдержки в продаже доступа за мелкий прайс… В общем, праздничная вакханалия удалась. Плохие новости для Ubisoft, но с учётом её репутации, все остальные остались довольны.
@tomhunter
😁11👍3❤1
#cve Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed.
Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте на Хабре!
@tomhunter
Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте на Хабре!
@tomhunter
👍9
#news В Китае на грядущий год предложили законопроект по регуляции запитанных от ИИ чат-ботов. По оценкам, он может стать одним из первых и самым строгим из аналогичных законов. Что, впрочем, вряд ли кого-то удивит.
Проект широко трактует понятие чат-ботов — под него подпадают любые ИИ-продукты для симуляции общения. Он направлен на борьбу с LLM-психозами, которые подарил нам 2025-й: так, при упоминании роскомнадзора и прочего вреда себе к общению должен подключиться кожаный мешок. А несовершеннолетние и пожилые люди и вовсе будут указывать контакты опекуна при регистрации. На вредный контент блок: никаких азартных игр, агрессии, порно и мемов с Винни-Пухом. Также прописан запрет на подпитывание зависимости от чат-бота как фичи, а для борьбы с ней должны быть поп-апы, если юзер зависает в чате. В целом проект любопытный. Партия лишать тебя робо-жена, изволь быть продуктивным членом общества. Но надолго дивный новый мир этим, конечно, не удержать.
@tomhunter
Проект широко трактует понятие чат-ботов — под него подпадают любые ИИ-продукты для симуляции общения. Он направлен на борьбу с LLM-психозами, которые подарил нам 2025-й: так, при упоминании роскомнадзора и прочего вреда себе к общению должен подключиться кожаный мешок. А несовершеннолетние и пожилые люди и вовсе будут указывать контакты опекуна при регистрации. На вредный контент блок: никаких азартных игр, агрессии, порно и мемов с Винни-Пухом. Также прописан запрет на подпитывание зависимости от чат-бота как фичи, а для борьбы с ней должны быть поп-апы, если юзер зависает в чате. В целом проект любопытный. Партия лишать тебя робо-жена, изволь быть продуктивным членом общества. Но надолго дивный новый мир этим, конечно, не удержать.
@tomhunter
😁9👍3
#news Праздничная история про взлом ИБ-фирмы со счастливым концом. Юные дарования из SLH заявили о полном доступе к системам Resecurity; стянули всё: чаты, логи, данные сотрудников и клиентов и прочее. Но есть нюанс. Это был ханипот.
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
😁17🔥5👍3❤1
#news NordVPN отрицает взлом своего Salesforce dev-сервера, информация о котором всплыла на очередном Breached. Пишут, это был триальный аккаунт у стороннего поставщика с тестовыми данными.
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый серверна каникулах и стянул dummy data. В принципе, здесь уже по посту от ноунейма, “брутфорсящего сервер с Jira и Salesforce”, всё и так понятно. Но до поста на обскурном форуме доберётся не каждый, а громких заголовков на праздники хочется. Так что если вдруг увидите сенсационную паничку про взлом очередного народного ускорителя ютуба, здесь всё мимо.
@tomhunter
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый сервер
@tomhunter
😁13👍4❤3
#news Новый Год вышел по-настоящему праздничным для Лихтенштейна. Ильи Лихтенштейна: осуждённого за взлом Bitfinex в 2016-м досрочно выпустили из тюрьмы. Одна из крупнейших криптокраж в истории на ~120 тысяч битков с Бонни и Клайдом от мира крипты по версии Netflix.
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
😁8❤2🤔2💯2
#news Новость, задающая тон 2026-му: ещё пару расширений в Chrome поймали на стягивании чатов с LLM’ками. Они мимикрируют под легитимное, добавляющее боковую панель под ИИ-чаты, и при этом сопоставимы по загрузкам — под миллион пользователей.
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
👍7😁3🤯2❤1
#news В n8n, платформе для автоматизации рабочих процессов, очередная уязвимость на 10 из 10, цепочка ведёт к RCE и произвольной записи файлов. Это уже четвёртая критическая CVE, раскрытая в n8n за пару недель.
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
😁10❤1👍1🔥1
#news У недавней инкарнации BreachForums слили базу пользователей. Записи на ~324к юзеров от августа 2025-го, “временно” лежавшие в открытой папке. Никнеймы, даты регистрации, часть айпишников и прочее внутреннее.
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
😁5❤1👍1🔥1💯1🫡1
#news Хроники кошмарного уикенда для юзеров n8n: пока вы добирали последние крохи праздничного веселья, кто-то патчился — так что число уязвимых инстансов снизилось. Но со 100 до 60 тысяч.
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
🔥7👍5😁4❤1
#news По сети разгоняют заголовки про 1-click атаку в Telegram, ведущую к утечке реального айпишника. Казалось бы, всё серьёзно. На деле же исследователь опять надругался над журналистом.
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
😁10❤4🤡3👍1🔥1💯1
#news Приметы 2026-го: в профильном издании пиарят скрипты для де-блоута Win11 от ИИ-фич. Так и называются, Remove Windows AI. 8к звёзд — народ голосует против Copilot и компании скриптом.
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
😁10👍4🎉3❤2
#news Рубрика “Их нравы”. В Индии очередной удивительный законопроект: на этот раз там хотят обязать производителей смартфонов предоставлять правительству исходники. Вот так просто.
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша,который поломает госспайварь, изволь прислать подробный бюллетень и код для теста. И логи за год пусть в телефоне лежат — а почему бы и нет? Прецедентов у такого нет нигде, и вытянутые лица пиджаков из Samsung, Apple и Xiaomi можно представить в порядке увеселения за обедом. Индийское IT-министерство отрицает эти порочащие слухи, но верится в них легко — работают там явно люди кристальной душевной чистоты. По итогам, конечно, это всё отзовут, но пляска мобильных CEO между рыночком под миллиард устройств и местным законодательным гением будет вечной.
@tomhunter
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша,
@tomhunter
😁16🤡6❤1
#news Своевременная пиар-акция от Anthropic: компания направит Python Software Foundation $1,5 миллиона на улучшение безопасности экосистемы. На фоне недовольства уязвимостью LLM’ок и её агентуры, лучшего хода не придумаешь.
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
😁5👍3❤1
#news По TG-помойкам на миллионы леммингов, которые не могут ошибаться, разгоняют инфу про взлом нашего всего, национального и суверенного Max. Народ, конечно, не дурак, и пресс-службам не верит. Но справедливости ради, внимание на скрины.
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
😁19🤡5🔥3💯3👍2