#news Праздничная история про взлом ИБ-фирмы со счастливым концом. Юные дарования из SLH заявили о полном доступе к системам Resecurity; стянули всё: чаты, логи, данные сотрудников и клиентов и прочее. Но есть нюанс. Это был ханипот.
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
😁17🔥5👍3❤1
#news NordVPN отрицает взлом своего Salesforce dev-сервера, информация о котором всплыла на очередном Breached. Пишут, это был триальный аккаунт у стороннего поставщика с тестовыми данными.
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый серверна каникулах и стянул dummy data. В принципе, здесь уже по посту от ноунейма, “брутфорсящего сервер с Jira и Salesforce”, всё и так понятно. Но до поста на обскурном форуме доберётся не каждый, а громких заголовков на праздники хочется. Так что если вдруг увидите сенсационную паничку про взлом очередного народного ускорителя ютуба, здесь всё мимо.
@tomhunter
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый сервер
@tomhunter
😁13👍4❤3
#news Новый Год вышел по-настоящему праздничным для Лихтенштейна. Ильи Лихтенштейна: осуждённого за взлом Bitfinex в 2016-м досрочно выпустили из тюрьмы. Одна из крупнейших криптокраж в истории на ~120 тысяч битков с Бонни и Клайдом от мира крипты по версии Netflix.
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
😁8❤2🤔2💯2
#news Новость, задающая тон 2026-му: ещё пару расширений в Chrome поймали на стягивании чатов с LLM’ками. Они мимикрируют под легитимное, добавляющее боковую панель под ИИ-чаты, и при этом сопоставимы по загрузкам — под миллион пользователей.
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
👍7😁3🤯2❤1
#news В n8n, платформе для автоматизации рабочих процессов, очередная уязвимость на 10 из 10, цепочка ведёт к RCE и произвольной записи файлов. Это уже четвёртая критическая CVE, раскрытая в n8n за пару недель.
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
😁10❤1👍1🔥1
#news У недавней инкарнации BreachForums слили базу пользователей. Записи на ~324к юзеров от августа 2025-го, “временно” лежавшие в открытой папке. Никнеймы, даты регистрации, часть айпишников и прочее внутреннее.
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
😁5❤1👍1🔥1💯1🫡1
#news Хроники кошмарного уикенда для юзеров n8n: пока вы добирали последние крохи праздничного веселья, кто-то патчился — так что число уязвимых инстансов снизилось. Но со 100 до 60 тысяч.
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
🔥7👍5😁4❤1
#news По сети разгоняют заголовки про 1-click атаку в Telegram, ведущую к утечке реального айпишника. Казалось бы, всё серьёзно. На деле же исследователь опять надругался над журналистом.
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
😁10❤4🤡3👍1🔥1💯1
#news Приметы 2026-го: в профильном издании пиарят скрипты для де-блоута Win11 от ИИ-фич. Так и называются, Remove Windows AI. 8к звёзд — народ голосует против Copilot и компании скриптом.
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
😁10👍4🎉3❤2
#news Рубрика “Их нравы”. В Индии очередной удивительный законопроект: на этот раз там хотят обязать производителей смартфонов предоставлять правительству исходники. Вот так просто.
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша,который поломает госспайварь, изволь прислать подробный бюллетень и код для теста. И логи за год пусть в телефоне лежат — а почему бы и нет? Прецедентов у такого нет нигде, и вытянутые лица пиджаков из Samsung, Apple и Xiaomi можно представить в порядке увеселения за обедом. Индийское IT-министерство отрицает эти порочащие слухи, но верится в них легко — работают там явно люди кристальной душевной чистоты. По итогам, конечно, это всё отзовут, но пляска мобильных CEO между рыночком под миллиард устройств и местным законодательным гением будет вечной.
@tomhunter
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша,
@tomhunter
😁16🤡6❤1
#news Своевременная пиар-акция от Anthropic: компания направит Python Software Foundation $1,5 миллиона на улучшение безопасности экосистемы. На фоне недовольства уязвимостью LLM’ок и её агентуры, лучшего хода не придумаешь.
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
😁5👍3❤1
#news По TG-помойкам на миллионы леммингов, которые не могут ошибаться, разгоняют инфу про взлом нашего всего, национального и суверенного Max. Народ, конечно, не дурак, и пресс-службам не верит. Но справедливости ради, внимание на скрины.
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
😁19🤡5🔥3💯3👍2
#news Google выкатила в бета-тест очередную фичу, которую никто не просил, но она очень нравится инвесторам. Возможность подключить Gemini ко всем сервисам — Gmail, Drive, истории поиска и далее по списку. Есть желающие?
По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь доступ ко всему, что юзер делает в их экосистеме, скармливать это своей LLM’ке и собирать ещё больше данных, хотя формально это всё, конечно, отрицают. Фичу неспроста назвали Personal Intelligence — это такая базовая проверка на его наличие. Но как и документировать всю свою жизнь в соцсетях стало нормой, так и персональный ИИ-ассистент войдёт в обиход. А приватность — это для нердов.
@tomhunter
По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь доступ ко всему, что юзер делает в их экосистеме, скармливать это своей LLM’ке и собирать ещё больше данных, хотя формально это всё, конечно, отрицают. Фичу неспроста назвали Personal Intelligence — это такая базовая проверка на его наличие. Но как и документировать всю свою жизнь в соцсетях стало нормой, так и персональный ИИ-ассистент войдёт в обиход. А приватность — это для нердов.
@tomhunter
😁9👍5❤2
#news Исследователи из Wiz помогли закрыть уязвимость в AWS, которая позволяла скомпрометировать её ключевые репозитории, в том числе aws-sdk-js-v3. А следом и все облачные среды с ним, и консоль AWS в придачу.
Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы. С его помощью пул-реквестом триггернули билд, вытянули учётные данные, и у них админка с правами на публикацию в main. У репы от SDK в 66% облачных сред. По итогам дыра закрыта, следов компрометации нет, интернеты спасены. Остались недовольные, что фокус провернули в проде, но тут уж пусть GRC переживает — главное, что команде было весело.
@tomhunter
Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы. С его помощью пул-реквестом триггернули билд, вытянули учётные данные, и у них админка с правами на публикацию в main. У репы от SDK в 66% облачных сред. По итогам дыра закрыта, следов компрометации нет, интернеты спасены. Остались недовольные, что фокус провернули в проде, но тут уж пусть GRC переживает — главное, что команде было весело.
@tomhunter
🔥3👍1😁1😱1
#news Пятничная новость про ответственные раскрытия. Есть в США компания Bluspark Global, разрабатывающая софт для управления грузоперевозками у ~500 крупных клиентов. Как можно догадаться, с ИБ у них было не очень — в системах был проходной двор.
API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании. Всё это удовольствие исследователь пытался раскрыть весь октябрь, звонил-писал по всем адресам — в ответ тишина. Тогда Techcrunch, люди матёрые, отправили CEO письмо с куском его пароля. И через пару часов на связь вышел их юротдел. Дальше обошлось без угроз и турне на дно залива — отозвались, поблагодарили и всё починили. Хэппи энд. Но история, конечно — золотой стандарт приключений маленького безопасника и большой-большой компании.
@tomhunter
API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании. Всё это удовольствие исследователь пытался раскрыть весь октябрь, звонил-писал по всем адресам — в ответ тишина. Тогда Techcrunch, люди матёрые, отправили CEO письмо с куском его пароля. И через пару часов на связь вышел их юротдел. Дальше обошлось без угроз и турне на дно залива — отозвались, поблагодарили и всё починили. Хэппи энд. Но история, конечно — золотой стандарт приключений маленького безопасника и большой-большой компании.
@tomhunter
😁17🔥3💯1🫡1
#news В дюжине беспроводных наушников с Google Fast Pair раскрыли уязвимость, допускающую форсированное соединение с ними. В стандарте баг с проверкой на режим пэйринга, и многие модели цепляются, даже если он не включён.
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
😁13👍2❤1🔥1
#news Не все инфостилеры одинаково хороши: о некоторых пишут отчёты с заголовками “Аутопсия неудачного стилера”. Но на этом злоключения оператора StealC не закончились — у него на панели была XSS. Что позволило исследователям получить доступ.
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
😁14👍1
#news Mandiant опубликовала датасеты с радужными таблицами под Net-NTLMv1 — хэши с их паролями простым текстом. Зачем? Во-первых, это красиво. А также для ускорения миграции с легаси-протокола.
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
😁8👍4💯2
#news В Новый Год с новыми вариациями на тему ClickFix. Фейковое расширение - > краш браузера - > окно с предупреждением аля браузер - > ClickFix. Как вам такая креативная цепочка?
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
😁6
#news В сетевых дебрях вскрывают масштабы слопокалипсиса в App Store: в списке пара сотен приложений, сливающих данные юзеров, и это ещё не предел. Многие, судя по всему, навайбкожены.
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
😁10🔥5💯2🤔1🤬1