#news В n8n, платформе для автоматизации рабочих процессов, очередная уязвимость на 10 из 10, цепочка ведёт к RCE и произвольной записи файлов. Это уже четвёртая критическая CVE, раскрытая в n8n за пару недель.
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
😁10❤1👍1🔥1
#news У недавней инкарнации BreachForums слили базу пользователей. Записи на ~324к юзеров от августа 2025-го, “временно” лежавшие в открытой папке. Никнеймы, даты регистрации, часть айпишников и прочее внутреннее.
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”. Бонусом слили и пасс-фразу от PGP-ключа BF. Кто слил, предположить несложно — продолжаются детские разборки. Отчасти поэтому теневые форумы в СНГ и живут десятилетиями в отличие от: у одних крепкий сайберкрайм-бизнес, у других — онлайн-субкультурка. А там уж предприимчивый кабанчик с большими мечтами и важными друзьями малолетнему кулхацкеру не товарищ.
@tomhunter
😁5❤1👍1🔥1💯1🫡1
#news Хроники кошмарного уикенда для юзеров n8n: пока вы добирали последние крохи праздничного веселья, кто-то патчился — так что число уязвимых инстансов снизилось. Но со 100 до 60 тысяч.
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life balance сделавшим выбор в пользу последнего, вопросов нет — здесь трудягам патча и костыля остаётся только позавидовать чужому рабочему дзену. Официальных костылей, кстати, нет, но можно обрубить веб-хуки и эндпоинты. Ну а в блоге у n8n есть темплейт для скана. Донесите до тех, кто с ноги врывается в рабочие будни только сегодня — всё ещё 2,6к уязвимых инстансов по России, между прочим.
@tomhunter
🔥7👍5😁4❤1
#news По сети разгоняют заголовки про 1-click атаку в Telegram, ведущую к утечке реального айпишника. Казалось бы, всё серьёзно. На деле же исследователь опять надругался над журналистом.
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам. К слову, если глянуть оригинальный пост, складывается впечатление, что в надругательстве над журналистом был злой умысел — больно уж он двусмысленный. Но не раздув мелкий UX-косяк до уровня обхода VPN, публикаций в СМИ со своим именем не получишь — урок на сегодня от перспективного индийского безопасника. (Не делайте так.)
@tomhunter
😁10❤4🤡3👍1🔥1💯1
#news Приметы 2026-го: в профильном издании пиарят скрипты для де-блоута Win11 от ИИ-фич. Так и называются, Remove Windows AI. 8к звёзд — народ голосует против Copilot и компании скриптом.
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными словами, противостояние внедрению LLM’ок во все щели идёт в массы: раньше де-блоут был уделом отдельных порядочных джентльменов, вынужденных пользоваться Win-продуктом, а теперь к нему тянет широкую публику. По итогам 2026-го словом года могут признать AI-fatigue, оно же усталость от ИИ. Но здесь уж главное, чтобы не ИИ-пузырь — это возможный спойлер на последующие. А там мало никому не покажется.
@tomhunter
😁9👍4🎉3❤2
#news Рубрика “Их нравы”. В Индии очередной удивительный законопроект: на этот раз там хотят обязать производителей смартфонов предоставлять правительству исходники. Вот так просто.
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша,который поломает госспайварь, изволь прислать подробный бюллетень и код для теста. И логи за год пусть в телефоне лежат — а почему бы и нет? Прецедентов у такого нет нигде, и вытянутые лица пиджаков из Samsung, Apple и Xiaomi можно представить в порядке увеселения за обедом. Индийское IT-министерство отрицает эти порочащие слухи, но верится в них легко — работают там явно люди кристальной душевной чистоты. По итогам, конечно, это всё отзовут, но пляска мобильных CEO между рыночком под миллиард устройств и местным законодательным гением будет вечной.
@tomhunter
И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша,
@tomhunter
😁16🤡6❤1
#news Своевременная пиар-акция от Anthropic: компания направит Python Software Foundation $1,5 миллиона на улучшение безопасности экосистемы. На фоне недовольства уязвимостью LLM’ок и её агентуры, лучшего хода не придумаешь.
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах. Ну а теперь запоздалый новогодний подарок: деньги нашлись, улучшения будут, питонов и джаву уберегут от червия и прочего цепочечного. Anthropic свои мотивы не объясняет, но у них есть и SDK под Python, и PyTorch активно юзают — формально интерес есть. Да и просто пиар-отдел отрабатывает своё: $1,5 миллиона на ваши дырявые репозитории, как вам такое, борцы за безопасность от ИИ?
@tomhunter
😁5👍3❤1
#news По TG-помойкам на миллионы леммингов, которые не могут ошибаться, разгоняют инфу про взлом нашего всего, национального и суверенного Max. Народ, конечно, не дурак, и пресс-службам не верит. Но справедливости ради, внимание на скрины.
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”. Набайпасили через рце на целую аж базу мессенджера, понимать надо. Вот это у телеграмных грамотеев с ночи идёт в качестве пруфа, что “хакеры ПОЛНОСТЬЮ взломали Max”. Такое и комментировать неловко. А на втором скрине пост от нашего Ехехех'а с признанием, что он наврал, обманул и сказал неправду. Но сенсации про взлом продолжают разносить по сети. Занавес.
@tomhunter
😁19🤡5🔥3💯3👍2
#news Google выкатила в бета-тест очередную фичу, которую никто не просил, но она очень нравится инвесторам. Возможность подключить Gemini ко всем сервисам — Gmail, Drive, истории поиска и далее по списку. Есть желающие?
По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь доступ ко всему, что юзер делает в их экосистеме, скармливать это своей LLM’ке и собирать ещё больше данных, хотя формально это всё, конечно, отрицают. Фичу неспроста назвали Personal Intelligence — это такая базовая проверка на его наличие. Но как и документировать всю свою жизнь в соцсетях стало нормой, так и персональный ИИ-ассистент войдёт в обиход. А приватность — это для нердов.
@tomhunter
По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь доступ ко всему, что юзер делает в их экосистеме, скармливать это своей LLM’ке и собирать ещё больше данных, хотя формально это всё, конечно, отрицают. Фичу неспроста назвали Personal Intelligence — это такая базовая проверка на его наличие. Но как и документировать всю свою жизнь в соцсетях стало нормой, так и персональный ИИ-ассистент войдёт в обиход. А приватность — это для нердов.
@tomhunter
😁8👍5❤2
#news Исследователи из Wiz помогли закрыть уязвимость в AWS, которая позволяла скомпрометировать её ключевые репозитории, в том числе aws-sdk-js-v3. А следом и все облачные среды с ним, и консоль AWS в придачу.
Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы. С его помощью пул-реквестом триггернули билд, вытянули учётные данные, и у них админка с правами на публикацию в main. У репы от SDK в 66% облачных сред. По итогам дыра закрыта, следов компрометации нет, интернеты спасены. Остались недовольные, что фокус провернули в проде, но тут уж пусть GRC переживает — главное, что команде было весело.
@tomhunter
Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы. С его помощью пул-реквестом триггернули билд, вытянули учётные данные, и у них админка с правами на публикацию в main. У репы от SDK в 66% облачных сред. По итогам дыра закрыта, следов компрометации нет, интернеты спасены. Остались недовольные, что фокус провернули в проде, но тут уж пусть GRC переживает — главное, что команде было весело.
@tomhunter
🔥3👍1😁1😱1
#news Пятничная новость про ответственные раскрытия. Есть в США компания Bluspark Global, разрабатывающая софт для управления грузоперевозками у ~500 крупных клиентов. Как можно догадаться, с ИБ у них было не очень — в системах был проходной двор.
API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании. Всё это удовольствие исследователь пытался раскрыть весь октябрь, звонил-писал по всем адресам — в ответ тишина. Тогда Techcrunch, люди матёрые, отправили CEO письмо с куском его пароля. И через пару часов на связь вышел их юротдел. Дальше обошлось без угроз и турне на дно залива — отозвались, поблагодарили и всё починили. Хэппи энд. Но история, конечно — золотой стандарт приключений маленького безопасника и большой-большой компании.
@tomhunter
API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании. Всё это удовольствие исследователь пытался раскрыть весь октябрь, звонил-писал по всем адресам — в ответ тишина. Тогда Techcrunch, люди матёрые, отправили CEO письмо с куском его пароля. И через пару часов на связь вышел их юротдел. Дальше обошлось без угроз и турне на дно залива — отозвались, поблагодарили и всё починили. Хэппи энд. Но история, конечно — золотой стандарт приключений маленького безопасника и большой-большой компании.
@tomhunter
😁17🔥3💯1🫡1
#news В дюжине беспроводных наушников с Google Fast Pair раскрыли уязвимость, допускающую форсированное соединение с ними. В стандарте баг с проверкой на режим пэйринга, и многие модели цепляются, даже если он не включён.
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
😁13👍2❤1🔥1
#news Не все инфостилеры одинаково хороши: о некоторых пишут отчёты с заголовками “Аутопсия неудачного стилера”. Но на этом злоключения оператора StealC не закончились — у него на панели была XSS. Что позволило исследователям получить доступ.
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
😁14👍1
#news Mandiant опубликовала датасеты с радужными таблицами под Net-NTLMv1 — хэши с их паролями простым текстом. Зачем? Во-первых, это красиво. А также для ускорения миграции с легаси-протокола.
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
😁7👍4💯2
#news В Новый Год с новыми вариациями на тему ClickFix. Фейковое расширение - > краш браузера - > окно с предупреждением аля браузер - > ClickFix. Как вам такая креативная цепочка?
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
😁6
#news В сетевых дебрях вскрывают масштабы слопокалипсиса в App Store: в списке пара сотен приложений, сливающих данные юзеров, и это ещё не предел. Многие, судя по всему, навайбкожены.
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
😁9🔥5💯2🤔1🤬1
#news LastPass предупреждает об активной фишинговой кампании по пользователям. Активность свежая: рассылка идёт с 19 января и направлена на стягивание мастер-паролей.
По фишингу всё стандартно: мы уходим на техобслуживание, создайте локальную копию хранилища в следующие 24 часа, чтобы не потерять данные. Домены aля LastPass в рассылке и на фишинговом сайте есть, ощущение срочности “Делай бэкап или проиграешь” есть, готовые кликнуть куда-нибудь не туда юзеры тоже есть. Так что всё в наличии. Впрочем, у юзеров LastPass есть проблемы и попривычнее: на конец 2025-го у них всё ещё взламывали хранилища. Из утечки в 2022-м. Где-то и сейчас трудолюбивое железо их брутфорсит. Фишинговые кампании приходят и уходят, а одни и те же пароли на скомпрометированных хранилищах будут стоять вечно.
@tomhunter
По фишингу всё стандартно: мы уходим на техобслуживание, создайте локальную копию хранилища в следующие 24 часа, чтобы не потерять данные. Домены aля LastPass в рассылке и на фишинговом сайте есть, ощущение срочности “Делай бэкап или проиграешь” есть, готовые кликнуть куда-нибудь не туда юзеры тоже есть. Так что всё в наличии. Впрочем, у юзеров LastPass есть проблемы и попривычнее: на конец 2025-го у них всё ещё взламывали хранилища. Из утечки в 2022-м. Где-то и сейчас трудолюбивое железо их брутфорсит. Фишинговые кампании приходят и уходят, а одни и те же пароли на скомпрометированных хранилищах будут стоять вечно.
@tomhunter
😁4👍1
#news У мейнтейнеров cURL случилось давно ожидаемое: они сворачивают BB-программу, чтобы остановить поток ИИ-слопа под видом репортов. Терпели до января 2026-го бедолаги — выдержке можно только позавидовать.
Для контекста, на прошлой неделе сURL получил семь репортов на H1 за 16 часов; по итогам выяснили, что ни одной валидной уязвимости в них нет. Между тем за январь им прилетели уже 20 отчётов. Так что в 2026-м Стенберг говорит решительное “Нет” ИИ-слопу в багхантинге: все упоминания BB и H1 выпилят из документации и свернут программу к концу января. Команда надеется, что о реальных уязвимостях им будут сообщать и без выплат, а так они просто не справляются с потоком бреда от восходящих звёзд багханта из далёких стран. Жаловаться на слоп Cтенберг начал ещё в 2024-м, и не зря: примеры запитанных от LLM’ки и голого энтузиазма репортов здесь. Годами читать глючный копипаст от чат-жпт выдержат немногие.
@tomhunter
Для контекста, на прошлой неделе сURL получил семь репортов на H1 за 16 часов; по итогам выяснили, что ни одной валидной уязвимости в них нет. Между тем за январь им прилетели уже 20 отчётов. Так что в 2026-м Стенберг говорит решительное “Нет” ИИ-слопу в багхантинге: все упоминания BB и H1 выпилят из документации и свернут программу к концу января. Команда надеется, что о реальных уязвимостях им будут сообщать и без выплат, а так они просто не справляются с потоком бреда от восходящих звёзд багханта из далёких стран. Жаловаться на слоп Cтенберг начал ещё в 2024-м, и не зря: примеры запитанных от LLM’ки и голого энтузиазма репортов здесь. Годами читать глючный копипаст от чат-жпт выдержат немногие.
@tomhunter
😁8🔥4🤬1😢1
#news Неделю назад шли отчёты про VoidLink, довольно интересный вредоносный фреймворк под Linux. А теперь сверху накидывают хайпа: разработка велась… с помощью… ИИ-модели! Кто бы сомневался.
Начинается всё с горячих тейков “Первый сгенерированный ИИ вредоносный фреймворк” и “Новая эра малвари с продвинутыми угрозами от всех желающих началась!” А дальше техдетали, и здесь уже всё скромнее — промпты для журналистоботов дали, можно работать. На деле за VoidLink явно стоит опытный разраб, который понимает, что делает, и использовал модельку для помощи с кодом и ускорения работы. Как и многие из вас. Из необычного, ИИ помогал ещё и с планированием архитектуры, сборкой модулей и быстрой имплементацией. В целом любопытно — и сам фреймворк, и разработка. Но пока никаких автономных генераторов продвинутой малвари — приходите позже, да и это неточно.
@tomhunter
Начинается всё с горячих тейков “Первый сгенерированный ИИ вредоносный фреймворк” и “Новая эра малвари с продвинутыми угрозами от всех желающих началась!” А дальше техдетали, и здесь уже всё скромнее — промпты для журналистоботов дали, можно работать. На деле за VoidLink явно стоит опытный разраб, который понимает, что делает, и использовал модельку для помощи с кодом и ускорения работы. Как и многие из вас. Из необычного, ИИ помогал ещё и с планированием архитектуры, сборкой модулей и быстрой имплементацией. В целом любопытно — и сам фреймворк, и разработка. Но пока никаких автономных генераторов продвинутой малвари — приходите позже, да и это неточно.
@tomhunter
😁4🔥2👍1
#news На днях через софт для техподдержки от Zendesk у разных компаний пошла гигантская волна спама. Юзеры проснулись с 800+ мусорных имейлов. Но обошлось без взломов — шёл абьюз системы тикетов.
А разгадка проста: софт можно настроить на отправку тикетов без регистрации. И с ограничениями на это туговато: кто-то устроил массовую генерацию тикетов, по которым шли имейлы с подтверждением. А в теле письма копия сообщения — с угрозами от ФБР и разным спамом. Причём систему абьюзят уже давно, в новости это залетело только сейчас. Zendesk пишет, что добавит костылей, но это по сути абьюз легаси-конфигураций без капчи на анонимных тикетах у клиентов. Но этих попробуй уговори настройки поменять, а реагировать надо. Отдельно можно пожалеть техподдержку компаний, которым боты нагнали сотни тысяч тикетов: юзер-то спам потрёт и пойдёт жаловаться, генерируя новые. Так что там денёк явно не задался.
@tomhunter
А разгадка проста: софт можно настроить на отправку тикетов без регистрации. И с ограничениями на это туговато: кто-то устроил массовую генерацию тикетов, по которым шли имейлы с подтверждением. А в теле письма копия сообщения — с угрозами от ФБР и разным спамом. Причём систему абьюзят уже давно, в новости это залетело только сейчас. Zendesk пишет, что добавит костылей, но это по сути абьюз легаси-конфигураций без капчи на анонимных тикетах у клиентов. Но этих попробуй уговори настройки поменять, а реагировать надо. Отдельно можно пожалеть техподдержку компаний, которым боты нагнали сотни тысяч тикетов: юзер-то спам потрёт и пойдёт жаловаться, генерируя новые. Так что там денёк явно не задался.
@tomhunter
👍6❤1😁1