#news В дюжине беспроводных наушников с Google Fast Pair раскрыли уязвимость, допускающую форсированное соединение с ними. В стандарте баг с проверкой на режим пэйринга, и многие модели цепляются, даже если он не включён.
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей. Google проблему признала и выплатила $15к по BB, патч под их Pixel Buds Pro 2 есть, а у остальных как получится. Бонусом исследователи сняли мини-ролик про уязвимость, любительскую игру с саспенсом и драматичной музыкой можно оценить здесь. Шёл 2026-й, мы привлекали внимание к дырам в безопасности как могли.
@tomhunter
😁13👍2❤1🔥1
#news Не все инфостилеры одинаково хороши: о некоторых пишут отчёты с заголовками “Аутопсия неудачного стилера”. Но на этом злоключения оператора StealC не закончились — у него на панели была XSS. Что позволило исследователям получить доступ.
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP. Украинского провайдера ТРК. Пишут, раскрыли XSS, чтобы навредить набравшей обороты операции. Слить айпишник агентствам, наверняка, тоже не забыли, но там и год-другой пройдут до настойчивого стука в дверь, если он вообще случится. Хлопцу в любом случае не позавидуешь — риски у него резко подросли.
@tomhunter
😁14👍1
#news Mandiant опубликовала датасеты с радужными таблицами под Net-NTLMv1 — хэши с их паролями простым текстом. Зачем? Во-первых, это красиво. А также для ускорения миграции с легаси-протокола.
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили, что современные проблемы требуют современных решений, и теперь есть таблицы с хэшами для всех желающих. Аргументируют, что их можно гонять на железе за 600 баксов вместо дорогой хардвари, так что теперь админы могут положить начальству на стол листочек с их паролями убедительности ради. Других вариантов убедить динозавров с сетями на протоколах прошлого века, как известно, нет.
@tomhunter
😁7👍4💯2
#news В Новый Год с новыми вариациями на тему ClickFix. Фейковое расширение - > краш браузера - > окно с предупреждением аля браузер - > ClickFix. Как вам такая креативная цепочка?
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении прописана задержка на 60 минут, чтобы проницательный юзер не начал о чём-то догадываться, но в целом всё и так для продвинутого пользователя пека выглядит убедительно — не подкопаешься. Судя по трендам, и 2026-й будет проходить в формате “>Оригинальная атака >Заглянул внутрь > Это ClickFIx”. Так что можно в порядке эксперимента придумать пару новых векторов — чьи засветятся в новостях, тот и молодец.
@tomhunter
😁6
#news В сетевых дебрях вскрывают масштабы слопокалипсиса в App Store: в списке пара сотен приложений, сливающих данные юзеров, и это ещё не предел. Многие, судя по всему, навайбкожены.
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной. Оценить масштабы можно на дашборде здесь. Иронии добавляет то, что у авторов у самих запитанная от ИИ-модельки платформа для OSINT’а. ИИ навайбкодит приложение, ИИ найдёт в нём дыры, ИИ напишет об этом статью, ИИ оставит под ней комментарии. Так и живём.
@tomhunter
😁9🔥5💯2🤔1🤬1
#news LastPass предупреждает об активной фишинговой кампании по пользователям. Активность свежая: рассылка идёт с 19 января и направлена на стягивание мастер-паролей.
По фишингу всё стандартно: мы уходим на техобслуживание, создайте локальную копию хранилища в следующие 24 часа, чтобы не потерять данные. Домены aля LastPass в рассылке и на фишинговом сайте есть, ощущение срочности “Делай бэкап или проиграешь” есть, готовые кликнуть куда-нибудь не туда юзеры тоже есть. Так что всё в наличии. Впрочем, у юзеров LastPass есть проблемы и попривычнее: на конец 2025-го у них всё ещё взламывали хранилища. Из утечки в 2022-м. Где-то и сейчас трудолюбивое железо их брутфорсит. Фишинговые кампании приходят и уходят, а одни и те же пароли на скомпрометированных хранилищах будут стоять вечно.
@tomhunter
По фишингу всё стандартно: мы уходим на техобслуживание, создайте локальную копию хранилища в следующие 24 часа, чтобы не потерять данные. Домены aля LastPass в рассылке и на фишинговом сайте есть, ощущение срочности “Делай бэкап или проиграешь” есть, готовые кликнуть куда-нибудь не туда юзеры тоже есть. Так что всё в наличии. Впрочем, у юзеров LastPass есть проблемы и попривычнее: на конец 2025-го у них всё ещё взламывали хранилища. Из утечки в 2022-м. Где-то и сейчас трудолюбивое железо их брутфорсит. Фишинговые кампании приходят и уходят, а одни и те же пароли на скомпрометированных хранилищах будут стоять вечно.
@tomhunter
😁4👍1
#news У мейнтейнеров cURL случилось давно ожидаемое: они сворачивают BB-программу, чтобы остановить поток ИИ-слопа под видом репортов. Терпели до января 2026-го бедолаги — выдержке можно только позавидовать.
Для контекста, на прошлой неделе сURL получил семь репортов на H1 за 16 часов; по итогам выяснили, что ни одной валидной уязвимости в них нет. Между тем за январь им прилетели уже 20 отчётов. Так что в 2026-м Стенберг говорит решительное “Нет” ИИ-слопу в багхантинге: все упоминания BB и H1 выпилят из документации и свернут программу к концу января. Команда надеется, что о реальных уязвимостях им будут сообщать и без выплат, а так они просто не справляются с потоком бреда от восходящих звёзд багханта из далёких стран. Жаловаться на слоп Cтенберг начал ещё в 2024-м, и не зря: примеры запитанных от LLM’ки и голого энтузиазма репортов здесь. Годами читать глючный копипаст от чат-жпт выдержат немногие.
@tomhunter
Для контекста, на прошлой неделе сURL получил семь репортов на H1 за 16 часов; по итогам выяснили, что ни одной валидной уязвимости в них нет. Между тем за январь им прилетели уже 20 отчётов. Так что в 2026-м Стенберг говорит решительное “Нет” ИИ-слопу в багхантинге: все упоминания BB и H1 выпилят из документации и свернут программу к концу января. Команда надеется, что о реальных уязвимостях им будут сообщать и без выплат, а так они просто не справляются с потоком бреда от восходящих звёзд багханта из далёких стран. Жаловаться на слоп Cтенберг начал ещё в 2024-м, и не зря: примеры запитанных от LLM’ки и голого энтузиазма репортов здесь. Годами читать глючный копипаст от чат-жпт выдержат немногие.
@tomhunter
😁8🔥4🤬1😢1
#news Неделю назад шли отчёты про VoidLink, довольно интересный вредоносный фреймворк под Linux. А теперь сверху накидывают хайпа: разработка велась… с помощью… ИИ-модели! Кто бы сомневался.
Начинается всё с горячих тейков “Первый сгенерированный ИИ вредоносный фреймворк” и “Новая эра малвари с продвинутыми угрозами от всех желающих началась!” А дальше техдетали, и здесь уже всё скромнее — промпты для журналистоботов дали, можно работать. На деле за VoidLink явно стоит опытный разраб, который понимает, что делает, и использовал модельку для помощи с кодом и ускорения работы. Как и многие из вас. Из необычного, ИИ помогал ещё и с планированием архитектуры, сборкой модулей и быстрой имплементацией. В целом любопытно — и сам фреймворк, и разработка. Но пока никаких автономных генераторов продвинутой малвари — приходите позже, да и это неточно.
@tomhunter
Начинается всё с горячих тейков “Первый сгенерированный ИИ вредоносный фреймворк” и “Новая эра малвари с продвинутыми угрозами от всех желающих началась!” А дальше техдетали, и здесь уже всё скромнее — промпты для журналистоботов дали, можно работать. На деле за VoidLink явно стоит опытный разраб, который понимает, что делает, и использовал модельку для помощи с кодом и ускорения работы. Как и многие из вас. Из необычного, ИИ помогал ещё и с планированием архитектуры, сборкой модулей и быстрой имплементацией. В целом любопытно — и сам фреймворк, и разработка. Но пока никаких автономных генераторов продвинутой малвари — приходите позже, да и это неточно.
@tomhunter
😁4🔥2👍1
#news На днях через софт для техподдержки от Zendesk у разных компаний пошла гигантская волна спама. Юзеры проснулись с 800+ мусорных имейлов. Но обошлось без взломов — шёл абьюз системы тикетов.
А разгадка проста: софт можно настроить на отправку тикетов без регистрации. И с ограничениями на это туговато: кто-то устроил массовую генерацию тикетов, по которым шли имейлы с подтверждением. А в теле письма копия сообщения — с угрозами от ФБР и разным спамом. Причём систему абьюзят уже давно, в новости это залетело только сейчас. Zendesk пишет, что добавит костылей, но это по сути абьюз легаси-конфигураций без капчи на анонимных тикетах у клиентов. Но этих попробуй уговори настройки поменять, а реагировать надо. Отдельно можно пожалеть техподдержку компаний, которым боты нагнали сотни тысяч тикетов: юзер-то спам потрёт и пойдёт жаловаться, генерируя новые. Так что там денёк явно не задался.
@tomhunter
А разгадка проста: софт можно настроить на отправку тикетов без регистрации. И с ограничениями на это туговато: кто-то устроил массовую генерацию тикетов, по которым шли имейлы с подтверждением. А в теле письма копия сообщения — с угрозами от ФБР и разным спамом. Причём систему абьюзят уже давно, в новости это залетело только сейчас. Zendesk пишет, что добавит костылей, но это по сути абьюз легаси-конфигураций без капчи на анонимных тикетах у клиентов. Но этих попробуй уговори настройки поменять, а реагировать надо. Отдельно можно пожалеть техподдержку компаний, которым боты нагнали сотни тысяч тикетов: юзер-то спам потрёт и пойдёт жаловаться, генерируя новые. Так что там денёк явно не задался.
@tomhunter
👍6❤1😁1
#news Три органично дополняющие друг друга новости. В Иордании используют Cellebrite для шпионажа за активистами. В Испании закрыли расследование против NSO — те не сотрудничают. Ирландия планирует разрешить органам использование спайвари.
В последней разгорелась знакомая драма: власть планирует обновить закон от 1993-го и закрепить спайварь как инструмент правоохранителей. Любители приватности бьют тревогу — как только слежка будет нормализована, абьюз прав и свобод будет трудно откатить. Власти парируют, что давно назрело, и ссылаются на аналогичные инициативы у соседей. В общем, классика: какие-то фрики из каких-то там фондов о чём-то предупреждают, но караван идёт известно куда. А затем NSO показывает фигу из-за израильской спины за спайварь на телефонах премьер-министра и минобра Испании, а по странам третьего мира абьюзят софт “доступный исключительно для законных целей”. Есть здесь явно какая-то загадочная связь, хм…
@tomhunter
В последней разгорелась знакомая драма: власть планирует обновить закон от 1993-го и закрепить спайварь как инструмент правоохранителей. Любители приватности бьют тревогу — как только слежка будет нормализована, абьюз прав и свобод будет трудно откатить. Власти парируют, что давно назрело, и ссылаются на аналогичные инициативы у соседей. В общем, классика: какие-то фрики из каких-то там фондов о чём-то предупреждают, но караван идёт известно куда. А затем NSO показывает фигу из-за израильской спины за спайварь на телефонах премьер-министра и минобра Испании, а по странам третьего мира абьюзят софт “доступный исключительно для законных целей”. Есть здесь явно какая-то загадочная связь, хм…
@tomhunter
💯6👍4😁4🤬2❤1👎1😱1😢1
#article В нашей новой статье разбираем вопрос проверки физических лиц по открытым источникам. Эта задача давно вышла за рамки простого любопытства: сегодня это рабочий инструмент для расследований, комплаенса, корпоративной безопасности и частных проверок.
Мы рассмотрим ключевые аспекты проверки физлиц — от розыска, штрафов и негативных реестров до бизнес-активности и цифрового поведения. Всё это с подборкой сайтов, агрегаторов и инструментов, которые помогут создать полноценный профиль искомого лица и оценить связанные с ним риски. За подробностями добро пожаловать на Хабр!
@tomhunter
Мы рассмотрим ключевые аспекты проверки физлиц — от розыска, штрафов и негативных реестров до бизнес-активности и цифрового поведения. Всё это с подборкой сайтов, агрегаторов и инструментов, которые помогут создать полноценный профиль искомого лица и оценить связанные с ним риски. За подробностями добро пожаловать на Хабр!
@tomhunter
👍7🔥4🤡4💯2🤬1
#news Начинаем неделю с откровений Ильи Лихтенштейна: взломщик Bitfinex продолжает отыгрывать арку искупления и заявил, что находится в поисках перспективного криптостартапа. Берёте?
Об этом товарищ поведал в посте на LinkedIn, в комментах торжествуют криптаны. Текст читается бодро, и видно, что человек его писал неглупый — отметил все ключевые маячки, чтобы с ноги ворваться в мир кибербеза. Принимал неверные решения и всё понял — checked. Деньги меня не интересовали, хотел трудных техзадачек — checked. Стоять одному в чёрной шляпе такому красивому тоскливо, а вот помогать ФБР по криптокейсам было здорово — checked. Золото, а не человек — или сам, или пиар-менеджер постарался. Есть ли за продуманным имиджем что-то реальное — время покажет. Но по конференциям под аплодисменты публики довольный Лихтенштейн ещё явно походит.
@tomhunter
Об этом товарищ поведал в посте на LinkedIn, в комментах торжествуют криптаны. Текст читается бодро, и видно, что человек его писал неглупый — отметил все ключевые маячки, чтобы с ноги ворваться в мир кибербеза. Принимал неверные решения и всё понял — checked. Деньги меня не интересовали, хотел трудных техзадачек — checked. Стоять одному в чёрной шляпе такому красивому тоскливо, а вот помогать ФБР по криптокейсам было здорово — checked. Золото, а не человек — или сам, или пиар-менеджер постарался. Есть ли за продуманным имиджем что-то реальное — время покажет. Но по конференциям под аплодисменты публики довольный Лихтенштейн ещё явно походит.
@tomhunter
😁3👍1💯1
#news Занятный международный кейс из Штатов: против экстремистов из Meta подали иск по шифрованию в WhatsApp. Утверждают, что никакого E2EE в мессенджере нет, и компания имеет доступ ко всем сообщениям.
Компания это отрицает и называет “фривольными выдумками”, обещая санкции самим обвинителям. Владелец мессенджера ссылается на протокол Signal, на котором WhatsApp крутится уже 10 лет — шифрование есть. Заявители же утверждают, что у них есть источники в компании, доказавшие обратное. И есть хранение и анализ всех переписок и доступ к ним — миллиарды юзеров обмануты. Напрашивается, вопрос, а пруфы где? Пруфов пока нет, только обвинения. За делом можно следить, но пока сенсационных разоблачений по незадокументированным фичам на стороне сервера нет. Поди опять всё перепутали и намешали в кучу E2EE с бэкапами и всем сопутствующим.
@tomhunter
Компания это отрицает и называет “фривольными выдумками”, обещая санкции самим обвинителям. Владелец мессенджера ссылается на протокол Signal, на котором WhatsApp крутится уже 10 лет — шифрование есть. Заявители же утверждают, что у них есть источники в компании, доказавшие обратное. И есть хранение и анализ всех переписок и доступ к ним — миллиарды юзеров обмануты. Напрашивается, вопрос, а пруфы где? Пруфов пока нет, только обвинения. За делом можно следить, но пока сенсационных разоблачений по незадокументированным фичам на стороне сервера нет. Поди опять всё перепутали и намешали в кучу E2EE с бэкапами и всем сопутствующим.
@tomhunter
😁4🤡2🔥1
#news ESET возложила декабрьскую атаку по польским энергосетям России — со "средней уверенностью" утверждают, что это была приписываемая к ГРУ Sandworm. Пишут про новый вайпер DynoWiper и спекулируют, что атака была привязана к десятой годовщине атак SandWiper’ом.
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
🤡6❤2😁2💯2🤔1