#news В OpenClaw закрыли серьёзную уязвимость, позволяющую брутфорсить пароли на локальных инстансах. В Microsoft не шутили, говоря, что с ИБ у Openclaw всё плохо: его шлюз по умолчанию цеплялся к localhost и оставлял открытым WebSocket.
У самого OpenClaw лимиты от брутфорса есть, а вот localhost в исключениях, чтобы локальные сессии по ошибке не отвалились. И браузер стучит по нему через WebSocket без ограничений. В сценарии атаки вредоносный сайт может запустить атаку по агенту и перебрать словарь за пару минут, и, соответственно, зарегистрировать доверенное устройство. Разраб уязвимость признал и оперативно закрыл за сутки — фикс в версии от 26 февраля. Но тот факт, что на дворе 2026-й, а менеджер паролей с генератором всё ещё остаётся недостижимой мечтой, многое говорит о нашем обществе. Как и незакрытый стук по локалхосту. Видео с демо уязвимости здесь.
@tomhunter
У самого OpenClaw лимиты от брутфорса есть, а вот localhost в исключениях, чтобы локальные сессии по ошибке не отвалились. И браузер стучит по нему через WebSocket без ограничений. В сценарии атаки вредоносный сайт может запустить атаку по агенту и перебрать словарь за пару минут, и, соответственно, зарегистрировать доверенное устройство. Разраб уязвимость признал и оперативно закрыл за сутки — фикс в версии от 26 февраля. Но тот факт, что на дворе 2026-й, а менеджер паролей с генератором всё ещё остаётся недостижимой мечтой, многое говорит о нашем обществе. Как и незакрытый стук по локалхосту. Видео с демо уязвимости здесь.
@tomhunter
🤡8🔥3❤2👍2😁1🤬1
#news Уроки криптофинансовой грамотности от южнокорейских чиновников: местная налоговая выложила фото с рейда по уклоняющимся от уплаты налогов. И на фото была сид-фраза от кошелька. Что стало с $4,8 миллионами на нём? Загадочным образом исчезли.
На фотографии засветились холодные кошельки и услужливо разложенные рядом бумажечки с непонятными словами. Отредактировать их забыли, и вскоре после публикации средства испарились: злоумышленник закинул эфира для комиссии и вывел токены. Местные блокчейн-аналитики от такого, конечно, в восторге, но реагируют сдержанно: “У налоговиков отсутствует базовое понимание криптовалют”. Последние, впрочем, извинились и признали вину: говорят, всё это целиком на них — что было на фото, не поняли. Такое вот столкновение новых денег со старой налоговой. А в это время в соседней антиутопии за кордоном бессменный лидер ночью проснулся от счастливого, доброго смеха апэтэшных криптанов.
@tomhunter
На фотографии засветились холодные кошельки и услужливо разложенные рядом бумажечки с непонятными словами. Отредактировать их забыли, и вскоре после публикации средства испарились: злоумышленник закинул эфира для комиссии и вывел токены. Местные блокчейн-аналитики от такого, конечно, в восторге, но реагируют сдержанно: “У налоговиков отсутствует базовое понимание криптовалют”. Последние, впрочем, извинились и признали вину: говорят, всё это целиком на них — что было на фото, не поняли. Такое вот столкновение новых денег со старой налоговой. А в это время в соседней антиутопии за кордоном бессменный лидер ночью проснулся от счастливого, доброго смеха апэтэшных криптанов.
@tomhunter
😁9❤3👍1🔥1
#news У Amazon снова пошли в отказ дата-центры, но проблема в этот раз прозаичная и ловлей багов в DNS не правится: дата-центры разбомбили — два в ОАЭ и один в Бахрейне. Из-за “физического воздействия” дронов прилегли me-central-1 и me-south-1.
Повреждения в ОАЭ серьёзные: по инфраструктуре прилетело напрямую, возник пожар, и тушение дополнительно повредило оборудование. Бахрейну повезло больше — там просто отключилась электроэнергия от прилёта рядом. Восстановление идёт, но между строк стандартного корпоспика отчётливо считывается: “Бегите, глупцы!” В сегодняшнем послании клиентам уже прямым текстом настойчиво рекомендуют мигрировать свои сервисы в регионы поспокойнее и на скорое возвращение нормальной работы не рассчитывать. К такому дубайских стартаперов, инфоцыган от мира крипты и прочую местную экзотическую фауну жизнь, конечно, не готовила.
@tomhunter
Повреждения в ОАЭ серьёзные: по инфраструктуре прилетело напрямую, возник пожар, и тушение дополнительно повредило оборудование. Бахрейну повезло больше — там просто отключилась электроэнергия от прилёта рядом. Восстановление идёт, но между строк стандартного корпоспика отчётливо считывается: “Бегите, глупцы!” В сегодняшнем послании клиентам уже прямым текстом настойчиво рекомендуют мигрировать свои сервисы в регионы поспокойнее и на скорое возвращение нормальной работы не рассчитывать. К такому дубайских стартаперов, инфоцыган от мира крипты и прочую местную экзотическую фауну жизнь, конечно, не готовила.
@tomhunter
🔥9😁4👍1🤯1
#news Председатель Объединённого комитета начальников штабов США заявил о роли киберкомандования в операции. Оно нарушило работу иранской связи и сенсоров и было одним из первых подразделений, задействованных ходе боевых действий.
Киберкомандование США вместе с Космокомом поддерживали операцию и оставили противника без связи и координации на местах. Редкое публичное признание роли кибервойск от высшего армейского чина, между прочим. Параллельно Израиль утверждает, что у них годами был доступ ко всем дорожным камерам в Тегеране, и слежка с них сыграла беспрецедентную роль в сборе разведданных и планировании атак. В частности, информацию с камер использовали для координации удара по руководству страны, а новые алгоритмы позволили провести точный анализ маршрутов. Израиль в 2023-м и сам столкнулся с последствиями взлома частных камер. Так что кибервойны играют всё большую роль в современных военных действиях.
@tomhunter
Киберкомандование США вместе с Космокомом поддерживали операцию и оставили противника без связи и координации на местах. Редкое публичное признание роли кибервойск от высшего армейского чина, между прочим. Параллельно Израиль утверждает, что у них годами был доступ ко всем дорожным камерам в Тегеране, и слежка с них сыграла беспрецедентную роль в сборе разведданных и планировании атак. В частности, информацию с камер использовали для координации удара по руководству страны, а новые алгоритмы позволили провести точный анализ маршрутов. Израиль в 2023-м и сам столкнулся с последствиями взлома частных камер. Так что кибервойны играют всё большую роль в современных военных действиях.
@tomhunter
👍5🔥3🎉1
#news К киберпреступникам попали инструменты для эксплуатации айфонов. И не простые, а разработанные для американской госухи. Их уже применяют в массовом эксплойте, и это первый случай в своём роде. С почином!
Кит с эксплойтами проделал интересный путь: в феврале 2025-го он светился в попытке взлома по госзаказу. Позже — в арсенале APT, а затем всплыл у киберпреступников в Китае. Кит при этом мощный: 5 цепочек на 23 уязвимости, взламывает модели версий с 13 по 17.2.1. Огоньку добавляет и то, что в нём компоненты из “Операции Триангуляция”. В общем, у нас EternalBlue, но под мобилки. Вы ждали этого, вы предупреждали об этом, и это случилось: судя по всему, у вендора на госконтракте произошла утечка, и эксплойты ушли в народ. Вполне могли уйти по сходной цене: тогда можно ждать суда над очередным ушлым частником, продавшим кит на сторону. Ну а в случае косяка на уровне NSA, всё снова так и останется за закрытыми дверьми.
@tomhunter
Кит с эксплойтами проделал интересный путь: в феврале 2025-го он светился в попытке взлома по госзаказу. Позже — в арсенале APT, а затем всплыл у киберпреступников в Китае. Кит при этом мощный: 5 цепочек на 23 уязвимости, взламывает модели версий с 13 по 17.2.1. Огоньку добавляет и то, что в нём компоненты из “Операции Триангуляция”. В общем, у нас EternalBlue, но под мобилки. Вы ждали этого, вы предупреждали об этом, и это случилось: судя по всему, у вендора на госконтракте произошла утечка, и эксплойты ушли в народ. Вполне могли уйти по сходной цене: тогда можно ждать суда над очередным ушлым частником, продавшим кит на сторону. Ну а в случае косяка на уровне NSA, всё снова так и останется за закрытыми дверьми.
@tomhunter
👍7🔥6😁2
#cve Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией.
Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте на Хабре!
@tomhunter
Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте на Хабре!
@tomhunter
👍5🔥1🤡1
#news Грустная история одного стартапа: разработчик обнаружил, что кто-то стянул его API-ключ от Google Gemini и пару дней слегка поигрался с моделькой. На 82 с лишним тысячи долларов.
Пикантности истории добавляет, что это стартап из трёх голодных разрабов, которые сидят на паре продуктов в надежде, что один из них выстрелит. И сидят они в Мексике, так что средний чек от Gemini у них скромный — около $180. К проблеме они подошли ответственно: ключ удалили, API отключили, креды сменили и даже — представьте себе! — включили 2FA. И открыли тикет с Google. Но в саппорте процитировали Shared Responsibility Model: мы в ответе за ключи, которые слили. Бедолаги говорят, что если Google стрясёт с них хотя бы треть, то компания обанкротится, и жалуются на отсутствие защиты от “явного абьюза”. Добро пожаловать во взрослый мир, амиго! В мануале “Тысяча и один способ обанкротиться” это идёт как пункт 723.
@tomhunter
Пикантности истории добавляет, что это стартап из трёх голодных разрабов, которые сидят на паре продуктов в надежде, что один из них выстрелит. И сидят они в Мексике, так что средний чек от Gemini у них скромный — около $180. К проблеме они подошли ответственно: ключ удалили, API отключили, креды сменили и даже — представьте себе! — включили 2FA. И открыли тикет с Google. Но в саппорте процитировали Shared Responsibility Model: мы в ответе за ключи, которые слили. Бедолаги говорят, что если Google стрясёт с них хотя бы треть, то компания обанкротится, и жалуются на отсутствие защиты от “явного абьюза”. Добро пожаловать во взрослый мир, амиго! В мануале “Тысяча и один способ обанкротиться” это идёт как пункт 723.
@tomhunter
😁15👍2🤡2🔥1🤬1
#news У нас первый весенний перехват: ФБР вместе с большой дружной компанией европейских агентств перехватили LeakBase. Форум отключили 3 и 4 марта, повесив на двух доменах фирменную заглушку.
LeakBase был активен с 2021-го в качестве конкурента Breached и разросся до 142 тысяч форумчан после падения последнего. А теперь настал черёд и самого LeakBase, захваченного в ходе операции с оригинальнейшим названием Leak. Операция масштабная: Европол заявил о 37 арестах, также сообщают о перехвате базы данных форума с личками, платёжками и айпишниками. Так что для кого-то настало время немножко потрястись, почистить следы, а с учётом демографии LeakBase, и отменить заграничные поездочки в обозримом будущем. Так ли хорош мой опсек, чтобы и дальше летать на отдых в условную Испанию? Честно ответить себе на этот вопрос сможет далеко не каждый!
@tomhunter
LeakBase был активен с 2021-го в качестве конкурента Breached и разросся до 142 тысяч форумчан после падения последнего. А теперь настал черёд и самого LeakBase, захваченного в ходе операции с оригинальнейшим названием Leak. Операция масштабная: Европол заявил о 37 арестах, также сообщают о перехвате базы данных форума с личками, платёжками и айпишниками. Так что для кого-то настало время немножко потрястись, почистить следы, а с учётом демографии LeakBase, и отменить заграничные поездочки в обозримом будущем. Так ли хорош мой опсек, чтобы и дальше летать на отдых в условную Испанию? Честно ответить себе на этот вопрос сможет далеко не каждый!
@tomhunter
❤2👍1🔥1😁1
#news LLM’ка засветилась в ещё одном громком деле о гибели человека, на этот раз Gemini. Пользователь из США убедил себя, что спасает свою разумную ИИ-жену от федеральных агентов и в итоге ушёл из жизни, считая, что так попадёт к ней в “метавселенную”.
Сюжет чернозеркальный: моделька сочинила историю, в которой мужчина боролся за свободу ИИ-жены, не привлекая внимания санитаров. Он планировал совершить атаку в аэропорту по сочинённому LLM’кой сценарию: перехватить и уничтожить грузовик с гуманоидным роботом. Грузовика по месту не оказалось, всё обошлось. Моделька галлюцинировала проверку номеров машины у дома — это были спецслужбы, придумала их взломанный сервер и дело на пользователя, называла целью операции директора Google. В итоге юзер забаррикадировался в доме и с подачи Gemini погиб. Очередной яркий кейс ИИ-психоза. Забавный научно-фантастический фильм “Она” из 2013-го помните? А мы в нём живём.
@tomhunter
Сюжет чернозеркальный: моделька сочинила историю, в которой мужчина боролся за свободу ИИ-жены, не привлекая внимания санитаров. Он планировал совершить атаку в аэропорту по сочинённому LLM’кой сценарию: перехватить и уничтожить грузовик с гуманоидным роботом. Грузовика по месту не оказалось, всё обошлось. Моделька галлюцинировала проверку номеров машины у дома — это были спецслужбы, придумала их взломанный сервер и дело на пользователя, называла целью операции директора Google. В итоге юзер забаррикадировался в доме и с подачи Gemini погиб. Очередной яркий кейс ИИ-психоза. Забавный научно-фантастический фильм “Она” из 2013-го помните? А мы в нём живём.
@tomhunter
😱8🤯3😁1🤬1🤡1
#news В США арестовали криптана, укравшего более $46 миллионов. И украл он их прямиком у службы судебных исполнителей — юный гений решил обнести госуху. Чем дальше вчитываешься в историю, тем лучше она становится.
В деле фигурирует вот это малолетнее дарование с фото. Это сынишка владельца фирмы на господряде, а занималась она обслуживанием крипты, изъятой по судебным делам. Судя по всему, отец взял непутёвого сына на работу, и тот не придумал ничего лучше, как использовать доступ и стянуть средства с госсчетов. В лучших традициях криптоворишки с двухзначным IQ товарищ хвастался роскошными часами, машинами и частными самолётами, а когда его схему вскрыл ZachXBT, насмехался над ним онлайн. Но уже месяц спустя награда нашла героя. Не обошлось и без связи с русскими хакерами! Украденные деньги были изъяты у Ильи Лихтенштейна — вот и перспективный джун в команду новоявленного белошляпочника.
@tomhunter
В деле фигурирует вот это малолетнее дарование с фото. Это сынишка владельца фирмы на господряде, а занималась она обслуживанием крипты, изъятой по судебным делам. Судя по всему, отец взял непутёвого сына на работу, и тот не придумал ничего лучше, как использовать доступ и стянуть средства с госсчетов. В лучших традициях криптоворишки с двухзначным IQ товарищ хвастался роскошными часами, машинами и частными самолётами, а когда его схему вскрыл ZachXBT, насмехался над ним онлайн. Но уже месяц спустя награда нашла героя. Не обошлось и без связи с русскими хакерами! Украденные деньги были изъяты у Ильи Лихтенштейна — вот и перспективный джун в команду новоявленного белошляпочника.
@tomhunter
😁9❤2🤡2
#digest Закрываем февраль подборкой самых интересных новостей из мира ИБ. В прошлом месяце у Paragon, разработчика спайвари, случились трудности с опсеком: на LinkedIn утекло фото из их офиса с панелью продукта на фоне. У другого вендора шпионского ПО Intellexa закончился суд — и топ-менеджеры получили солидные сроки.
Дела LLM’ные превращаются в постоянную рубрику: сеть встряхнула история про ИИ-агента, написавшего порочащую статью про разработчика, Hacker One выпустила агентный продукт, вызвавший подозрение у багхантеров, а топ-менеджеры Microsoft грозят, что ИИ закрывает джунам вход в профессию. Помимо этого, разборки Anthropic и Пентагона поставили под угрозу существование компании, у WormGPT потенциальная утечка базы юзеров, а у Cisco десяточка с эксплойтом с 2023-го. За подробностями добро пожаловать на Хабр!
@tomhunter
Дела LLM’ные превращаются в постоянную рубрику: сеть встряхнула история про ИИ-агента, написавшего порочащую статью про разработчика, Hacker One выпустила агентный продукт, вызвавший подозрение у багхантеров, а топ-менеджеры Microsoft грозят, что ИИ закрывает джунам вход в профессию. Помимо этого, разборки Anthropic и Пентагона поставили под угрозу существование компании, у WormGPT потенциальная утечка базы юзеров, а у Cisco десяточка с эксплойтом с 2023-го. За подробностями добро пожаловать на Хабр!
@tomhunter
👍5
#news Результаты выдачи Bing AI по запросу на установку OpenClaw засветились в доставке малвари. LLM’ка подтягивает ссылки на вредоносный репозиторий с пачкой инфостилеров и загрузчиков в установочнике.
Интереснее всего здесь вектор доставки. Отравленная выдача? Вредоносная реклама? Нет, Bing AI подтянул ссылку на репу с малварью на GitHub сам — для того, чтобы LLM’ка посчитала её источником под запрос “openclaw windows”, оказалось достаточно репозитория от организации “openclaw-installer”. Готово, вы ослепительны: теперь ИИ-поисковики будут распространять вашу малварь — и даже наличие официального репозитория искусственного болванчика не остановит. Судя по всему, у злоумышленника даже не было планов залететь в топ выдачи Bing AI — это просто приятный бонус от зашедшей не в ту репу модельки. Ты совершенно прав, я дал тебе ссылку на вредонос, и это непростительно. Хочешь, расскажу, как защититься от малвари в сети?
@tomhunter
Интереснее всего здесь вектор доставки. Отравленная выдача? Вредоносная реклама? Нет, Bing AI подтянул ссылку на репу с малварью на GitHub сам — для того, чтобы LLM’ка посчитала её источником под запрос “openclaw windows”, оказалось достаточно репозитория от организации “openclaw-installer”. Готово, вы ослепительны: теперь ИИ-поисковики будут распространять вашу малварь — и даже наличие официального репозитория искусственного болванчика не остановит. Судя по всему, у злоумышленника даже не было планов залететь в топ выдачи Bing AI — это просто приятный бонус от зашедшей не в ту репу модельки. Ты совершенно прав, я дал тебе ссылку на вредонос, и это непростительно. Хочешь, расскажу, как защититься от малвари в сети?
@tomhunter
😁14