После случайной блокировки разработчиков Microsoft запускает ускоренную процедуру восстановления
Компания Microsoft пытается сгладить последствия от недавних массовых блокировок аккаунтов разработчиков и вводит ускоренную процедуру для восстановления в Windows Hardware Program.
https://xakep.ru/2026/04/17/windows-hardware-program/
Компания Microsoft пытается сгладить последствия от недавних массовых блокировок аккаунтов разработчиков и вводит ускоренную процедуру для восстановления в Windows Hardware Program.
https://xakep.ru/2026/04/17/windows-hardware-program/
🤣42👍7💩5🤯3👏1😁1😢1
Критическая уязвимость в Nginx UI позволяет получить полный контроль над сервером
ИБ-исследователи предупредили, что критическая уязвимость в популярном инструменте управления веб-сервером Nginx (nginx-ui) активно используется злоумышленниками и позволяет полностью захватить сервер.
https://xakep.ru/2026/04/17/nginx-ui/
ИБ-исследователи предупредили, что критическая уязвимость в популярном инструменте управления веб-сервером Nginx (nginx-ui) активно используется злоумышленниками и позволяет полностью захватить сервер.
https://xakep.ru/2026/04/17/nginx-ui/
😱27👍5🔥4🤣3
Delta Chat изнутри. Как устроен мессенджер, работающий поверх электронной почты
👑 Статья для подписчиков
Мессенджер без собственных серверов, без номера телефона, без привязки к облаку — и при этом с end-to-end-шифрованием из коробки. Delta Chat работает поверх обычной электронной почты: сообщения идут по IMAP и SMTP, но шифруются через OpenPGP. Снаружи — привычный чат с контактами, группами и мгновенной доставкой. Внутри — нетривиальная связка криптографии, протоколов рукопожатия и жестких ограничений на формат пакетов.
https://xakep.ru/2026/04/17/deltachat/
👑 Статья для подписчиков
Мессенджер без собственных серверов, без номера телефона, без привязки к облаку — и при этом с end-to-end-шифрованием из коробки. Delta Chat работает поверх обычной электронной почты: сообщения идут по IMAP и SMTP, но шифруются через OpenPGP. Снаружи — привычный чат с контактами, группами и мгновенной доставкой. Внутри — нетривиальная связка криптографии, протоколов рукопожатия и жестких ограничений на формат пакетов.
https://xakep.ru/2026/04/17/deltachat/
🔥48👍8🤔6
За управление сайтами в даркнете предложили ввести уголовную ответственность
Генеральный прокурор РФ Александр Гуцан выступил в Совете Федерации с ежегодным докладом о состоянии законности и правопорядка и сообщил, что правительство согласовало проект поправок, вводящих уголовную ответственность за управление сайтами в даркнете.
https://xakep.ru/2026/04/17/dawrkweb-law/
Генеральный прокурор РФ Александр Гуцан выступил в Совете Федерации с ежегодным докладом о состоянии законности и правопорядка и сообщил, что правительство согласовало проект поправок, вводящих уголовную ответственность за управление сайтами в даркнете.
https://xakep.ru/2026/04/17/dawrkweb-law/
💩60🦄17🤬8🤣6
Взлом 30 плагинов для WordPress привел к распространению малвари на тысячи сайтов
ИБ-специалисты обнаружили, что более 30 плагинов из пакета EssentialPlugin были скомпрометированы. Еще в 2025 году неизвестные злоумышленники внедрили в них бэкдор, который открывает несанкционированный доступ к сайтам под управлением WordPress. Пострадать от этой кампании могли сотни тысяч сайтов.
https://xakep.ru/2026/04/17/essentialplugin-backdoor/
ИБ-специалисты обнаружили, что более 30 плагинов из пакета EssentialPlugin были скомпрометированы. Еще в 2025 году неизвестные злоумышленники внедрили в них бэкдор, который открывает несанкционированный доступ к сайтам под управлением WordPress. Пострадать от этой кампании могли сотни тысяч сайтов.
https://xakep.ru/2026/04/17/essentialplugin-backdoor/
😱11🤣8🤯5👍3😁1
В Windows появилась защита от вредоносных файлов .rdp
Microsoft представила новые механизмы защиты Windows, которые должны затруднить фишинговые атаки через файлы Remote Desktop (.rdp). Теперь система будет предупреждать пользователей о рисках при открытии таких файлов, а перенаправление локальных ресурсов на удаленный хост по умолчанию будет отключено.
https://xakep.ru/2026/04/17/rdp-protection/
Microsoft представила новые механизмы защиты Windows, которые должны затруднить фишинговые атаки через файлы Remote Desktop (.rdp). Теперь система будет предупреждать пользователей о рисках при открытии таких файлов, а перенаправление локальных ресурсов на удаленный хост по умолчанию будет отключено.
https://xakep.ru/2026/04/17/rdp-protection/
👍18🔥5👏3😁2💩1
Лучшие статьи 2021–2022 годов. Не пропусти четвертый бумажный спецвыпуск «Хакера»
Новый спецвыпуск «Хакера», в который войдут лучшие статьи 2021–2022 годов, уже в работе. Если ты планировал обновить свою коллекцию или просто соскучился по ощущению настоящего журнала в руках — самое время оформить заказ. Пока номер еще не передан в типографию, действует сниженная цена для тех, кто оформит предзаказ заранее.
https://xakep.ru/2026/04/17/fourth-special/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Новый спецвыпуск «Хакера», в который войдут лучшие статьи 2021–2022 годов, уже в работе. Если ты планировал обновить свою коллекцию или просто соскучился по ощущению настоящего журнала в руках — самое время оформить заказ. Пока номер еще не передан в типографию, действует сниженная цена для тех, кто оформит предзаказ заранее.
https://xakep.ru/2026/04/17/fourth-special/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
1🔥20🤮6
Apple отмечает Telegram-клиент Telega как вредоносный
История с альтернативным Telegram-клиентом «Телега» (Telega) получила новое развитие. Приложение удалили из App Store, и теперь на устройствах Apple оно помечается как вредоносное. Более того, некоторые пользователи утверждают, что из-за «Телеги» iPhone превращаются в «кирпичи» при обновлении iOS.
https://xakep.ru/2026/04/20/telega-ios/
История с альтернативным Telegram-клиентом «Телега» (Telega) получила новое развитие. Приложение удалили из App Store, и теперь на устройствах Apple оно помечается как вредоносное. Более того, некоторые пользователи утверждают, что из-за «Телеги» iPhone превращаются в «кирпичи» при обновлении iOS.
https://xakep.ru/2026/04/20/telega-ios/
👏67🔥23🤣19👍12👎2💩1
Microsoft: серверы под управлением Windows могут перезагружаться после установки обновлений
Представители Microsoft предупредили, что после установки апрельских обновлений некоторые контроллеры домена Windows могут уходить в бесконечный цикл перезагрузки из-за сбоя в процессе LSASS (Local Security Authority Subsystem Service).
https://xakep.ru/2026/04/20/kb5082063/
Представители Microsoft предупредили, что после установки апрельских обновлений некоторые контроллеры домена Windows могут уходить в бесконечный цикл перезагрузки из-за сбоя в процессе LSASS (Local Security Authority Subsystem Service).
https://xakep.ru/2026/04/20/kb5082063/
😁46
Исследователи пытаются понять, сколько уязвимостей обнаружила Claude Mythos
Специалист VulnCheck Патрик Гэррити (Patrick Garrity) попытался выяснить, сколько уязвимостей на самом деле нашла новая ИИ-модель Claude Mythos компании Anthropic в рамках инициативы Project Glasswing. Напомним, что разработчики писали о тысячах 0-day.
https://xakep.ru/2026/04/20/mythos-cves/
Специалист VulnCheck Патрик Гэррити (Patrick Garrity) попытался выяснить, сколько уязвимостей на самом деле нашла новая ИИ-модель Claude Mythos компании Anthropic в рамках инициативы Project Glasswing. Напомним, что разработчики писали о тысячах 0-day.
https://xakep.ru/2026/04/20/mythos-cves/
🤯11😁10
HTB AirTouch. Инсценируем атаку на офисную сеть Wi‑Fi
👑 Статья для подписчиков
Сегодня мы на примере лабораторной работы посмотрим, как можно захватить сеть Wi-Fi со слабым протоколом WPA-PSK. Затем проанализируем трафик Wi-Fi, добудем учетные данные от веб‑сервиса и получим возможность выполнять произвольный код на сервере. Для дальнейшего продвижения проведем атаку Evil Twin на корпоративную сеть Wi-Fi.
https://xakep.ru/2026/04/20/htb-airtouch/
👑 Статья для подписчиков
Сегодня мы на примере лабораторной работы посмотрим, как можно захватить сеть Wi-Fi со слабым протоколом WPA-PSK. Затем проанализируем трафик Wi-Fi, добудем учетные данные от веб‑сервиса и получим возможность выполнять произвольный код на сервере. Для дальнейшего продвижения проведем атаку Evil Twin на корпоративную сеть Wi-Fi.
https://xakep.ru/2026/04/20/htb-airtouch/
🔥20🤝4💩1
Бесплатная однодневная техническая конференция по кибербезопасности для тех, кто привык не только читать отчёты, но и сам писать эксплойты. «МЕТАСКАН ПЕРИМЕТР» — пространство, где инженеры ИБ, реверсеры, хардварщики и исследователи уязвимостей говорят на одном языке и могут спокойно уходить в детали.
🔗 Зарегистрироваться на конференцию
Что вас ждёт на «ПЕРИМЕТРЕ»
📑 Доклады и дискуссии
Экспертные доклады: атаки на корпоративный периметр и что реально работает в защите. Внутренние угрозы: утечки и ошибки сотрудников, практики минимизации ущерба. Также — круглый стол о будущем кибербезопасности и живой разговор с CISO.
🚩 Активности
Соревнования по OSINT-разведке, скоростному решению капчи, созданию фишинговых писем, хак-станции, локпикинг и RFID/NFC-эксперименты.
🎮 Чилл и ретро
Чиптюн, ретро-компьютеры (ZX Spectrum, Commodore 64, Amiga, Game Boy, IBM PC XT). Турнир по DOOM II и чилаут-демозона с большим экраном.
🤝 Нетворкинг
Стенды партнёров, неформальное общение с практиками по инцидентам — и новые профессиональные контакты.
Подписывайтесь на METASCAN News & PoC, чтобы узнавать о главных новостях.
Реклама. «ООО МЕТАСКАН». ИНН 5024179758.
🔗 Зарегистрироваться на конференцию
Что вас ждёт на «ПЕРИМЕТРЕ»
📑 Доклады и дискуссии
Экспертные доклады: атаки на корпоративный периметр и что реально работает в защите. Внутренние угрозы: утечки и ошибки сотрудников, практики минимизации ущерба. Также — круглый стол о будущем кибербезопасности и живой разговор с CISO.
🚩 Активности
Соревнования по OSINT-разведке, скоростному решению капчи, созданию фишинговых писем, хак-станции, локпикинг и RFID/NFC-эксперименты.
🎮 Чилл и ретро
Чиптюн, ретро-компьютеры (ZX Spectrum, Commodore 64, Amiga, Game Boy, IBM PC XT). Турнир по DOOM II и чилаут-демозона с большим экраном.
🤝 Нетворкинг
Стенды партнёров, неформальное общение с практиками по инцидентам — и новые профессиональные контакты.
Подписывайтесь на METASCAN News & PoC, чтобы узнавать о главных новостях.
Реклама. «ООО МЕТАСКАН». ИНН 5024179758.
👍11👏5🔥4
F6: хакеры доставили жертве троян LunaSpy вместе с Android-устройством
Специалисты компании F6 предупреждают об Android-трояне LunaSpy, который злоумышленники доставляют жертвам весьма нетривиальным способом — вместе со смартфоном. То есть пользователь получает устройство, на котором малварь уже установлена и настроена.
https://xakep.ru/2026/04/20/lunaspy-phone/
Специалисты компании F6 предупреждают об Android-трояне LunaSpy, который злоумышленники доставляют жертвам весьма нетривиальным способом — вместе со смартфоном. То есть пользователь получает устройство, на котором малварь уже установлена и настроена.
https://xakep.ru/2026/04/20/lunaspy-phone/
😁21🤯6🔥5
Операция PowerOFF: отключены 53 домена и идентифицированы 75 000 клиентов DDoS-сервисов
В рамках очередной фазы международной операции PowerOFF правоохранительные органы изъяли 53 домена, арестовали четырех подозреваемых и разослали предупреждения более чем 75 000 пользователей платформ для DDoS-атак по найму.
https://xakep.ru/2026/04/20/new-poweroff/
В рамках очередной фазы международной операции PowerOFF правоохранительные органы изъяли 53 домена, арестовали четырех подозреваемых и разослали предупреждения более чем 75 000 пользователей платформ для DDoS-атак по найму.
https://xakep.ru/2026/04/20/new-poweroff/
🔥19😱5😢4💩2
Компанию Vercel взломали и похитили данные
Облачная платформа для разработчиков Vercel сообщила о взломе. При этом злоумышленники заявляют, что получили доступ к внутренним системам компании и уже продают похищенные данные в даркнете.
https://xakep.ru/2026/04/21/vercel-hack/
Облачная платформа для разработчиков Vercel сообщила о взломе. При этом злоумышленники заявляют, что получили доступ к внутренним системам компании и уже продают похищенные данные в даркнете.
https://xakep.ru/2026/04/21/vercel-hack/
💩11👍4😱4😭3
В сообществе полагают, что проект IPv8 создан с помощью ИИ
На прошлой неделе на сайте Internet Engineering Task Force (IETF) — организации, которая отвечает за стандарты интернета, был опубликован черновик нового протокола IPv8, которым предлагается заменить IPv6, в частности, удвоив длину привычных IP-адресов. Инициатива вызвала бурное обсуждение в техническом сообществе, а проверка через GPTZero показала, что большая часть документа, вероятно, написана ИИ.
https://xakep.ru/2026/04/21/ipv8/
На прошлой неделе на сайте Internet Engineering Task Force (IETF) — организации, которая отвечает за стандарты интернета, был опубликован черновик нового протокола IPv8, которым предлагается заменить IPv6, в частности, удвоив длину привычных IP-адресов. Инициатива вызвала бурное обсуждение в техническом сообществе, а проверка через GPTZero показала, что большая часть документа, вероятно, написана ИИ.
https://xakep.ru/2026/04/21/ipv8/
🤣62🤪8🤔4
NIST не будет оценивать некритичные уязвимости из-за увеличения их количества
В Национальном институте стандартов и технологий (National Institute of Standards and Technology, NIST) объявили, что меняют подход к обработке уязвимостей в базе National Vulnerability Database (NVD). С апреля 2026 года организация будет обогащать данными (присваивать оценки серьезности, определять затронутые продукты, добавлять описания и ссылки) только приоритетные записи CVE, а остальные останутся в базе без дополнительной аналитики.
https://xakep.ru/2026/04/21/nist-cves/
В Национальном институте стандартов и технологий (National Institute of Standards and Technology, NIST) объявили, что меняют подход к обработке уязвимостей в базе National Vulnerability Database (NVD). С апреля 2026 года организация будет обогащать данными (присваивать оценки серьезности, определять затронутые продукты, добавлять описания и ссылки) только приоритетные записи CVE, а остальные останутся в базе без дополнительной аналитики.
https://xakep.ru/2026/04/21/nist-cves/
🤔15👍4👎2🔥1😢1🦄1
SQL Privilege Escalation. Разбираем эскалацию привилегий через базу данных #начинающим
👑 Статья для подписчиков
Добрался до базы данных и не знаешь, как раскрутить вектор до захвата сервера? В этой статье на пальцах разберем примеры получения рута сначала в базе, а затем и на сервере.
https://xakep.ru/2026/04/21/sql-pe-for-beginners/
👑 Статья для подписчиков
Добрался до базы данных и не знаешь, как раскрутить вектор до захвата сервера? В этой статье на пальцах разберем примеры получения рута сначала в базе, а затем и на сервере.
https://xakep.ru/2026/04/21/sql-pe-for-beginners/
Исследователь опубликовал PoC-эксплоиты для 0-day уязвимостей в Microsoft Defender
Исследователь Chaotic Eclipse, ранее опубликовавший эксплоит BlueHammer для непропатченной уязвимости в Windows, продолжил свой «крестовый поход» против Microsoft и выложил еще два 0-day эксплоита для Microsoft Defender — RedSun и UnDefend. Специалисты компании Huntress уже зафиксировали эксплуатацию всех трех уязвимостей в реальных атаках.
https://xakep.ru/2026/04/21/redsun-undefend/
Исследователь Chaotic Eclipse, ранее опубликовавший эксплоит BlueHammer для непропатченной уязвимости в Windows, продолжил свой «крестовый поход» против Microsoft и выложил еще два 0-day эксплоита для Microsoft Defender — RedSun и UnDefend. Специалисты компании Huntress уже зафиксировали эксплуатацию всех трех уязвимостей в реальных атаках.
https://xakep.ru/2026/04/21/redsun-undefend/
👏32😁5🔥2🤔1
Специалист создал эксплоит для Chrome с помощью Claude Opus, потратив 2283 долларов США
CTO компании Hacktron рассказал, как с помощью модели Claude Opus 4.6 создал рабочую цепочку эксплоитов для JavaScript-движка V8 в Chrome 138. За такую работу можно получить около 15 000 по программе bug bounty, а на черном рынке стоимость свежей 0-day может быть куда выше. При этом затраты исследователя составили 2283 доллара США.
https://xakep.ru/2026/04/21/claude-exploit/
CTO компании Hacktron рассказал, как с помощью модели Claude Opus 4.6 создал рабочую цепочку эксплоитов для JavaScript-движка V8 в Chrome 138. За такую работу можно получить около 15 000 по программе bug bounty, а на черном рынке стоимость свежей 0-day может быть куда выше. При этом затраты исследователя составили 2283 доллара США.
https://xakep.ru/2026/04/21/claude-exploit/
🔥31🤣14👍7👏4🦄1