MEGANews. Cамые важные события в мире инфосека за ноябрь

Содержание статьи

Принудительные обновления Keenetic
Cellebrite ломает телефоны Pixel
Microsoft против KMS-активации
Минцифры обновило «белые списки»
ФБР интересуется archive.today
Запрет авторизации через зарубежные сервисы
Google разрешит sideloading
Причины сбоя Cloudflare
Роутеры Asus атакует WrtHug
3,5 миллиарда пользователей WhatsApp

В этом месяце: роутеры Keenetic обновляются самостоятельно, Microsoft борется с KMS-активацией Windows, Минцифры дополнило «белые списки» сайтов, маршрутизаторы Asus подверглись массовому взлому, исследователи сумели собрать личные данные 3,5 миллиарда пользователей WhatsApp, а также другие важные и интересные события ноября.

Принудительные обновления Keenetic

Пользователи роутеров Keenetic обнаружили, что их устройства самостоятельно получили новую версию прошивки, даже если автоматическое обновление было отключено в настройках. Представители производителя подтвердили факт принудительного обновления и заявили, что оно связано с недавно обнаруженной уязвимостью.

В начале ноября разработчики Keenetic опубликовали бюллетень безопасности KEN-PSA-2025-WP01, посвященный уязвимости типа CWE-521 (слабые требования к паролям). Сообщается, что проблема получила 8,8 балла по шкале CVSS и затрагивала устройства Keenetic, работающие под управлением KeeneticOS ниже 4.3.

Уязвимость была связана с тем, что на устройствах с прошивками до KeeneticOS версии 4.3 пользователи могли устанавливать «слабые пароли администратора и при этом открывать доступ к веб‑конфигуратору из интернета, что создавало высокий риск компрометации».

Подчеркивалось, что обязательным для компрометации условием была доступность веб‑конфигуратора через интернет и включенный удаленный веб‑доступ. В компании предупреждали:

Внутренние расследования показали, что эта уязвимость эксплуатируется автоматизированными сканерами паролей на устройствах с наиболее распространенными слабыми паролями. Последняя версия KeeneticOS 4.3 требует более надежных паролей и блокирует публичный веб‑доступ, если установлен известный скомпрометированный пароль.

Среди возможных последствий от эксплуатации этой уязвимости разработчики назвали полный захват контроля над устройством, позволяющий изменять конфигурацию, перехватывать/перенаправлять трафик, включать дополнительные службы и, возможно, дальнейшее проникновение во внутреннюю сеть.

Представители Keenetic рекомендовали пользователям обновить устройства с версиями ниже 4.3 до KeeneticOS 4.3 или более поздних, а также отключать удаленный веб‑доступ, если он не нужен, и использовать длинные, уникальные пароли (длиной не менее 15 символов или сгенерированную кодовую фразу).

Вскоре после публикации этого бюллетеня многие пользователи роутеров Keenetic обратили внимание, что их устройства самостоятельно установили обновление прошивки, даже если автообновление было отключено в настройках.

Как пояснили в Telegram-группе представители компании, обновление было связано с устранением проблемы CWE-521, описанной в бюллетене KEN-PSA-2025-WP01.

Решение о принудительном обновлении устройств вызвало волну критики со стороны пользователей. На официальном форуме Keenetic появился тред с требованием предоставить возможность отключения принудительных обновлений, а в Telegram-группе развернулась активная дискуссия, в которой пользователи выражают недовольство тем, что производитель может удаленно управлять их устройствами в обход настроек. Некоторые участники обсуждения расценили произошедшее как свидетельство наличия бэкдора в прошивке роутеров.

15 миллионов долларов в день тратит OpenAI на Sora

По оценкам аналитиков, OpenAI ежедневно тратит около 15 миллионов долларов на работу видеогенератора Sora — это более 5 миллиардов долларов в год.
Генерация одного 10-секундного ролика обходится в 1,3 доллара при объеме 11 миллионов видео ежедневно.
Компания придерживается стратегии захвата рынка: сначала формирует аудиторию и собирает данные для обучения моделей, а монетизацию планирует позже. Ранее в компании подтверждали, что бесплатную генерацию будут постепенно сокращать.

Cellebrite ломает телефоны Pixel

Издание 404 Media обратило внимание на утечку, опубликованную на форумах GrapheneOS. Анонимный инсайдер, скрывающийся под ником rogueFed, обнародовал скриншоты с закрытого брифинга компании Cellebrite для правоохранительных органов. На изображениях видно, какие модели смартфонов Google Pixel уязвимы для взлома инструментами компании. Как выяснилось, кастомная GrapheneOS защищает устройства лучше, чем стоковая система Google.

Израильская Cellebrite позиционирует себя как независимую киберкриминалистическую компанию, которая специализируется на извлечении данных с мобильных устройств. Cellebrite разрабатывает инструменты, которые используются правоохранительными органами, спецслужбами и частными компаниями по всему миру для извлечения данных со смартфонов и других устройств.

Обычно Cellebrite держит подробности о своих инструментах в секрете, но утечка описывает возможности Cellebrite для телефонов Pixel 6, 7, 8 и 9 (Pixel 10, вышедший несколько месяцев назад, в списке отсутствует).

Поддерживаемые устройства разделены на три состояния:

BFU (Before First Unlock) — телефон не разблокировался после перезагрузки, все данные зашифрованы. Традиционно это состояние считается самым защищенным;
AFU (After First Unlock) — устройство разблокировалось хотя бы раз после загрузки. Извлечение данных в этом состоянии считается более простым;
Unlocked — телефон разблокирован. Доступ к данным открыт.

Согласно слитым rogueFed материалам, инструменты Cellebrite способны извлекать данные с устройств на стоковой прошивке (Google Pixel 6, 7, 8 и 9) во всех трех состояниях — BFU, AFU и Unlocked. Однако инструменты компании не могут брутфорсить пароли для получения полного контроля над устройством. Также правоохранители пока не могут скопировать eSIM с устройств Pixel (примечательно, что с релизом Pixel 10 произошел полный отказ от физических SIM-карт).

Однако для устройств под управлением GrapheneOS картина заметно меняется. Представители Cellebrite сообщили правоохранителям, что доступ возможен лишь к тем устройствам, которые работают под управлением версий GrapheneOS старше конца 2022 года. Поскольку Pixel 8 и 9 вышли после указанного срока, устройства в состояниях BFU и AFU защищены от инструментов Cellebrite.

Более того, выяснилось, что с конца 2024 года даже с полностью разблокированного устройства под управлением GrapheneOS невозможно извлечь данные и доступ ограничен только тем, что доступно самому пользователю.

GrapheneOS (ранее известная как CopperheadOS) — это прошивка на основе AOSP, в которой максимальный упор сделан на конфиденциальность и защиту пользователя. Она устанавливается на отдельные модели телефонов, включая Pixel, и поставляется без сервисов Google. Система популярна среди пользователей, которым важна приватность. Совсем недавно мы посвятили GrapheneOS отдельную статью.

Следует отметить, что, по словам rogueFed, он подключился к двум закрытым брифингам Cellebrite и его не заметили. На одном из опубликованных скриншотов инсайдер также раскрыл имя организатора встречи. Журналисты предполагают, что после этой утечки Cellebrite наверняка усилит проверку участников таких онлайн‑брифингов.

Вакансии в даркнете

Эксперты «Лаборатории Касперского» проанализировали 1722 публикации на теневых форумах — вакансии и резюме, появившиеся с января 2023 года по июнь 2025 года.
Количество резюме почти вдвое превысило число вакансий: 62% против 38%. Перевес стал особенно заметным в конце 2023 года, когда поток соискателей резко вырос.

Соискатели в даркнете ведут себя, как на обычных площадках: указывают навыки, знание языков и даже отсутствие вредных привычек.
71% соискателей не указали конкретный профиль работы: такие люди согласны на любую оплачиваемую работу.
Самые часто упоминаемые профессии в резюме для женщин — это работа в чатах и кол‑центрах (10%) и технической поддержке (7%). Для мужчин — разработчик (7%) и работа, связанная с легализацией денежных средств (6%).

Самые высокооплачиваемые ИТ‑специалисты в даркнете — реверс‑инженеры со средней заработной платой 340 000 рублей.
Также исследователи проанализировали вакансии, опубликованные в даркнете, и выявили самые упоминаемые специальности. Среди них: разработчики (22%), сфера отмыва денег (14,5%), трафферы (7,5%) и скамеры (5%).

Microsoft против KMS-активации

Пользователи заметили, что разработчики Microsoft отключили офлайн‑способ активации Windows 11 и 10 через KMS38, который годами использовали пираты по всему миру. При этом в официальных примечаниях к релизам об этих изменениях не упоминается.

KMS38 разработали энтузиасты из проекта Massgrave (MAS, Microsoft Activation Scripts), который известен благодаря репозиторию с неофициальными инструментами для активации Windows и Office.

Суть этого метода активации заключалась в том, чтобы обмануть системный файл gatherosstate.exe (служебная утилита, которая определяет, подходит ли текущая система для обновления), продлевая срок KMS-активации (Key Management Service) с обычных 180 дней до 19 января 2038 года. Установить более отдаленную дату не позволяла проблема 2038 года (Y2K38).

Борьба с KMS38 началась почти два года тому назад. Первые признаки появились еще в январе 2024-го, когда в Windows 26040 из установочного образа исчез файл gatherosstate.exe. Это означало, что при крупных обновлениях и переустановках система сбрасывала льготный период активации до нуля, вынуждая пользователя заново подключаться к KMS-серверу.

Однако финальным ударом для KMS38 стало необязательное обновление для Windows 11 KB5067036, вышедшее в октябре 2025 года. В нем Microsoft полностью упразднила функциональность GatherOSstate, и после ноябрьского «вторника обновлений» (пакеты KB5068861 и KB5067112) KMS38 окончательно перестал работать.

Разработчики Massgrave подтвердили, что метод больше не действует. В последней версии скриптов MAS 3.8 поддержка KMS38 полностью удалена.

В Massgrave рекомендуют пользователям применять альтернативные методы: HWID (Hardware ID) и TSforge, которые по‑прежнему работают.

Бернерс-Ли о коллапсе рекламной модели интернета

На саммите Financial Times Future of AI сэр Тим Бернерс‑Ли (Tim Berners-Lee), создатель Всемирной паутины, предупредил, что генеративный ИИ угрожает многомиллиардной рекламной экономике интернета. Большие языковые модели поглощают контент и выдают ответы напрямую пользователям — без посещения исходных сайтов. А если люди перестанут кликать по ссылкам и читать веб‑страницы, рекламная модель, на которой держатся такие гиганты, как Google, может рухнуть.

Бернерс‑Ли не исключает, что в будущем LLM будут не только читать контент, но и создавать его сами, полностью заменив людей в цепочке создания информации:

Если веб‑страницы будут читать только большие языковые модели, а люди станут спрашивать у них данные и получать готовые результаты, вся рекламная бизнес‑модель интернета начнет рушиться. Большая часть веба зависит от рекламы. Реклама зависит от того, что люди реально читают страницы. Если все думают, что страницу читает человек, а на самом деле это делает LLM — у нас проблема.

Если LLM читает страницу, а человек не читает — у нас проблема с бизнес‑моделью. Нам нужно заменить ее чем‑то другим. Ужасает то, что так много нашей жизни в вебе основано на том, что люди так или иначе читают страницы, а теперь этот элемент выпадает из цепочки. Если люди просто используют ИИ, перестанут ли они читать блоги? Возможно, мы придем к обществу, где LLM будут играть роль и авторов, и читателей.

Минцифры обновило «белые списки»

Министерство цифрового развития, связи и массовых коммуникаций РФ опубликовало в своем Telegram-канале дополненный список сайтов, которые будут доступны во время ограничений работы мобильного интернета. В ведомстве сообщили:

Сформирован перечень российских цифровых платформ, которые на втором этапе вошли в список сервисов и сайтов, доступных в периоды отключений мобильного интернета по соображениям безопасности.

На втором этапе в список включены:

сайты государственных органов: Госдумы, федеральных министерств, служб и агентств, государственных информационных систем, Генпрокуратуры, правительств субъектов РФ;
«Почта России»;
«Альфа‑Банк»;
государственная система цифровой маркировки товаров «Честный знак»;
СМИ: «Комсомольская правда», «РИА Новости», РБК, «Газета.ру», «Лента.ру», Rambler;
РЖД и туристический портал «Туту.ру»;
навигатор 2ГИС;
такси «Максим»;
сайт с прогнозом погоды Gismeteo.

Отмечается, что операторы мобильной связи уже реализовали необходимые настройки и перечисленные ресурсы будут доступны в периоды ограничений. В министерстве заявили:

Перечень цифровых платформ формируется из наиболее популярных интернет‑ресурсов России, а также на основе предложений федеральных и региональных органов власти. Он будет пополняться.

В сентябре 2025 года Минцифры составило первую версию «белых списков», в которую вошли наиболее востребованные и социально значимые российские сервисы и сайты. Так, на первом этапе в «белый список» попали:

сервисы «Вконтакте», «Одноклассники», Mail.ru и национальный мессенджер Max;
сервисы «Госуслуг»;
сервисы «Яндекса»;
маркетплейсы Ozon и Wildberries;
Avito;
«Дзен»;
Rutube;
официальный сайт платежной системы «Мир»;
сайты правительства и администрации президента России;
федеральная платформа дистанционного электронного голосования (ДЭГ);
операторы связи «Билайн», «Мегафон», «МТС», «Ростелеком» и T2.

Тогда СМИ писали, что в списки планируется добавить еще множество различных сервисов, включая даже сайт букмекерской компании «Фонбет», однако представители Минцифры опровергли эту информацию. В министерстве отметили, что списки действительно еще формируются и будут расширяться в несколько этапов. В частности, сообщалось, что в перечень войдут сайт МЧС, порталы Государственной думы, Совета Федерации и Генеральной прокуратуры, а также «СМИ, банки и аптеки».

Обучение снижает доверие к фишерам в 20 раз

Эксперты «Лаборатории Касперского» и «Мегафона» изучили пользу от тренировочных фишинговых рассылок. Как оказалось, 40% сотрудников переходят по подозрительным ссылкам, 10% вводят конфиденциальные данные, а 9% открывают вложения.
При этом среди сотрудников, прошедших ИБ‑обучение, только 7% открывают подозрительные письма, лишь 2% переходят по ссылкам (в 20 раз меньше необученных) и всего 0,2% подвергли данные риску компрометации (в 190 раз ниже максимума).
Самыми убедительными темами фишинговых писем оказались: «Расчет премий» (66,5% кликов), «Пароль к аккаунту изменен» (24%) и «Нарушение корпоративной политики» (20%).

ФБР интересуется archive.today

В ФБР заинтересовались личностью человека, который управляет archive.today (он же archive.is и archive.ph) — одним из крупнейших онлайн‑архивов, который годами использовался для сохранения страниц, обхода платного доступа и просмотра материалов без перехода на оригинальные сайты.

30 октября 2025 года ФБР направило доменному регистратору Tucows предписание с требованием раскрыть данные владельца домена.

В документе, который представители archive.today опубликовали в соцсети X, говорится, что запрос связан с федеральным уголовным расследованием. В судебном запросе не уточняется, о каких именно нарушениях идет речь, однако ФБР требует раскрыть целый перечень данных, включая:

Записи местных и междугородных телефонных соединений (входящие и исходящие вызовы, push-to-talk, SMS/MMS); сведения о способах и источниках оплаты (включая номера банковских карт и счетов); данные о времени и длительности интернет‑сессий; идентификаторы устройств (IMEI, IMSI, UFMI, ESN) и другие идентификаторы пользователя, включая временные сетевые адреса (в том числе IP-адреса); а также сведения о типах используемых сервисов (push-to-talk, текст, трехсторонняя связь, почтовые сервисы, облачные сервисы, игровые сервисы и так далее).

Регистратор подтвердил СМИ, что обычно выполняет такие запросы властей, однако комментировать ситуацию отказался.

Archive.today (и его зеркала — archive.is, archive.ph и так далее) появился более десяти лет назад. Наибольший всплеск популярности сервис получил во время GamerGate, так как участники онлайн‑кампании активно сохраняли в сервисе публикации, чтобы не направлять трафик на сайты‑источники и следить за изменениями в статьях.

Со временем ресурс стал одним из крупнейших инструментов для архивации веба: пользователи сохраняют в нем новости, блоги, материалы госорганов и страницы, которые могут исчезнуть или измениться со временем.

При этом о создателях проекта не известно практически ничего. Редкие попытки разобраться в происхождении archive.today приводили лишь к появлению гипотез. Одно из таких исследований предполагало, что сайт ведет один человек, вероятно находящийся в России, обладающий нужной технической подготовкой и связями в Европе.

Сам сервис заявлял, что финансируется частным образом и не имеет сложной инфраструктуры. К примеру, в 2021 году его администрация писала, что проект «может умереть в любой момент».

В настоящее время в архивах сервиса сохранены сотни миллионов страниц. Из‑за особенностей работы проекта удалить материал из archive.today практически невозможно: еще в 2013 году авторы объясняли, что они, напротив, борются с «мертвыми ссылками».

Мобильная малварь становится активнее

Специалисты компании Zscaler обнаружили в Google Play 239 вредоносных приложений за период с июня 2024-го по май 2025 года. В сумме их скачали более 42 миллионов раз.
Количество атак на мобильные устройства выросло на 67% за год. Основной драйвер роста — мошенничество с платежами через фишинг, смишинг и подмену SIM-карт.

Вредоносные банковские транзакции по годам

Рекламная малварь остается главной угрозой — она была обнаружена в 69% всех случаев. На втором месте инфостилер Joker с 23%.
Активность шпионских программ взлетела на 220%. Лидеры в этой области — SpyNote, SpyLoan и BadBazaar, которые следят за пользователями, шантажируют их и крадут личные данные.

Больше всего жертв Android-малвари было обнаружено в Индии, США и Канаде (55% атак). В Италии и Израиле рост заражений достиг 800–4000% год к году.

Запрет авторизации через зарубежные сервисы

В Госдуму внесли законопроект, который предусматривает административную ответственность и штрафы в размере до 700 тысяч рублей для владельцев российских сайтов, которые игнорируют требования об авторизации пользователей только через российские сервисы.

Документ появился в электронной базе, и его подала группа депутатов во главе с первым зампредом комитета по информполитике Антоном Горелкиным.

Еще в 2023 году были приняты требования, согласно которым авторизация пользователей на территории России должна проходить:

по номеру телефона российского оператора связи;
через единый портал «Госуслуг» (ЕСИА) и Единую биометрическую систему (ЕБС);
с использованием иной информсистемы, которая обеспечивает авторизацию пользователей сайтов и владельцем которой является гражданин РФ, не имеющий гражданства другого государства, или российское юрлицо с иностранным владением менее 50%.

Как тогда писал Антон Горелкин, инициатива связана с «обеспечением гарантии сохранности персональных данных» на более высоком уровне. Он добавлял, что «по электронной почте авторизацию проводить можно, но это должна быть российская почта». При этом отмечалось, что закон не имеет обратной силы, поэтому изменения затронут только новые регистрации, в то время как уже зарегистрированные аккаунты, привязанные к иностранным сервисам электронной почты, продолжат работать.

Кроме того, в 2023 году глава комитета Госдумы по информполитике Александр Хинштейн (занимал эту должность с 2020-го по 2024 год) уточнял, что под «иной информсистемой» имеются в виду российские сервисы, например «Вконтакте» или почта Mail.ru. Он также добавлял, что регистрироваться с помощью электронных почтовых адресов иностранных сервисов будет нельзя.

Представленный 14 ноября 2025 года законопроект вводит штрафы за нарушение вышеописанных правил:

для граждан — от 10 000 до 20 000 рублей;
для должностных лиц — от 30 000 до 50 000 рублей;
для юридических лиц — от 500 000 до 700 000 рублей.

Те же штрафы грозят за применение рекомендательных технологий без информирования пользователей, непубликацию правил их использования, отсутствие адреса электронной почты для юридически важных сообщений, а также инициалов и названия владельца ресурса.

Отдельная ответственность предусмотрена за невыполнение требований Роскомнадзора о прекращении использования рекомендательных технологий — здесь штрафы начинаются от 20 тысяч рублей для граждан и доходят до 2,8 миллиона рублей для компаний за повторное нарушение.

Антон Горелкин прокомментировал инициативу в своем Telegram-канале, озаглавив публикацию как «Авторизация через Google — ВСЁ». Он пишет, что законопроект не затронет «обычных пользователей интернета». По его словам, штрафы коснутся только владельцев сайтов и приложений, которые «уже два года игнорируют закон».

Депутат объяснил эту инициативу стремлением «дальше уменьшать зависимость Рунета от решений из недружественных государств».

Торвальдс о вайб-кодинге

Линус Торвальдс (Linus Torvalds) высказался о разработке с помощью ИИ на Linux Foundation Open Source Summit в Сеуле. Он назвал вайб‑кодинг отличным способом начать работу с компьютерами, но категорически не подходящим для продакшена.

По словам Торвальдса, вайб‑кодинг помогает людям заставить компьютер делать то, что они раньше не могли. Но для серьезной разработки это катастрофа с точки зрения поддержки кода:

Я весьма позитивно отношусь к вайб‑кодингу — но не для разработки ядра. Компьютеры стали намного сложнее, чем в то время, когда я учился программировать, набирая код из компьютерных журналов. Вайб‑кодинг — отличный способ для людей заставить компьютеры делать то, что они, возможно, не смогли бы сделать иначе. Однако с точки зрения поддержки кода это может быть просто ужасной идеей.

ИИ — просто еще один инструмент. Это похоже на то, как компиляторы освобождают людей от необходимости писать код на ассемблере вручную и значительно повышают производительность, но из‑за этого не исчезли программисты.

Google разрешит sideloading

Представители Google изменили мнение о запланированной обязательной верификации разработчиков Android-приложений. После критики со стороны сообщества компания объявила, что введет упрощенные аккаунты для небольших разработчиков и создаст отдельный режим для «опытных пользователей», которые смогут устанавливать неверифицированные приложения из сторонних источников.

В августе 2025 года Google анонсировала новую систему верификации для разработчиков приложений (Developer Verification), которая должна была заработать в 2026 году. В частности, планировалось, что даже приложения, устанавливаемые на Android-устройства из сторонних источников, должны исходить только от разработчиков с подтвержденной личностью.

При этом в компании сообщали, что приложения неверифицированных разработчиков просто не будут устанавливаться на сертифицированные Android-устройства, то есть девайсы, на которых работает Play Protect и предустановлены приложения Google.

Google обосновывала эти меры борьбой с вредоносным ПО и финансовым мошенничеством, так как злоумышленники нередко используют социальную инженерию, убеждая пользователей обойти встроенные защитные механизмы Android и установить малварь вручную.

Однако практически сразу эта инициатива вызвала острую критику со стороны сообщества. В частности, разработчики возмутились тем, что теперь всем придется предоставлять Google документы, удостоверяющие личность, а также платить взносы за прохождение верификации. Кроме того, в инициативе увидели попытку Google упрочить свой контроль над экосистемой Android.

К примеру, разработчики популярнейшего магазина приложений F-Droid и вовсе предупреждали, что принятие новых правил может угрожать существованию любых альтернативных магазинов приложений, включая сам F-Droid:

Мы не верим, что регистрация разработчиков мотивирована безопасностью. Это попытка консолидировать власть и усилить контроль над ранее открытой экосистемой.

Столкнувшись со столь массовым недовольством сообщества, представители Google пошли на попятную. В частности, в компании пообещали сделать бесплатную верификацию для разработчиков‑энтузиастов и студентов, которые хотят устанавливать свои приложения на ограниченное число устройств. А также подтвердили, что установка через ADB (с подключенного компьютера) тоже останется доступной.

Теперь компания сообщила, что готова сделать еще два важных шага.

Упрощенные аккаунты для небольших разработчиков. Google создаст специальный тип учетных записей для тех, кто распространяет приложения среди небольшой аудитории — семьи, друзей, коллег. Такие разработчики смогут обойтись без прохождения полной верификации.

«Продвинутый режим» (Advanced flow) для опытных пользователей. Тем, кто готов взять на себя риски, разрешат устанавливать неверифицированные приложения. Система будет предупреждать пользователя о потенциальной опасности, однако финальное решение останется за пользователем.

Мэттью Форсайт (Matthew Forsythe), директор по управлению продуктами Android App Safety, заявил:

Мы ценим активность сообщества и услышали полученные отзывы — особенно от студентов и разработчиков‑энтузиастов, которым нужен доступный путь для обучения, а также от опытных пользователей, которые готовы брать на себя риски, связанные с безопасностью.

Как именно будет работать «продвинутый режим», пока не раскрывается. Google обещает обнародовать больше информации в ближайшие месяцы. Вероятно, этот режим будут сопровождать дополнительные предупреждения при установке, может потребоваться одноразовая активация через ADB или специальный внутренний процесс Google.

Компания подчеркивает, что цель всех этих нововведений — защита пользователей от манипуляций со стороны мошенников, которые умеют убеждать людей игнорировать предупреждения.

Google уже начала приглашать разработчиков, распространяющих приложения за пределами магазина Google Play, для прохождения верификации в раннем доступе. После 25 ноября 2025 года эта программа откроет двери и для разработчиков из Play Store.

Полный запуск программы верификации намечен на март 2026 года. С сентября будущего года обязательная верификация заработает в Бразилии, Индонезии, Сингапуре и Таиланде. Глобальное внедрение механизма запланировано на 2027 год.

77% сотрудников передают корпданные ИИ-чат-ботам

Компания LayerX выяснила: данные теперь чаще утекают через копипасту, чем через загрузку файлов. Так, 77% сотрудников вставляют закрытую информацию в запросы к чат‑ботам, при этом 32% всех операций копирования из корпоративных аккаунтов в личные происходят через ИИ‑инструменты.

Суммарно 45% сотрудников активно пользуются ИИ, причем в 67% случаев доступ к этим инструментам осуществляется через личные аккаунты, а 92% использования приходится на ChatGPT.
40% файлов, загружаемых в ИИ‑инструменты, содержат персональные данные или данные платежных карт. 82% операций копирования‑вставки происходят через личные аккаунты.
Порядка 62% от всех вставленных в ИИ‑чаты данных содержат конфиденциальную информацию, из них 87% информации отправляется в некорпоративные аккаунты.

Причины сбоя Cloudflare

Глава компании Cloudflare Мэттью Принс (Matthew Prince) рассказал о причинах масштабного сбоя, который затронул глобальную сеть компании и многие сайты 18 ноября 2025 года. По его словам, причиной стала ошибка при изменении прав доступа к базе данных, хотя поначалу в компании решили, что столкнулись с масштабной DDoS-атакой.

Принс пишет, что проблема возникла при обновлении прав доступа в кластере ClickHouse, который генерирует feature file для системы Bot Management. Такой файл описывает активность и поведение вредоносных ботов, распространяя эту информацию по всей инфраструктуре Cloudflare, чтобы софт, управляющий маршрутизацией, знал о новых угрозах.

Целью изменения прав было предоставление пользователям доступа к низкоуровневым данным и метаданным. Однако в запросе, который использовался для извлечения этих данных, была допущена ошибка — он возвращал лишнюю информацию. Это более чем вдвое увеличило размер feature file. Когда он превысил установленный лимит, система обнаруживала недопустимо большой файл, после чего работа завершалась сбоем.

Проблему усугубило то, что кластер генерировал новую версию файла каждые пять минут. При этом «испорченные» данные появлялись только при запросе к тем нодам, которые уже получили обновление прав. В результате система то работала, то снова отказывала (в зависимости от того, на какую ноду попадал запрос и какой файл уходил в раздачу).

Принс признается:

Эти колебания не давали нам понять, что происходит, поскольку вся система то восстанавливалась, то снова выходила из строя, ведь в нашу сеть попадали то хорошие, то «плохие» файлы конфигурации. Поэтому сначала мы решили, что это атака.

Периодические сбои в работе Cloudflare начались около 11:20 UTC 18 ноября 2025 года, а уже к 13:00 все ноды ClickHouse стали генерировать «плохие» файлы и система вошла в «стабильное состояние отказа», после чего серьезные проблемы начались уже у клиентов.

По данным СМИ, не работали ноды Cloudflare по всей Европе, включая Амстердам, Берлин, Варшаву, Вену, Стокгольм, Франкфурт, Цюрих и другие города. Downdetector зафиксировал десятки тысяч жалоб на проблемы с сайтами и хостингом. Попутно пользователи сообщали о сбоях в работе Spotify, Twitter, OpenAI, Anthropic, AWS и Google и множества других сервисов.

Для устранения проблемы команда Cloudflare остановила генерацию «плохих» файлов, вручную добавила в очередь заведомо хороший файл и принудительно перезапустила основной прокси. Полное восстановление заняло около шести часов, и в 17:44 UTC все сервисы заработали в штатном режиме.

В своем сообщении Принс отмечает, что это был самый масштабный сбой в работе компании с 2019 года. Он принес всем извинения «за ту боль, которую мы причинили интернету». По его словам, подобные проблемы недопустимы. Теперь компания планирует усилить валидацию конфигурационных файлов, добавить больше механизмов для экстренного отключения функций, а также пересмотреть логику обработки ошибок во всех основных модулях прокси.

123456 и admin не устаревают

Эксперты Comparitech проанализировали более 2 миллиардов паролей, утекших в 2025 году через хакфорумы, Telegram и другие каналы. Классика вроде 123456, admin и password по‑прежнему лидирует.

25% из 1000 самых популярных паролей состоят только из цифр. При этом 38,6% содержат последовательность 123, а еще 2% — обратную 321.
Новые вариации тоже попали в топ: Aa123456 занял шестое место, а Aa@123456 — тринадцатое.
Также пользователи комбинируют буквы первого ряда клавиатуры (qwerty) с цифрами, получая варианты вроде 1q2w3e4r, и используют простые, короткие и распространенные слова. Например, на 29-м месте оказался пароль gin, а пароль minecraft встречался в изученной специалистами выборке 69 464 раза.

65,8% проанализированных паролей короче 12 символов, и только 3,2% содержат 16 символов и больше.
3,9% из 1000 самых распространенных паролей содержат вариации слов pass или password.

Роутеры Asus атакует WrtHug

Исследователи из компании SecurityScorecard обнаружили масштабную вредоносную кампанию WrtHug, в рамках которой были скомпрометированы около 50 тысяч роутеров Asus по всему миру. Атакующие эксплуатируют шесть уязвимостей, в основном в устаревших моделях серий AC и AX.

По данным специалистов, большинство зараженных устройств находятся на Тайване, а остальные распределены по Юго‑Восточной Азии, России, Центральной Европе и США. Отмечается, что заражений в Китае не обнаружено. По мнению исследователей, это может указывать на китайское происхождение атакующих, хотя доказательств для уверенной атрибуции недостаточно.

WrtHug во многом похожа на кампанию AyySSHush, задокументированную аналитиками компании GreyNoise в мае 2025 года.

Атаки начинаются с эксплуатации проблем, допускающих инъекции команд, и других известных уязвимостей:

CVE-2023-41345–41348 — инъекции команд ОС через модули токенов;
CVE-2023-39780 — инъекция команд (использовалась в AyySSHush);
CVE-2024-12912 — выполнение произвольных команд;
CVE-2025-2492 — обход аутентификации в роутерах с включенной функцией AiCloud (критическая).

Последняя уязвимость наиболее опасна. В апреле текущего года разработчики Asus предупреждали, что эта проблема может использоваться удаленно с помощью специально подготовленного запроса и не требует аутентификации на роутерах с включенным AiCloud.

По данным SecurityScorecard, именно AiCloud (функция облачного удаленного доступа, встроенная во многие маршрутизаторы Asus и превращающая их в приватные облачные серверы) стала основной точкой входа для атакующих.

Главным индикатором компрометации WrtHug служит самоподписанный TLS-сертификат в AiCloud, которым заменили стандартный на 99% взломанных устройств. Новый сертификат выделяется сроком действия — 100 лет вместо обычных десяти.

По этому признаку исследователи сумели обнаружить около 50 тысяч зараженных IP-адресов. Специалисты пишут, что выявили следующие модели устройств Asus, подвергшиеся атакам:

Asus Wireless Router 4G-AC55U;
Asus Wireless Router 4G-AC860U;
Asus Wireless Router DSL-AC68U;
Asus Wireless Router GT-AC5300;
Asus Wireless Router GT-AX11000;
Asus Wireless Router RT-AC1200HP;
Asus Wireless Router RT-AC1300GPLUS;
Asus Wireless Router RT-AC1300UHP.

Как и в случае с атаками AyySSHush, хакеры не обновляют прошивку захваченных роутеров, оставляя их уязвимыми для других злоумышленников.

Исследователи полагают, что скомпрометированные роутеры могут служить сетью операционных релейных узлов (operational relay box) для китайских хакерских операций — проксировать трафик и скрывать командную инфраструктуру злоумышленников. Впрочем, никаких конкретных деталей об активности атакующих после компрометации отчет специалистов не содержит.

Поскольку разработчики Asus уже выпустили патчи для всех эксплуатируемых уязвимостей, владельцам роутеров рекомендуется срочно обновить прошивку, если они еще этого не сделали. Если устройство уже не поддерживается, рекомендуется его заменить или хотя бы отключить функции удаленного доступа.

Маск о необязательной работе через 10–20 лет

Илон Маск (Elon Musk) заявил на форуме U.S.-Saudi Investment Forum, что, по его мнению, через 10–20 лет работа станет необязательной благодаря ИИ и робототехнике.

Маск считает, что миллионы роботов приведут к скачку производительности, а деньги вообще потеряют свое значение. Маск сравнивает работу в будущем с выращиванием овощей на заднем дворе — их можно купить в магазине, а можно вырастить самому, если нравится процесс.

В своих рассуждениях он ссылался на серию научно‑фантастических романов «Культура» Иэна Бэнкса, где изображен постдефицитный мир без традиционных профессий:

Мое предсказание: работа станет необязательной. Это будет как спорт или видеоигры. Это как сходить в магазин и купить овощи или вырастить их на своем участке. Выращивать овощи намного сложнее, но некоторые все равно это делают, потому что им нравится. В книгах [серии «Культура»] денег не существует, и это довольно интересно. И я думаю, что, если заглянуть достаточно далеко вперед, при условии продолжающегося развития ИИ и робототехники, деньги вообще перестанут иметь значение.

3,5 миллиарда пользователей WhatsApp

Исследователи из Венского университета заявили, что обнаружили уязвимость в WhatsApp, которая позволила им собрать данные более 3,5 миллиарда пользователей. По их мнению, это может быть крупнейшей утечкой данных в истории.

Авторы отчета пишут, что WhatsApp позволяет искать пользователей по номеру телефона и функция существует уже много лет. Исследователи использовали ее для массового перебора данных: с помощью инструмента на базе библиотеки Google libphonenumber они сгенерировали 63 миллиарда телефонных номеров и проверяли их со скоростью 7 тысяч в секунду.

К удивлению исследователей, WhatsApp не заблокировал их IP-адреса и аккаунты, а также не применил никаких эффективных ограничений частоты запросов. В результате специалисты смогли собирать данные со скоростью более 100 миллионов аккаунтов в час, в итоге подтвердив существование 3,5 миллиарда зарегистрированных номеров (это больше, чем официально заявленные 2 миллиарда пользователей WhatsApp).

Более 57% собранных аккаунтов имели фото профиля, причем две трети из них содержали распознаваемые лица. Еще у 29% в профиле присутствовал текст, который порой содержал чувствительную информацию о сексуальной ориентации и политических взглядах, ссылки на LinkedIn и Tinder, рабочие email-адреса и так далее.

В итоге эксперты сумели связать некоторые телефонные номера с государственными чиновниками и представителями военных ведомств.

Отдельно в отчете упоминается тот факт, что WhatsApp запрещен в Китае, Мьянме, Северной Корее и ряде других стран. Тем не менее специалистам удалось обнаружить миллионы активных аккаунтов, связанных с номерами из этих регионов. При этом в некоторых странах за обход блокировок грозит арест и наказание. Кроме того, базы активных номеров — готовый инструмент для спамеров, фишеров и организаторов роботизированных звонков.

Исследователи сообщили разработчикам Meta (компания признана экстремистской и запрещена в РФ) о проблеме через программу bug bounty, однако ответ от компании специалистам удалось получить только через год — после того, как команда прислала Meta препринт статьи и уведомила о своем намерении обнародовать исследование.

Нитин Гупта (Nitin Gupta), вице‑президент по инжинирингу WhatsApp, поблагодарил исследователей за «ответственное партнерство» и заявил, что в компании уже ведется работа над системами защиты от скрапинга. По его словам, исследование помогло провести стресс‑тест новых защитных механизмов.

Авторы исследования подтверждают, что после внедрения контрмер использованные ими методы перестали работать: теперь аккаунты блокируются в случае попыток массового перебора данных.

Специалисты заявляют, что удалили все собранные данные, а представители Meta говорят, что не обнаружили доказательств использования подобного вектора атак злоумышленниками. Также подчеркивается, что сообщения пользователей защищены сквозным шифрованием и не были доступны исследователям.

Другие интересные события месяца

← Ранее GreyNoise запускает бесплатный сканер для проверки IP-адресов на участие в ботнетах