MEGANews. Cамые важные события в мире инфосека за январь

Илья Лихтенштейн, участвовавший в ограблении Bitfinex, вышел на свободу досрочно

Илья Лих­тен­штейн (Ilya Lichtenstein), получив­ший пять лет лишения сво­боды за отмы­вание средств, укра­ден­ных при взло­ме бир­жи Bitfinex в 2016 году, вышел на сво­боду дос­рочно. В тюрь­ме он про­вел лишь 14 месяцев.

38-лет­ний Лих­тен­штейн сооб­щил о сво­ем осво­бож­дении в соц­сети X, поб­лагода­рив за это First Step Act — закон о рефор­ме сис­темы уго­лов­ного пра­восу­дия, при­нятый во вре­мя пер­вого пре­зидент­ско­го сро­ка Дональ­да Трам­па в 2018 году.

В сво­ем сооб­щении Лих­тен­штейн добавил:

Я по‑преж­нему намерен внес­ти вклад в раз­витие информа­цион­ной безопас­ности.

Офи­циаль­ный пред­ста­витель адми­нис­тра­ции Трам­па под­твер­дил, что Лих­тен­штейн «отбыл зна­читель­ную часть сро­ка» и теперь находит­ся под домаш­ним арес­том «в соот­ветс­твии с законо­датель­ством и полити­кой Федераль­ного бюро тюрем США».

На­пом­ним, что еще в 2016 году Лих­тен­штейн и его жена Хизер Мор­ган (Heather Morgan), так­же извес­тная под псев­донимом Razzlekhan, ста­ли учас­тни­ками одно­го из круп­ней­ших крип­товалют­ных ограбле­ний в исто­рии, о чем мы деталь­но рас­ска­зыва­ли в от­дель­ной статье.

Как уже извес­тно теперь, Лих­тен­штейн экс­плу­ати­ровал уяз­вимость в multisig-сис­теме Bitfinex, поз­волив­шую ему авто­ризо­вать тран­закции без под­твержде­ний от BitGo — сто­рон­ней ком­пании, управляв­шей акти­вами бир­жи. Он ини­цииро­вал более двух тысяч тран­закций и вывел 119 754 бит­коина, которые тог­да сто­или поряд­ка 71 мил­лиона дол­ларов.

Суп­ругов арес­товали в фев­рале 2022 года, а в августе 2023-го они приз­нали свою вину в отмы­вании денег. Хотя они пытались скрыть след укра­ден­ных средств, кон­верти­руя бит­коины в дру­гие крип­товалю­ты и про­гоняя их через мик­сер‑сер­висы, рас­сле­дова­ние прод­винулось бла­года­ря тому, что пара купила подароч­ные кар­ты Walmart за кра­деные бит­коины и акти­виро­вала их через акка­унт, зарегис­три­рован­ный на нас­тоящее имя Мор­ган.

В ито­ге пра­воох­раните­ли сумели вер­нуть око­ло 94 тысяч бит­коинов (в 2022 году их сто­имость оце­нива­лась в 3,6 мил­лиар­да дол­ларов), что ста­ло одной из круп­ней­ших кон­фиска­ций крип­товалю­ты в исто­рии США. В янва­ре 2025 года про­куро­ры подали ходатай­ство о воз­вра­те акти­вов бир­же Bitfinex.

Лих­тен­штей­на при­гово­рили к пяти годам тюрь­мы в нояб­ре 2024 года, тог­да как его жена получи­ла 18 месяцев лишения сво­боды, но покину­ла пенитен­циар­ное учрежде­ние даже рань­ше мужа — в кон­це октября 2025 года. Тог­да она пи­сала в X, что осво­боди­лась «при­мер­но месяц назад», а «тюрь­ма ока­залась впол­не ничего». Так­же Мор­ган про­ком­менти­рова­ла осво­бож­дение Лих­тен­штей­на:

Луч­ший новогод­ний подарок — сно­ва быть дома с мужем пос­ле четырех лет раз­луки.

Ис­тория Лих­тен­штей­на и Мор­ган ста­ла нас­толь­ко резонан­сной, что в 2024 году Netflix выпус­тил докумен­таль­ный фильм о них под наз­вани­ем Biggest Heist Ever.

СМИ: Роскомнадзор запретил облачным провайдерам сдавать в аренду IP-адреса из «белых списков»

Как сооб­щило изда­ние «Код Дурова», некото­рые VPN-сер­висы лишились воз­можнос­ти обхо­дить «белые спис­ки», которые работа­ют при огра­ниче­ниях мобиль­ного интерне­та.

Жур­налис­ты объ­ясня­ют, что для обхо­да «белых спис­ков» некото­рые VPN-сер­висы арен­довали рос­сий­ские сер­веры с «белыми» IP-адре­сами. Такие адре­са вхо­дили в спи­сок раз­решен­ных ресур­сов, которые про­дол­жают работать даже при огра­ниче­ниях мобиль­ного интерне­та. Так­же раз­работ­чики таких решений выс­тра­ива­ли кас­кадные цепоч­ки из рос­сий­ских сер­веров, в ито­ге мас­кируя тра­фик под зап­росы к сай­там из «белого спис­ка». И такая схе­ма работа­ла до недав­него вре­мени.

Те­перь же пред­полага­ется, что Рос­комнад­зор пот­ребовал от облачных про­вай­деров раз­делить пулы IP-адре­сов: одни — стро­го для ресур­сов из «белого спис­ка», дру­гие — для всех осталь­ных кли­ентов. Пересе­чений боль­ше быть не дол­жно.

Ре­зуль­тат не зас­тавил себя ждать: по дан­ным изда­ния, 24 янва­ря 2026 года VPN-сер­висы мас­сово потеря­ли сер­веры с такими IP-адре­сами и стол­кну­лись с проб­лемами в работе.

Офи­циаль­ных ком­мента­риев от пред­ста­вите­лей Рос­комнад­зора об этой ситу­ации не пос­тупало.

На­пом­ним, что в сен­тябре 2025 года Мин­цифры сос­тавило пер­вую вер­сию «белых спис­ков», в которую вош­ли наибо­лее вос­тре­бован­ные и соци­аль­но зна­чимые рос­сий­ские сер­висы и сай­ты, которые дол­жны оста­вать­ся дос­тупны­ми рос­сий­ским поль­зовате­лям в пери­оды огра­ниче­ний работы мобиль­ного интерне­та по при­чине безопас­ности.

Пос­ле это­го в ведомс­тве сооб­щали о рас­ширении «белых спис­ков» еще триж­ды (1, 2, 3).

В Мин­цифры объ­ясня­ли:

Ра­бота по напол­нению так называ­емо­го «белого спис­ка» ведет­ся пос­тоян­но. Перечень циф­ровых плат­форм фор­миру­ется из наибо­лее популяр­ных интернет‑ресур­сов Рос­сии, а так­же на осно­ве пред­ложений федераль­ных и реги­ональ­ных орга­нов влас­ти и по сог­ласова­нию с ведомс­тва­ми, отве­чающи­ми за обес­печение безопас­ности. Вклю­чить в него ресурс иным спо­собом невоз­можно. Важ­ное усло­вие вклю­чения в перечень: все исполь­зуемые вычис­литель­ные ресур­сы дол­жны находить­ся на тер­ритории Рос­сии.

300 вопросов в месяц — коллапс Stack Overflow

• За 16 лет сущес­тво­вания Stack Overflow количес­тво воп­росов обру­шилось с пиково­го зна­чения 200 тысяч в месяц (2014 год) до 300 — это уро­вень 2009 года, ког­да плат­форма толь­ко запус­тилась.

• Спад начал­ся еще в 2014 году, ког­да модера­торы ста­ли агрессив­нее зак­рывать воп­росы‑дуб­ликаты. Но нас­тоящий обвал слу­чил­ся пос­ле релиза ChatGPT в нояб­ре 2022 года, и с тех пор гра­фик активнос­ти упал прак­тичес­ки до нуля.
• К маю 2025 года количес­тво воп­росов сок­ратилось до показа­телей начала 2009 года, а дан­ные на начало 2026 года показы­вают, что плат­форма фак­тичес­ки мер­тва.

Критические уязвимости n8n позволяют захватить контроль над инстансами

Плат­форма для авто­мати­зации рабочих про­цес­сов n8n стол­кну­лась с серь­езны­ми проб­лемами: за пос­ледние недели иссле­дова­тели обна­ружи­ли сра­зу четыре кри­тичес­кие уяз­вимос­ти, две из которых получи­ли мак­сималь­ную оцен­ку 10 бал­лов по шка­ле CVSS.

Са­мая опас­ная проб­лема — CVE-2026-21858 (10 бал­лов из 10 воз­можных по шка­ле CVSS), которой дали имя Ni8mare, поз­воля­ет неаутен­тифици­рован­ным зло­умыш­ленни­кам получить пол­ный кон­троль над уяз­вимыми инстан­сами.

N8n пред­став­ляет собой опен­сор­сный инс­тру­мент для авто­мати­зации, с помощью которо­го мож­но свя­зывать при­ложе­ния, API и сер­висы в слож­ные ворк­флоу через визу­аль­ный редак­тор. Плат­форма осо­бен­но популяр­на в ИИ‑сфе­ре, где исполь­зует­ся для оркес­тра­ции LLM, соз­дания ИИ‑аген­тов и RAG-пай­плай­нов. Инс­тру­мент нас­читыва­ет более 50 тысяч еже­недель­ных заг­рузок в npm и свы­ше 100 мил­лионов ска­чива­ний на Docker Hub.

Учи­тывая, что n8n час­то хра­нит API-клю­чи, OAuth-токены, учет­ные дан­ные баз дан­ных, дос­тупы к облачным хра­нили­щам и CI/CD-сек­реты, ком­про­мета­ция такого инстан­са может стать боль­шой проб­лемой. По сло­вам спе­циалис­тов Cyera, взлом n8n «не прос­то озна­чает потерю одной сис­темы — это озна­чает переда­чу ата­кующим всех клю­чей».

Уже упо­мяну­тая уяз­вимость CVE-2026-21858 поз­воля­ет неаутен­тифици­рован­ному ата­кующе­му получить дос­туп к фай­лам на сер­вере через выпол­нение опре­делен­ных form-based-ворк­флоу.

Ко­рень проб­лемы зак­люча­ется в путани­це с типами кон­тента (content-type confusion) в ходе пар­синга дан­ных. N8n исполь­зует две фун­кции для обра­бот­ки вхо­дящих дан­ных в зависи­мос­ти от заголов­ка content-type в веб‑хуке. Ког­да зап­рос мар­киру­ется как multipart/form-data, плат­форма исполь­зует спе­циаль­ный пар­сер, который сох­раня­ет фай­лы в слу­чай­но сге­нери­рован­ные вре­мен­ные локации, защищая от path traversal. Одна­ко для всех осталь­ных типов кон­тента задей­ству­ется стан­дар­тный пар­сер.

Ис­сле­дова­тели выяс­нили, что, уста­новив дру­гой тип кон­тента (нап­ример, application/json), ата­кующий может обой­ти защиту. В такой ситу­ации n8n обра­баты­вает поля, свя­зан­ные с фай­лами, но без про­вер­ки валид­ности, что дает ата­кующе­му пол­ный кон­троль над метадан­ными фай­ла, вклю­чая путь. Экспер­ты пояс­няют:

Пос­коль­ку эта фун­кция вызыва­ется без про­вер­ки content-type, мы кон­тро­лиру­ем весь объ­ект req.body.files. Это зна­чит, что мы кон­тро­лиру­ем параметр filepath — и вмес­то копиро­вания заг­ружен­ного фай­ла можем ско­пиро­вать любой локаль­ный файл из сис­темы.

Экс­плу­ата­ция бага поз­воля­ет читать про­изволь­ные фай­лы, получать дос­туп к БД, извле­кать учет­ные дан­ные адми­нис­тра­тора и клю­чи шиф­рования, под­делывать сес­сион­ные cookie для обхо­да аутен­тифика­ции и в ито­ге добить­ся выпол­нения про­изволь­ных команд.

Проб­лема зат­рагива­ет все вер­сии n8n, вклю­чая 1.65.0. Патч для этой уяз­вимос­ти вышел еще в вер­сии 1.121.0 (18 нояб­ря 2025 года). Хотя никаких обходных путей для исправ­ления бага нет, раз­работ­чики рекомен­дуют огра­ничить или отклю­чить пуб­лично дос­тупные веб‑хук‑эндпо­инты и form-эндпо­инты.

По дан­ным экспер­тов Censys, в сети мож­но най­ти более 26 тысяч дос­тупных n8n-хос­тов. Боль­шинс­тво из них рас­положе­ны в США (7079), Гер­мании (4280), Фран­ции (2655), Бра­зилии (1347) и Син­гапуре (1129).

За про­шед­шие недели были рас­кры­ты детали еще трех кри­тичес­ких багов в n8n, помимо проб­лемы Ni8mare.

CVE-2026-21877 (CVSS: 10.0) — уяз­вимость свя­зана с неог­раничен­ной заг­рузкой фай­лов опас­ного типа и при опре­делен­ных обсто­ятель­ствах поз­воля­ет аутен­тифици­рован­ному зло­умыш­ленни­ку выпол­нить ненадеж­ный код через n8n, что при­водит к пол­ной ком­про­мета­ции инстан­са. Проб­лема зат­рагива­ет вер­сии от 0.123.0 до 1.121.3 (не вклю­читель­но) и была исправ­лена в вер­сии 1.121.3 (ноябрь 2025-го). Если немед­ленная уста­нов­ка пат­чей невоз­можна, адми­нис­тра­торам рекомен­дует­ся отклю­чить ноду Git и огра­ничить дос­туп для недове­рен­ных поль­зовате­лей.

CVE-2025-68668 получи­ла имя N8scape (CVSS: 9.9) — проб­лема поз­воля­ет обой­ти песоч­ницу в Python Code Node, который исполь­зует Pyodide. Аутен­тифици­рован­ный поль­зователь с пра­вами на соз­дание или изме­нение ворк­флоу может экс­плу­ати­ровать баг для выпол­нения про­изволь­ных команд в хост‑сис­теме, где запущен n8n, с теми же при­виле­гиями, что и про­цесс n8n. Уяз­вимость зат­рагива­ет вер­сии от 1.0.0 до 2.0.0 (не вклю­читель­но) и была устра­нена с релизом вер­сии 2.0.0. Раз­работ­чики n8n отме­тили, что с вер­сии 1.111.0 была внед­рена опци­ональ­ная натив­ная импле­мен­тация Python на осно­ве task runner для улуч­шенной изо­ляции безопас­ности, которая ста­ла дефол­тной в релизе 2.0.0.

CVE-2025-68613 (CVSS: 9.9) — баг типа improper control of dynamically-managed code resources, который при опре­делен­ных усло­виях поз­воля­ет аутен­тифици­рован­ным ата­кующим добить­ся RCE. Исправ­лен в вер­сиях 1.120.4, 1.121.1 и 1.122.0. По дан­ным Censys, по сос­тоянию на конец декаб­ря 2025 года в сети нас­читыва­лось бо­лее 100 тысяч потен­циаль­но уяз­вимых уста­новок.

Всем поль­зовате­лям n8n нас­тоятель­но рекомен­дуют как мож­но ско­рее обно­вить­ся до пос­ледних защищен­ных вер­сий. Кро­ме того, экспер­ты не совету­ют делать n8n дос­тупным через интернет нап­рямую и обя­затель­но вклю­чать аутен­тифика­цию для всех Forms.

Торвальдс о вайб-кодинге

Соз­датель Linux Линус Тор­валь­дс (Linus Torvalds) приз­нался, что исполь­зовал вайб‑кодинг для сво­его хоб­би‑про­екта AudioNoise — инс­тру­мен­та для генера­ции циф­ровых ауди­оэф­фектов. Тор­валь­дс написал основную логику на C, но для визу­али­зато­ра на Python вос­поль­зовал­ся ИИ‑ассистен­том Google Antigravity. В README-фай­ле про­екта на GitHub он объ­яснил:

Инс­тру­мент визу­али­зации на Python, по сути, написан вайб‑кодин­гом. Я знаю об ана­лого­вых филь­трах боль­ше, хотя и не нам­ного, чем о Python. Сна­чала я дей­ство­вал по сво­ей обыч­ной схе­ме «погуг­ли и пов­тори, как обезь­яна», но потом я исклю­чил из этой схе­мы пос­редни­ка — меня — и прос­то исполь­зовал Google Antigravity для соз­дания визу­али­зато­ра ауди­осем­плов.

При этом Тор­валь­дс под­черки­вает, что вайб‑кодинг под­ходит толь­ко для экспе­римен­тов и хоб­би‑про­ектов, но не для серь­езных задач вро­де раз­работ­ки ядра Linux.

Прокси-ссылки могут раскрывать IP-адреса пользователей Telegram

Ис­сле­дова­тели обна­ружи­ли уяз­вимость в Telegram для Android и iOS. Пос­ле кли­ка по спе­циаль­но офор­млен­ной ссыл­ке при­ложе­ние авто­мати­чес­ки соеди­няет­ся с сер­вером зло­умыш­ленни­ков, переда­вая им реаль­ный IP-адрес поль­зовате­ля. Никаких допол­нитель­ных под­твержде­ний при этом не тре­бует­ся.

Проб­лема свя­зана с тем, как Telegram обра­баты­вает прок­си‑ссыл­ки. Такие ссыл­ки (фор­мата t.me/proxy?...) поз­воля­ют быс­тро нас­тра­ивать MTProto-прок­си в кли­енте, прос­то клик­нув по ссыл­ке, вмес­то того, что­бы вруч­ную вво­дить дан­ные. Пос­ле откры­тия в Telegram при­ложе­ние счи­тыва­ет парамет­ры прок­си (вклю­чая сер­вер, порт и сек­ретный ключ) и пред­лага­ет поль­зовате­лю добавить прок­си в свои нас­трой­ки.

Как выяс­нилось, при откры­тии такой прок­си‑ссыл­ки в Telegram для Android и iOS при­ложе­ние авто­мати­чес­ки тес­тиру­ет соеди­нение с ука­зан­ным сер­вером (еще до того, как прок­си будет добав­лен в нас­трой­ки). Такое тес­товое под­клю­чение ини­циирует пря­мой тес­товый зап­рос с устрой­ства поль­зовате­ля.

В резуль­тате ата­кующие могут замас­кировать вре­донос­ную ссыл­ку даже под обыч­ный юзер­нейм. Нап­ример, в сооб­щении будет отоб­ражать­ся @durov, но на самом деле ссыл­ка будет вес­ти на прок­си‑сер­вер зло­умыш­ленни­ков. Пос­ле кли­ка по ней при­ложе­ние свя­жет­ся с прок­си‑сер­вером MTProto ата­кующих, переда­вая им реаль­ный IP-адрес жер­твы.

По­лучив IP-адрес, хакеры смо­гут вычис­лить при­мер­ное мес­тополо­жение жер­твы, про­вес­ти DDoS-ата­ку или исполь­зовать эти дан­ные для дру­гих целей. Проб­лема может пред­став­лять опас­ность для акти­вис­тов, жур­налис­тов и дис­сиден­тов.

Эк­спер­ты срав­нива­ют эту уяз­вимость с утеч­ками NTLM-хешей в Windows, где все­го одно вза­имо­дей­ствие с вре­донос­ным ресур­сом запус­кает авто­мати­чес­кий зап­рос без ведома поль­зовате­ля.

При этом раз­работ­чики Telegram заяви­ли изда­нию BleepingComputer, что вла­дель­цы любых сай­тов или прок­си‑опе­рато­ры могут видеть реаль­ные IP-адре­са посети­телей и это вов­се не уни­каль­но для Telegram:

Это при­мени­мо к Telegram не боль­ше, чем к WhatsApp или любому дру­гому сер­вису, который име­ет дос­туп к интерне­ту.

Тем не менее в Telegram пообе­щали добавить пре­дуп­режде­ние при откры­тии прок­си‑ссы­лок, что­бы поль­зовате­ли были вни­матель­нее к замас­кирован­ным URL. Прав­да, ког­да имен­но это пре­дуп­режде­ние появит­ся в при­ложе­ниях, не уточ­няет­ся.

OnePlus внедряет защиту от даунгрейда прошивки

Раз­работ­чики OnePlus добави­ли в све­жие обновле­ния ColorOS защиту Anti-Rollback Protection (ARB). В резуль­тате пос­ле обновле­ния ста­новит­ся невоз­можно вер­нуть­ся на ста­рую про­шив­ку, исполь­зовать кас­томный ROM, а так­же не работа­ет боль­шинс­тво методов вос­ста­нов­ления устрой­ств пос­ле сбоя. Механизм работа­ет на аппа­рат­ном уров­не, и изба­вить­ся от такой защиты невоз­можно.

Как сооб­щило изда­ние DroidWin, механизм ARB появил­ся с релизом ColorOS 16.0.3.500/.501/.503 — это сбор­ки на базе Android 16 для OnePlus 13, 13T, OnePlus 15 и линей­ки Ace 5.

За­щита сра­баты­вает в момент уста­нов­ки обновле­ния: на материн­ской пла­те «про­жига­ется» eFuse, который нав­сегда фик­сиру­ет новый уро­вень вер­сии безопас­ности устрой­ства. Отме­нить это прог­рам­мно невоз­можно — толь­ко заменить материн­скую пла­ту.

ARB явля­ется частью архи­тек­туры Verified Boot в Android. Тех­нология дав­но исполь­зует­ся в устрой­ствах Xiaomi, POCO, Redmi, Google и дру­гих про­изво­дите­лей. Ее основная задача — пре­дот­вра­тить откат на ста­рые и уяз­вимые вер­сии ПО. Отме­чает­ся, что по логике работы защита ARB похожа на Samsung Knox: там тоже сра­баты­вает пре­дох­ранитель при раз­бло­киров­ке заг­рузчи­ка, одна­ко Samsung не прев­раща­ет устрой­ство в «кир­пич», а бло­киру­ет сам про­цесс раз­бло­киров­ки заг­рузчи­ка.

За­щита у OnePlus реали­зова­на жес­тче. Так, пос­ле акти­вации ARB любая попыт­ка вер­нуть­ся на более ста­рую про­шив­ку при­водит к тому, что устрой­ство прев­раща­ется в «кир­пич». Ста­рые кас­томные ROM тоже не сра­бота­ют — устрой­ство «окир­пичит­ся». Так­же пос­ле это­го не сра­бота­ют стан­дар­тные методы вос­ста­нов­ления.

По информа­ции DroidWin, ARB уже работа­ет:

• на OnePlus 13 и 13T — ColorOS 16.0.3.501;
• OnePlus 15 — ColorOS 16.0.3.503;
• OnePlus Ace 5 и Ace 5 Pro — ColorOS 16.0.3.500.

Кро­ме того, под угро­зой находит­ся серия OPPO Find X8: там ARB, веро­ятно, тоже уже вклю­чена. На оче­реди устрой­ства OnePlus 11 и OnePlus 12.

Хо­тя пока защита ARB замече­на толь­ко в ColorOS, учи­тывая общую кодовую базу с OxygenOS, в бли­жай­ших обновле­ниях защит­ный механизм может появить­ся и там.

В ито­ге поль­зовате­лям, для которых важ­на воз­можность раз­бло­киров­ки заг­рузчи­ка или уста­нов­ки кас­томных про­шивок, не рекомен­дует­ся уста­нав­ливать обновле­ния с вер­сиями .500, .501 или .503.

884 уязвимости эксплуатировали в 2025 году впервые

• Спе­циалис­ты VulnCheck зафик­сирова­ли в 2025 году 884 новых KEV (Known Exploited Vulnerabilities — извес­тные экс­плу­ати­руемые уяз­вимос­ти), которые ата­кова­ли хакеры.

• 28,96% из этих багов начина­ли экс­плу­ати­ровать в день пуб­ликации информа­ции о CVE или рань­ше (рост на 23,6% по срав­нению с 2024 годом).
• Под­черки­вает­ся, что 0-day и n-day оста­ются глав­ной угро­зой. Вре­мя меж­ду пуб­ликаци­ей CVE и ата­ками прак­тичес­ки не изме­нилось меж­ду 2024 и 2025 годами. Хакеры дей­ству­ют ста­биль­но и быс­тро — пат­терны оста­лись теми же.

• Сум­марно экс­плу­ата­ция зат­ронула 518 про­изво­дите­лей и 672 про­дук­та.

• Для срав­нения: в спи­сок CISA KEV за год добави­ли толь­ко 245 уяз­вимос­тей в про­дук­тах 99 вен­доров. VulnCheck пуб­ликова­ла дан­ные об экс­плу­ата­ции слу­чаев рань­ше CISA в 85% (иног­да на дни, месяцы или даже годы).

Microsoft обратилась в суд для пресечения работы платформы RedVDS

Ком­пания Microsoft сооб­щила о лик­видации RedVDS — круп­ной плат­формы по про­даже вир­туаль­ных сер­веров, ущерб от работы которой пре­выша­ет 40 мил­лионов дол­ларов толь­ко в США. Ком­пания подала иски в аме­рикан­ские и бри­тан­ские суды, добилась изъ­ятия инфраструк­туры RedVDS, зак­рыла дос­туп к мар­кет­плей­су и кли­ент­ско­му пор­талу. Опе­рация про­води­лась сов­мес­тно с Евро­полом и немец­кими влас­тями.

В качес­тве истцов к Microsoft при­соеди­нились фар­мацев­тичес­кая ком­пания H2-Pharma из Ала­бамы, потеряв­шая 7,3 мил­лиона дол­ларов в ходе BEC-ата­ки, а так­же ассо­циация Gatehouse Dock во Фло­риде, у которой похити­ли поч­ти 500 тысяч дол­ларов.

Все­го за 24 дол­лара в месяц RedVDS пре­дос­тавлял прес­тупни­кам дос­туп к одно­разо­вым вир­туаль­ным машинам, которые делали мошен­ничес­тво дешевым, мас­шта­биру­емым и труд­ноот­сле­жива­емым, — рас­ска­зыва­ет Сти­вен Масада (Steven Masada), помощ­ник генераль­ного юрис­консуль­та под­разде­ления Microsoft Digital Crimes Unit. — Такие сер­висы незамет­но прев­ратились в дви­жущую силу рос­та кибер­прес­тупнос­ти, под­держи­вая ата­ки, которые бьют по людям, биз­несу и сооб­щес­твам по все­му миру.

RedVDS был акти­вен с 2019 года, исполь­зуя домены redvds[.]com, redvds[.]pro и vdspanel[.]space. Сер­вис про­давал дос­туп к вир­туаль­ным Windows-сер­верам с пра­вами адми­нис­тра­тора и без каких‑либо огра­ниче­ний по исполь­зованию. По информа­ции иссле­дова­телей, кли­ента­ми плат­формы были нес­коль­ко хак­групп, которые Microsoft отсле­жива­ет как Storm-0259, Storm-2227, Storm-1575 и Storm-1747.

Рас­сле­дова­ние показа­ло, что раз­работ­чик и опе­ратор сер­виса (груп­пиров­ка Storm-2470) соз­давал все вир­туаль­ные машины из одно­го кло­ниро­ван­ного обра­за Windows Server 2022. Это оста­вило харак­терный тех­ничес­кий след — все инстан­сы име­ли оди­нако­вое имя компь­юте­ра WIN-BUNS25TD77J. Эта ано­малия помог­ла иссле­дова­телям обна­ружить при­час­тность плат­формы к раз­ным вре­донос­ным кам­пани­ям.

RedVDS арен­довал сер­веры у сто­рон­них хос­тинг‑про­вай­деров в Великоб­ритании, Гер­мании, Канаде, Нидер­ландах, США и Фран­ции. В ито­ге прес­тупни­ки мог­ли выбирать IP-адре­са, геог­рафичес­ки близ­кие к жер­твам, и лег­ко обхо­дить геоб­локиров­ки.

На арен­дован­ных машинах кли­енты раз­ворачи­вали широкий спектр мал­вари и инс­тру­мен­тов: ути­литы для мас­совых рас­сылок, пар­серы email-адре­сов, средс­тва ано­ними­зации и ПО уда­лен­ного дос­тупа. Сер­вис поз­волял рас­сылать фишин­говые пись­ма, хос­тить мошен­ничес­кую инфраструк­туру и занимать­ся мошен­ничес­твом, сох­раняя ано­ним­ность через крип­товалют­ные пла­тежи.

Сер­веры RedVDS так­же исполь­зовались для кра­жи учет­ных дан­ных, зах­вата акка­унтов, BEC-атак и мошен­ничес­тва с перенап­равле­нием пла­тежей в сдел­ках с нед­вижимостью. Пос­леднее при­вело к круп­ным финан­совым потерям для более чем 9000 кли­ентов в Канаде и Авс­тра­лии.

В Microsoft отме­чают, что мно­гие кли­енты RedVDS при­меня­ли инс­тру­мен­ты на базе ИИ, вклю­чая ChatGPT, для соз­дания более убе­дитель­ных фишин­говых писем. Дру­гие исполь­зовали тех­нологии под­мены лиц, виде­одип­фей­ки и кло­ниро­вали голоса для ими­тации доверен­ных орга­низа­ций и людей.

За один месяц кибер­прес­тупни­ки, кон­тро­лиро­вав­шие более 2600 вир­туаль­ных машин RedVDS, в сред­нем рас­сылали мил­лион фишин­говых сооб­щений в день толь­ко поль­зовате­лям Microsoft. В резуль­тате лишь за пос­ледние четыре месяца им уда­лось ском­про­мети­ровать поч­ти 200 тысяч акка­унтов Microsoft.

С сен­тября 2025 года ата­ки через RedVDS при­вели к ком­про­мета­ции или мошен­ничес­кому дос­тупу более чем к 191 тысяче орга­низа­ций по все­му миру, — добав­ляет Масада. — Эти циф­ры отра­жают лишь часть пос­тра­дав­ших акка­унтов и под­черки­вают, нас­коль­ко быс­тро подоб­ная инфраструк­тура поз­воля­ет мас­шта­биро­вать кибера­таки.

Свинцов о блокировке WhatsApp

За­мес­титель пред­седате­ля комите­та Гос­думы по информа­цион­ной полити­ке, информа­цион­ным тех­нологи­ям и свя­зи Андрей Свин­цов заявил СМИ, что WhatsApp окон­чатель­но заб­локиру­ют в Рос­сии до кон­ца 2026 года. Депутат отме­тил:

Я думаю, что, дей­стви­тель­но, до кон­ца года Рос­комнад­зор при­мет ком­плекс мер для окон­чатель­ной бло­киров­ки WhatsApp. Это свя­зано с тем, что WhatsApp при­над­лежит приз­нанной у нас в Рос­сии экс­тре­мист­ской ком­пании Meta, и вот такие жес­ткие меры, осо­бен­но в пред­выбор­ный год, абсо­лют­но обос­нован­ны.

В сети опубликована информация о 324 тысячах аккаунтов хакерского форума BreachForums

Оче­ред­ная вер­сия хакер­ско­го форума BreachForums пос­тра­дала от утеч­ки дан­ных — в пуб­личный дос­туп выложи­ли БД с информа­цией о поль­зовате­лях ресур­са.

Нев­зирая на регуляр­ные утеч­ки дан­ных и дей­ствия полиции, BreachForums упор­но воз­рожда­ется на новых доменах. При этом мно­гие подоз­рева­ют, что с некото­рых пор сайт стал ловуш­кой для кибер­прес­тупни­ков, орга­низо­ван­ной спец­служ­бами.

9 янва­ря 2026 года на сай­те, наз­ванном в честь вымога­тель­ской груп­пиров­ки ShinyHunters, появил­ся архив breachedforum.7z. Внут­ри ока­зались три фай­ла: исто­рия неко­его Джей­мса в тек­сто­вом докумен­те (веро­ятно, это один из быв­ших учас­тни­ков ShinyHunters), SQL-дамп базы дан­ных и PGP-ключ адми­нис­тра­ции форума.

Сто­ит отме­тить, что пред­ста­витель ShinyHunters сооб­щил СМИ, что груп­па не име­ет никако­го отно­шения к это­му ресур­су.

Файл с PGP-клю­чом содер­жит при­ват­ный ключ, соз­данный 25 июля 2023 года. Его исполь­зовали для под­писи офи­циаль­ных сооб­щений от адми­нис­тра­торов BreachForums. Ключ утек, но защищен паролем — без кодовой фра­зы зло­умыш­ленни­ки не смо­гут под­писывать сооб­щения от име­ни адми­нис­тра­ции.

Как замети­ли в ИБ‑ком­пании Resecurity, поз­же на сай­те был выложен пароль к при­ват­ному PGP-клю­чу, и дру­гие иссле­дова­тели под­твер­дили, что пароль под­линный.

SQL-файл содер­жит таб­лицу поль­зовате­лей из MyBB с 323 988 запися­ми. Для каж­дой записи дос­тупна информа­ция о ник­ней­ме, дате регис­тра­ции, IP-адре­се и про­чие слу­жеб­ные дан­ные.

Ана­лиз показал, что боль­шинс­тво IP-адре­сов ука­зыва­ют на локаль­ный loopback (127.0.0.9), поэто­му не пред­став­ляют прак­тичес­кой цен­ности. Одна­ко 70 296 записей содер­жат реаль­ные пуб­личные адре­са. Это может стать проб­лемой для поль­зовате­лей форума, ведь такие дан­ные могут заин­тересо­вать как пра­воох­ранитель­ные орга­ны, так и ИБ‑иссле­дова­телей.

Пос­ледняя дата регис­тра­ции в утек­шей БД — 11 августа 2025 года. В этот же день вер­сия форума на домене breachforums[.]hn зак­рылась пос­ле арес­та нес­коль­ких пред­полага­емых опе­рато­ров сай­та.

Ны­неш­ний адми­нис­тра­тор BreachForums под ником N/A под­твер­дил утеч­ку. По его сло­вам, резер­вная копия таб­лицы поль­зовате­лей вре­мен­но ока­залась в незащи­щен­ной дирек­тории и была ска­чана отту­да все­го один раз:

Мы хотим про­яснить ситу­ацию с пред­полага­емой утеч­кой базы дан­ных. Преж­де все­го, это не недав­ний инци­дент. Дан­ные отно­сят­ся к ста­рой утеч­ке таб­лицы поль­зовате­лей от августа 2025 года, ког­да BreachForums вос­ста­нав­ливали пос­ле зак­рытия домена .hn. Во вре­мя вос­ста­нов­ления таб­лица поль­зовате­лей и PGP-ключ форума корот­кое вре­мя хра­нились в незащи­щен­ной пап­ке. Наше рас­сле­дова­ние показа­ло, что пап­ку ска­чали толь­ко один раз.

В сво­ем сооб­щении N/A посове­товал поль­зовате­лям полагать­ся на одно­разо­вые email-адре­са для сни­жения рис­ков, а так­же отме­тил, что боль­шинс­тво IP-адре­сов в таб­лице все же ука­зыва­ли на локаль­ные адре­са.

В Роскомнадзоре подтвердили замедление Telegram

За­мес­титель пред­седате­ля Совета по раз­витию циф­ровой эко­номи­ки при Совете Федера­ции, сенатор Артем Шей­кин объ­яснил проб­лемы с заг­рузкой видео в Telegram. По его сло­вам, Рос­комнад­зор (РКН) пос­ледова­тель­но при­меня­ет меры в отно­шении интернет‑сер­висов, наруша­ющих законо­датель­ство РФ. В ведомс­тве наз­вали объ­ясне­ния сенато­ра «исчерпы­вающи­ми».

Шей­кин заявил:

Рос­комнад­зор пос­ледова­тель­но при­меня­ет меры в отно­шении интернет‑сер­висов, наруша­ющих законо­датель­ство РФ. Инос­тран­ные мес­сен­дже­ры исполь­зуют­ся для орга­низа­ции и про­веде­ния тер­рорис­тичес­ких актов на тер­ритории Рос­сии, для мошен­ничес­ких и иных прес­тупле­ний про­тив граж­дан нашей стра­ны. Telegram не выпол­няет тре­бова­ния, нап­равлен­ные на пре­дуп­режде­ние и пре­сече­ние совер­шения прес­тупле­ний на тер­ритории РФ. В свя­зи с этим с августа 2025 года поэтап­но вво­дились огра­ничи­тель­ные меры в отно­шении дан­ного мес­сен­дже­ра: не «про­ходят» аудио- и виде­озвонки, отчасти замед­ляет­ся переда­ча меди­афай­лов.

По сло­вам сенато­ра, огра­ниче­ния вво­дят­ся пос­ледова­тель­но и это поз­воля­ет рос­сиянам перей­ти на исполь­зование дру­гих мес­сен­дже­ров. Шей­кин добавил:

Я рекомен­дую в качес­тве аль­тер­нативы инос­тран­ного сер­виса исполь­зовать толь­ко наци­ональ­ные мес­сен­дже­ры.

Вско­ре пос­ле это­го заяв­ления пред­ста­вите­ли пресс‑служ­бы РКН сооб­щили, что информа­ция, пред­став­ленная Шей­киным, была «исчерпы­вающей».

Не­задол­го до это­го СМИ сооб­щали, что Рос­комнад­зор при­меня­ет «новые огра­ниче­ния» к Telegram.

Тог­да замес­титель пред­седате­ля комите­та по информа­цион­ной полити­ке, информа­цион­ным тех­нологи­ям и свя­зи Андрей Свин­цов го­ворил, что регуля­тор замед­лил заг­рузку видео в мес­сен­дже­ре, и объ­яснял замед­ление недос­таточ­ным сот­рудни­чес­твом с влас­тями РФ. По его сло­вам, проб­лемы с видео — это «мяг­кий намек» руководс­тву Telegram, что пора активнее сот­рудни­чать с рос­сий­ски­ми влас­тями.

При этом пред­ста­вите­ли Рос­комнад­зора офи­циаль­но заяви­ли жур­налис­там, что ведомс­тво не при­меня­ет никаких новых мер по огра­ниче­нию работы мес­сен­дже­ра Telegram.

На­пом­ним, что в 2025 году Рос­комнад­зор на­чал огра­ничи­вать голосо­вые звон­ки в WhatsApp (при­над­лежит ком­пании Meta, которая приз­нана экс­тре­мист­ской орга­низа­цией и зап­рещена в РФ) и Telegram еще в августе 2025 года, объ­ясняя это борь­бой с мошен­никами и тер­рорис­тами. В октябре ведомс­тво переш­ло к час­тично­му огра­ниче­нию работы сер­висов, а в кон­це нояб­ря пре­дуп­редило о воз­можной пол­ной бло­киров­ке WhatsApp в Рос­сии, если мес­сен­джер не нач­нет соб­людать рос­сий­ское законо­датель­ство.

11,9 триллиона долларов — прогноз ущерба от киберпреступлений в 2026 году

• Эк­спер­ты Positive Technologies оце­нива­ют гло­баль­ный ущерб от дей­ствий хакеров в 11,9 трил­лиона дол­ларов США в 2026 году. Глав­ным катали­зато­ром угроз, по их мне­нию, ста­нет искусс­твен­ный интеллект.
• Поч­ти по­лови­на всех атак (47%) в 2025 году при­вела к наруше­нию основной деятель­нос­ти орга­низа­ций — это на 16 п. п. боль­ше, чем в 2024 году. Доля уте­чек кон­фиден­циаль­ной информа­ции вырос­ла с 53 до 64%.

• Про­мыш­ленные пред­при­ятия попали под удар в 15% слу­чаев, что срав­няло их с тра­дици­онным лидером — государс­твен­ным сек­тором. ИТ‑ком­пании и сфе­ра услуг наб­рали по 7% атак каж­дая.

• Мо­дель AI-scam as a service поз­волит даже низ­коква­лифи­циро­ван­ным прес­тупни­кам реали­зовать пол­ный цикл ата­ки — от под­готов­ки инфраструк­туры до написа­ния пер­сонали­зиро­ван­ных пром­птов. ИИ авто­мати­зиру­ет все эта­пы фишин­говых кам­паний.
• Тех­ника ClickFix так­же наб­рала популяр­ность за пос­ледние два года: хакеры под видом легитим­ных уве­дом­лений вынуж­дают жер­тву выпол­нить вре­донос­ную коман­ду.
• По сло­вам иссле­дова­телей, боль­шинс­тво фишин­говых кам­паний будут запус­кать­ся через сер­висы «фишинг как услу­га», которые пред­лага­ют инс­тру­мен­ты для обхо­да мно­гофак­торной аутен­тифика­ции.

Данные пользователей кошельков Ledger утекли из-за компрометации сторонней компании

Про­изво­дитель аппа­рат­ных крип­токошель­ков Ledger пре­дуп­редил кли­ентов об утеч­ке дан­ных, про­изо­шед­шей из‑за взло­ма сто­рон­ней пла­теж­ной сис­темы Global-e. Как сооб­щили в ком­пании, ата­ка зат­ронула толь­ко инфраструк­туру про­цес­синго­вого пар­тне­ра — собс­твен­ная сеть Ledger и ее аппа­рат­но‑прог­рам­мные сис­темы не пос­тра­дали.

Утеч­ка зат­ронула покупа­телей, офор­мляв­ших заказы на сай­те ledger.com пос­редс­твом Global-e. В резуль­тате утек­ли име­на и кон­так­тные дан­ные поль­зовате­лей, но отме­чает­ся, что финан­совая информа­ция не зат­ронута.

Плат­форма Global-e обра­баты­вает пла­тежи и заказы, а так­же занима­ется налога­ми и таможен­ными пош­линами для круп­ных ретей­леров — от Adidas и Disney до Netflix и Hugo Boss.

Так­же пред­ста­вите­ли Ledger под­чер­кну­ли, что хакеры не смог­ли похитить seed-фра­зы для дос­тупа к крип­токошель­кам, сос­тоящие из 24 слов, а так­же любые дру­гие кри­тичес­ки важ­ные дан­ные, свя­зан­ные с циф­ровыми акти­вами. Ни Global-e, ни Ledger в прин­ципе не име­ют дос­тупа к этой информа­ции.

Пла­теж­ная информа­ция не пос­тра­дала, — заяви­ли в Ledger. — Но мы при­зыва­ем всех сох­ранять бди­тель­ность: ата­кующие могут попытать­ся исполь­зовать укра­ден­ные дан­ные для фишин­говых атак, что­бы выманить seed-фра­зы.

Ком­пания напоми­нает, что никог­да нель­зя рас­кры­вать пос­торон­ним seed-фра­зы, а так­же по воз­можнос­ти сле­дует исполь­зовать фун­кцию Clear Sign для под­твержде­ния тран­закций.

Нуж­но отме­тить, что этот инци­дент зат­ронул не толь­ко Ledger. Сог­ласно заяв­лению пред­ста­вите­лей Global-e, зло­умыш­ленни­ки получи­ли дос­туп к облачной информа­цион­ной сис­теме с дан­ными заказов кли­ентов сра­зу нес­коль­ких брен­дов. Спи­сок пос­тра­дав­ших ком­паний пока не рас­кры­вает­ся.

В Global-e уве­ряют, что отре­аги­рова­ли на ата­ку быс­тро: как толь­ко в облачной сре­де обна­ружи­ли подоз­ритель­ную активность, ском­про­мети­рован­ные сис­темы изо­лиро­вали и защити­ли. Сей­час пла­теж­ный про­цес­сор уве­дом­ляет о слу­чив­шемся всех потен­циаль­но пос­тра­дав­ших поль­зовате­лей и регуля­торов.

Злоумышленники взламывают устройства Fortinet FortiGate и крадут конфигурации

С середи­ны янва­ря на фай­рво­лы Fortinet FortiGate началась мас­совая авто­мати­зиро­ван­ная ата­ка. Хакеры за счи­таные секун­ды взла­мыва­ют устрой­ства через уяз­вимость в SSO, соз­дают фаль­шивые акка­унты адми­нис­тра­тора с VPN-дос­тупом и похища­ют кон­фигура­ции. Спе­циалис­ты Arctic Wolf, обна­ружив­шие эту активность, пре­дуп­редили, что ата­ки про­дол­жают­ся до сих пор.

По информа­ции иссле­дова­телей, ата­ки начались 15 янва­ря 2026 года. Опе­рато­ры этой кам­пании экс­плу­ати­руют некую проб­лему в механиз­ме SSO и момен­таль­но соз­дают новые учет­ные записи, пра­вят нас­трой­ки VPN и фай­рво­ла, а так­же выг­ружа­ют пол­ные кон­фигура­ции устрой­ств. Такие кон­фигура­ции час­то содер­жат кон­фиден­циаль­ные учет­ные дан­ные и све­дения о внут­ренней сети, фак­тичес­ки пре­дос­тавляя зло­умыш­ленни­кам схе­му того, что сле­дует ата­ковать даль­ше.

В Arctic Wolf под­черки­вают, что все эти дей­ствия выпол­няют­ся за секун­ды, а это ука­зыва­ет на пол­ную авто­мати­зацию атак.

В декаб­ре 2025 года Arctic Wolf уже докумен­тирова­ла похожие инци­ден­ты пос­ле пуб­ликации информа­ции о кри­тичес­кой уяз­вимос­ти CVE-2025-59718. Этот баг свя­зан с обхо­дом аутен­тифика­ции в FortiGate через спе­циаль­но сфор­мирован­ные SAML-сооб­щения. Проб­лема поз­воля­ет неаутен­тифици­рован­ным ата­кующим вой­ти в сис­тему, если на устрой­стве акти­вен FortiCloud SSO.

Раз­работ­чики Fortinet вы­пус­тили пат­чи для CVE-2025-59718 и свя­зан­ной проб­лемы CVE-2025-59719 еще в декаб­ре, с релизом FortiOS 7.4.9. Одна­ко, похоже, исправ­ления не помог­ли. Адми­нис­тра­торы взло­ман­ных устрой­ств сооб­щают, что ата­кам под­верга­ются даже сис­темы, обновлен­ные до пос­ледней вер­сии 7.4.10.

В нас­тоящее вре­мя ком­пания готовит экс­трен­ные релизы FortiOS 7.4.11, 7.6.6 и 8.0.0, которые дол­жны окон­чатель­но решить проб­лему CVE-2025-59718.

Ло­ги с взло­ман­ных фай­рво­лов показы­вают, что хакеры заходят через SSO с адре­са cloud-init@mail(.)io, исполь­зуя IP 104.28.244(.)114. Пос­ле это­го соз­дает­ся новый акка­унт адми­нис­тра­тора. Эти инди­като­ры ком­про­мета­ции сов­пада­ют с дан­ными Arctic Wolf: иссле­дова­тели пишут, что наб­люда­ют ана­логич­ную активность как в текущих ата­ках, так и в декабрь­ских инци­ден­тах.

По­ка Fortinet не выпус­тит пол­ноцен­ные пат­чи, экспер­ты рекомен­дуют вре­мен­но отклю­чить FortiCloud SSO, если он вклю­чен.

Сог­ласно ста­тис­тике Shadowserver, в сети мож­но обна­ружить поч­ти 11 тысяч устрой­ств FortiGate с активным FortiCloud SSO, которые явля­ются потен­циаль­ными целями для ата­кующих.

Боярский о блокировках и суверенном интернете

Гла­ва комите­та Гос­думы по информа­цион­ной полити­ке, информа­цион­ным тех­нологи­ям и свя­зи Сер­гей Бояр­ский дал интервью «Ком­сомоль­ской прав­де», в котором рас­ска­зал, почему влас­ти дег­радиру­ют звон­ки в зарубеж­ных мес­сен­дже­рах, не собира­ются пол­ностью банить VPN и счи­тают, что Рос­сия ста­ла треть­ей суверен­ной циф­ровой дер­жавой нарав­не с Кита­ем и США.

Бо­ярский объ­яснил, что проб­лема WhatsApp и Telegram в Рос­сии зак­люча­ется в том, что запад­ные сер­висы отка­зыва­ются работать по рос­сий­ским законам, не откры­вают офи­сы в стра­не и игно­риру­ют зап­росы пра­воох­ранитель­ных орга­нов о борь­бе с мошен­никами. Основной аргу­мент депута­та — защита от мошен­ников. По его сло­вам, наци­ональ­ный мес­сен­джер Max интегри­рован в кон­тур безопас­ности Рос­сии, бла­года­ря чему уже уда­лось пре­дот­вра­тить сот­ни тысяч слу­чаев обма­на. Бояр­ский приз­вал граж­дан:

Ес­ли вы любите свою род­ню, уда­лите у них WhatsApp! Потому что им могут поз­вонить мошен­ники и лишить сбе­реже­ний, зас­тавить, не дай бог, что‑нибудь под­жечь.

Так­же депутат пояс­нил, что пол­ностью заб­локиро­вать VPN тех­ничес­ки слож­но, поэто­му влас­ти идут дру­гим путем — зап­реща­ют его рек­ламу. При этом Бояр­ский совету­ет исполь­зовать VPN ситу­атив­но, а не дер­жать вклю­чен­ным пос­тоян­но:

За­хотел ты зай­ти в зап­рещен­ный Instagram (при­над­лежит ком­пании Meta, которая приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии). Зай­ди, пос­мотри, вык­лючи VPN. Захотел пос­мотреть что‑то на YouTube — вклю­чил VPN, пос­мотрел, вык­лючил. Если кому‑то нес­терпи­мо хочет­ся поз­вонить по WhatsApp, поз­воните, но потом вык­лючите. Потому что, если вы живете с вклю­чен­ным VPN, все уси­лия государс­тва, пот­рачен­ные на то, что­бы под­росток не стол­кнул­ся с груп­пами смер­ти, тер­рорис­тами, педофи­лами, сво­дят­ся на нет.