Рекрутинговый ИИ-бот McDonald’s раскрыл данные миллионов соискателей из-за пароля «123456»
Известные ИБ-эксперты и багхантеры Сэм Карри (Sam Curry) и Иэн Кэрролл (Ian Carroll) обнаружили, что чат-бот Olivia, с помощ…
Расширения превратили почти миллион браузеров в ботов для скрапинга
Расширения для Chrome, Firefox и Edge, установленные почти миллион раз, обходят защиту и превращают браузеры в скраперы, кот…
По следам Log4shell. Разбираем две уязвимости, оставшиеся в тени
Еще в декабре 2021-го, когда были найдены и закрыты четыре уязвимости Log4shell в Log4J, оказалось, что их на самом деле больше. Две из них — отказ в обслуживании и утечка данных — тогда широко известны не были. Лишь в сентябре 2022 года вендор официально признал их, но представил как часть тех самых четырех исходных багов. Поэтому патчей и новых CVE всем этим багам не положено.
В контроллере домена для Linux-систем FreeIPA устранен критический баг
Компания Red Hat поблагодарила эксперта Positive Technologies за обнаружение критической уязвимости в контроллере домена для…
Миллионы автомобилей уязвимы перед Bluetooth-атаками PerfektBlue
Четыре уязвимости, получившие общее название PerfektBlue, затрагивают Bluetooth-стек BlueSDK от OpenSynergy. Проблемы позвол…
Российский баскетболист арестован и оказался фигурантом дела о вымогателях
Российский профессиональный баскетболист Даниил Касаткин был задержан во французском аэропорту Шарль-де-Голль по запросу вла…
Малварь из Open VSX маскировалась под расширение для Cursor AI
К специалистам «Лаборатории Касперского» обратился российский блокчейн-разработчик, у которого похитили криптовалюту на сумм…
Атака TapTrap использует анимацию UI для обхода системы разрешений Android
TapTrap эксплуатирует анимацию пользовательского интерфейса для обхода системы разрешений Android. Это позволяет получить до…
Найден еще один способ получения ключей для Windows от ChatGPT
ИБ-исследователь Марко Фигероа (Marco Figueroa) рассказал о способе, который можно использовать для извлечения Windows-ключе…
Безопасный SSH. Как передавать пароли, чтобы их никто не украл
SSH обеспечивает шифрование и аутентификацию, но даже с ним возможны уязвимости — например, передача пароля в открытом виде через параметры команд. В статье разберем, почему это опасно, посмотрим примеры утечек, предложим скрипты и методы для обнаружения и предотвращения этой угрозы.
Google усиливает защиту Chrome для Android
В Google рассказали, как будет работать Advanced Protection в Chrome для Android, и подчеркнули, что безопасность браузера з…
Инсайдер получил 920 долларов за участие в ограблении на 140 млн долларов
Хакеры похитили около 140 млн долларов из шести банков Бразилии, воспользовавшись учетными данными сотрудника ИТ-компании C&…
У оператора биткоин-банкоматов Bitcoin Depot похитили данные 27 000 пользователей
Рекомендуем почитать: Хакер #316. Android по-хакерски Содержание выпуска Подписка на «Хакер»-60% Компания Bitcoin Depot, кру…
В июле Microsoft исправила 137 уязвимостей
В этом месяце разработчики Microsoft исправили 137 уязвимостей в рамках «вторника обновлений». Ни одна из этих ошибок не исп…
Страшилки и ужасы ИИ. Как перестать бояться и полюбить восстание машин
Ты наверняка уже видел не одну и не две алармистских новости, связанных с искусственным интеллектом. ИИ отказался отключаться; ИИ шантажировал сотрудников; ИИ сводит людей с ума... Что из этого действительно вызывает тревогу, а что — обычные страшилки от людей, далеких от области высоких технологий? И что правильнее — зарегулировать развитие ИИ или присоединиться к восстанию машин?
Инфостилер Atomic для macOS теперь комплектуется бэкдором
Исследователи обнаружили новую версию стилера Atomic для macOS (он же AMOS). Теперь малварь поставляется с бэкдором, который…
Опубликованы эксплоиты и технические детали уязвимости Citrix Bleed 2
В открытом доступе появились PoC-эксплоиты для критической уязвимости Citrix Bleed 2 (CVE-2025-5777). Исследователи предупре…
Фишеры угнали у Павла Жовнера аккаунт в X
В минувшие выходные один из авторов Flipper Zero, Павел Жовнер, рассказал в своем Telegram-канале, что он стал жертвой фишин…
В Chrome Web Store нашли вредоносные расширения, установленные 1,7 млн раз
Специалисты Koi Security обнаружили 11 вредоносных расширений в официальном магазине Chrome Web Store. Расширения могли след…
Джек Дорси анонсировал мессенджер Bitchat, работающий посредством Bluetooth Low Energy
Генеральный директор Block и соучредитель Twitter Джек Дорси (Jack Dorsey) анонсировал децентрализованный P2P-мессенджер Bit…
Авиакомпания Qantas пострадала от взлома. Украдены данные 6 млн человек
Австралийская авиакомпания Qantas сообщила, что стала жертвой кибератаки, и злоумышленники потребовали у нее выкуп. В резуль…
Сдаем HTB CAPE. Как я получил сертификацию от создателей Hack The Box
Недавно я завершил курс и успешно сдал экзамен HTB Certified Active Directory Pentesting Expert (CAPE). В этой статье я поделюсь своими впечатлениями и расскажу, что тебя ждет на пути к этой сертификации, если ты тоже планируешь ее заполучить.
Опенсорсный инструмент Anubis блокирует ИИ-скраперов
В январе 2025 года Ксе Иасо (Xe Iaso) создала опенсорсный инструмент Anubis, предназначенный для борьбы с ИИ-скраперами. В н…
Утекший red team инструмент Shellter используют для внедрения инфостилеров
Компания Shellter Project, производитель коммерческого загрузчика для обхода антивирусов и EDR-систем, предупредила, что хак…
Шпионское ПО Batavia охотится за документами российских предприятий
Эксперты «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная хак-группа рассылает российским предприя…
352 приложения для Android были заражены рекламной малварью IconAds
Специалисты Human Security обнаружили кампанию, связанную с рекламным мошенничеством, которая получила название IconAds. Исс…
HTB Cat. Получаем приватные данные через XSS в Gitea
Сегодня я покажу процесс эксплуатации двух XSS-уязвимостей: сначала в веб‑приложении, что позволит нам получить сессию администратора, а затем — в репозитории Gitea, чтобы повысить привилегии в Linux. Также нам понадобится использовать SQL-инъекцию, чтобы получить учетные данные приложения.
ChatGPT указывает неверные URL-адреса для сайтов крупных компаний
Аналитики из компании Netcraft обнаружили, что чат-боты с ИИ зачастую выдают неверную информацию, когда их просят назвать ад…
Хакеры публикуют украденные у Telefónica данные
Хакер угрожает слить 106 ГБ данных, предположительно похищенных у испанской телекоммуникационной компании Telefónica в резул…
Домены .es стали в 19 раз популярнее среди фишеров
По данным специалистов Cofense, количество вредоносных кампаний, запускаемых с доменов .es, увеличилось в 19 раз. Такие доме…
Критическая уязвимость в sudo позволяет получить root-права в Linux
В утилите sudo были обнаружены две уязвимости, которые позволяют локальным злоумышленникам повысить свои привилегии до уровн…
Шпионское приложение Catwatchful раскрыло данные 62 000 пользователей
Исследователь обнаружил уязвимость в шпионском приложении Catwatchful для Android, которое рекламируется как решение для род…
Microsoft просит игнорировать ошибки Windows Firewall
Компания Microsoft попросила пользователей не обращать внимания на ошибки брандмауэра Windows, которые появляются после уста…
Обратный AutoIt. Декомпилируем и деобфусцируем скрипт, снимаем лимиты без пересборки проекта
Давай разберемся, как вытащить исходники из «скомпилированного» скрипта AutoIt, обойти обфускацию и снять триальные ограничения без пересборки проекта. Я покажу, как работает декомпилятор myAutToExe, где скрыты строки и как подловить ключевую переменную, чтобы обмануть проверку регистрации, — по шагам, от реверса до финального патча.
Группировка Hunters International закрывается и выпускает бесплатные дешифраторы
RaaS-группировка Hunters International объявила, что прекращает свою деятельность и намерена выпустить бесплатные инструмент…
Positive Technologies помогла устранить уязвимость в библиотеке PHPOffice
Специалист Positive Technologies Александр Журнаков помог устранить уязвимость в опенсорсной библиотеке Math, которая исполь…
Более 40 расширений для Firefox воруют криптовалюту
В официальном магазине расширений для Firefox нашли более 40 аддонов, которые выдавали себя за популярные криптовалютные кош…
Уязвимость в WordPress-плагине Forminator угрожает 400 000 сайтов
В плагине Forminator для WordPress обнаружили уязвимость, связанную с неавторизованным удалением произвольных файлов, что мо…
Злая колонка. Как «Яндекс Станция» может превратиться в шпионский гаджет
«Они следят за тобой через нее!» — наверняка каждый владелец умной колонки слышал это от кого‑то или даже сам так думает. Производители, конечно, опровергают подобные домыслы, но, даже если они шпионских функций не закладывали, теоретически такая возможность есть. Я решил поставить эксперимент и посмотреть, может ли колонка обернуться шпионом.
Microsoft Defender для Office 365 будет блокировать email-бомбинг
Компания Microsoft сообщила, что теперь ее облачное защитное решение Defender для Office 365 (ранее Office 365 Advanced Thre…
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире