NX стал жертвой атаки на цепочку поставок. В итоге хакеры похитили тысячи секретов
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволи…
«Яндекс» оштрафовали на 10 000 рублей за непредоставление ФСБ доступа к системе умного дома «Алиса»
СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей н…
Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком
В этой статье я расскажу про необычный кейс фишинговой атаки: поскольку жертвы не поддавались на простой фишинг, нам с коллегами пришлось создать поддельную персону разработчика, а также троянское приложение, якобы созданное им. И вот оно наконец‑то сделало свое дело.
ИБ-сообщество обеспокоено новым пакетом антифрод-мер
Во втором пакете мер по борьбе с кибермошенниками, опубликованном Минцифры на этой неделе, обнаружили часть, которая предпол…
Госучреждения в Неваде закрылись из-за кибератаки
В прошлые выходные американский штат Невада пострадал от масштабной кибератаки. В результате уже несколько дней власти борют…
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ
Представители компании сообщили СМИ, что проблемы в работе Google Meet, с которыми сталкиваются российские пользователи, не …
Anthropic: хакеры использовали Claude в масштабной кибероперации
Компания Anthropic сообщает, что пресекла масштабную вредоносную операцию, в рамках которой, в июле 2025 года, злоумышленник…
Популярные парольные менеджеры уязвимы перед кликджекингом
ИБ-специалист обнаружил, что шесть популярнейших менеджеров паролей, которыми пользуются десятки миллионов людей, уязвимы пе…
DDoS-атака на Arch Linux мешает работе сайта, репозитория и форумов проекта
Команда Arch Linux сообщает, что уже больше недели отражает продолжительную DDoS-атаку, которая влияет на работу большинства…
Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition
Состояние гонки иногда позволяет вмешаться в алгоритмы обработки данных: от оплаты корзины в интернет‑магазине до механики перевыпуска API-ключей с повышением привилегий. На примерах с HTTP/2 и single-packet attack я покажу, как правильно подобранный момент атаки дает возможность «вырваться вперед на повороте» и буквально переписать бизнес‑логику приложения.
Реклама
«СёрчИнформ FileAuditor». Тестируем отечественную DCAP-систему
На рабочих компьютерах может быть масса данных, которые не должны покидать стены офиса. Как убедиться, что сотрудники не будут играть в Сноудена? Один из самых верных способов — софтверный. Сегодня мы с тобой посмотрим на отечественную DCAP-систему компании «СёрчИнформ», которая должна помогать в нелегком деле защиты информации.
Исследователи обнаружили PromptLock — первый ИИ-шифровальщик
Специалисты компании ESET обнаружили необычного вредоноса, который получил название PromptLock. Исследователи описывают его …
Минцифры опубликовало второй пакет мер, направленных на борьбу с мошенничеством
Минцифры РФ подготовило второй пакет мер по борьбе с кибермошенниками. В него вошли около 20 инициатив, которые затронут фин…
Сотни тысяч клиентов Auchan пострадали от утечки данных
Французская розничная сеть Auchan уведомила сотни тысяч клиентов о том, что их персональные данные были украдены во время ха…
Исследователи скрыли вредоносные промпты для ИИ в маленьких изображениях
Эксперты Trail of Bits разработали новый тип атаки, который позволяет похищать пользовательские данные при помощи внедрения …
Крутой графен. Ставим GrapheneOS — защищенный и приватный Android
Маркетинговый треш и тотальная слежка — вот какое впечатление у меня в последнее время от заводских версий Android. Нельзя ли найти чистую, надежную и приватную ОС для телефона, при этом не жертвуя удобством? Авторы GrapheneOS приложили серьезные усилия, чтобы человек не только вернул контроль над своим телефоном, но и не потерял в комфорте. Получилось ли у них? Сейчас расскажу!
В Android запретят установку приложений неверифицированных разработчиков
Представители Google сообщили, что с 2026 года на сертифицированные Android-устройства можно будет устанавливать только прил…
Критическая уязвимость в декстопной версии Docker позволяла скомпрометировать хост
Критическая уязвимость в декстопной версии Docker для Windows и macOS позволяла скомпрометировать хост-систему, запустив вре…
Российские пользователи смогут добровольно ограничить себе доступ к опасному контенту
Власти РФ рассматривают возможность создания системы добровольной фильтрации «потенциально опасной информации» для пользоват…
Из магазина Google Play удалили малварь, загруженную более 19 млн раз
Специалисты Zscaler обнаружили, что 77 вредоносных приложений для Android, суммарно насчитывавших более чем 19 млн установок…
В России будут проверять сотовые номера, привязанные к «Госуслугам»
СМИ сообщили, что согласно утвержденному правительством плану мероприятий, абонентские номера российских пользователей, испо…
Разработчик получил 4 года тюрьмы за создание «рубильника» в системах бывшего работодателя
55-летний Дэвис Лу (Davis Lu) получил четыре года тюрьмы за саботаж Windows-сети бывшего работодателя. Лу осуществил свою ме…
HTB TheFrizz. Захватываем веб-сервер на Gibbon LMS
Сегодня я покажу, как эксплуатировать несложную веб‑уязвимость в системе удаленного обучения Gibbon, работающей на Windows. Получив возможность удаленного выполнения кода в системе, мы извлечем из базы данных учетки пользователей и полностью захватим сервер.
Positive Technologies изучила инструментарий APT-группировки Goffee
Специалисты Positive Technologies рассказали об обнаружении неизвестного ранее инструментария хак-группы Goffee (она же Pape…
МВД РФ: мошенники стали использовать Google Meet, FaceTime и Max
Представители МВД заявляют, что после ограничения звонков в мессенджерах Telegram и WhatsApp (принадлежит компании Meta, при…
Разработчики Flipper объяснили, что «секретной прошивки» для взлома авто не существует
Тема взлома и угона автомобилей при помощи Flipper Zero снова попала в заголовки мировых СМИ. На этот раз хакеры заявили, чт…
Ботнет RapperBot ликвидирован, а его создателю предъявили обвинения
Министерство юстиции США предъявило обвинения предполагаемому разработчику и администратору DDoS-ботнета RapperBot, который …
PyPI борется с атаками, построенными на восстановлении доменов
Разработчики репозитория PyPI (Python Package Index) рассказали, что отныне будут противостоять атакам на восстановление дом…
В Роскомнадзоре сообщили, что не ограничивали работу Google Meet
Сегодня, 22 августа 2025 года, российские пользователи столкнулись с проблемами в работе Google Meet, который набрал популяр…
Дрессированный окунь. Пишем сканер для Acunetix на примере RCE в Craft CMS
Давай разберемся, как писать кастомные сканеры для Acunetix, на примере реальной CVE. От тебя потребуются только небольшие познания в JavaScript или TypeScript и желание сделать что‑то интересное. Внутри — эксклюзив, выстраданный потом и кровью.
Обновления Windows повреждают данные и приводят к сбоям некоторых SSD и HDD
Пользователи сообщают, что недавние обновления для Windows 11 24H2 могут вызывать повреждение данных и сбои в работе некотор…
Новый брокер уязвимостей предлагает до 20 млн долларов за эксплоиты
Появившаяся в этом месяце компания Advanced Security Solutions из ОАЭ предлагает до 20 млн долларов США за 0-day уязвимости …
VPN-расширение для Chrome следит за пользователями и делает скриншоты
Специалисты из компании Koi Security предупреждают, что недавно изменилось поведение популярного Chrome-расширения FreeVPN. …
«Великий китайский файрвол» на час отключил страну от мирового интернета
Исследователи из команды Great Firewall Report заметили, что в ночь на 20 августа в работе «Великого китайского файрвола» пр…
Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II
Недавно я исследовал крайне необычный для меня девайс — видеодомофон с сенсорным экраном и Wi-Fi. Я разобрал его, изучил и нашел… некоторые уязвимости. Я хотел ответить на вопрос «А могут ли меня подслушивать?». Ответ мы сегодня найдем вместе.
ЦБ РФ перечислил признаки мошеннических операций при снятии наличных в банкоматах
Банк России определил девять признаков мошеннических операций при снятии наличных через банкоматы. С 1 сентября 2025 года кр…
Apple экстренно исправляет уязвимость нулевого дня
Компания Apple подготовила внеплановые патчи для исправления 0-day уязвимости. Сообщается, что свежая проблема уже эксплуати…
Исследователи вынудили ИИ-браузер Comet покупать фейковые товары
Специалисты Guardio протестировали браузер с ИИ-агентом и пришли к выводу, что он уязвим как перед старыми, так и перед новы…
Троян GodRAT маскируется под финансовые документы
Новый RAT распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До марта 20…
Citizen Lab: VPN-приложения из Google Play используют одинаковый жестко закодированный пароль
Аналитики Citizen Lab предупредили, что более 20 VPN-приложений из магазина Google Play имеют серьезные проблемы с безопасно…
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире