Уязвимость Figma MCP позволяла удаленно выполнить произвольный код
Исследователи из компании Imperva раскрыли детали уже исправленной уязвимости в популярном сервере figma-developer-mcp (Mode…
26 ноября пройдет конференция по кибербезопасности ZeroNights 2025
Конференция по практической кибербезопасности ZeroNights возвращается после перерыва. Мероприятие пройдет 26 ноября в Санкт-…
Google не будет исправлять проблему ASCII smuggling в ИИ-помощнике Gemini
Разработчики Google сообщили, что проблема «контрабанды ASCII-символов» (ASCII smuggling) в Gemini не получит исправлений. Т…
Clop атакует пользователей Oracle E-Business Suite с помощью 0-day уязвимости
На прошлой неделе компания Oracle предупредила клиентов о критической 0-day уязвимости в E-Business Suite (CVE-2025-61882), …
Двоюродный брат Flipper. Тестируем M5StickC Plus2
Этот компактный девайс называют «двоюродным братом Flipper», и не зря. M5StickC Plus2 — крошечное устройство на базе ESP32 размером с зажигалку, оборудованное дисплеем, несколькими датчиками и батарейкой. Для пентестера этот аппарат открывает множество интересных возможностей, часть которых доступна с дополнительными примочками. Я купил такую игрушку, чтобы посмотреть на нее в деле и рассказать тебе, что она умеет.
Salesforce заявила, что не будет платить хакерам-вымогателям, похитившим 1 млрд записей
Представители Salesforce сообщили, что не намерены вести переговоры и платить выкуп злоумышленникам, которые стоят за серией…
В 2025 году северокорейские хакеры похитили более 2 млрд долларов
По оценке блокчейн-аналиков компании Elliptic, за девять месяцев 2025 года северокорейские хакеры похитили криптовалютные ак…
Discord подтверждает: хакеры украли удостоверения личности 70 000 пользователей
Компания Discord заявила, что не собирается платить выкуп злоумышленникам, которые утверждают, что им удалось похитить данны…
Inseca открывает набор на курсы blue team
Стартует осенняя серия практических ИБ-курсов Inseca. Все программы основаны на реальных задачах, практике и инструментах, к…
Восточноазиатская группа NGC4141 атакует кастомные веб-приложения российских организаций
Аналитики центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую…
Qualcomm покупает Arduino и анонсирует одноплатный компьютер UNO Q
Компания Qualcomm, разрабатывающая и производящая микросхемы для мобильных телефонов и другой электроники, приобретает Ardui…
Недобровольный осмотр. Исследуем защитные скрипты, пересекающие границы приватности
В этой статье мы разберем необычную стратегию защиты веб‑приложений, где скрипты загружаются еще до отображения страницы и выполняют сложные проверки сети, портов и активности пользователя. Раскроем обфусцированный код и изучим механизмы, применяемые для выявления ботов и угроз.
Хакеры шантажируют Red Hat, угрожая опубликовать украденные данные
Группировка Scattered Lapsus$ Hunters шантажирует компанию Red Hat. На сайте злоумышленников появились образцы похищенных у …
DLBI: боты-пробивщики создают дефицит утечек данных
Специалисты Data Leakage & Breach Intelligence (DLBI) провели исследование российского рынка утечек данных за январь–сентябр…
Пожары в южнокорейских дата-центрах уничтожили 858 ТБ данных и могут быть связаны с КНДР
В конце сентября 2025 года Южная Корея столкнулась с одним из крупнейших технологических сбоев в истории страны. Два пожара …
Открытое обращение к министру цифрового развития от основателя «Хакера»
Мы публикуем текст обращения, направленного министру цифрового развития с целью остановить принятие поправки к закону «Об ин…
Объявлены темы докладов CyberCamp 2025
Онлайн-конференция по информационной безопасности CyberCamp 2025 пройдет с 20 по 25 октября. В программе мероприятия заплани…
Приложение Neon, платившее за запись звонков, слило разговоры пользователей и закрылось
В конце сентября 2025 года на второе место по популярности в Apple App Store вышло приложение Neon, которое платило пользова…
Критический баг в Redis угрожает тысячам серверов
Команда безопасности Redis выпустила патчи для критической уязвимости, которая позволяет атакующим осуществлять удаленное вы…
Бейсболки «Хакера»: классика, которая всегда с тобой
Зима близко, но бейсболки «Хакера» актуальны круглый год. Четыре модели с объемной вышивкой и удобной посадкой ждут своих вл…
Еще один способ взломать WP. Загружаем веб-шелл через плагин Copypress
Сегодня разберем недавно найденный баг в WordPress и напишем собственный эксплоит на Python. Уязвимость содержится в copypress-rest-api, позволяет обходить запрет на скачивание плагина из каталога WP и добиваться возможности исполнения команд. Она получила номер CVE-2025-8625 и критический статус.
Microsoft Outlook перестанет отображать изображения SVG, так как их используют хакеры
Компания Microsoft сообщает, что веб-версия Outlook и новый Outlook для Windows более не будут отображать встроенные SVG-изо…
У Renault и Dacia произошла утечка пользовательских данных
Британских клиентов автопроизводителей Renault и Dacia уведомили о компрометации их персональных данных. Сообщается, что уте…
Атака WireTap нарушает безопасность анклавов Intel SGX
Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку WireTap. Специал…
Пользователей WhatsApp атакует самораспространяющийся червь SORVEPOTEL
Аналитики Trend Micro предупредили, что бразильские пользователи WhatsApp стали целью новой самораспространяющейся малвари S…
ВзломХардкор
HTB Certificate. Захватываем домен при помощи техники Golden Certificate
Сегодня я покажу, как использовать привилегию SeManageVolume для получения «золотого сертификата» и захвата домена на Windows. Перед этим нас ждет череда других уязвимостей: мы загрузим склеенные ZIP-архивы на сайт, чтобы обойти фильтр, получим шелл, вытащим учетки из базы данных, проанализируем трафик для атаки на Kerberos и применим технику ESC3 AD CS.
В движке Unity обнаружили уязвимость восьмилетней давности
В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода …
Атака CometJacking превращает ИИ-браузер Perplexity в инструмент для кражи данных
Исследователи рассказали об атаке CometJacking, которая эксплуатирует параметры URL для передачи ИИ-браузеру Comet от Perple…
Хакеры похитили данные и удостоверения личности пользователей Discord
Хакеры похитили платежную информацию и персональные данные (включая настоящие имена и удостоверения личности) некоторых поль…
РКН обязал добавлять в Telegram-каналы бота trustchannelbot с правами администратора
Представители Роскомнадзора (РКН) сообщили, что все владельцы каналов в Telegram, аудитория которых превышает 10 000 человек…
Лучшие статьи «Хакера» за 2025 год. Завершается прием ранних предзаказов
Завершается сбор ранних предварительных заказов на бумажный выпуск «Хакера», в который войдут самые важные и интересные материалы за 2025 год. Скоро цена возрастет!
Баги в OpenSSL позволяли восстановить приватный ключ, выполнить код и проводить DoS-атаки
Разработчики OpenSSL объявили о выпуске нескольких новых версий опенсорсного SSL/TLS-тулкита, в которых исправлены сразу три…
В маршрутизаторах DrayTek патчат RCE-уязвимость
Компания DrayTek, производящая сетевое оборудование, выпустила предупреждение об уязвимости, которая затрагивает несколько м…
Ваша киска сломала бы Cisco. Проверяем на практике две уязвимости в прошивках
Прошивки сетевого оборудования нередко скрывают баги, поэтому их diff-анализ остается основным способом найти уязвимости и потенциальные точки для RCE. В сегодняшней статье я покажу общие техники и методы, которые применяю на практике при анализе 1-day-уязвимостей роутеров, файрволов и других подобных сетевых устройств.
Атака Battering RAM обходит новейшие средства защиты на процессорах Intel и AMD
Эксперты продемонстрировали аппаратную атаку Battering RAM, которая обходит защиту новейших процессоров Intel и AMD, использ…
Уязвимости Gemini Trifecta заставляли ИИ-помощника Gemini похищать данные
Специалисты раскрыли детали трех уже исправленных уязвимостей в ИИ-помощнике Google Gemini, получивших общее название Gemini…
Ошибку в работе Outlook можно исправить только через службу поддержки Microsoft
Компания Microsoft изучает проблему, из-за которой классический почтовый клиент Outlook «вылетает» при запуске. Устранить ош…
Критический баг в WD My Cloud допускает удаленное внедрение команд
Компания Western Digital выпустила обновления прошивки для нескольких моделей NAS My Cloud. Обновление исправляет критическу…
OTP — не проблема! Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2
В этой статье я покажу, как мне удалось организовать фишинговую рассылку, используя критическую уязвимость в Exchange Server, чтобы повысить доверие к рассылаемым письмам. Начал с получения списка корпоративных адресов через устаревшую версию мобильного приложения, затем с помощью Evilginx2 и Telegram-бота создал неотличимый от оригинала лендинг и в итоге закрепился в сети организации.
Хакеры Crimson Collective заявляют, что похитили 570 ГБ данных у Red Hat
Вымогательская группировка Crimson Collective заявила о краже 570 ГБ данных из 28 000 внутренних репозиториев Red Hat. Предс…
Бумажный выпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире