Хакер — Страница 30 — Безопасность, разработка, DevOps

Ретровайбы и внезапный косплей. Что показывали на фестивале Chaos Constructions 2025

Если бы кто‑то сказал, что питерский ДК Кирова в 2025 году станет порталом в прошлое и будущее одновременно, ему бы не поверили. Но именно это произошло 23 и 24 августа: здесь состоялся фестиваль Chaos Constructions. Два дня подряд под одной крышей собирались хакеры, программисты, инженеры и любители ретротехники. Конкурсы, доклады, выставка железа, демосцена и ламповая атмосфера — всё это вновь сделало Chaos Constructions главным летним событием для тех, кто живет цифровыми технологиями.

Новости

Grok используется для распространения вредоносных ссылок в X

Аналитики Guardio Labs обратили внимание, что злоумышленники используют ИИ-помощника Grok, интегрированного в соцсеть X, для…

Новости

СМИ: антиспам-меры привели к блокировке звонков от бизнеса

По данным СМИ, вступившие в силу 1 сентября требования к операторам связи по ограничению спам-звонков привели к массовой бло…

Новости

Исследователь нашел способ взлома китайских сервисных роботов Pudu

Независимый ИБ-специалист, известный под ником BobDaHacker, обнаружил проблемы в защите компании Pudu Robotics (ведущего мир…

Новости

Google исправила 120 уязвимостей в Android, включая две 0-day

Разработчики Google выпустили обновления безопасности для Android, которые устранили 120 уязвимостей в операционной системе.…

Новости

Хакеры злоупотребляют форензик-инструментом Velociraptor

ИБ-специалисты Sophos обратили внимание на кибератаку, в рамках которой неизвестные злоумышленники использовали опенсорсный …

Новости

Cloudflare и ИБ-компания Zscaler пострадали из-за атаки на Salesloft Drift

Множество крупных компаний сообщают, что пострадали от хакерской атаки, связанной со взломом Salesloft Drift. Среди них: ИБ-…

Xakep #318

Взлом

I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры

В этом ресерче я хочу рассказать о цепочке уязвимостей, которую я нашел в системах компании — производителя роутеров, камер и модемов. Мы пройдем путь от возможности перебора пользователей на сайте через захват аккаунтов до полного захвата камер через RCE.

Новости

Кибератака повлияла на производство Jaguar Land Rover

Автомобилестроительная компания Jaguar Land Rover (JLR) объявила, что была вынуждена отключить ряд систем из-за хакерской ат…

Новости

Cloudflare заблокировала мощнейшую в истории DDoS-атаку — 11,5 Тбит/с

Установленный в июне 2025 года рекорд по мощности DDoS-атак уже побит. Компания Cloudflare заявила, что недавно заблокировал…

Новости

Google не просила 2,5 миллиарда пользователей Gmail сменить пароли

На прошлой неделе в СМИ появились заявления о том, что Google якобы массово уведомляет всех пользователей Gmail (около 2,5 м…

Новости

Серверы FreePBX находятся под атаками из-за 0-day уязвимости

Разработчики Sangoma Technologies Corporation предупредили об активно эксплуатируемой 0-day уязвимости FreePBX, которая затр…

Xakep #318

ВзломХардкор

HTB Eureka. Атакуем веб-сервер с Netflix Eureka

Сегодня я покажу, как получить приватные данные из дампа кучи Spring Boot, а затем завладеем доступом к системе Eureka. Через ее сервисы извлечем приватные данные пользователя и сессию на хосте. Для повышения привилегий используем уязвимость в пользовательском анализаторе логов.

Новости

Баг в VSCode позволяет повторно использовать имена удаленных расширений

Исследователи обнаружили проблему в Visual Studio Code Marketplace, которая позволяла злоумышленникам повторно использовать …

Новости

Вымогатели OldGremlin возобновили атаки на российские компании

Исследователи «Лаборатории Касперского» предупредили о новых атаках вымогательской группировки OldGremlin, нацеленных на рос…

Новости

В корпоративном менеджере паролей Passwordstate нашли баг обхода аутентификации

Компания Click Studios, занимающаяся разработкой корпоративного менеджера паролей Passwordstate, предупредила клиентов о нео…

Новости

Специалисты F6 обнаружили новый стилер Phantom

В июне 2025 года исследователи обнаружили новую вредоносную активность, которую назвали Phantom Papa. Злоумышленники рассыла…

Новости

Google предупреждает о массовой краже данных, связанной с ИИ-агентом Salesloft

На прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и r…

Новости

В WhatsApp для iOS и macOS устранили уязвимость нулевого дня

Разработчики мессенджера устранили 0-day уязвимость в версиях для iOS и macOS. По данным компании, свежая проблема, наряду с…

Новости

В Firefox устранили уязвимость, найденную экспертом Positive Technologies

Эксплуатация уязвимости была возможна после внедрения вредоносного кода на случайный сайт, и затем злоумышленник получал воз…

Новости

Microsoft сообщила, что обновление Windows не ломало SSD и HDD

Представители Microsoft заявили, что компания не выявила связи между августовским обновлением безопасности KB5063878 и жалоб…

Новости

Для работы античита Battlefield 6 требуется использование Secure Boot

В августе разработчики Electronic Arts (EA) объявили, что игроки в открытой бете Battlefield 6 на ПК должны будут включить S…

Новости

Positive Technologies: атаки через GitHub и GitLab достигли рекордного уровня

Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют п…

Xakep #317

Geek

Бесконечный тупняк. Колонка главреда

Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.

Xakep #317

Новости

MEGANews. Cамые важные события в мире инфосека за август

В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.

Новости

Йон фон Течнер высказался против ИИ в браузерах

Йон фон Течнер (Jon von Tetzchner), глава норвежской компании Vivaldi Technologies, которая разрабатывает одноименный браузе…

Новости

Twitch оштрафовали на 61 млн рублей

На этой неделе мировой судья Таганского района Москвы признал сервис Twitch виновным в «неисполнение обязанностей, предусмот…

Новости

Предложение Минцифры сделает нормальную работу «Хакера» невозможной

В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связан…

Новости

Правоохранители закрыли сервис для создания фальшивых личностей VerifTools

ФБР и голландская полиция сообщают о закрытии маркетплейса VerifTools, специализировавшегося на создании поддельных документ…

Новости

NX стал жертвой атаки на цепочку поставок. В итоге хакеры похитили тысячи секретов

Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволи…

Новости

«Яндекс» оштрафовали на 10 000 рублей за непредоставление ФСБ доступа к системе умного дома «Алиса»

СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей н…

Xakep #318

Взлом

Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком

В этой статье я расскажу про необычный кейс фишинговой атаки: поскольку жертвы не поддавались на простой фишинг, нам с коллегами пришлось создать поддельную персону разработчика, а также троянское приложение, якобы созданное им. И вот оно наконец‑то сделало свое дело.

Новости

ИБ-сообщество обеспокоено новым пакетом антифрод-мер

Во втором пакете мер по борьбе с кибермошенниками, опубликованном Минцифры на этой неделе, обнаружили часть, которая предпол…

Новости

Госучреждения в Неваде закрылись из-за кибератаки

В прошлые выходные американский штат Невада пострадал от масштабной кибератаки. В результате уже несколько дней власти борют…

Новости

В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ

Представители компании сообщили СМИ, что проблемы в работе Google Meet, с которыми сталкиваются российские пользователи, не …

Новости

Anthropic: хакеры использовали Claude в масштабной кибероперации

Компания Anthropic сообщает, что пресекла масштабную вредоносную операцию, в рамках которой, в июле 2025 года, злоумышленник…

Новости

DDoS-атака на Arch Linux мешает работе сайта, репозитория и форумов проекта

Команда Arch Linux сообщает, что уже больше недели отражает продолжительную DDoS-атаку, которая влияет на работу большинства…

Xakep #318

Взлом

Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition

Состояние гонки иногда позволяет вмешаться в алгоритмы обработки данных: от оплаты корзины в интернет‑магазине до механики перевыпуска API-ключей с повышением привилегий. На примерах с HTTP/2 и single-packet attack я покажу, как правильно подобранный момент атаки дает возможность «вырваться вперед на повороте» и буквально переписать бизнес‑логику приложения.

Новости

Исследователи обнаружили PromptLock — первый ИИ-шифровальщик

Специалисты компании ESET обнаружили необычного вредоноса, который получил название PromptLock. Исследователи описывают его …

Бумажный выпуск

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков