446476
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
😈 Завершился Pwn2Own Berlin — исследователи показали 47 уникальных 0-day
❗️ На завершившемся соревновании Pwn2Own Berlin 2026 ИБ-исследователи заработали 1 298 250 долларов, продемонстрировав эксплуатацию 47 уникальных уязвимостей нулевого дня
— В этом году соревнование было посвящено корпоративным технологиям и ИИ, а среди целей оказались Windows 11, Microsoft Exchange, VMware ESXi, браузеры, контейнерные среды и LLM-инструменты
Соревнование проходило в Берлине на прошлой неделе, с 14 по 16 мая, в рамках конференции OffensiveCon
Участники атаковали полностью пропатченные продукты в категориях браузеров, корпоративного ПО, серверов, контейнерных сред, ИИ и так далее
😈 Хакеры взломали GitHub и получили доступ к 3800 внутренних репозиториев
❗️ Злоумышленники получили доступ примерно к 3800 внутренним репозиториям GitHub благодаря вредоносному расширению для Visual Studio Code на компьютере одного из сотрудников платформы
По данным компании, атака затронула исключительно внутреннюю инфраструктуру и не коснулась пользовательских репозиториев
💪 В Российских поездах появится спутниковый интернет
— Российская аэрокосмическая компания «БЮРО 1440» и Дирекция скоростного сообщения РЖД утвердили дорожную карту по внедрению спутниковой связи на поездах «Сапсан» и электропоездах «Ласточка»
В общей сложности спутниковый интернет появится в 135 поездах, включая маршруты Москва – Санкт-Петербург, Москва – Нижний Новгород и Москва – Минск.
Терминалы уже были протестированы на вагоне-лаборатории в условиях движения, вибрации и различных климатических факторов
Тестирование интернета на «Сапсанах» и «Ласточках» начнется уже в этом году
😈 Большой брат всегда рядом: реверсер рассказал о тайной работе мессенджера Max
— Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор APK мессенджера Max и обнаружил:
1. Макс отправляет на сервера VK то какие у вас скачаны приложения.
2. Детекцию VPN — приложение проверяет наличие VPN‑соединения и по команде сервера может полностью заблокировать вам доступ к чатам и мини‑аппам, пока вы его не выключите.
3. Тотальный трекинг адресной книги — MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.
4. Обход Google Play и жесткий Force Update — сервер может заблокировать работу текущей версии приложения и принудительно установить апдейт со своего CDN, причем в коде заложена возможность ставить APK в обход системы.
5. Управление NFC‑чипом из мини‑апп — любое внутреннее мини‑приложение может без предупреждения передать на NFC‑терминал свой кастомный payload (например, имитировать пропуск или карту).
6. Фейковые чаты.
7. Удаление сообщений из базы пушами — сервер может отправить скрытый пуш‑запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа, или незаметно запросить ваши координаты.
8. Отключение TLS‑валидации и RCE.
9. Передачу номера (Mobile ID) по открытому HTTP — для авторизации без SMS мессенджер шлет запросы операторам в незашифрованном виде, чтобы те вписывали ваш номер в заголовки. Этот же механизм доступен системным мини‑аппам без вашего ведома.
10. ❗️ Скрытый SDK деанонимизации и запись звука — обфусцированный модуль trace_flow собирает реальные IP‑адреса в обход VPN, а функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.
11. Аппаратный фингерпринт через Widevine DRM — для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства.
12. ZipSlip уязвимость в DownloadService (Удаленное исполнение кода).
13. И много всего другого
На сколько информация правдива пока не понятно
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
👌Автономные кибератаки с помощью ИИ за несколько минут взламывают ИТ-системы по всему миру — российская компания провела кибератаку сама на себя, чтобы сработать на опережение.
❗️Т-Банк использовал собственную разработку Nulla, чтобы проверить устойчивость собственной экосистемы. Разработка Nulla — группа ИИ-агентов — позволила сократить время проверки: теперь на анализ одного сервиса уходит 45 минут без участия человека, в то время как раньше это занимало 2-3 дня ручного аудита.
Nulla не работает по шаблону как другие сканеры, а самостоятельно анализирует выявленные недостатки в совокупности, комбинирует их и воспроизводит сложные сценарии атак, связанные с нарушением логики доступа, обходом бизнес-процессов и сложными цепочками взаимодействия между сервисами. Уже протестировано 1300 сервисов экосистемы, включая Т-Бизнес, Т-Путешествия и Т-Авто, а прогнозируемый экономический эффект от предотвращенных с помощью Nulla инцидентов до конца года оценивается в 100 млн рублей.
«По качеству такой подход сопоставим с работой сильной внутренней команды специалистов по моделированию атак. При этом выигрывает в скорости и масштабе. На фоне появления зарубежных атакующих ИИ принципиально важно уметь работать теми же инструментами, что и потенциальный злоумышленник. Это позволяет не только понимать, какие сценарии возможны, но и заранее готовиться к тем атакам, которые могут возникнуть. В результате мы можем закрывать критические риски быстрее, чем они могут быть реализованы»,
😈 Интерпол задержал более 200 хакеров в ходе крупнейшей кибероперации в регионе MENA
Интерпол объявил о проведении крупномасштабной региональной операции по борьбе с киберпреступностью на Ближнем Востоке и в Северной Африке
❗️ В рамках операции «Рамз» правоохранительные органы 13 стран задержали 201 человека и выявили еще 382 подозреваемых
Операция проходила с октября 2025 года по февраль 2026-го и стала крупнейшей кибероперацией, когда-либо координировавшейся Интерполом в регионе Ближнего Востока и Северной Африки (MENA)
😁 В США братья‑близнецы удалили 96 правительственных баз данных через несколько минут после увольнения
❗️ Муниб и Сохайб Ахтер уничтожили 96 правительственных баз данных в течение часа после того, как их уволили из компании, обслуживающей федеральные ведомства
Братьев уволили 18 февраля 2025 года по видеосвязи в Microsoft Teams. Встреча завершилась в 16:50. Уже в 16:55 Сохайб попытался войти в корпоративную сеть, но его доступ был заблокирован — доступ остался только у Муниба.
В 16:56 он вошёл в правительственную базу данных и начал удалять системы. В 16:58 командой DROP DATABASE dhsproddb была уничтожена база Министерства внутренней безопасности. В 16:59 Муниб спросил у ИИ‑инструмента, как затереть логи SQL‑сервера после удаления баз.
😁 Дуров заявил, что «скучает по иранским фейерверкам» в Дубае
— Павел Дуров написал в своем канале, что «уже скучает по иранским фейерверкам», которые помогли очистить Дубай от впечатлительных людей
«Противовоздушная оборона ОАЭ отлично зарекомендовала себя под огнем Ирана.
При налоге в 0% мы получаем более хорошую защиту, чем европейцы, платящие 50%»
😈 На Pwn2Own Berlin показали взлом Windows 11 и Microsoft Edge
В Берлине стартовало соревнование Pwn2Own Berlin 2026, посвященное взлому корпоративных технологий и ИИ
❗️ В первый день исследователи заработали 523 000 долларов, продемонстрировав 24 уникальных 0-day-уязвимости в Windows, браузерах, LLM-инструментах и контейнерных решениях
— Главным событием первого дня состязания стала атака исследователя Orange Tsai, который сумел взломать Microsoft Edge, объединив в цепочку четыре логических бага
В результате ему удалось осуществить побег песочницы браузера — за эту атаку специалист получил 175 000 долларов
Среди других успешных атак первого дня:
◦ трижды скомпрометирована Windows 11 — 30 000 долларов;
◦ исследовательница заработала 20 000 долларов за взлом Red Hat Linux for Workstations и еще 50 000 долларов за 0-day в NVIDIA Container Toolkit;
◦ исследователь k3vg3n заработал 40 000 долларов США за цепочку из трех багов в LiteLLM;
◦ Сатоки Цудзи (Satoki Tsuji) и haehae получили 20 000 долларов США за эксплуатацию 0-day в NVIDIA Megatron Bridge;
◦ специалисты Compass Security и maitai из Doyensec скомпрометировали ИИ-агента OpenAI Codex и получили за это по 40 000 долларов США;
◦ уже упомянутый haehae также продемонстрировал 0-day в Chroma, что принесло ему еще 20 000 долларов США;
◦ команда STARLabs SG получила 40 000 долларов США за атаку на LM Studio.
👌 Появилась ИИ-Википедия — каждая статья генерируется в момент открытия страницы
Проект называется Halupedia и выглядит как настоящая Wikipedia: похожие шрифты, интерфейс и случайные статьи, только весь контент тут выдуман нейронкой
Например, «Великая голубиная перепись 1887 года» или Халдейская математика, где запрещено вычитание
👏 ИИ Anthropic достал биткоины на $400 000, к которым пользователь не мог получить доступ 11 лет
Пользователь X под ником cprkrn смог восстановить доступ к криптокошельку с помощью ИИ-сервиса Claude от Anthropic
На кошельке находились 5 биткоинов, купленных в 2015 году по цене около $250 за монету
Сейчас их стоимость оценивается примерно в $400 тыс (около 29,2 млн руб по курсу на 14 мая 2026 года)
👏 Что показали на Google I/O 2026
Собрали все самые интересные анонсы в одном посте:
◦ Новая Gemini Omni, которая может генерить что угодно, включая видосы с вашим лицом. В динамических сценах уступает SeeDance 2, в остальном — революция;
◦ Новые модели Gemini 3.5 Flash и Gemini 3.5 Pro: первая уже вышла и лидирует по бенчмаркам, при этом доступна всем бесплатно. Pro-версию обещают через месяц;
◦ Gemini Spark — персональный ИИ-агент, вдохновлённый OpenClaw. Работает 24/7, интегрирован с Gmail, Calendar, Docs и сторонними приложениями;
◦ Умные очки от Google — делают в партнерстве с Gentle Monster, Wabby Parker и Samsung. Очки могут снимать фото и видео, обращаться к Nano Banana, использовать переводчик для общения в реальном времени, который будет копировать тон голоса говорящего и выполнять фоновые задачи вроде заказа еды;
◦ Новый сервис Google Pics — ИИ-фотошоп на базе Nano-Banana: сегментирует объекты на изображении и позволяет быстро редактировать их;
◦ В поиске теперь можно запускать сразу несколько поисковых агентов: мониторить акции, блоги, релизы, цены, дропы и т.д.;
◦ Новая подписка Ultra за 100$ — обычная версия Ultra тоже подешевела с 250$ до 200$.
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
⚡️Теперь криптой можно пользоваться в обычной жизни без обменников и P2P⚡️
🌟PGON Wallet позволяет быстро и без лишних сервисов:
🛒 платить по QR СБП
💱 покупать крипту за рубли
🛫 выводить на карту и по СБП
🐸 продавать Telegram-подарки
💳 выпустить виртуальную зарубежную карту
Деньги при выводе приходят от юрлица, а не от случайных физлиц.Для банка это выглядит как перевод между вашими личными счетами и считается полностью законным.
Пополнение: 🌟 криптой 0% • 🐸 подарками 0% • 🌟 QR СБП (пополнение и оплата) 3% • 💸 вывод СБП 3,5%
🌟Оцените сами: @PGON
🌟🌟🌟🌟🌟🌟
😈 Хакеры взломали GitHub Grafana Labs и шантажируют разработчиков
❗️ Хакеры получили доступ к GitHub-инфраструктуре Grafana Labs с помощью похищенного токена и украли исходные коды компании
— Похитив исходные коды, атакующие потребовали у компании выкуп, угрожая в противном случае опубликовать украденные данные, однако в компании решили не идти на переговоры со злоумышленниками
Ответственность за инцидент уже взяла на себя вымогательская группа CoinbaseCartel — информация о компрометации Grafana появилась на сайте группировки, но украденные данные пока не опубликованы
‼️ CoinbaseCartel активна с сентября 2025 года, но уже успела атаковать более 170 организаций из разных сфер, включая здравоохранение, ИТ, транспорт и промышленность
В отличие от классических вымогательских группировок, CoinbaseCartel специализируется не на шифровании данных жертв, а на краже информации и последующем шантаже
😈 Пароли Агентства по кибербезопасности США утекли в открытый доступ из-за подрядчика
— Подрядчик Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) до недавнего времени хранил в публичном репозитории GitHub учетные данные для доступа к внутренним системам ведомства, включая облачные ключи, токены и пароли в открытом виде
❗️ Исследователи в области кибербезопасности назвали инцидент одной из самых серьезных утечек данных в истории государственных структур США
В репозитории с названием Private-CISA находились административные данные для нескольких аккаунтов AWS GovCloud, а также файлы с именами пользователей и паролями от внутренних систем агентства
Эксперты также обнаружили, что владелец аккаунта отключил встроенную функцию GitHub, которая предотвращает публикацию секретных ключей и учетных данных
👍 Иммунитет компании к кибератакам работает как иммунитет человека: если он неправильный, можно получить аутоиммунное заболевание
Такое сравнение привел на конференции “ЦИПР-2026” CISO Т-Банка Дмитрий Гадарь. По его мнению, система защиты должна быть быстрой, но не должна уничтожать саму себя. В сложных системах, особенно построенных на ИИ, такие угрозы есть. В Т-Банке уже 20% инцидентов обрабатываются без участия человека.
“Самое уязвимое место теперь люди, но они должны оставаться, чтобы строить автоматизированные процессы”, — отметил Дмитрий Гадарь.
👌 В Android 17 появится дополнительная защита от мошеннических звонков и функция Intrusion Logging
— В Android 17 появится система, которая сможет распознавать поддельные звонки якобы «из банка» и автоматически разрывать соединение
Еще одно важное изменение будет связано с Live Threat Detection — механизмом, который Android использует для обнаружения подозрительного поведения приложений
❗️ Теперь система сможет выявлять малварь, которая злоупотребляет переадресацией SMS, накладывает скрытые оверлеи поверх интерфейса, маскирует свои иконки или запускается в фоновом режиме без ведома пользователя
Именно такие техники часто применяют Android-банкеры для кражи учетных данных и OTP-кодов
🏠 Создатель OpenClaw тратит на ИИ 603 млрд токенов за месяц
— Создатель проекта OpenClaw Питер Штайнбергер показал в соцсетях, что за последние 30 дней израсходовал около 603 млрд токенов в системах Codex и Claude Code примерно на $1,3 млн
Пользователи X сравнивали объемы вычислений с «переписыванием вселенной на Rust», другие задавались вопросом, не дешевле ли было бы нанять дополнительных инженеров вместо масштабной автоматизации
👍 Нашли огромную шпаргалку по OSINT выложили в сеть
— В шпаргалке собрали десятки тулз и материалов для поиска информации, анализа данных и изучения кибербеза
◦ Подборка консольных команд для работы с системой и файлами
◦ Сервисы для поиска по геолокации, соцсетям, сайтам и утечкам данных
◦ Инструменты для парсинга, анализа ресурсов и работы с базами данных
◦ Архивы сайтов, загрузчики медиа и различные утилиты для исследования устройств и сервисов
◦ Материалы по информационной безопасности и базовым принципам защиты систем
👍 Скучные PDF в прошлом — вышел сервис Moda, который прокачает ваши файлы.
◦ Нейросети вытащат весь текст и картинки;
◦ Добавят графиков и иконки по контексту;
◦ Подберут цветовую палитру по теме и навалят стиля;
◦ Соберут документ обратно, но уже со всеми изменениями;
◦ При этом сервис бесплатный — мы проверили.
Пользуемся — здесь.
🧑💻 Этичный хакер
😳 Ограничение работы VPN в России ударило по маркетплейсам — совокупные потери отрасли могут достигать 7 млрд рублей
Согласно аналитике Digital Budget, мобильный трафик в апреле по сравнению с мартом сократился почти у всех крупных игроков рынка
❗️ В связи с этим в апреле выручка на маркетплейсах снизилась на 3–30%
В «Рейтинге Рунета» считают, что потери площадок в денежном выражении могли составить около 1% оборота
Если ориентироваться на объём российского рынка маркетплейсов в 2025 году — 8,59 трлн рублей, совокупный недополученный доход отрасли может достигать примерно 7 млрд рублей
🧑💻 Этичный хакер
😅 Россиян лишают доступа к нейросетям
❗️ Популярная платформа OpenRouter закрыла доступ к API ChatGPT, Claude и Gemini для жителей РФ
— В обновлённых правилах указано, что пользователям с российскими аккаунтами запрещено использовать американские нейронки в своих проектах
Кроме того, пользователи Хабра жаловались, что OpenRouter блокирует возможность пополнения для россиян
🧑💻 Этичный хакер
😈 Хакеры взломали европейский аналог OpenAI
— Хакерская группировка TeamPCP пригрозила опубликовать исходный код французской ИИ-компании Mistral AI, если не сможет найти покупателя на похищенные данные
❗️ На одном из форумов злоумышленники заявили, что продают почти 450 репозиториев за $25 тыс. долларов
В TeamPCP утверждают, что получили около 5 ГБ внутренних репозиториев и исходного кода, который используется для обучения, дообучения, тестирования, доставки и запуска языковых моделей компании
Хакеры заявили, что готовы уничтожить данные, если получат оплату, однако в случае отсутствия покупателя в течение недели обещают выложить архивы в открытый доступ
👏 В Телеграм заработал ИИ-поиск по стикерам и эмодзи — теперь среди 100 миллионов картинок можно быстро найти подходящую
Фича работает на 36 языках и сопоставляет контекст запроса и картинок — идеально для важных переговоров
🧑💻 Этичный хакер