32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Лучшее в «Хакере» за 2025 год. Предзаказы на бумажный спецвыпуск открыты!
В конце текущего года мы выпустим бумажный спецвыпуск, в который войдут лучшие статьи «Хакера» за 2025 год. Не упусти момент: ты можешь оказаться среди первых обладателей нового коллекционного сборника. Ранние предварительные заказы по специальной цене уже открыты!
https://xakep.ru/2025/08/29/2025-preorders/
Реклама. ИП Яковлева А.В. ИНН 503806735948. Erid: 2SDnjc4FTYS
Йон фон Течнер высказался против ИИ в браузерах
Йон фон Течнер (Jon von Tetzchner), глава норвежской компании Vivaldi Technologies, которая разрабатывает одноименный браузер, поделился своими мыслями по вопросу интеграции ИИ в браузеры. По мнению фон Течнера, попытки индустрии интегрировать ИИ-модели с веб-серфингом зашли слишком далеко.
https://xakep.ru/2025/08/29/von-tetzchner-ai/
Бесконечный тупняк. Колонка главреда
Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.
https://xakep.ru/2025/08/29/hate-reels/
Twitch оштрафовали на 61 млн рублей
На этой неделе мировой судья Таганского района Москвы признал сервис Twitch виновным в «неисполнение обязанностей, предусмотренных законодательством о деятельности иностранных лиц в информационно-телекоммуникационной сети интернет на территории РФ».
https://xakep.ru/2025/08/29/twitch-fine/
Правоохранители закрыли сервис для создания фальшивых личностей VerifTools
ФБР и голландская полиция сообщают о закрытии маркетплейса VerifTools, специализировавшегося на создании поддельных документов. Правоохранители конфисковали серверы ресурса, находившиеся в Амстердаме.
https://xakep.ru/2025/08/29/veriftools/
«Яндекс» оштрафовали на 10 000 рублей за непредоставление ФСБ доступа к системе умного дома «Алиса»
СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей на компанию «Яндекс» за невыполнение предписания о предоставлении ФСБ доступа к интернет-ресурсу yandex[.]ru/alice/smart-home.
https://xakep.ru/2025/08/28/yandex-fine/
В Москве прошла шестая конференция OFFZONE 2025
21 и 22 августа прошла шестая конференция по практической кибербезопасности OFFZONE 2025. Мероприятие посетили более 2500 человек, а своим опытом с участниками поделились более 120 экспертов, представившие 98 докладов.
На два дня пространство GOELRO превратилось в площадку для обмена опытом между специалистами по безопасности, разработчиками, инженерами и исследователями.
https://xakep.ru/2025/08/28/post-offzone/
Реклама. ООО «БИЗон». ИНН 9701036178. Erid: 2SDnjdq6BZQ
Госучреждения в Неваде закрылись из-за кибератаки
В прошлые выходные американский штат Невада пострадал от масштабной кибератаки. В результате уже несколько дней власти борются с последствиями инцидента, который нарушил работу правительственных сайтов, телефонных систем и онлайн-платформ, а также привел к закрытию всех государственные учреждений в начале недели.
https://xakep.ru/2025/08/28/nevada-hack/
Anthropic: хакеры использовали Claude в масштабной кибероперации
Компания Anthropic сообщает, что пресекла масштабную вредоносную операцию, в рамках которой, в июле 2025 года, злоумышленники использовали Claude для кражи персональных данных и вымогательства. Выкупы, которые требовали хакеры, порой превышали 500 000 долларов США.
https://xakep.ru/2025/08/28/claude-abuse/
DDoS-атака на Arch Linux мешает работе сайта, репозитория и форумов проекта
Команда Arch Linux сообщает, что уже больше недели отражает продолжительную DDoS-атаку, которая влияет на работу большинства ресурсов проекта. Атака началась еще 16 августа, и из-за нее Arch User Repository (AUR), сайт Arch Linux, Wiki и форумы могут быть недоступны.
https://xakep.ru/2025/08/27/arch-ddos/
Исследователи обнаружили PromptLock — первый ИИ-шифровальщик
Специалисты компании ESET обнаружили необычного вредоноса, который получил название PromptLock. Исследователи описывают его первого известного вымогателя, использующего ИИ.
https://xakep.ru/2025/08/27/promptlock/
Минцифры опубликовало второй пакет мер, направленных на борьбу с мошенничеством
Минцифры РФ подготовило второй пакет мер по борьбе с кибермошенниками. В него вошли около 20 инициатив, которые затронут финансовую и телекоммуникационную сферы. К примеру, предлагается ограничить количество банковских карт — до 10 на человека и ввести уголовную ответственность за DDoS-атаки.
https://xakep.ru/2025/08/27/antifraud-laws/
Исследователи скрыли вредоносные промпты для ИИ в маленьких изображениях
Эксперты Trail of Bits разработали новый тип атаки, который позволяет похищать пользовательские данные при помощи внедрения в изображения вредоносных промптов, невидимых человеческому глазу.
https://xakep.ru/2025/08/26/ai-image-scaling/
Крутой графен. Ставим GrapheneOS — защищенный и приватный Android #статьи #подписчикам
Маркетинговый треш и тотальная слежка — вот какое впечатление у меня в последнее время от заводских версий Android. Нельзя ли найти чистую, надежную и приватную ОС для телефона, при этом не жертвуя удобством? Авторы GrapheneOS приложили серьезные усилия, чтобы человек не только вернул контроль над своим телефоном, но и не потерял в комфорте. Получилось ли у них? Сейчас расскажу!
https://xakep.ru/2025/08/26/graphene-os/
Два новых дизайна. Открываем предзаказы на футболки с логотипом «Хакера»
Недавно мы обещали, что скоро мерча станет больше. Рады сообщить, что открываем предварительные заказы на новые футболки. В двух новых дизайнах минимализм доведен до абсолюта: только логотип ][ или надпись «Хакер» на груди. Никаких лишних деталей — чистый стиль.
https://xakep.ru/2025/08/26/new-shirts/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Positive Technologies: атаки через GitHub и GitLab достигли рекордного уровня
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
https://xakep.ru/2025/08/29/supply-chain-stats/
Кибербезопасность теперь в Telegram!
Тот самый канал, которого будет достаточно для того, чтобы быть в курсе последних новостей, знать, кто и как взломал Аэрофлот, когда изолируют рунет и кто может следить за тобой через твой же смортфон.
⚡️ Пакет Безопасности – @package_security
📌 Авторское мнение настоящего кибербезопасника, полезные материалы, разборы новостей и всего необходимого, чтобы защитить себя от хакеров.
Реклама. Максимов Дмитрий Александрович. ИНН 183113175233.
MEGANews. Cамые важные события в мире инфосека за август
В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.
https://xakep.ru/2025/08/29/meganews-317/
Предложение Минцифры сделает нормальную работу «Хакера» невозможной
В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать.
https://xakep.ru/2025/08/29/infosec-law/
NX стал жертвой атаки на цепочку поставок. В итоге хакеры похитили тысячи секретов
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволила злоумышленникам опубликовать вредоносные версии популярного npm-пакета и других инструментов, а затем похитить данные пользователей.
https://xakep.ru/2025/08/29/s1ngularity/
ИБ-сообщество обеспокоено новым пакетом антифрод-мер
Во втором пакете мер по борьбе с кибермошенниками, опубликованном Минцифры на этой неделе, обнаружили часть, которая предполагает наложить запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации» или позволяющей получить доступ к соответствующему ПО. ИБ-компании опасаются, что это может серьезно осложнить работу специалистов.
https://xakep.ru/2025/08/28/infosec-antifraud/
Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком #статьи #подписчикам
В этой статье я расскажу про необычный кейс фишинговой атаки: поскольку жертвы не поддавались на простой фишинг, нам с коллегами пришлось создать поддельную персону разработчика, а также троянское приложение, якобы созданное им. И вот оно наконец‑то сделало свое дело.
https://xakep.ru/2025/08/28/deep-phishing/
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ
Представители компании сообщили СМИ, что проблемы в работе Google Meet, с которыми сталкиваются российские пользователи, не связаны с техническими проблемами на стороне Google.
https://xakep.ru/2025/08/28/google-comment/
Популярные парольные менеджеры уязвимы перед кликджекингом
ИБ-специалист обнаружил, что шесть популярнейших менеджеров паролей, которыми пользуются десятки миллионов людей, уязвимы перед кликджекингом, что позволяет атакующим похищать учетные данные, коды двухфакторной аутентификации и данные банковских карт.
https://xakep.ru/2025/08/27/clickjacking-passowrds/
Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition
Состояние гонки иногда позволяет вмешаться в алгоритмы обработки данных: от оплаты корзины в интернет‑магазине до механики перевыпуска API-ключей с повышением привилегий. На примерах с HTTP/2 и single-packet attack я покажу, как правильно подобранный момент атаки дает возможность «вырваться вперед на повороте» и буквально переписать бизнес‑логику приложения.
https://xakep.ru/2025/08/27/race-conditon/
«СёрчИнформ FileAuditor». Тестируем отечественную DCAP-систему
На рабочих компьютерах может быть масса данных, которые не должны покидать стены офиса. Как убедиться, что сотрудники не будут играть в Сноудена? Один из самых верных способов — софтверный. Сегодня мы с тобой посмотрим на отечественную DCAP-систему компании «СёрчИнформ», которая должна помогать в нелегком деле защиты информации.
https://xakep.ru/2025/08/27/searchinform-fileauditor/
Реклама. ООО «СерчИнформ». ИНН 7704306397.
Сотни тысяч клиентов Auchan пострадали от утечки данных
Французская розничная сеть Auchan уведомила сотни тысяч клиентов о том, что их персональные данные были украдены во время хакерской атаки.
https://xakep.ru/2025/08/27/auchan-new-leak/
В Android запретят установку приложений неверифицированных разработчиков
Представители Google сообщили, что с 2026 года на сертифицированные Android-устройства можно будет устанавливать только приложения от верифицированных разработчиков. Эта мера направлена на борьбу с вредоносным ПО и финансовым мошенничеством, и коснется приложений, которые устанавливаются из сторонних источников.
https://xakep.ru/2025/08/26/sideloading-apps/
Критическая уязвимость в декстопной версии Docker позволяла скомпрометировать хост
Критическая уязвимость в декстопной версии Docker для Windows и macOS позволяла скомпрометировать хост-систему, запустив вредоносный контейнер, даже если активна защита Enhanced Container Isolation (ECI).
https://xakep.ru/2025/08/26/docker-ssrf/
Российские пользователи смогут добровольно ограничить себе доступ к опасному контенту
Власти РФ рассматривают возможность создания системы добровольной фильтрации «потенциально опасной информации» для пользователей. Соответствующие планы правительства зафиксированы в официальном плане мероприятий.
https://xakep.ru/2025/08/26/self-prohibition/