32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры #статьи #подписчикам
В этом ресерче я хочу рассказать о цепочке уязвимостей, которую я нашел в системах компании — производителя роутеров, камер и модемов. Мы пройдем путь от возможности перебора пользователей на сайте через захват аккаунтов до полного захвата камер через RCE.
https://xakep.ru/2025/09/03/ip-camera-takeover/
Cloudflare заблокировала мощнейшую в историю DDoS-атаку — 11,5 Тбит/с
Установленный в июне 2025 года рекорд по мощности DDoS-атак уже побит. Компания Cloudflare заявила, что недавно заблокировала крупнейшую на данный момент DDoS-атаку в истории, пиковая мощность которой достигла 11,5 Тбит/с.
https://xakep.ru/2025/09/03/1-5-tbps/
🚀 Твой сервер пыхтит, как паровоз в гору? А пользователи бегут быстрее, чем TTFB?
Хватит гадать, где тормозит система! На курсе «Оптимизация веб-приложений» научим:
→ Ловить баги до выкатки,
→ Ускорять код так, чтобы Chrome не плакал,
→ Доказывать бизнесу, что 5-секундная загрузка — это не фича, а позор! 😉
Пройди тест и узнай, справишься ли с нашим челленджем: https://vk.cc/cP98vb
(Спойлер: если считаешь htop магическим кристаллом — тебе точно к нам!)
🔥 Топ-3 из программы, ради которых стоит записаться:
- WebPageTest — как находить тормоза, которые прячутся за «У меня локально всё летает!».
- Мониторинг в Linux — читаешь top как стихи? Научим видеть проблемы до kernel panic.
- Оптимизация Nginx/PostgreSQL — чтобы БД не падала под нагрузкой, как джуниор на митинге.
🎁 Успевай в группу августа со скидкой 15% по промокоду: OptWebApp_5, 5% (суммируется со скидкой на сайте), по 29.08.
P.S. «Как понять, что ты готов к курсу?»
— Если после фразы «Надо просто добавить кэш» у тебя дергается глаз...
Приходи — научим чинить проблемы, а не затыкать их костылями! 💻⚡️
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Баг в VSCode позволяет повторно использовать имена удаленных расширений
Исследователи обнаружили проблему в Visual Studio Code Marketplace, которая позволяла злоумышленникам повторно использовать имена ранее удаленных расширений.
https://xakep.ru/2025/09/02/vs-code-names/
Вымогатели OldGremlin возобновили атаки на российские компании
Исследователи «Лаборатории Касперского» предупредили о новых атаках вымогательской группировки OldGremlin, нацеленных на российские компании в первой половине 2025 года. С действиями злоумышленников столкнулись восемь крупных предприятий, главным образом промышленных.
https://xakep.ru/2025/09/02/oldgremlin-2025/
Стань автором «Хакера»!
«Хакеру» нужны новые авторы, и ты можешь стать одним из них! Если тебе интересно то, о чем мы пишем, и есть желание исследовать эти темы вместе с нами, то не упусти возможность вступить в ряды наших авторов и получать за это все, что им причитается.
https://xakep.ru/2025/09/02/new-authors/
Онлайн-митап честных кейсов по сетевой безопасности
16 сентября в 15:00
Positive Technologies приглашает на второй онлайн-митап честных кейсов по сетевой безопасности — мероприятие, посвященное реальным сценариям работы с песочницей PT Sandbox и системой поведенческого анализа трафика PT NAD.
Если вы занимаетесь сетевой безопасностью, планируете внедрять продукты Позитива или уже используете их, присоединяйтесь к общению с коллегами.
На трансляции обсудим
• Реальные кейсы обнаружения угроз
• Сценарии использования PT NAD и PT Sandbox
• Синергию двух продуктов для максимальной защиты
Будет много технических деталей и практических инсайтов. Регистрируйтесь, чтобы не пропустить!
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
В WhatsApp для iOS и macOS устранили уязвимость нулевого дня
Разработчики мессенджера устранили 0-day уязвимость в версиях для iOS и macOS. По данным компании, свежая проблема, наряду с недавно раскрытым Apple багом, могла использоваться в «сложных атаках, нацеленных против конкретных пользователей».
https://xakep.ru/2025/09/01/whatsapp-0day/
Microsoft сообщила, что обновление Windows не ломало SSD и HDD
Представители Microsoft заявили, что компания не выявила связи между августовским обновлением безопасности KB5063878 и жалобами клиентов на сбои и проблемы с повреждением данных, затрагивающие SSD и HDD различных производителей.
https://xakep.ru/2025/09/01/kb5063878-problems/
Для работы античита Battlefield 6 требуется использование Secure Boot
В августе разработчики Electronic Arts (EA) объявили, что игроки в открытой бете Battlefield 6 на ПК должны будут включить Secure Boot в настройках Windows и BIOS. Это решение вызвало споры и критику, так как многие не захотели предоставлять античитерским инструментам EA доступ к ядру системы. В итоге технический директор Battlefield 6 Кристиан Буль (Christian Buhl) извинился перед игроками.
https://xakep.ru/2025/09/01/ea-anticheat/
Positive Technologies: атаки через GitHub и GitLab достигли рекордного уровня
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
https://xakep.ru/2025/08/29/supply-chain-stats/
Кибербезопасность теперь в Telegram!
Тот самый канал, которого будет достаточно для того, чтобы быть в курсе последних новостей, знать, кто и как взломал Аэрофлот, когда изолируют рунет и кто может следить за тобой через твой же смортфон.
⚡️ Пакет Безопасности – @package_security
📌 Авторское мнение настоящего кибербезопасника, полезные материалы, разборы новостей и всего необходимого, чтобы защитить себя от хакеров.
Реклама. Максимов Дмитрий Александрович. ИНН 183113175233.
MEGANews. Cамые важные события в мире инфосека за август
В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.
https://xakep.ru/2025/08/29/meganews-317/
Предложение Минцифры сделает нормальную работу «Хакера» невозможной
В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать.
https://xakep.ru/2025/08/29/infosec-law/
NX стал жертвой атаки на цепочку поставок. В итоге хакеры похитили тысячи секретов
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволила злоумышленникам опубликовать вредоносные версии популярного npm-пакета и других инструментов, а затем похитить данные пользователей.
https://xakep.ru/2025/08/29/s1ngularity/
Кибератака повлияла на производство Jaguar Land Rover
Автомобилестроительная компания Jaguar Land Rover (JLR) объявила, что была вынуждена отключить ряд систем из-за хакерской атаки. Инцидент, по всей видимости, оказал влияние на производственные и розничные операции автопроизводителя.
https://xakep.ru/2025/09/03/jlr-hacked/
Google не просила 2,5 миллиарда пользователей Gmail сменить пароли
На прошлой неделе в СМИ появились заявления о том, что Google якобы массово уведомляет всех пользователей Gmail (около 2,5 млрд человек) о необходимости срочно сменить пароли и включить двухфакторную аутентификацию. Представители Google комментируют, что сообщения о проблемах в безопасности Gmail — это ложь.
https://xakep.ru/2025/09/03/gmail-fake/
Серверы FreePBX находятся под атаками из-за 0-day уязвимости
Разработчики Sangoma Technologies Corporation предупредили об активно эксплуатируемой 0-day уязвимости FreePBX, которая затрагивает системы с панелью администрирования, открытой для доступа через интернет.
https://xakep.ru/2025/09/02/freepbx-0day/
HTB Eureka. Атакуем веб-сервер с Netflix Eureka
Сегодня я покажу, как получить приватные данные из дампа кучи Spring Boot, а затем завладеем доступом к системе Eureka. Через ее сервисы извлечем приватные данные пользователя и сессию на хосте. Для повышения привилегий используем уязвимость в пользовательском анализаторе логов.
https://xakep.ru/2025/09/02/htb-eureka/
В корпоративном менеджере паролей Passwordstate нашли баг обхода аутентификации
Компания Click Studios, занимающаяся разработкой корпоративного менеджера паролей Passwordstate, предупредила клиентов о необходимости срочно установить патч для устранения критической уязвимости обхода аутентификации.
https://xakep.ru/2025/09/02/passwordstate-flaw/
Специалисты F6 обнаружили новый стилер Phantom
В июне 2025 года исследователи обнаружили новую вредоносную активность, которую назвали Phantom Papa. Злоумышленники рассылали письма на русском и английском языках с вредоносными вложениями, содержащими новый стилер Phantom.
https://xakep.ru/2025/09/02/phantom/
Google предупреждает о массовой краже данных, связанной с ИИ-агентом Salesloft
На прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce. Как теперь предупредили в Google, атака была массовой и затронула данные Google Workspace.
https://xakep.ru/2025/09/01/salesloft-breach/
В Firefox устранили уязвимость, найденную экспертом Positive Technologies
Эксплуатация уязвимости была возможна после внедрения вредоносного кода на случайный сайт, и затем злоумышленник получал возможность похищать учетные данные и перенаправлять пользователей на фишинговые страницы.
https://xakep.ru/2025/09/01/cve-2025-6430/
В 2025 году атаки на бизнес бьют рекорды: растут утечки, массовые взломы и финансовые потери.
➡️ Усиление регуляторных требований и оборотные штрафы делают тему защиты данных ещё более актуальной.
Классические подсистемы безопасности всё чаще не справляются: злоумышленники развиваются быстрее, а привычные СЗИ уже не обеспечивают должного уровня защиты.
➡️ Команды KPBS® и Damask® приглашают принять участие в вебинаре: «Почему старые методы не спасают: новый взгляд на кибербезопасность».
📅 11 сентября, 11:00 (онлайн)
➡️Александр Андриянов, коммерческий директор KPBS®, разберёт ключевые тренды, поделится инсайтами исследования «Объём рынка ИБ в России за 2024 год».
➡️Дмитрий Ковалёв, эксперт Damask®, представит уникальное решение, основанное на криптографических методах нового поколения и
обладающее пост-квантовой стойкостью.
➡️ Каждый участник получит чек-лист «10 шагов по защите ИТ-инфраструктуры».
🔗Зарегистрируйтесь сейчас и получите ценные знания об информационной безопасности.
Реклама. Рекламодатель: ООО «КПБС», г. Москва, ОГРН 12007700285165, erid: 2SDnjeSgEBg
Лучшее в «Хакере» за 2025 год. Предзаказы на бумажный спецвыпуск открыты!
В конце текущего года мы выпустим бумажный спецвыпуск, в который войдут лучшие статьи «Хакера» за 2025 год. Не упусти момент: ты можешь оказаться среди первых обладателей нового коллекционного сборника. Ранние предварительные заказы по специальной цене уже открыты!
https://xakep.ru/2025/08/29/2025-preorders/
Реклама. ИП Яковлева А.В. ИНН 503806735948. Erid: 2SDnjc4FTYS
Йон фон Течнер высказался против ИИ в браузерах
Йон фон Течнер (Jon von Tetzchner), глава норвежской компании Vivaldi Technologies, которая разрабатывает одноименный браузер, поделился своими мыслями по вопросу интеграции ИИ в браузеры. По мнению фон Течнера, попытки индустрии интегрировать ИИ-модели с веб-серфингом зашли слишком далеко.
https://xakep.ru/2025/08/29/von-tetzchner-ai/
Бесконечный тупняк. Колонка главреда
Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.
https://xakep.ru/2025/08/29/hate-reels/
Twitch оштрафовали на 61 млн рублей
На этой неделе мировой судья Таганского района Москвы признал сервис Twitch виновным в «неисполнение обязанностей, предусмотренных законодательством о деятельности иностранных лиц в информационно-телекоммуникационной сети интернет на территории РФ».
https://xakep.ru/2025/08/29/twitch-fine/
Правоохранители закрыли сервис для создания фальшивых личностей VerifTools
ФБР и голландская полиция сообщают о закрытии маркетплейса VerifTools, специализировавшегося на создании поддельных документов. Правоохранители конфисковали серверы ресурса, находившиеся в Амстердаме.
https://xakep.ru/2025/08/29/veriftools/
«Яндекс» оштрафовали на 10 000 рублей за непредоставление ФСБ доступа к системе умного дома «Алиса»
СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей на компанию «Яндекс» за невыполнение предписания о предоставлении ФСБ доступа к интернет-ресурсу yandex[.]ru/alice/smart-home.
https://xakep.ru/2025/08/28/yandex-fine/