T.Hunter | информационная безопасность

По оценкам, он может стать одним из первых и самым строгим из аналогичных законов. Что, впрочем, вряд ли кого-то удивит. Проект широко трактует понятие чат-ботов — под него подпадают любые ИИ-продукты для симуляции общения. Он направлен на борьбу с LLM-психозами, которые подарил нам 2025-й: так, при упоминании роскомнадзора и прочего вреда себе к общению должен подключиться кожаный мешок. А несовершеннолетние и пожилые люди и вовсе будут указывать контакты опекуна при регистрации...

Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free...

И на волне новогоднего настроения доброумышленники решили немного пошалить. Все игроки обнаружили у себя игровой валюты на пару миллиардов кредитов — это около 13,3 миллионов долларов. Также всем разблокировали все скины в игре, включая девелоперские. Кого-то побанили, кого-то разбанили — развлекались как могли. Долго новогоднее чудо, конечно, не продлилось: все изменения откатят...

Декабрь удался на славу: его открыла React2Shell, встряхнувшая сеть, а закрывает MongoBleed, подпортившая многим праздничный сезон. Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория...

, так сказать, вытекающим. А утекают у нас чувствительные данные из памяти. CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете...

Fortinet предупредила об активном эксплойте уязвимости на обход 2FA в FortiOS SSL VPN. Только её давно исправили. В июле 2020-го. Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты...

Постоянная проверка контрагентов превращается в сизофов труд. Но что если ваш главный инструмент для этой рутины — обычный Google Sheets — сможет стать автономной аналитической станцией? Давайте разберём,...

Расширение TrustWallet под Chrome было скомпрометировано в атаке на цепочку поставок. И обзавелось криптодрейнером. Троянизированную версию опубликовали прямиком под Рождество: релиз 2.68.0 от 24 декабря начал стягивать сид-фразы. Параллельно шла фишинговая кампания от тех же лиц. TrustWallet тихонько залил чистую версию и сегодня подтвердил, что расширение было скомпрометировано. Подробностей пока нет, но оно и неудивительно: кто-то в команде ещё в состоянии шевелиться и реагировать на инцидент — уже неплохо...

на GitHub и другие платформы регулярно заливают вредонос. У “Лаборатории Касперского” описан очередной случай. Кампанию заметили в октябре: злоумышленники распространяли WebRat, маскируя под эксплойты свежих CVE в Internet Explorer, WordPress, компоненте Windows —всего полтора десятка репозиториев. В описании на поверхностный взгляд убедительный ИИ-слоп, характерный для репортов об уязвимостях в 2025-м...

BB. Но с коммуникацией у Eurostar оказалось, мягко говоря, не очень. BB-программа у них есть, уязвимости под внедрение промптов и скрипты прямиком в чат-боте тоже нашлись. А вот компетентных людей для работы с этим нет. Об уязвимостях сообщили ещё в июне, писали повторно, связывались с CБ — ответа не было или пишите в BB. Последнюю в процессе отдали на аутсорс. И потеряли репорты со старой...

Они в открытом доступе, около сотни блоков по трассам по всей стране. Исследователь обнаружил веб-панель без пароля, так что вход свободный — смотрите кто хотите. Вот он и посмотрел. Миллионы снимков, записи с дорог, координаты камер. Сколько всё это удовольствие висит открытым, неясно, но судя по базе, инфру начали собирать где-то в сентябре 2024-го с полноценным запуском в середине этого года...

Капслок “НЕ ЗАПУСКАТЬ” в названии одного из них уже сам по себе рассказывает грустную историю. Но дальше больше. Как обычно, Werewolf, в этот раз бумажный, активный с 2022-го. Незадокументированный бэкдор, название сэмпла “Плановые цели противника” как бы намекает на цели атаки. Но здесь внимание привлекло другое. В одной из фишинговых кампаний рассылка фейковых приглашений на новогодний концерт со скрина...