T.Hunter | информационная безопасность

Терпели до января 2026-го бедолаги — выдержке можно только позавидовать. Для контекста, на прошлой неделе сURL получил семь репортов на H1 за 16 часов; по итогам выяснили, что ни одной валидной уязвимости в них нет. Между тем за январь им прилетели уже 20 отчётов. Так что в 2026-м Стенберг говорит решительное “Нет” ИИ-слопу в багхантинге: все упоминания BB и H1 выпилят из документации и свернут программу к концу января...

Активность свежая: рассылка идёт с 19 января и направлена на стягивание мастер-паролей. По фишингу всё стандартно: мы уходим на техобслуживание, создайте локальную копию хранилища в следующие 24 часа, чтобы не потерять данные. Домены aля LastPass в рассылке и на фишинговом сайте есть, ощущение срочности “Делай бэкап или проиграешь” есть, готовые кликнуть куда-нибудь не туда юзеры тоже есть...

предел. Многие, судя по всему, навайбкожены. На первом месте Chat & Ask AI от Codeway: 18 миллионов пользователей со слитыми именами, почтами и переписками на 400 миллионов записей — всё содержимое из чатов с кремниевым другом. Следом идёт YPT - Study Group на 2 миллиона юзеров со всем утёкшим содержимым. В основном всё это утекает через открытые базы и облака. В общем, вайбкодинг и его последствия стали трагедией для девелоперской цивилизации, особенно мобильной...

Фейковое расширение - > краш браузера - > окно с предупреждением аля браузер - > ClickFix. Как вам такая креативная цепочка? Приложение замаскировано под адблокер, в коде луп через 'chrome.runtime', ведущий к падению браузера. Окошко о проблемах под легитимное и призывает юзера починить проблемы с безопасностью и помочь сделать браузер лучше. Как от такого отказаться? Ну а дальше копипаст с вредоносным скриптом. В расширении...

Зачем? Во-первых, это красиво. А также для ускорения миграции с легаси-протокола. NTLMv1 уже без малого полвека, в 1999-м были опубликованы первые исследования по его уязвимостям, в 2012-м на DefCon дали тулсет для атак по нему, а в прошлом году Microsoft начала его отправку на пенсию. Но старичок по-прежнему в наличии в куче рабочих сред, и процесс отказа от него затягивается. В Mandiant решили,...

”. Но на этом злоключения оператора StealC не закончились — у него на панели была XSS. Что позволило исследователям получить доступ. Ворец куки оказался неспособен защитить свои от кражи — его куки от активных сессий стянули. Это позволило изучить операцию, выделить единственного оператора за ней и фингерпринтнуть устройство, часовой пояс и русскую раскладку. А дальше классика: у злоумышленника пару раз отвалился VPN (а то и просто забыл включить), и он слил голый IP...

В стандарте баг с проверкой на режим пэйринга, и многие модели цепляются, даже если он не включён. Уязвимость получила название WhisperPair и помимо выходок вроде запуска аудио и отключения звука допускает и вещи поинтереснее. Например, доступ к микрофону и отслеживание устройства через FindHub. В целом проблема тривиальная, но это периферия. Так что и патчей не дождёшься, и редкий юзер их накатит; плюс Fast Pair не отключить — сегодня без костылей...

Есть в США компания Bluspark Global, разрабатывающая софт для управления грузоперевозками у ~500 крупных клиентов. Как можно догадаться, с ИБ у них было не очень — в системах был проходной двор. API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании...

aws-sdk-js-v3. А следом и все облачные среды с ним, и консоль AWS в придачу. Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы...

Возможность подключить Gemini ко всем сервисам — Gmail, Drive, истории поиска и далее по списку. Есть желающие? По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь...

Max. Народ, конечно, не дурак, и пресс-службам не верит. Но справедливости ради, внимание на скрины. Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”...

экосистемы. На фоне недовольства уязвимостью LLM’ок и её агентуры, лучшего хода не придумаешь. Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах...