T.Hunter | информационная безопасность

Есть в США компания Bluspark Global, разрабатывающая софт для управления грузоперевозками у ~500 крупных клиентов. Как можно догадаться, с ИБ у них было не очень — в системах был проходной двор. API были доступны без авторизации, документация к ним в открытом виде, и через API можно было сделать себе админский аккаунт — и иметь доступ ко всем клиентским перевозкам с 2007-го. Бонусом можно было вытянуть пароли простым текстом от всех аккаунтов и отправлять имейлы от лица компании...

aws-sdk-js-v3. А следом и все облачные среды с ним, и консоль AWS в придачу. Уязвимость окрестили CodeBreach, сообщили в августе, и её закрыли за 2 дня — и неспроста: потенциал от компрометации по масштабам мог превзойти Solar Winds. А уязвимость до смешного простая: в regex в фильтрах веб-хуков пропустили пару символов, начала и конца строки — и вместо полного совпадения ID фильтр искал подстроку. Исследователям удалось зарегать ID, включающий ID мейнтейнера репы...

Возможность подключить Gemini ко всем сервисам — Gmail, Drive, истории поиска и далее по списку. Есть желающие? По задумке, это нужно для персонализации пользовательского опыта с Gemini. ИИ-моделька просканит почтовый ящик, облако и список поисковых запросов и ответит на вопросы юзера точнее, будет полезнее, и общение с ней пойдёт веселее. На деле Google получает ещё один удобный костыль, чтобы иметь...

Max. Народ, конечно, не дурак, и пресс-службам не верит. Но справедливости ради, внимание на скрины. Как обычно, до постов на обскурном форуме доберётся не каждый. Но и те, кто добрались, репостят первый скрин. В записи из якобы стянутой базы у нас целый депутат с уровнем аккаунта “Government” из "Duma district". И в ней же session_token “ehehehehe” и hardware_key_status “Bypassed_RCE”...

экосистемы. На фоне недовольства уязвимостью LLM’ок и её агентуры, лучшего хода не придумаешь. Цифра возникла неспроста: в октябре PSF лишился гранта на эту сумму от штатовской администрации — у последней были требования свернуть политику разнообразия, а в фонде заявили, что любят питонов всех оттенков и мастей. Тогда все приуныли, так как грант обещали потратить на ИБ на PyPi и прочих опенсорсных платформах...

”. В Индии очередной удивительный законопроект: на этот раз там хотят обязать производителей смартфонов предоставлять правительству исходники. Вот так просто. И это лишь одно из предложений в пакете на 83 позиции, который также содержит требование уведомлять о крупных обновлениях софта: хочешь пушнуть апдейт на телефон Раджеша, который поломает госспайварь, изволь прислать подробный бюллетень и код для теста. И логи за год пусть в телефоне лежат...

Так и называются, Remove Windows AI. 8к звёзд — народ голосует против Copilot и компании скриптом. Огоньку добавляет и поддержка от президента Signal, оцените формулировку: “Инфраструктура для уменьшения вреда и противостояния тревожному внедрению ИИ-агентов, самому безрассудному деплою из текущих”. Сами разрабы тоже не стесняются в выражениях: "убираем ВСЕ ИИ-фичи для улучшения UX, приватности и безопасности". Иными...

Казалось бы, всё серьёзно. На деле же исследователь опять надругался над журналистом. В Telegram есть прокси-лайт, MTProxy, для обфускации и лёгкого обхода цензуры. Злоумышленник может поднять свой MTProxy-сервер, прокинуть до него туннель и прислать жертве ссылку на него. Telegram постучит по нему вне конфига своей прокси с “реального” айпи. Всё, на этом вся сенсация. Никаких уязвимостей здесь по сути и нет — медиа-человек из TG вполне резонно это подмечает, но приличия ради добавят предупреждение к прокси-ссылкам...

уязвимых инстансов снизилось. Но со 100 до 60 тысяч. Столько насканили в Shadowserver: в пятницу насчитали ~100к инстансов, уязвимых к Ni8mare. На воскресенье ещё около 60к оставались без патча. Всего две циферки, но этот самый короткий рассказ растрогает всех причастных — по карте можно в прямом эфире наблюдать за чьими-то испорченными выходными. К владельцам оставшихся 60к, в пресловутом work-life...

Записи на ~324к юзеров от августа 2025-го, “временно” лежавшие в открытой папке. Никнеймы, даты регистрации, часть айпишников и прочее внутреннее. Большая часть айпи в таблице — loopback, но в ~70к записей засветились реальные. Может, остались в базе до того, как их прикрыли, может, ещё какие артефакты. Ну а дальше как повезёт: если кто додумался заходить с голого айпи или из-под надёжного®, проверенного™ впн’а, может скачать базу и пройти увлекательный квест “Ищи себя в посетителях BreachForums”...

файлов. Это уже четвёртая критическая CVE, раскрытая в n8n за пару недель. Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами...

Они мимикрируют под легитимное, добавляющее боковую панель под ИИ-чаты, и при этом сопоставимы по загрузкам — под миллион пользователей. Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но...