T.Hunter | информационная безопасность

На конец 2025-го на 31 мясного посетителя сайта приходился один бот. Для сравнения, на начало года был один на 200 человек. И это консервативные оценки. Консервативны они в силу того, что трафик сложно различить — в реальности дела обстоят ещё хуже. При этом дело даже не в скраперах: доля трафика от ИИ-саранчи снизилась на 15%. А вырос от ИИ-поиска: юзеры всё чаще используют чат-боты в качестве поисковика — здесь трафик подскочил на 33%...

Январь открыла череда уязвимостей в платформе для автоматизации рабочих процессов n8n, раскрытие которых всё продолжается. А у NotePad++ раскрыли компрометацию инфраструктуры для обновлений госхакерами; её же скомпрометировали у eScan. Интеграция LLM’ок в 2026-м сдаёт позиции у пользователей: в СМИ пиарят скрипты для удаления ИИ-фич из Win11, а Microsoft отказывается от их повального внедрения...

ФБР не сумело вскрыть iPhone 13, который был в режиме Lockdown. Телефон изъяли в рамках обыска, но, по документам суда, доступ к нему получить не удалось. Телефон принадлежит журналистке, которая проходит по утечке засекреченных документов. После неанонсированного дружеского визита к ней домой, ФБР нашло iPhone 13 и Macbook Pro. Телефон был в локдауне, и вскрыть его у CART не вышло. Так что, видимо, Cellebrite и коллеги в игре в кошки-мышки с Apple чуть отстали, бывает...

Враг хитёр, но инфраструктура крепка, разрушительные кибератаки не пройдут и были отражены! Заглядываем внутрь. Это Дудосия. Бодрые отчёты об отражении серии атак разнесли по всем СМИ. Если дальше заголовков не читать, итальянская ИБ противостоит локальному апокалипсису уровня SolarWinds — под ударом объекты Олимпийских игр и министерства иностранных дел. На деле же ноунеймы номер 057 чуток подудосили местные сайты — пишут, наказывают непослушных европейцев...

CVE-2026-25049, 9.4 по CVSS, обход исправленной в конце декабря CVE-2025-68613. Закрыта в патче от 12 января — кто обновился, тот и молодец. Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти...