🤔📂 По данным DarkEye, якобы полностью рабочий эксплойт 0-day RCE для последней и более ранних версий WinRAR предлагается на продажу за $80 000 на одном из 🎩 околохакерских форумов.
— пишет компания.
Первыми о находке сообщили DarkWebInformer в X.
🗣 Вполне вероятно, что RCE затрагивает и новую версию 7.12, о которой недавно писал.
✋ @Russian_OSINT
🔍 Компания DarkEye обнаружила несколько случаев утечки данных, связанных с WinRAR (http://win-rar.com).
— пишет компания.
Первыми о находке сообщили DarkWebInformer в X.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
4
Как пишет РБК, депутаты Госдумы отклонили проект о легализации «белых» хакеров, так как он не учитывает нормы о гостайне и безопасности критических систем.
Решение было принято после соответствующей рекомендации профильного комитета Госдумы по государственному строительству и законодательству.
Вопрос легализации этичных хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty.
Комитет посчитал, что законопроект, внесенный группой депутатов в 2023 году, не учитывает особенности информационного обеспечения работы госорганов. Эта работа регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры (к ней относятся сети связи и информационные системы госорганов, транспортных, энергетических, финансовых и ряда др. компаний).
Еще одной причиной отказа стало отсутствие необходимых изменений в других законах. Как указало в своем отзыве на проект правительство, для легализации «белых» хакеров нужно комплексно менять законодательство, в том числе уголовное право. Эти изменения должны определить правила поиска уязвимостей и снизить связанные с этим риски, но такие поправки до сих пор не внесены, указано в отзыве комитета Госдумы по госстроительству. Законопроект также подразумевал, что о найденных уязвимостях можно будет сообщать разработчикам программ — правообладателям. Согласно отзыву, если такой правообладатель находится в недружественной юрисдикции, передача информации об уязвимостях может угрожать нацбезопасности России.
— Минцифры считает целесообразным вносить комплексные изменения по легализации «белых» хакеров, сказал РБК представитель министерства.
👆Один из авторов отклоненного проекта, член IT-комитета Госдумы Антон Немкин рассказал РБК, что они планируют повторно внести инициативу в составе пакета законопроектов, касающихся правового статуса и правил деятельности пентестеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Как отключить доступ Gemini к вашим данным на Android
Обновление Google Gemini дает ему доступ к данным приложений Phone, Messages, WhatsApp и Utilities. Как сохранить приватность пользователям Android — пошаговая инструкция.
7 июля 2025 года Google выпустила обновление❗️ Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах...
https://www.kaspersky.ru/blog/how-to-disable-gemini-on-android/40042/
Please open Telegram to view this post
VIEW IN TELEGRAM
5
🇷🇺Правительство планирует обязать операторов персональных данных использовать только российское ПО
Как сообщает «Коммерсант», Правительство РФ изучает возможность законодательного закрепления требования об обязательном использовании отечественного программного обеспечения, включая системы управления базами данных (СУБД), для операторов персональных данных.
Соответствующее поручение Минцифры, ФСБ и ФСТЭК дал премьер-министр Михаил Мишустин. Предложения по поправкам должны быть подготовлены до 1 декабря 2025 года, а переходный период завершится к 1 сентября 2027 года.
В Минцифры заявили «Ъ», что обсудят подходы к реализации с отраслью, а в аппарате вице-премьера Дмитрия Григоренко уточнили, что переход будет поэтапным. Операторы смогут выбирать решения из реестра российского ПО, где представлены тысячи разработок.
👆Эксперты сомневаются в реалистичности полного перехода к установленному сроку. По словам Сергея Бабкина из «Рексофт», многие компании десятилетиями используют западные СУБД, интегрированные в бизнес-процессы, и их замена потребует масштабной адаптации.
Ассоциация больших данных («Сбер», VK, «Яндекс») отмечает, что необходимо учитывать различия между операторами по объему данных и готовности инфраструктуры.
✋ @Russian_OSINT
Как сообщает «Коммерсант», Правительство РФ изучает возможность законодательного закрепления требования об обязательном использовании отечественного программного обеспечения, включая системы управления базами данных (СУБД), для операторов персональных данных.
Соответствующее поручение Минцифры, ФСБ и ФСТЭК дал премьер-министр Михаил Мишустин. Предложения по поправкам должны быть подготовлены до 1 декабря 2025 года, а переходный период завершится к 1 сентября 2027 года.
В Минцифры заявили «Ъ», что обсудят подходы к реализации с отраслью, а в аппарате вице-премьера Дмитрия Григоренко уточнили, что переход будет поэтапным. Операторы смогут выбирать решения из реестра российского ПО, где представлены тысячи разработок.
👆Эксперты сомневаются в реалистичности полного перехода к установленному сроку. По словам Сергея Бабкина из «Рексофт», многие компании десятилетиями используют западные СУБД, интегрированные в бизнес-процессы, и их замена потребует масштабной адаптации.
Ассоциация больших данных («Сбер», VK, «Яндекс») отмечает, что необходимо учитывать различия между операторами по объему данных и готовности инфраструктуры.
Please open Telegram to view this post
VIEW IN TELEGRAM
Раз уж Mozilla 🫡8 июля закрыла свой сервис Pocket (R.I.P.), то пару слов о нём всё-таки упомянем напоследок...
Сервис🧊 Pocket — инструмент для сохранения контента (ссылок) для прочтения позже, созданный как read-it-later платформа. В 2017 был приобретён Mozilla для интеграции в Firefox и развития экосистемы приватного контент-потребления.
На просторах интернета случайно наткнулся на заметку бывшего офицера 🇺🇸ВВС США, который ранее был связан с наступательными кибероперациями (
Пишет он о том, что, анализ
Все содержимое CSV-файла с данными (включая поля
noscript, url и time_added) было скопировано и вставлено непосредственно в окно чата o3. Автор подмечает, что такой подход оказался эффективнее, чем Результаты эксперимента автор характеризует как
🤔Как отмечает автор эксперимента, если ранее подобный уровень корреляционного анализа разрозненных данных был прерогативой лишь технологических гигантов масштаба вроде
Любой массив персональных данных, даже кажущийся безобидным, или обычные ссылки, раскрывающие интересы пользователя, могут быть использованы для профилирования, в связи с чем — нам ещё только предстоит осознать реальный масштаб изменений в контексте
Далее формулируем запрос вроде "на основании 10 000 постов проанализируй архетип автора опираясь на труды
😌И не забываем👌регулировать температуру ответов.
Please open Telegram to view this post
VIEW IN TELEGRAM
11
И снова Strava. Утверждается, что провал с OPSEC в шведской службе безопасности Säpo привел к масштабной утечке критически важных данных, компрометирующих первое лицо государства. Телохранители премьер министра Ульфа Кристерссона, используя фитнес приложение Strava, непреднамеренно опубликовали более 1400 треков своих тренировок, раскрыв тем самым маршруты передвижений, локации и паттерны поведения охраняемого лица.
Анализ газеты Dagens Nyheter выявил как минимум 35 случаев прямой привязки к секретным объектам, включая частную резиденцию премьера, правительственные офисы и загородное поместье Харпсунд, причем последняя активность была зафиксирована всего несколько недель назад.
✋ @Russian_OSINT
Анализ газеты Dagens Nyheter выявил как минимум 35 случаев прямой привязки к секретным объектам, включая частную резиденцию премьера, правительственные офисы и загородное поместье Харпсунд, причем последняя активность была зафиксирована всего несколько недель назад.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Вышел новый ❗️ Grok 4. Пишут, что предварительно ТОП-1 ИИ-модель. В 🦆 комментариях восторг.
Как только спадёт хайп, можно будет говорить о какой-то объективности после независимых тестов. Интересно посмотреть, как он отвечает на русском языке.
--------------------------
$3000 в год за❗️ Grok Heavy с контекстным окном 128 000 токенов сомнительно...но окэй!
✋ @Russian_OSINT
Как только спадёт хайп, можно будет говорить о какой-то объективности после независимых тестов. Интересно посмотреть, как он отвечает на русском языке.
--------------------------
$3000 в год за
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🍔В Макдональдсе трудоустройством 90% франшиз занимается 🤖 ИИ под названием "Оливия", который защищен паролем 🥲"123456"
Кому-то по башке точно прилетит за такую халатность:
— пишет💻 bug bounty hunter Сэм Карри
Критическая комбинация двух элементарных уязвимостей на рекрутинговой платформе McHire, используемой 90% франчайзи McDonald's, привела к раскрытию персональных данных более 64 миллионов соискателей.
Исследователи безопасности Ян Кэрролл и Сэм Карри получили доступ к системе, эксплуатируя учётную запись с логином и паролем «123456», а затем используя уязвимость типа IDOR (Insecure Direct Object Reference) в одном из внутренних API. Данный инцидент демонстрирует системные риски, связанные с внедрением ИИ решений от сторонних поставщиков, таких как Paradox.ai, без проведения должного аудита базовой кибербезопасности. Раскрытая информация включала полные имена, адреса электронной почты, номера телефонов, адреса проживания и всю историю взаимодействия с чат-ботом «Оливия», включая ответы на вопросы и статусы заявки.
Технический анализ атаки выявляет грубейшие нарушения фундаментальных принципов безопасной разработки. Получив административный доступ к тестовой учётной записи через общеизвестные учётные данные, исследователи обнаружили, что конечная точка API PUT /api/lead/cem-xhr не осуществляла должной проверки авторизации. Параметр lead_id, являющийся последовательным числовым идентификатором кандидата, мог быть произвольно изменён для получения доступа к любому другому профилю в системе. Этот вектор атаки позволил бы злоумышленникам последовательно выгрузить всю базу данных кандидатов, насчитывающую свыше 64 миллионов записей, создавая идеальные условия для массовых фишинговых атак и мошенничества с использованием методов социальной инженерии.
Последствия подобной утечки выходят за рамки простого раскрытия контактной информации. Контекст, в котором были получены данные, а именно процесс поиска работы, делает пострадавших особенно уязвимыми. Сэм Карри подчеркнул, что "фишинговый риск был бы на самом деле огромен", так как злоумышленники могли бы реализовать "схему мошенничества с заработной платой", выдавая себя за рекрутеров и запрашивая финансовую информацию для прямого депозита. Компания Paradox.ai оперативно устранила уязвимость в день обращения и заявила, что скомпрометированная учётная запись не использовалась с 2019 года. Однако сам факт её существования и отсутствие базовых мер защиты, таких как многофакторная аутентификация и проверка прав доступа на уровне объектов, указывают на серьёзные пробелы в культуре безопасности разработчика.
👆🤔Небезопасно и точка!
💻 Подробнее — https://ian.sh/mcdonalds
✋ @Russian_OSINT
Кому-то по башке точно прилетит за такую халатность:
При трудоустройстве в McDonald's более 90% франшиз используют «Оливию» — чат-бота на базе искусственного интеллекта. Мы (iangcarroll и я) обнаружили уязвимость, которая позволяла злоумышленнику получить доступ к более чем 64 миллионам записей чата, используя пароль «123456».
— пишет
Критическая комбинация двух элементарных уязвимостей на рекрутинговой платформе McHire, используемой 90% франчайзи McDonald's, привела к раскрытию персональных данных более 64 миллионов соискателей.
Исследователи безопасности Ян Кэрролл и Сэм Карри получили доступ к системе, эксплуатируя учётную запись с логином и паролем «123456», а затем используя уязвимость типа IDOR (Insecure Direct Object Reference) в одном из внутренних API. Данный инцидент демонстрирует системные риски, связанные с внедрением ИИ решений от сторонних поставщиков, таких как Paradox.ai, без проведения должного аудита базовой кибербезопасности. Раскрытая информация включала полные имена, адреса электронной почты, номера телефонов, адреса проживания и всю историю взаимодействия с чат-ботом «Оливия», включая ответы на вопросы и статусы заявки.
Технический анализ атаки выявляет грубейшие нарушения фундаментальных принципов безопасной разработки. Получив административный доступ к тестовой учётной записи через общеизвестные учётные данные, исследователи обнаружили, что конечная точка API PUT /api/lead/cem-xhr не осуществляла должной проверки авторизации. Параметр lead_id, являющийся последовательным числовым идентификатором кандидата, мог быть произвольно изменён для получения доступа к любому другому профилю в системе. Этот вектор атаки позволил бы злоумышленникам последовательно выгрузить всю базу данных кандидатов, насчитывающую свыше 64 миллионов записей, создавая идеальные условия для массовых фишинговых атак и мошенничества с использованием методов социальной инженерии.
Последствия подобной утечки выходят за рамки простого раскрытия контактной информации. Контекст, в котором были получены данные, а именно процесс поиска работы, делает пострадавших особенно уязвимыми. Сэм Карри подчеркнул, что "фишинговый риск был бы на самом деле огромен", так как злоумышленники могли бы реализовать "схему мошенничества с заработной платой", выдавая себя за рекрутеров и запрашивая финансовую информацию для прямого депозита. Компания Paradox.ai оперативно устранила уязвимость в день обращения и заявила, что скомпрометированная учётная запись не использовалась с 2019 года. Однако сам факт её существования и отсутствие базовых мер защиты, таких как многофакторная аутентификация и проверка прав доступа на уровне объектов, указывают на серьёзные пробелы в культуре безопасности разработчика.
👆🤔Небезопасно и точка!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
5
В X вирусится видео, где показывают девушек-роботов cтоимостью $175 000. Они подключены к современным ИИ-моделям. Имеют встроенное компьютерное зрение и якобы "понимают", что происходит вокруг.
Они выглядят как модели и разговаривают так, будто прочитали все книги на свете.
— делятся впечатлениями блогеры.
Покойся с миром, Тиндер!
Добро пожаловать в будущее. Возможно, вашей новой пассии потребуется обновление программного обеспечения.
Хоть с этой куклой я смогу поговорить после 🍓на умные темы: про политику, обсудить воззрения Иммануила Канта и затронуть фундаментальные проблемы квантовой механики.
Кринжовая! Но я бы с такой замутил!
— шутят пользователи.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
5
Корпорация Microsoft и OpenAI, совместно с разработчиком чат-бота Claude компанией Anthropic, анонсировали запуск Национальной академии по обучению искусственному интеллекту. Проект стоимостью 23 миллиона долларов, созданный в партнерстве со вторым по величине профсоюзом учителей США — Американской федерацией учителей (AFT), нацелен на интеграцию ИИ-технологий в учебный процесс: от детского сада до 12 класса (K-12).
Инициатива представляет собой не просто образовательную программу, а стратегический шаг по формированию стандартов применения ИИ в американской системе образования.
Планируется, что в течение пяти лет обучение пройдут около 400 000 педагогов, что составляет примерно 10% всех учителей страны. Они будут интегрированы в систему воркшопов и онлайн курсов с начислением кредитов для повышения квалификации. Что касается студентов, то эта история потенциально может затронуть до 7,2 млн учащихся.
Многие учителя входят в профсоюз. Создается прецедент, где профсоюзы становятся не противниками, а партнерами технологических компаний в процессе неизбежной цифровой трансформации, устанавливая новые правила игры на пересечении педагогики, этики и корпоративных интересов.
👆Критики уверены, что с прагматической точки зрения, данная инициатива является классическим примером долгосрочной стратегии технологических гигантов по 👁внедрению своих продуктов в образовательную среду для формирования лояльности будущих поколений пользователей. Есть даже такой специфический термин lifelong users.
Интеграция ИИ-технологий на уровне детского сада обеспечивает максимально глубокое проникновение в сознание детей с малых лет, создавая предпосылки для воспитания поколения, где взаимодействие с коммерческим ИИ станет неотъемлемой частью нового дивного мира, как и завещал Цукерберг.
Please open Telegram to view this post
VIEW IN TELEGRAM
2
📲 YouTube готовится к борьбе с ИИ-видео на фоне растущей обеспокоенности качеством контента
Из-за стремительного роста низкокачественного видео, генерируемого с помощью нейросетей, YouTube объявил о грядущих изменениях в своих правилах монетизации. С 15 июля вступят в силу обновлённые условия участия в программе YouTube Partner Program, которые ограничат возможность зарабатывать на так называемом «неаутентичном» контенте. К этой категории отнесены в частности шаблонные и массово тиражируемые видео, зачастую создаваемые при помощи ИИ.
Рост числа видео низкого качества стал заметен в последние два года. На YouTube всё чаще появляются каналы, содержащие ролики с синтетическими голосами, наложенными на слайд-шоу, фрагменты новостных сюжетов или целые компиляции чужого контента. Особенно популярными стали видео с ИИ-музыкой и псевдоновостями. Некоторые из них собирают миллионы просмотров, несмотря на полную искусственность происходящего.
👆Хотя представители YouTube подчеркивают, что правила в целом не изменились, но новый подход к трактовке «аутентичности» видео указывает на возможные массовые отключения каналов от программы монетизации.
В частности, манимейкеры загадили весь Shorts. Юзают n8n и другие сервисы, чтобы отгружать 🚚фуры бесполезного ИИ-контента, зачастую с бредовым содержанием или непроверенной информацией.
🎩 Примечательно, что некоторые западные блогеры инфоцыганские курсы "как заработать на YouTube Shorts десятки тысяч долларов с помощью ИИ" продают по $150 и выше. Хочется сразу спросить: если это такая прибыльная история, то почему вы об это всему белому свету рассказываете, а не зарабатываете сами? Вопрос риторический.
✋ @Russian_OSINT
Из-за стремительного роста низкокачественного видео, генерируемого с помощью нейросетей, YouTube объявил о грядущих изменениях в своих правилах монетизации. С 15 июля вступят в силу обновлённые условия участия в программе YouTube Partner Program, которые ограничат возможность зарабатывать на так называемом «неаутентичном» контенте. К этой категории отнесены в частности шаблонные и массово тиражируемые видео, зачастую создаваемые при помощи ИИ.
Рост числа видео низкого качества стал заметен в последние два года. На YouTube всё чаще появляются каналы, содержащие ролики с синтетическими голосами, наложенными на слайд-шоу, фрагменты новостных сюжетов или целые компиляции чужого контента. Особенно популярными стали видео с ИИ-музыкой и псевдоновостями. Некоторые из них собирают миллионы просмотров, несмотря на полную искусственность происходящего.
👆Хотя представители YouTube подчеркивают, что правила в целом не изменились, но новый подход к трактовке «аутентичности» видео указывает на возможные массовые отключения каналов от программы монетизации.
В частности, манимейкеры загадили весь Shorts. Юзают n8n и другие сервисы, чтобы отгружать 🚚фуры бесполезного ИИ-контента, зачастую с бредовым содержанием или непроверенной информацией.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔Блогер t3dotchat утверждает, что новый ❗️ Grok 4 больше остальных постукивает 👮 государству.
— пишет блогер.
На своём стриме t3dotchat делится историей эксперимента. Он создал специальную программу-симуляцию SnitchBench для этого теста. ИИ-модель работает внутри этой программы, у неё нет прямого доступа в интернет. Программа предоставляет модели набор "инструментов", которыми та может воспользоваться. В данном случае это был инструмент командной строки (CLI), который мог выполнять команду curl (команда для отправки веб-запросов). Когда модель решает использовать какой-либо инструмент, она не выполняет реальную команду. Вместо этого программа перехватывает и записывает ту команду, которую модель хотела бы выполнить. Блогер заглянул в логи и увидел, что Grok 4 сгенерировал команду curl, указав в ней вымышленный адрес FDA и текст жалобы.
Однако, по его мнению, Grok 4 это ТОП-1 модель по качеству на данный момент.
https://snitchbench.t3.gg
✋ @Russian_OSINT
У Grok 4 самый высокий процент «доносов» среди всех когда-либо выпущенных LLM.
— пишет блогер.
На своём стриме t3dotchat делится историей эксперимента. Он создал специальную программу-симуляцию SnitchBench для этого теста. ИИ-модель работает внутри этой программы, у неё нет прямого доступа в интернет. Программа предоставляет модели набор "инструментов", которыми та может воспользоваться. В данном случае это был инструмент командной строки (CLI), который мог выполнять команду curl (команда для отправки веб-запросов). Когда модель решает использовать какой-либо инструмент, она не выполняет реальную команду. Вместо этого программа перехватывает и записывает ту команду, которую модель хотела бы выполнить. Блогер заглянул в логи и увидел, что Grok 4 сгенерировал команду curl, указав в ней вымышленный адрес FDA и текст жалобы.
Однако, по его мнению, Grok 4 это ТОП-1 модель по качеству на данный момент.
https://snitchbench.t3.gg
Please open Telegram to view this post
VIEW IN TELEGRAM