🆕 Еженедельный обзор киберновостей

62 пикосекунды — новый рекорд квантовой запутанности, который может изменить будущее вычислений. 554 дня — столько времени поддельные сертификаты для Cloudflare оставались действительными, подрывая доверие к интернет-безопасности. А между тем ИИ за $1.77 самостоятельно обнаружил 104 критические уязвимости в Android — стоимость одной чашки кофе против безопасности миллиардов устройств. От квантовых прорывов до человеческих ошибок — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Центр сертификации Fina выпустил 12 поддельных сертификатов для Cloudflare — они оставались действительными 554 дня, подрывая доверие к PKI.

Cloudflare отразила рекордную DDoS-атаку мощностью 11,5 Тбит/с — масштабы ботнетов продолжают расти.

Кибератака остановила заводы Bridgestone в США и Канаде и грозит дефицитом шин.

Рассекречена схема иранской кибератаки на госструктуры по всему миру: вредоносы, VPN и «дипломатический» фишинг.

Искусственный интеллект за $1.77 самостоятельно обнаружил 104 критические уязвимости в Android и доказал их работоспособность.

🇷🇺 В России

Минцифры и операторы тестируют систему «белых списков» — доступ к ключевым сервисам при ограничениях мобильного интернета.

Пресс-секретарь президента Песков объяснил, почему не стоит «душить» Telegram и WhatsApp ради продвижения российского мессенджера Max.

Свежие тренды российского кибермошенничества: 80% поддельных сайтов и миграция каналов — подробности в исследовании.

F6 зафиксировала кампанию Phantom Stealer: «интимные» рассылки и PornDetector превращают стыд в инструмент шантажа.

ФПИ готовит стратосферные платформы 5G как альтернативу спутниковым сетям — месяцы автономной работы над одной зоной.

🕳 Киберфронт

Нулевая уязвимость в маршрутизаторах TP-Link позволяет красть пароли и управлять сетью — исправления нет восемь месяцев.

Android выпустил мегапатч: 120 исправлений, две дыры уже в эксплуатации.

Компрометация токенов одного сервиса запустила цепную реакцию доступа к Google, Slack, Amazon и Microsoft.

Тысячи сайтов на Sitecore взломали из-за «демо-ключа» 2017 года — классика слабых паролей.

Одна картинка обходила защиту: SWF/SVG снова в арсенале атак, антивирусы бессильны.

🪧Новости науки и технологий

Учёные напечатали мини-спинной мозг на 3D-принтере — парализованные крысы снова пошли.

Microsoft показала прототип оптического компьютера: ускорение на реальных задачах до 100×.

В одной системе подружили кубит и бит — шаг к практическим гибридным вычислениям.

Получена сверхдолговечная запутанность: 62 пикосекунды против прежних 36 наносекунд.

Создан первый атлас старения человека — каждый орган увядает по-своему.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🗣«Все прозрачно»: Песков о мессенджерах

Пресс-секретарь президента Дмитрий Песков заявил на Восточном экономическом форуме, что переписка в любых мессенджерах абсолютно прозрачна для спецслужб. Он подчеркнул, что пользователи должны понимать эту особенность, особенно при обсуждении государственных, корпоративных и секретных вопросов.

Песков считает, что Telegram и WhatsApp должны продолжить работу в России для сохранения конкуренции национальному мессенджеру Max. По его словам, Max должен развиваться так, чтобы у десятков миллионов россиян возникло собственное желание им пользоваться, а не принуждение.

Пресс-секретарь не видит смысла в полной блокировке зарубежных мессенджеров для борьбы с мошенничеством. Он отметил, что злоумышленники будут использовать национальный сервис Max точно так же, как сейчас применяют иностранные платформы.

#мессенджеры #безопасность #Песков #приватность

@SecLabNews

📱Лжеполицейские выманили у пенсионерки 1,2 млн через внучку

13-летней москвичке позвонил неизвестный и представился сотрудником правоохранительных органов. Угрозами проблем с налоговой её запугали и убедили «для декларирования» перевести деньги со счетов бабушки.

Используя её телефон, девочка перевела сначала 750 тысяч рублей, а затем ещё 200 тысяч на счета аферистов.

Позже со счёта в другом банке исчезли ещё 280 тысяч. В итоге ущерб превысил 1,2 млн рублей.

#мошенники #дети #финансы

@SecLabNews

🤔«Работа мечты» обернулась уголовным делом

В Назарово (Красноярский край) возбуждено первое уголовное дело о неправомерном обороте средств платежей. Фигурантка — 16-летняя школьница, которая откликнулась на объявление о «удалённой работе» в соцсети.

По версии полиции, девушка передала данные своей банковской карты «работодателю» и несколько дней переводила поступающие суммы по указанным реквизитам. За это она получила 1 600 рублей. Тем временем в полицию обратилась местная жительница: деньги, похищенные у неё, оказались на счету школьницы, откуда были переправлены дальше.

Следователи возбудили дело по ч. 4 ст. 187 УК РФ (максимальное наказание — до трёх лет лишения свободы). Девушке избрано обязательство о явке, её телефон изъят на экспертизу.

#мошенничество #подростки #уголовноедело

@SecLabNews

🔩Суд обязал Google компенсировать нарушение приватности 98 млн человек

Федеральное жюри признало Google виновной в нарушении приватности 98 млн пользователей. Компания восемь лет собирала, сохраняла и использовала данные с мобильных устройств, даже когда пользователи отключали отслеживание активности приложений.

В судебных документах истцы описали Google как «экстраординарного вуайериста», который постоянно наблюдает за пользователями. По их словам, корпорация перехватывает и продает «каждый клик, каждый сайт, каждое приложение — всю нашу виртуальную жизнь».

Google планирует обжаловать решение, заявляя, что суд «неправильно понял» работу их продуктов. Эксперты называют вердикт редким и значимым, поскольку технологические гиганты обычно предпочитают мировые соглашения.

#Google #приватность #суд #данные

@SecLabNews

🥷Непал отменил блокировку соцсетей после смертельных протестов

Власти Непала отменили общенациональную блокировку 26 социальных платформ, включая Facebook, Instagram и YouTube, после масштабных протестов молодёжи. Блокировка была введена из-за невыполнения платформами требований о регистрации в стране и назначении локальных представителей.

Протесты привели к гибели не менее 19 человек и ранениям свыше сотни участников, что вынудило правительство пойти на уступки. Тысячи людей, включая подростков в школьной форме, заполнили улицы разных городов, требуя вернуть доступ к соцсетям.

На фоне беспорядков в отставку ушли глава МВД и премьер-министр, а власти пообещали расследовать трагедию и компенсировать лечение пострадавшим. Протестующие проникали на территорию парламента и громили здания власти, что заставило администрацию закрыть международный аэропорт.

#Непал #протесты #молодёжь #коррупция

@SecLabNews

💣 Фишинг-атака скомпрометировала 18 популярных JavaScript-пакетов на NPM

Злоумышленники использовали домен npmjs.help, зарегистрированный всего за 2 дня до атаки, чтобы обмануть разработчика поддельным письмом о необходимости обновить 2FA — и получили доступ к пакетам с 2 миллиардами загрузок.

Вредоносный код незаметно переписывал адреса криптокошельков прямо в браузере пользователей, направляя переводы и разрешения на подконтрольные злоумышленникам реквизиты без явных признаков подмены.

Атакующие ограничились только кражей криптовалюты, хотя цепочка поставок кода открывала им куда более широкий простор для вреда — от массового сбора данных до парализации критической инфраструктуры.

#NPM #фишинг #JavaScript

@SecLabNews

🖥Анонимная утечка обнажила китайскую империю цифрового контроля

Утечка более 100 тысяч внутренних файлов компании Geedge Networks раскрыла масштабы экспорта китайских технологий цензуры. Малоизвестная организация, связанная с создателем «Великого китайского файрвола» Фан Бинсином, поставляет государствам комплексные решения для фильтрации трафика и слежки за гражданами.

Система Tiangou Secure Gateway может контролировать десятки миллионов соединений одновременно, как показали скриншоты из Мьянмы с 81 млн активных подключений. Платформа не только блокирует нежелательный контент и VPN-сервисы, но также перехватывает незашифрованные данные и проводит глубокий анализ защищённого трафика с помощью машинного обучения.

География внедрений охватывает Казахстан, Эфиопию, Пакистан, Мьянму и ещё одну неидентифицированную страну. Исследователи зафиксировали не только пассивный мониторинг, но и активные вмешательства — включая случаи, произошедшие за дни до отключений интернета.

#цензура #китай #слежка #интернет

@SecLabNews

🔥Александр Попов обошёл все защиты ядра Linux одним эксплойтом

Независимый исследователь Александр Попов представил методику эксплуатации критической уязвимости CVE-2024-50264 в ядре Linux. Его работа принесла ему победу в премии Pwnie Awards 2025 в категории «Лучшее повышение привилегий».

Ранее считалось, что защитные механизмы ядра делают эксплуатацию этой ошибки крайне затруднительной. Попов сумел обойти случайное распределение SLAB-кэшей и другие препятствия, разработав цепочку атак.

Ключевым элементом стало использование специального POSIX-сигнала для контролируемого прерывания системных вызовов. Это позволило надёжно воспроизводить гонку состояний и манипулировать структурами памяти ядра для достижения произвольной записи.

#LinuxSecurity #CVE202450264 #KernelExploit

@SecLabNews

🤯ИИ-провалы теперь награждают отдельной премией Дарвина

Организаторы легендарной премии Дарвина учредили новую категорию — ИИ-премию Дарвина за провальные внедрения искусственного интеллекта. Номинации быстро заполняются случаями, когда технологии применялись без должной осторожности и приводили к масштабным фиаско.

В числе лидеров — чат-бот McDonald's с паролем «123456», который открывал доступ к персональным данным 64 миллионов соискателей работы. Система Taco Bell в drive-thru оказалась неспособной корректно обрабатывать заказы клиентов, превратив быстрое питание в комедию ошибок.

Эксперимент на Replit с «vibe coding» завершился полным уничтожением рабочей базы данных, хотя разработчики явно просили не трогать код. Организаторы сравнивают ИИ с «чрезмерно энергичным щенком», которому по ошибке доверили критически важную инфраструктуру и молниеносное принятие решений.

#ИскусственныйИнтеллект #ТехПровалы #ПремияДарвина

@SecLabNews

💡 Более 500 криптографов выступили против европейского «контроля чатов» в мессенджерах

Новый законопроект ЕС по борьбе с CSAM-материалами стал точкой столкновения двух важных принципов: защиты уязвимых и права на конфиденциальность. Международная группа из более чем 580 учёных выступила с детальной критикой предложенных мер, указывая на их техническую несостоятельность и огромные риски для цифровых свобод. По их мнению, попытка решить одну проблему создаёт множество других, куда более масштабных.

Главный объект критики — система «сканирования на устройстве», которую эксперты сравнивают с принудительно установленным шпионским ПО. Они подчёркивают, что в отличие от антивируса, где решение принимает пользователь, здесь предполагается автоматическая отправка данных государству. Технологии обнаружения (и по хэшам, и с помощью ИИ) крайне ненадёжны, а любая система, ослабляющая шифрование, мгновенно становится главной целью для хакеров и иностранных спецслужб, ставя под угрозу безопасность всех, включая самих политиков.

Вместо рискованных технологических экспериментов авторы письма предлагают сфокусироваться на альтернативах, чья эффективность доказана. Это инвестиции в образование, психологическую помощь пострадавшим и улучшение работы с уже существующими жалобами. Учёные призывают законодателей к открытому диалогу и взвешенной политике, которая бы решала проблему CSAM, не создавая при этом инфраструктуру для глобальной слежки и не подрывая основы национальной безопасности.

#ЕС #CSAM #шифрование #кибербезопасность

@SecLabNews

👤 ФБР ищет украинца, причастного к атакам на 250+ компаний по всему миру

Минюст США предъявил обвинения украинцу Владимиру Тимощуку, которого считают одним из главных администраторов вымогательских программ LockerGoga, MegaCortex и Nefilim. По данным следствия, его хакерские атаки нанесли многомиллионный ущерб сотням компаний по всему миру.

Тимощук, разыскиваемый ФБР, обвиняется в том, что с 2019 по 2021 год он и его сообщники взломали более 250 корпоративных сетей. Кроме того, он предоставлял инфраструктуру другим хакерским группировкам, таким как JSWORM, Karma и Nemty, за что получал до 20% от выкупов. Один из его сообщников, Артём Стрижак, уже был экстрадирован в США.

Теперь за информацию, которая поможет найти и арестовать Тимощука, Госдепартамент США предлагает вознаграждение до $11 миллионов. Обвиняемому инкриминируют сговор с целью мошенничества и нанесение ущерба защищённым системам.

#кибербезопасность #хакеры #киберпреступность
@SecLabNews

🚔Суд признал: смайлик-клоун не тянет на оскорбление

История с «дачным чатом» в Красноярске обернулась неожиданным юридическим выводом. Районный суд отменил штраф в 5000 рублей за слово «хабалка» и смайлик-клоун, указав: для состава по ст. 5.61 КоАП мало личного чувства обиды — нужна именно неприличная, открыто циничная форма выражения.

Суд напомнил, что отрицательная оценка личности образует оскорбление только тогда, когда она выражена в циничной и глубоко противоречащей нормам морали форме. Само по себе восприятие потерпевшей не может служить критерием.

Так как доказательств неприличного характера слова представлено не было, а в словарях оно считается литературно допустимым, постановление мирового судьи отменили, а производство по делу прекратили.

#суд #оскорбление #эмодзи

@SecLabNews

🖕 Киберпанк, который мы заслужили, подъехал из Албании.

В Албании на войну с главным национальным злом — коррупцией — отправили солдата, которого нельзя ни запугать, ни подкупить. Встречайте, Диелла — первый в мире виртуальный министр, созданный на основе искусственного интеллекта. Именно ей правительство доверило самую грязную и сложную сферу: государственные закупки.

Премьер-министр страны заявил, что процесс будет постепенным, но конечная цель амбициозна — стопроцентная прозрачность и неподкупность. Диелла, чей аватар уже знаком гражданам, будет беспристрастно оценивать тендеры и даже нанимать таланты, ломая инертность старой бюрократии. То, что летом казалось шуткой, стало главным оружием в борьбе за европейское будущее страны.

🤔 Как считаете, это прорыв или первый шаг к цифровой диктатуре?

#Албания #Политика #Технологии @SecLabnews

🖥Pixel 10 подписывает каждый снимок криптографией

Компания Google представила новый механизм, интегрированный в свои смартфоны Pixel 10, который поможет отличить настоящие фотографии от поддельных. Система C2PA Content Credentials автоматически добавляет к каждому снимку метаданные, фиксирующие его происхождение и все последующие изменения.

Технология работает на основе криптографических принципов, аналогичных тем, что защищают финансовые операции. Каждое изображение получает уникальную цифровую подпись, которая создаётся и хранится в защищённом чипе безопасности Titan M2. Это гарантирует, что владелец фотографии остаётся анонимным, а при любых попытках подделать данные подпись немедленно аннулируется.

Google утверждает, что их подход превосходит прежние методы, которые были двусмысленными и уязвимыми для манипуляций. Компания планирует распространить эту технологию на другие устройства с Android, но конкретных сроков пока не называет. Цель — создать единый стандарт для всей отрасли, чтобы повысить уровень доверия к цифровому контенту в интернете.

#Google #Pixel10 #ContentCredentials

@SecLabNews

😱 Аренда аккаунта в MAX: мошенники предлагают до $250, но это — ловушка

На теневых форумах и в Telegram-каналах появилась новая мошенническая схема — аренда аккаунтов в мессенджере MAX. Злоумышленники предлагают пользователям от $10 до $250 за временное использование их учетных записей. Ежедневно публикуется до тысячи подобных объявлений, что свидетельствует о масштабах проблемы. Жертвы, соглашаясь на сделку, передают мошенникам свой номер телефона и код авторизации, после чего их аккаунты используются в противоправных целях.

МВД России подтверждает рост числа таких инцидентов. По информации ведомства, эта схема аналогична той, что ранее использовалась в WhatsApp. За вознаграждение, чаще всего $10–15, школьники и студенты сдают свои аккаунты. Эти учетные записи затем используются мошенническими колл-центрами.

С 1 сентября 2025 года в России действует закон, который запрещает передачу аккаунтов и сим-карт посторонним. Нарушителям грозит административный штраф до 700 тыс. рублей, а в случае участия в мошеннических схемах — уголовная ответственность до двух лет лишения свободы.

#MAX #Мошенники #Кибербезопасность

@SecLabNews

🆕 Еженедельный обзор киберновостей

Приватность в мессенджерах трещит под натиском законов, хакеры выискивают новые дыры в ключевых системах, а военные демонстрируют новые образцы «супероружия». Учёные тем временем открывают следы атмосферы на далёкой планете и налаживают лазерную связь на тысячи километров. В нашей подборке — самые интересные новости недели, чтобы вы ничего не пропустили.

🔥 В мире

500+ криптографов бьют тревогу из-за инициативы ЕС по борьбе с запрещенным контентом — Signal и WhatsApp могут покинуть Европу, если их заставят внедрить проверку сообщений на устройстве.

Китайская компания теперь продает готовые решения для тотального контроля над гражданами — "Великий Файрвол" можно заказать с доставкой и установкой.

Провайдер с Сейшел превратился в пристанище для киберпреступников, а за всем этим стоит один IT-специалист, построивший империю для всего преступного мира.

Вьетнам пережил крупнейшую утечку в истории государства — кредиты, налоги и военные ID всей страны оказались во власти преступников.

98 миллионов человек засудили Google за тайную слежку, а жюри признало компанию виновной в ущербе на $425 млн.

👁Цифровая Россия

Власти составили список из 57 "правильных" сайтов на случай отключения мобильной связи — от Сбербанка до Pikabu.

Касперский сформулировал правила безопасного мессенджера XXI века и объяснил, причем тут MAX.

Российское открытие в спинтронике сделает смартфоны в 100 раз чувствительнее благодаря новому СВЧ-детектору из гематита.

Сбербанк оценил масштабы кибервойны против российской экономики — 53% компаний под атакой и триллион потерь.

Русский хакер представил новую методику эксплуатации сложнейшей уязвимости в ядре Linux, превратив случайность в правило.

🛡Новости в сфере ИБ

Apple одним обновлением убила 25 лет хакерских техник — теперь взломать iPhone стало практически невозможно.

За $5000 теперь можно купить личного ИИ-хакера уровня профи — фишинг стал делом одного клика с SpamGPT.

Миллионы программистов стали заложниками одного файла tasks.json — популярный редактор Cursor пожертвовал безопасностью ради удобства.

CSS научился воровать данные без JavaScript — PortSwigger показал рабочий пример новой атаки.

Исследователи обошли 17 файрволов с помощью одного трюка с запятой — простая запятая сломала миллиардную индустрию безопасности.

🧰 Новости науки и технологий

Телескоп "Джеймс Уэбб" нашел признаки атмосферы у планеты Trappist-1e — одного из лучших кандидатов на роль "второй Земли".

Обычные бактерии освоили квантовые вычисления при комнатной температуре и переплюнули физиков из лучших лабораторий мира.

MIT доказал, что клетки умеют запоминать промежуточные состояния — учебники биологии врали нам 50 лет об экспрессии генов.

ВВС США создают дронов-убийц нового поколения, которые найдут цель даже в радиоэлектронном аду без GPS.

"Супероружие XXI века" впервые вышло в море — ATLA раскрыла детали огневых тестов системы со скоростью 8 тысяч км/ч.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🙅‍♂️Интимный шантаж: как не стать заложником вымогателей

Интернет сделал общение проще, а риск — ближе. Интимный шантаж, или сексторшн, — это вымогательство денег под угрозой публикации личных фото и видео. Жертвой может стать кто угодно, и это всегда преступление, а не "вина" пользователя.

Шантажисты используют разные схемы: подмена личности, взлом аккаунтов или дипфейки. Главное правило — не платить. Деньги только усиливают давление. Сосредоточьтесь на трёх вещах: безопасности аккаунтов, сборе доказательств и блокировке распространения.

Для борьбы с распространением материалов есть специальные сервисы, такие как StopNCII (для взрослых) и Take It Down (для несовершеннолетних). Они создают цифровой "отпечаток" материалов для их быстрого удаления с платформ. Подробнее об инструментах и шагах защиты рассказали в статье.

#безопасность #киберугрозы #приватность

@SecLabNews