Исследователи Ostorlab решили проверить, насколько «неприступным» на самом деле остаётся Signal для Android. Мессенджер, который Сноуден называет золотым стандартом приватности, журналисты используют для конфиденциальных бесед, а активисты — для того, чтобы спать спокойнее, внезапно оказался под прицелом технического аудита. Результат — две серьёзные уязвимости, позволявшие читать внутренние файлы приложения. Парадокс в том, что даже так сообщения пользователей остались за семью замками.
Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.
Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.
Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через
Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.
В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.
Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.
Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.
Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.
Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через
file://system/../data/, MIME-маскировку с подложными расширениями, предсказание дескрипторов временных файлов и использование симлинков /proc/self/fd/... для доступа к реальным объектам.Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.
В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.
Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.
Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
305🔥74❤12👍4❤🔥1👏1🥱1
Заключение специалиста по МАХ.pdf
1.1 MB
Попался занятный документ. Экспертное заключение на всем известный мессенджер.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥93😁17👍7❤3👎2
Эволюция фишинга: как ИИ меняет правила игры в кибербезопасности
Фишинг не умер — он мутировал. Исчезли письма от «нигерийского принца», вместо них на сцене атаки с искусственным интеллектом, клонированным голосом и видео, которые не отличишь от реальных. То, что вчера выглядело фантастикой, сегодня собрано в готовых фреймворках, доступных любому.
Психология осталась той же, страх потерять доступ, срочность, давление авторитета, соблазн «секретного документа». Но теперь всё это упаковано в персонализацию. HUMINT и открытые источники позволяют собирать досье на каждого: если жертва подала заявку на кредит, письмо «от банка» о подтверждении данных будет выглядеть абсолютно легитимно.
С технической стороны всё не лучше. SPF у многих в «мягком» режиме, что открывает дорогу поддельным SMTP. Инструменты вроде emkei.cz дают спуфинг на уровне заполненной формы. Единственный шанс правильно настроенные SPF, DKIM и DMARC, жёсткая проверка соответствия Sender и Return-Path и автоматическая фильтрация на шлюзах. Иначе даже простая подделка проезжает без сопротивления.
ИИ добавил к этому ещё один слой ужаса. DeepFaceLab генерирует видео с «директором», Denoscript и Lyrebird подкидывают его голос. Смешайте с контекстом из соцсетей — и получится звонок, от которого сотрудник не отличит реальность. Гибрид атаки с видео и аудио, теперь новая реальность, где без инструментов детекции уже не справиться.
Двухфакторка, которая ещё недавно казалась золотым стандартом, тоже пошла трещинами. Evilginx перехватывает не только пароли, но и одноразовые коды, выдавая атакующему готовый сессионный токен. SMS, TOTP, пуши — всё ломается на обратном прокси. Спасти может только FIDO2/WebAuthn: криптографическая привязка к домену делает MITM бессмысленным.
Фронт фишинга ушёл и в инфраструктуру. Гомографические атаки используют буквы из разных алфавитов, выдавая поддельные домены за настоящие. DNS-хиджинг стал проще через IoT и роутеры с дефолтными паролями. Fast Flux ботнеты крутят IP до тех пор, пока вы не перестанете их ловить. Даже Wi-Fi превратился в ловушку: Evil Twin и KARMA цепляют устройства автоматически, авторизация в аэропорту или кафе собирает логины с невидимой лёгкостью.
Защита теперь должна быть комплексной. Технически: строгие политики SPF/DKIM/DMARC, CT-мониторинг, сегментация сети, железные токены. Организационно: коллбэк-протоколы для финансовых операций, голосовая биометрия в критичных системах. И самое важное — обучение. Но не «ищите ошибки в орфографии», а привычка проверять каждый эмоционально окрашенный запрос, даже если он пришёл «от шефа».
Будущее обещает лишь ускорение гонки. Генеративные модели будут штамповать персонализированные фишинговые сценарии в промышленных масштабах, а защитники бросятся в ответ строить ML-детекторы синтетики в реальном времени. Это уже не вспомогательная атака — это основной вектор компрометации в мире удалёнки и цифровой зависимости. И выживет тот, кто научится опережать.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Фишинг не умер — он мутировал. Исчезли письма от «нигерийского принца», вместо них на сцене атаки с искусственным интеллектом, клонированным голосом и видео, которые не отличишь от реальных. То, что вчера выглядело фантастикой, сегодня собрано в готовых фреймворках, доступных любому.
Психология осталась той же, страх потерять доступ, срочность, давление авторитета, соблазн «секретного документа». Но теперь всё это упаковано в персонализацию. HUMINT и открытые источники позволяют собирать досье на каждого: если жертва подала заявку на кредит, письмо «от банка» о подтверждении данных будет выглядеть абсолютно легитимно.
С технической стороны всё не лучше. SPF у многих в «мягком» режиме, что открывает дорогу поддельным SMTP. Инструменты вроде emkei.cz дают спуфинг на уровне заполненной формы. Единственный шанс правильно настроенные SPF, DKIM и DMARC, жёсткая проверка соответствия Sender и Return-Path и автоматическая фильтрация на шлюзах. Иначе даже простая подделка проезжает без сопротивления.
ИИ добавил к этому ещё один слой ужаса. DeepFaceLab генерирует видео с «директором», Denoscript и Lyrebird подкидывают его голос. Смешайте с контекстом из соцсетей — и получится звонок, от которого сотрудник не отличит реальность. Гибрид атаки с видео и аудио, теперь новая реальность, где без инструментов детекции уже не справиться.
Двухфакторка, которая ещё недавно казалась золотым стандартом, тоже пошла трещинами. Evilginx перехватывает не только пароли, но и одноразовые коды, выдавая атакующему готовый сессионный токен. SMS, TOTP, пуши — всё ломается на обратном прокси. Спасти может только FIDO2/WebAuthn: криптографическая привязка к домену делает MITM бессмысленным.
Фронт фишинга ушёл и в инфраструктуру. Гомографические атаки используют буквы из разных алфавитов, выдавая поддельные домены за настоящие. DNS-хиджинг стал проще через IoT и роутеры с дефолтными паролями. Fast Flux ботнеты крутят IP до тех пор, пока вы не перестанете их ловить. Даже Wi-Fi превратился в ловушку: Evil Twin и KARMA цепляют устройства автоматически, авторизация в аэропорту или кафе собирает логины с невидимой лёгкостью.
Защита теперь должна быть комплексной. Технически: строгие политики SPF/DKIM/DMARC, CT-мониторинг, сегментация сети, железные токены. Организационно: коллбэк-протоколы для финансовых операций, голосовая биометрия в критичных системах. И самое важное — обучение. Но не «ищите ошибки в орфографии», а привычка проверять каждый эмоционально окрашенный запрос, даже если он пришёл «от шефа».
Будущее обещает лишь ускорение гонки. Генеративные модели будут штамповать персонализированные фишинговые сценарии в промышленных масштабах, а защитники бросятся в ответ строить ML-детекторы синтетики в реальном времени. Это уже не вспомогательная атака — это основной вектор компрометации в мире удалёнки и цифровой зависимости. И выживет тот, кто научится опережать.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥83❤10👍7
Москва снова решила сыграть в будущее — только на этот раз без привычных камер, биометрии и «угадай, кто ты». На улицах, в метро, в магазинах и офисах внедряют систему, которая не смотрит в лицо, а метит всё вокруг специальной краской. Она невидима для глаза, безопасна для ткани и кожи, но камеры с фильтрами видят её свечение и передают в аналитическую платформу. Дальше включается нейросеть: она отслеживает перемещения объектов, собирает статистику, строит цифровые профили. Получается полноценное наблюдение без имен, фамилий и персональных данных.
Вариантов хватает. В торговых центрах это инструмент для анализа маршрутов покупателей и контроля уборки. На транспорте — управление пассажиропотоками и «невидимая» безопасность. В офисах — автоматизация учёта оборудования и процессов. В логистике — контроль за грузами без участия человека. Всё это презентуют как технологию комфорта, без «большого брата» и без нарушений закона.
Юридически к разработке не придерёшься: метка не содержит биометрию и не указывает на конкретного человека. Именно поэтому юристы разводят руками — персональные данные тут формально не собираются. А значит, согласия никто не спрашивает. Но факт остаётся фактом: любой объект, на который попала эта краска, превращается в элемент трекинга. Его маршрут можно проследить, его поведение — описать.
Презентация в кластере «Ломоносов» прошла в 2025 году при Мишустине и Собянине. Государство открыто поддерживает проект. Компания BPA Technologies уже подписала «этический кодекс» и уверяет, что всё прозрачно и сделано ради удобства. Формально всё чисто: юристы довольны, чиновники улыбаются. Но где-то внутри всё равно скребётся вопрос — а не превращают ли нас в подопытных мышей для новой версии цифрового надзора?
Получается странная анонимность: имя твое системе не нужно, паспорт ей безразличен, а маршрут до дома она знает лучше, чем ты сам. И тут невольно задаёшься — это наблюдение без лиц или лицемерие без наблюдения? И если раньше за вами следили через лицо или паспорт, то теперь — через светящуюся для камеры точку на куртке.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Вариантов хватает. В торговых центрах это инструмент для анализа маршрутов покупателей и контроля уборки. На транспорте — управление пассажиропотоками и «невидимая» безопасность. В офисах — автоматизация учёта оборудования и процессов. В логистике — контроль за грузами без участия человека. Всё это презентуют как технологию комфорта, без «большого брата» и без нарушений закона.
Юридически к разработке не придерёшься: метка не содержит биометрию и не указывает на конкретного человека. Именно поэтому юристы разводят руками — персональные данные тут формально не собираются. А значит, согласия никто не спрашивает. Но факт остаётся фактом: любой объект, на который попала эта краска, превращается в элемент трекинга. Его маршрут можно проследить, его поведение — описать.
Презентация в кластере «Ломоносов» прошла в 2025 году при Мишустине и Собянине. Государство открыто поддерживает проект. Компания BPA Technologies уже подписала «этический кодекс» и уверяет, что всё прозрачно и сделано ради удобства. Формально всё чисто: юристы довольны, чиновники улыбаются. Но где-то внутри всё равно скребётся вопрос — а не превращают ли нас в подопытных мышей для новой версии цифрового надзора?
Получается странная анонимность: имя твое системе не нужно, паспорт ей безразличен, а маршрут до дома она знает лучше, чем ты сам. И тут невольно задаёшься — это наблюдение без лиц или лицемерие без наблюдения? И если раньше за вами следили через лицо или паспорт, то теперь — через светящуюся для камеры точку на куртке.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
40🔥67🤯18❤8🤔7👍1😁1
Базовая анонимная сборка: устройство и сеть.
Если вы всерьёз задумались об анонимности, начнём с простого факта: одно устройство для всего — это провал. Нужно разделение ролей. Возьмите обычный ноут, не «макбук», и сделайте его рабочей лошадкой для повседневных задач. Для анонимных действий берём отдельный аппарат или USB флешку с безопасной ОС — Tails или Whonix. Это не ради эстетики: разные устройства ломают связки «поведение -> отпечаток -> личность».
Сеть второй фронт. Обычный домашний интернет и привязанный к вам провайдер — это след под ковром. Один VPN? Хорошо как одна ступенька, но один VPN не закрывает вас от целенаправленного анализа. Соберите цепочку: локальный роутер с настроенным файрволом и DNS over HTTPS, затем VPN с проверкой no-logs, и на крайнем этапе Tor для чувствительных операций. Если вы не готовы к Tor, хотя бы используйте отдельный роутер/точку доступа только для анонимных сессий, физически отделённую от повседневной сети. Kill Switch обязателен — разовое срабатывание раздаст ваш реальный IP.
Физика тоже важна. Камера и микрофон, не «можно», а «нужно». Физические заглушки на камеру, отключение микрофона в BIOS/UEFI или совсем вырезанный модуль, это не паранойя, это стандарт. Если перевозите устройство, используйте внешний аккумулятор и отдельный роутер, чтобы не цепляться к публичным сетям напрямую без подготовки.
Шифрование дисков, обязательное правило, а не опция. VeraCrypt или BitLocker, выбранный и настроенный вами с сильным паролем — первый рубеж после физического захвата устройства. Храните резервные ключи офлайн, не в том же облаке, куда вы делаете бэкап рабочих файлов.
И ещё одно: поведенческая сегментация. Одна и та же риторика, одни часы активности и одни привычки выдадут вас быстрее любой уязвимости. Для «анонимных» задач используйте другой профиль, другой почтовый ящик, другие временные паттерны. Стройте цепочки: устройство A — браузер X — аккаунт a; устройство B — браузер Y — аккаунт b. Смешивание профилей это прямой путь в деанон.
Коротко о практике прямо сейчас: если у вас есть ноут и вы хотите минимально усложнить жизнь тем, кто будет пытаться вас вычислить, установите Tails на флешку, заведите отдельный роутер для анонимных сессий, включите полнодисковое шифрование на основном диске и заклейте камеру.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Если вы всерьёз задумались об анонимности, начнём с простого факта: одно устройство для всего — это провал. Нужно разделение ролей. Возьмите обычный ноут, не «макбук», и сделайте его рабочей лошадкой для повседневных задач. Для анонимных действий берём отдельный аппарат или USB флешку с безопасной ОС — Tails или Whonix. Это не ради эстетики: разные устройства ломают связки «поведение -> отпечаток -> личность».
Сеть второй фронт. Обычный домашний интернет и привязанный к вам провайдер — это след под ковром. Один VPN? Хорошо как одна ступенька, но один VPN не закрывает вас от целенаправленного анализа. Соберите цепочку: локальный роутер с настроенным файрволом и DNS over HTTPS, затем VPN с проверкой no-logs, и на крайнем этапе Tor для чувствительных операций. Если вы не готовы к Tor, хотя бы используйте отдельный роутер/точку доступа только для анонимных сессий, физически отделённую от повседневной сети. Kill Switch обязателен — разовое срабатывание раздаст ваш реальный IP.
Физика тоже важна. Камера и микрофон, не «можно», а «нужно». Физические заглушки на камеру, отключение микрофона в BIOS/UEFI или совсем вырезанный модуль, это не паранойя, это стандарт. Если перевозите устройство, используйте внешний аккумулятор и отдельный роутер, чтобы не цепляться к публичным сетям напрямую без подготовки.
Шифрование дисков, обязательное правило, а не опция. VeraCrypt или BitLocker, выбранный и настроенный вами с сильным паролем — первый рубеж после физического захвата устройства. Храните резервные ключи офлайн, не в том же облаке, куда вы делаете бэкап рабочих файлов.
И ещё одно: поведенческая сегментация. Одна и та же риторика, одни часы активности и одни привычки выдадут вас быстрее любой уязвимости. Для «анонимных» задач используйте другой профиль, другой почтовый ящик, другие временные паттерны. Стройте цепочки: устройство A — браузер X — аккаунт a; устройство B — браузер Y — аккаунт b. Смешивание профилей это прямой путь в деанон.
Коротко о практике прямо сейчас: если у вас есть ноут и вы хотите минимально усложнить жизнь тем, кто будет пытаться вас вычислить, установите Tails на флешку, заведите отдельный роутер для анонимных сессий, включите полнодисковое шифрование на основном диске и заклейте камеру.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
158🔥191❤16👍9
VS Code Marketplace: почему «официально» не значит «безопасно»
На этой неделе в ИБ-сообществе снова всплыл Visual Studio Code, и не из-за новой фичи. Исследователи Checkmarx обнаружили очередную волну вредоносных расширений, которые без особых проблем прошли модерацию и оказались в официальном Marketplace.
Важно сразу расставить акценты. Это не была массовая эпидемия и не «катастрофа для Go-разработчиков». Скорее аккуратная пристрелка. Под удар попали те, кто искал свежие темы оформления и модные AI-ассистенты. Установок было немного, десятки, а не тысячи. Но именно это и делает инцидент показательным: атака была не про масштаб, а про проверку границ допустимого.
Работало всё предельно буднично. Злоумышленники не изобретали ничего нового, а использовали проверенный арсенал. Тайпосквоттинг, когда название и визуал расширения почти неотличимы от легитимного. В отдельных случаях, более сложные цепочки, где вредонос затягивался через связанные пакеты, поддельные библиотеки и стандартные для Windows трюки вроде batch-скриптов и DLL hijacking. Всё это не эксплойты нулевого дня, а тихая эксплуатация доверия.
Цель была тоже максимально приземлённой. Классический инфостилер. SSH-ключи, облачные конфиги AWS и Azure, переменные окружения, .env-файлы. Всё то, что редко шифруют и почти никогда не считают «точкой атаки», хотя именно там лежит доступ к продакшену.
Да, конкретные расширения удалили достаточно быстро. Но сама история показывает более неприятную вещь: фильтры Marketplace по-прежнему пропускают код, который делает в системе куда больше, чем просто «помогает писать код». IDE давно перестала быть текстовым редактором. Это концентратор доверия.
Особенно это касается тех, кто работает с инфраструктурой, бэкендом и облаками. Для атакующего ваш VS Code не среда разработки, а удобный мост к токенам, ключам и внутренним сервисам. Один удачный плагин и никакой фишинг уже не нужен.
Вывод здесь довольно скучный, но важный. Marketplace это не знак качества и не гарантия безопасности. Это просто огромный склад. А на любом складе рядом с брендовой коробкой всегда найдётся что-то безымянное, но «очень полезное».
Проверять количество установок, смотреть на издателя и не тянуть в рабочую среду «новую крутую AI-штуку» от неизвестного автора, это уже не паранойя, а базовая гигиена.
IDE это доверенная зона. И если относиться к ней как к проходному двору, рано или поздно этим обязательно воспользуются.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
На этой неделе в ИБ-сообществе снова всплыл Visual Studio Code, и не из-за новой фичи. Исследователи Checkmarx обнаружили очередную волну вредоносных расширений, которые без особых проблем прошли модерацию и оказались в официальном Marketplace.
Важно сразу расставить акценты. Это не была массовая эпидемия и не «катастрофа для Go-разработчиков». Скорее аккуратная пристрелка. Под удар попали те, кто искал свежие темы оформления и модные AI-ассистенты. Установок было немного, десятки, а не тысячи. Но именно это и делает инцидент показательным: атака была не про масштаб, а про проверку границ допустимого.
Работало всё предельно буднично. Злоумышленники не изобретали ничего нового, а использовали проверенный арсенал. Тайпосквоттинг, когда название и визуал расширения почти неотличимы от легитимного. В отдельных случаях, более сложные цепочки, где вредонос затягивался через связанные пакеты, поддельные библиотеки и стандартные для Windows трюки вроде batch-скриптов и DLL hijacking. Всё это не эксплойты нулевого дня, а тихая эксплуатация доверия.
Цель была тоже максимально приземлённой. Классический инфостилер. SSH-ключи, облачные конфиги AWS и Azure, переменные окружения, .env-файлы. Всё то, что редко шифруют и почти никогда не считают «точкой атаки», хотя именно там лежит доступ к продакшену.
Да, конкретные расширения удалили достаточно быстро. Но сама история показывает более неприятную вещь: фильтры Marketplace по-прежнему пропускают код, который делает в системе куда больше, чем просто «помогает писать код». IDE давно перестала быть текстовым редактором. Это концентратор доверия.
Особенно это касается тех, кто работает с инфраструктурой, бэкендом и облаками. Для атакующего ваш VS Code не среда разработки, а удобный мост к токенам, ключам и внутренним сервисам. Один удачный плагин и никакой фишинг уже не нужен.
Вывод здесь довольно скучный, но важный. Marketplace это не знак качества и не гарантия безопасности. Это просто огромный склад. А на любом складе рядом с брендовой коробкой всегда найдётся что-то безымянное, но «очень полезное».
Проверять количество установок, смотреть на издателя и не тянуть в рабочую среду «новую крутую AI-штуку» от неизвестного автора, это уже не паранойя, а базовая гигиена.
IDE это доверенная зона. И если относиться к ней как к проходному двору, рано или поздно этим обязательно воспользуются.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
1🔥53❤11👍4
Ты можешь быть невидимым для сети. Но не для себя. Один лишний логин, "ничего страшного, один раз не пид...с!", один файл с хвостами и твоя легенда превращается в протокол.
Читать гайд https://telegra.ph/Kak-hakery-skryvayut-sledy-12-20
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Читать гайд https://telegra.ph/Kak-hakery-skryvayut-sledy-12-20
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥55👍10❤5👏2
This media is not supported in your browser
VIEW IN TELEGRAM
Дорогие подписчики, спасибо, что были со мной в этом году. Мы вместе смотрели, как мир становится “удобнее”, а значит, ещё чуточку более наблюдаемым. Как новые технологии обещают безопасность, а потом тихо просят доступ “ко всему, просто чтобы работало”. И как в этой гонке побеждает не самый умный, а самый дисциплинированный.
Желаю вам в новом году простых, но редких вещей: чтобы ваши пароли не жили в заметках, чтобы двухфакторка была не “когда-нибудь”, чтобы ваши устройства не превращались в дневник вашей жизни, и чтобы ни один левый звонок “из банка” не попадал в нужное настроение.
Пусть в 2026 у вас будет больше контроля, меньше случайных следов и меньше поводов проверять “а не утекло ли”. Берегите себя и своих близких. 🎄
Hacker's TOYS
Желаю вам в новом году простых, но редких вещей: чтобы ваши пароли не жили в заметках, чтобы двухфакторка была не “когда-нибудь”, чтобы ваши устройства не превращались в дневник вашей жизни, и чтобы ни один левый звонок “из банка” не попадал в нужное настроение.
Пусть в 2026 у вас будет больше контроля, меньше случайных следов и меньше поводов проверять “а не утекло ли”. Берегите себя и своих близких. 🎄
Hacker's TOYS
7❤32🔥26❤🔥8👍4😱3
Группировка вымогателей INC RANSOM обновила свой DLS-портал, добавив туда сразу четыре компании из США и Италии. Это уже не выглядит как случайная атака, а это планомерная охота на промышленный сектор, где простой оборудования стоит дороже любых переговоров.
Повторный взлом STIM Group. Итальянская STIM Group (промоборудование). По данным FalconFeeds, компания уже попадала под удар LockBit в феврале 2024 года. Если спустя два года злоумышленники снова прошли внутрь, значит, периметр так и остался дырявым. Для бизнеса это двойной удар: и по непрерывности производства, и по репутации партнера.
Вторая заметная цель, это Fit-Line Global. Компания производит запатентованные фитинги для работы с жидкостями высокой чистоты (критично для полупроводников и фармакологии). В таких кейсах риск не только в шифровании, но и в утечке чертежей и патентов, того, что невозможно просто «восстановить из бэкапа».
Еще в списке: компания Compact Industries которая занимается упаковкой пищевых смесей и Rodney’s Sign Company они занимаются производством навигационных систем.
Кейс STIM Group напоминает неприятную истину: восстановление из бэкапов или выплата выкупа без реального Root Cause Analysis не закрывают дверь хакерам. Они просто отодвигают следующий визит.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Повторный взлом STIM Group. Итальянская STIM Group (промоборудование). По данным FalconFeeds, компания уже попадала под удар LockBit в феврале 2024 года. Если спустя два года злоумышленники снова прошли внутрь, значит, периметр так и остался дырявым. Для бизнеса это двойной удар: и по непрерывности производства, и по репутации партнера.
Вторая заметная цель, это Fit-Line Global. Компания производит запатентованные фитинги для работы с жидкостями высокой чистоты (критично для полупроводников и фармакологии). В таких кейсах риск не только в шифровании, но и в утечке чертежей и патентов, того, что невозможно просто «восстановить из бэкапа».
Еще в списке: компания Compact Industries которая занимается упаковкой пищевых смесей и Rodney’s Sign Company они занимаются производством навигационных систем.
Кейс STIM Group напоминает неприятную истину: восстановление из бэкапов или выплата выкупа без реального Root Cause Analysis не закрывают дверь хакерам. Они просто отодвигают следующий визит.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥53❤7👎1
13 января аналитики Dark Web Informer заметили показательный лот на теневой площадке. Продавец начального доступа под ником powder12 продает полный административный доступ к серверу американской компании, которая оказывает налоговые услуги. Цена вопроса всего $3 000. За эти деньги покупатель получает ключи к данным тысяч людей.
Судя по описанию, цель это публичный сайт и клиентский портал для ведения налоговых дел, Tax Case Management. Компания на рынке больше 15 лет, а значит на сервере может лежать большой архив документов. Портал используется для сбора информации о клиентах и их семьях, общения с консультантами и подготовки налоговых деклараций.
Внутри, по словам продавца, хранится то, что идеально подходит для кражи личности: SSN, записи о доходах, адреса, анкеты и подтверждающие файлы. То есть не просто контакты, а полноценное досье, которое потом можно монетизировать десятком способов.
По технике продавец обещает root SSH access, самый высокий уровень прав в системе, плюс вариант доступа через VNC. Сам powder12 честно пишет, что базу глубоко не изучал и отдает как есть.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Судя по описанию, цель это публичный сайт и клиентский портал для ведения налоговых дел, Tax Case Management. Компания на рынке больше 15 лет, а значит на сервере может лежать большой архив документов. Портал используется для сбора информации о клиентах и их семьях, общения с консультантами и подготовки налоговых деклараций.
Внутри, по словам продавца, хранится то, что идеально подходит для кражи личности: SSN, записи о доходах, адреса, анкеты и подтверждающие файлы. То есть не просто контакты, а полноценное досье, которое потом можно монетизировать десятком способов.
По технике продавец обещает root SSH access, самый высокий уровень прав в системе, плюс вариант доступа через VNC. Сам powder12 честно пишет, что базу глубоко не изучал и отдает как есть.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥54❤4
На теневых площадках снова шум вокруг мессенджера MAX. Пользователь под ником CamelliaBtw утверждает, что получил полный контроль над инфраструктурой сервиса и вынес пользовательские данные. Подают это как символический удар ровно через год после запуска, с явным намеком на прежний маркетинг про Telegram убийцу и новую эру приватности.
Это заявление , а не подтвержденный инцидент от компании или независимых исследователей. Но детали у него слишком конкретные, чтобы просто отмахнуться. CamelliaBtw говорит о массиве примерно в 15.4 миллиона записей, где якобы есть полные имена, никнеймы и подтвержденные номера телефонов. Отдельно заявляет о валидных токенах сессий, которые могут дать захват аккаунтов без классического ввода кода и, по его словам, с обходом 2FA. Там же упоминаются Bcrypt-хэши паролей.
Дальше в заявлении фигурируют логи коммуникаций с временными метками и идентификаторами отправителя и получателя, внутренние SSH-ключи, документация по API, конфигурации AWS S3 и незашифрованные медиа-ассеты. Самое тяжелое обвинение это доступ к исходникам бэкенда и к проприетарному модулю шифрования, где якобы есть захардкоженные бэкдоры. Вход описывают как 0-day RCE в движке обработки медиа с внедрением нагрузки через метадату стикерпаков. По таймлайну автор пишет, что копал систему 12 месяцев, а уязвимость существовала еще с беты начала 2025 и не была исправлена.
Есть и давление на публику: CamelliaBtw обещает разослать первые 5 ГБ сырого SQL на 10 публичных торрент-трекеров в течение 24 часов, плюс намекает, что в базе есть верифицированные аккаунты известных политиков и корпоративных руководителей.
Это уже второе громкое заявление о компрометации MAX. В октябре 2025 Titusko25357 говорил о 46.2 миллиона записей, но компания тогда назвала данные фейком и не связанными с реальной инфраструктурой. Сейчас заявления другие и технически плотнее, но пока нет публичного ответа MAX, это остается неподтвержденной историей. Игнорировать ее при этом сложно, потому что комбинация телефонов, логов и токенов это идеальная почва для фишинга и угонов, если хотя бы часть сказанного окажется правдой.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Это заявление , а не подтвержденный инцидент от компании или независимых исследователей. Но детали у него слишком конкретные, чтобы просто отмахнуться. CamelliaBtw говорит о массиве примерно в 15.4 миллиона записей, где якобы есть полные имена, никнеймы и подтвержденные номера телефонов. Отдельно заявляет о валидных токенах сессий, которые могут дать захват аккаунтов без классического ввода кода и, по его словам, с обходом 2FA. Там же упоминаются Bcrypt-хэши паролей.
Дальше в заявлении фигурируют логи коммуникаций с временными метками и идентификаторами отправителя и получателя, внутренние SSH-ключи, документация по API, конфигурации AWS S3 и незашифрованные медиа-ассеты. Самое тяжелое обвинение это доступ к исходникам бэкенда и к проприетарному модулю шифрования, где якобы есть захардкоженные бэкдоры. Вход описывают как 0-day RCE в движке обработки медиа с внедрением нагрузки через метадату стикерпаков. По таймлайну автор пишет, что копал систему 12 месяцев, а уязвимость существовала еще с беты начала 2025 и не была исправлена.
Есть и давление на публику: CamelliaBtw обещает разослать первые 5 ГБ сырого SQL на 10 публичных торрент-трекеров в течение 24 часов, плюс намекает, что в базе есть верифицированные аккаунты известных политиков и корпоративных руководителей.
Это уже второе громкое заявление о компрометации MAX. В октябре 2025 Titusko25357 говорил о 46.2 миллиона записей, но компания тогда назвала данные фейком и не связанными с реальной инфраструктурой. Сейчас заявления другие и технически плотнее, но пока нет публичного ответа MAX, это остается неподтвержденной историей. Игнорировать ее при этом сложно, потому что комбинация телефонов, логов и токенов это идеальная почва для фишинга и угонов, если хотя бы часть сказанного окажется правдой.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥84❤9👾4👍3😁3
Media is too big
VIEW IN TELEGRAM
Исследователи из KU Leuven нашли критическую уязвимость в Google Fast Pair. Ей присвоили номер CVE-2025-36911 и название WhisperPair. Под ударом оказались сотни миллионов беспроводных наушников и колонок от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi. Проблема сидит в самих аксессуарах, а не в телефонах. То есть рискуют все, у кого Android или iPhone, если рядом у кого-то есть устройство для атаки.
Суть уязвимость простая и обидная. Fast Pair должен игнорировать запросы, если наушники или колонка не находятся в режиме сопряжения. Это прямо написано в спецификации: Если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения. Но часть производителей этот шаг не реализовала. В результате атакующий может инициировать подключение и перехватить устройство даже тогда, когда вы ничего не нажимали и аксессуар уже подключен к вашему телефону.
Атаку можно провести с обычного Bluetooth-устройства, ноутбука или Raspberry Pi. Дальность до 14 метров, типичная скорость 10-15 секунд, без физического доступа и без общения с жертвой. Один из исследователей сформулировал это максимально прямолинейно: Вы идёте по улице в наушниках, слушаете музыку. Менее чем за 15 секунд мы перехватываем ваше устройство. Дальше я могу включить микрофон и слушать всё, что происходит вокруг вас, подменять звук или отслеживать, где вы находитесь.
Единственная реальная защита здесь это обновления прошивки на самих наушниках и колонках. Google работал с производителями около 150 дней, но патчи есть не у всех. Отключение Fast Pair на телефоне не спасает, потому что уязвимость живет в аксессуаре. Если у вас есть устройства с Fast Pair, имеет смысл проверить сайт производителя на наличие прошивки и не считать Bluetooth-наушники безопасной мелочью, пока они не обновлены.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Суть уязвимость простая и обидная. Fast Pair должен игнорировать запросы, если наушники или колонка не находятся в режиме сопряжения. Это прямо написано в спецификации: Если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения. Но часть производителей этот шаг не реализовала. В результате атакующий может инициировать подключение и перехватить устройство даже тогда, когда вы ничего не нажимали и аксессуар уже подключен к вашему телефону.
Атаку можно провести с обычного Bluetooth-устройства, ноутбука или Raspberry Pi. Дальность до 14 метров, типичная скорость 10-15 секунд, без физического доступа и без общения с жертвой. Один из исследователей сформулировал это максимально прямолинейно: Вы идёте по улице в наушниках, слушаете музыку. Менее чем за 15 секунд мы перехватываем ваше устройство. Дальше я могу включить микрофон и слушать всё, что происходит вокруг вас, подменять звук или отслеживать, где вы находитесь.
Единственная реальная защита здесь это обновления прошивки на самих наушниках и колонках. Google работал с производителями около 150 дней, но патчи есть не у всех. Отключение Fast Pair на телефоне не спасает, потому что уязвимость живет в аксессуаре. Если у вас есть устройства с Fast Pair, имеет смысл проверить сайт производителя на наличие прошивки и не считать Bluetooth-наушники безопасной мелочью, пока они не обновлены.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥52❤7🤯2👾2
LastPass предупредила о новой волне фишинга, которая маскируется под письма сервиса и пытается выманить мастер-пароль. Рассылка, по данным компании, началась примерно 19 января 2026 года и давит на классический триггер: у вас есть 24 часа, чтобы сделать локальную резервную копию хранилища перед якобы техническими работами.
Письма приходят не с LastPass. В предупреждении фигурируют адреса вроде
LastPass никогда не просит мастер-пароль по почте и не ставит ультиматумы по времени. Подозрительные письма компания просит пересылать на abuse@lastpass.com. Если нужно зайти в хранилище, открывайте приложение или свою закладку, а не ссылки из письма.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Письма приходят не с LastPass. В предупреждении фигурируют адреса вроде
support@sr22vegas.com и support@lastpass.server3/7/8. Дальше жертву ведут через ссылку на объект в Amazon S3 (group-content-gen2.s3.eu-west-3.amazonaws.com/5yaVgx51ZzGf) с редиректом на mail-lastpass.com. LastPass отдельно отмечает, что кампания стартовала в праздничные выходные в США, когда реакция на инциденты обычно медленнее.LastPass никогда не просит мастер-пароль по почте и не ставит ультиматумы по времени. Подозрительные письма компания просит пересылать на abuse@lastpass.com. Если нужно зайти в хранилище, открывайте приложение или свою закладку, а не ссылки из письма.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥31👍5❤4🤔1👾1
В Web3 снова пошла волна атак через фейковые приложения для созвонов. Группировку Crazy Evil связывают с поддельными сервисами Meeten, Meetio и Meetone. Сценарий будничный: вам пишут в Telegram, LinkedIn или X, предлагают работу или партнерство, зовут на короткий звонок и дают ссылку на установку. По данным Recorded Future и Darktrace, таким способом уже украли больше $5 млн, и кампания продолжается.
Неприятная деталь: вредонос может сработать еще до установки. На поддельных сайтах находили скрипт, который пытается вытащить крипту прямо из браузера. А если человек запускает скачанный файл, на компьютер попадает инфостилер Realst. Он собирает данные из браузеров и пытается добраться до кошельков и расширений, включая Phantom, а также следов использования Ledger и Trezor. Дальше деньги либо выводят напрямую, либо включают ледяной фишинг: убеждают подписать транзакцию, которая выглядит нормальной, но на деле дает злоумышленнику право управлять активами через смарт-контракт.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Неприятная деталь: вредонос может сработать еще до установки. На поддельных сайтах находили скрипт, который пытается вытащить крипту прямо из браузера. А если человек запускает скачанный файл, на компьютер попадает инфостилер Realst. Он собирает данные из браузеров и пытается добраться до кошельков и расширений, включая Phantom, а также следов использования Ledger и Trezor. Дальше деньги либо выводят напрямую, либо включают ледяной фишинг: убеждают подписать транзакцию, которая выглядит нормальной, но на деле дает злоумышленнику право управлять активами через смарт-контракт.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥49❤8👾2
Попался интересный инструмент для тех, кто делает пентест в закрытых контурах и не может тащить логи и отчеты в облако. Разработчик под ником Glass-Ant-6041 выложил Syd, локального ИИ-помощника, который работает прямо на вашем пк и, по заявлению автора, не отправляет данные во внешние сервисы.
Syd умеет разбирать результаты популярных утилит и превращать их в удобный контекст для вопросов человеческим языком. Сейчас заявлена поддержка BloodHound и Nmap, а Volatility 3 для анализа дампов памяти еще в разработке. Внутри стоит открытая модель Qwen 2.5 14B, приложение на Python, работает на Windows, macOS и Linux. Минимум по железу примерно 16 ГБ оперативной памяти, видеокарта не обязательна.
Самая полезная заявленная фича это слой проверки, который должен отсекать выдуманные ответы. Если модель ссылается на пользователя, хост или CVE, которых нет в загруженных данных, ответ отклоняется и объясняется почему.
Проект пока небольшой, автор говорит о примерно 60 скачиваниях с GitHub, но сама идея важная: ИИ-помощник, который помогает анализировать данные в изолированных сетях, не вынося их наружу.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Syd умеет разбирать результаты популярных утилит и превращать их в удобный контекст для вопросов человеческим языком. Сейчас заявлена поддержка BloodHound и Nmap, а Volatility 3 для анализа дампов памяти еще в разработке. Внутри стоит открытая модель Qwen 2.5 14B, приложение на Python, работает на Windows, macOS и Linux. Минимум по железу примерно 16 ГБ оперативной памяти, видеокарта не обязательна.
Самая полезная заявленная фича это слой проверки, который должен отсекать выдуманные ответы. Если модель ссылается на пользователя, хост или CVE, которых нет в загруженных данных, ответ отклоняется и объясняется почему.
Проект пока небольшой, автор говорит о примерно 60 скачиваниях с GitHub, но сама идея важная: ИИ-помощник, который помогает анализировать данные в изолированных сетях, не вынося их наружу.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥41❤5👾3
Два громких сюжета за неделю, которые показывают, как выглядит современная кража данных. Тут не про «сломали пароль», а про промышленные масштабы.
Nike проверяет заявление вымогателей WorldLeaks. Группа утверждает, что вытащила 1,4 ТБ внутренних файлов и выложила образцы. По описанию и названиям директорий это больше похоже на материалы по дизайну и производственным процессам, а не на клиентские базы. Nike факт утечки не подтверждает, но говорит, что расследует. Даже без данных покупателей такая история опасна: внутренние документы, обучение фабрик и процессы производства это подарок для серого рынка и контрафакта.
Исследователь Джеремайя Фаулер из Security Discovery, нашел в открытом доступе облачную базу на 149,4 млн логинов и паролей, объем около 96 ГБ. Без пароля, без шифрования, просто лежит и открывается в браузере. Внутри, по его данным, доступы к Gmail, Facebook, Instagram, Netflix, финансовым сервисам, встречаются и .gov домены. Структура была сделана “под работу”: логин, пароль и прямые URL для входа, то есть удобно для автоматизированных попыток входа.
И в обоих случаях ущерб может появиться не в момент утечки, а позже, когда данные начнут гулять и превращаться в атаки, подделки и точечный фишинг.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Nike проверяет заявление вымогателей WorldLeaks. Группа утверждает, что вытащила 1,4 ТБ внутренних файлов и выложила образцы. По описанию и названиям директорий это больше похоже на материалы по дизайну и производственным процессам, а не на клиентские базы. Nike факт утечки не подтверждает, но говорит, что расследует. Даже без данных покупателей такая история опасна: внутренние документы, обучение фабрик и процессы производства это подарок для серого рынка и контрафакта.
Исследователь Джеремайя Фаулер из Security Discovery, нашел в открытом доступе облачную базу на 149,4 млн логинов и паролей, объем около 96 ГБ. Без пароля, без шифрования, просто лежит и открывается в браузере. Внутри, по его данным, доступы к Gmail, Facebook, Instagram, Netflix, финансовым сервисам, встречаются и .gov домены. Структура была сделана “под работу”: логин, пароль и прямые URL для входа, то есть удобно для автоматизированных попыток входа.
И в обоих случаях ущерб может появиться не в момент утечки, а позже, когда данные начнут гулять и превращаться в атаки, подделки и точечный фишинг.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥56❤4👍3👾2👎1
Notepad++ пережил выборочную supply chain атаку на обновления. По разбору автора проекта, кампания длилась с июня по декабрь 2025: злоумышленники не ломали сам редактор, они скомпрометировали хостинг, где лежал notepad-plus-plus.org, и для части пользователей перехватывали запросы обновления, перенаправляя их на свои серверы с зараженными сборками.
2 сентября 2025 провайдер обновил ядро и прошивку, и атакующие потеряли прямой доступ к серверу, но продолжили операцию за счет украденных учетных данных внутренних сервисов. Окончательно историю остановили 2 декабря 2025, когда провайдер сменил все учетные данные и перенес клиентов на новый сервер. Провайдер отдельно отмечал, что домен Notepad++ искали целенаправленно, другие сайты на том же сервере не трогали. Независимые исследователи связывают атаку с китайской группой, поддерживаемой государством.
В версии 8.8.9 модуль обновления WinGup получил проверку цифровой подписи и сертификата загружаемых файлов, плюс подписываются XML-ответы сервера обновлений (XMLDSig). В версии 8.9.2 проверка подписи станет обязательной, без нее обновление не установится.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
2 сентября 2025 провайдер обновил ядро и прошивку, и атакующие потеряли прямой доступ к серверу, но продолжили операцию за счет украденных учетных данных внутренних сервисов. Окончательно историю остановили 2 декабря 2025, когда провайдер сменил все учетные данные и перенес клиентов на новый сервер. Провайдер отдельно отмечал, что домен Notepad++ искали целенаправленно, другие сайты на том же сервере не трогали. Независимые исследователи связывают атаку с китайской группой, поддерживаемой государством.
В версии 8.8.9 модуль обновления WinGup получил проверку цифровой подписи и сертификата загружаемых файлов, плюс подписываются XML-ответы сервера обновлений (XMLDSig). В версии 8.9.2 проверка подписи станет обязательной, без нее обновление не установится.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥33❤5🤯4
В работе любого исследователя наступает момент, когда ручной поиск информации становится слишком долгим и неэффективным. Подобрал для вас три инструмента, которые берут на себя самую кропотливую часть сбора данных из открытых источников.
Для глубокого изучения веб-ресурсов отлично подойдет WebSift. Этот инструмент работает как цифровое сито: он анализирует структуру сайта, находит скрытые файлы, забытые резервные копии и служебные директории, которые администраторы по неосторожности оставили доступными. Это позволяет составить полную карту целевого ресурса еще на этапе разведки.
Если же ваша задача смещается с технической части на человеческий фактор, стоит обратить внимание на EmploLeaks. Инструмет специализируется на поиске информации о сотрудниках конкретной организации. Она помогает выявить цепочки корпоративных адресов электронной почты и проверить их наличие в базах утечек, позволяя оценить риски проникновения через сотрудников.
Замыкает эту подборку CreepyCrawler. Это дотошный поисковый робот для сбора контактов. Вместо того чтобы вручную просматривать сотни страниц в поисках связей, вы запускаете этот сканер, и он методично обходит указанные сайты, извлекая адреса электронной почты, ссылки на социальные сети и геолокационные метки.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Для глубокого изучения веб-ресурсов отлично подойдет WebSift. Этот инструмент работает как цифровое сито: он анализирует структуру сайта, находит скрытые файлы, забытые резервные копии и служебные директории, которые администраторы по неосторожности оставили доступными. Это позволяет составить полную карту целевого ресурса еще на этапе разведки.
Если же ваша задача смещается с технической части на человеческий фактор, стоит обратить внимание на EmploLeaks. Инструмет специализируется на поиске информации о сотрудниках конкретной организации. Она помогает выявить цепочки корпоративных адресов электронной почты и проверить их наличие в базах утечек, позволяя оценить риски проникновения через сотрудников.
Замыкает эту подборку CreepyCrawler. Это дотошный поисковый робот для сбора контактов. Вместо того чтобы вручную просматривать сотни страниц в поисках связей, вы запускаете этот сканер, и он методично обходит указанные сайты, извлекая адреса электронной почты, ссылки на социальные сети и геолокационные метки.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
36🔥35❤3👍3
Российская хакерская группировка APT28, поставила рекорд скорости. Всего через три дня после того, как Microsoft закрыла уязвимость CVE-2026-21509 в Office, хакеры уже использовали эту уязвимость для реальных атак. Под удар попали государственные структуры Украины, Словакии и Румынии.
Группировка действует хитро: они рассылают документы, замаскированные под официальные сводки погоды или международные консультации. Главная особенность этой атаки в том, что пользователю даже не нужно разрешать выполнение макросов, вредоносная программа запускается сама, используя ошибку в механизме вставки объектов.
После заражения, пк превращается в шпионский инструмент. В одном сценарии бэкдор скрытно пересылает содержимое почтового ящика жертвы на сервера взломщиков, а в другом, дает им полный контроль над системой, маскируя свой трафик под работу обычного облачного хранилища. Специалисты отмечают, что атака работает избирательно и загружает вредонос только в том случае, если запрос приходит из целевого региона.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Группировка действует хитро: они рассылают документы, замаскированные под официальные сводки погоды или международные консультации. Главная особенность этой атаки в том, что пользователю даже не нужно разрешать выполнение макросов, вредоносная программа запускается сама, используя ошибку в механизме вставки объектов.
После заражения, пк превращается в шпионский инструмент. В одном сценарии бэкдор скрытно пересылает содержимое почтового ящика жертвы на сервера взломщиков, а в другом, дает им полный контроль над системой, маскируя свой трафик под работу обычного облачного хранилища. Специалисты отмечают, что атака работает избирательно и загружает вредонос только в том случае, если запрос приходит из целевого региона.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥52❤6❤🔥2👍1👎1🌚1
Испанское правительство решило радикально изменить правила игры в сети, анонсировав пакет законов под лозунгом защиты граждан. Павел Дуров отреагировал мгновенно: по мнению основателя Telegram, инициатива Педро Санчеса, это не забота о безопасности, а прямой путь к государственной цензуре и цифровому надзору.
Под предлогом защиты детей власти вводят обязательную проверку возраста, что на практике означает конец анонимности: платформам придется собирать паспортные данные и биометрию всех пользователей без исключения. Ситуация усугубляется угрозой реальных тюремных сроков для топ-менеджеров компаний. Дуров уверен, что страх уголовного преследования заставит модераторов перестраховываться и удалять любой спорный контент, включая неудобные журналистские расследования и критику власти.
Кроме того, государство намерено вмешиваться в работу алгоритмов и следить за «поляризацией мнений», что легко может превратиться в механизм зачистки политических оппонентов. Павел Дуров заверил, что Telegram останется верен принципам сквозного шифрования и независимости, призвав пользователей сопротивляться давлению, пока свободный доступ к информации не был уничтожен окончательно.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Под предлогом защиты детей власти вводят обязательную проверку возраста, что на практике означает конец анонимности: платформам придется собирать паспортные данные и биометрию всех пользователей без исключения. Ситуация усугубляется угрозой реальных тюремных сроков для топ-менеджеров компаний. Дуров уверен, что страх уголовного преследования заставит модераторов перестраховываться и удалять любой спорный контент, включая неудобные журналистские расследования и критику власти.
Кроме того, государство намерено вмешиваться в работу алгоритмов и следить за «поляризацией мнений», что легко может превратиться в механизм зачистки политических оппонентов. Павел Дуров заверил, что Telegram останется верен принципам сквозного шифрования и независимости, призвав пользователей сопротивляться давлению, пока свободный доступ к информации не был уничтожен окончательно.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥39❤6👾3👍2🥱1
Владелец одного из крупнейших теневых рынков Incognito Market, известный под ником Фараон, получил тридцать лет тюрьмы. За этим псевдонимом скрывался 24-летний Руи-Сян Лин, который всего за несколько лет построил наркоимперию с оборотом более ста миллионов долларов.
Управляя поставками тонн запрещенных веществ по всему миру, он умудрялся вести двойную жизнь: находясь на Сент-Люсии, наркобарон проводил официальные тренинги для местной полиции, обучая офицеров борьбе с киберпреступностью и отмыванием денег. Но за фасадом эксперта скрывалась продажа смертельно опасных подделок лекарств, что привело к гибели людей.
Финал площадки оказался под стать её циничному владельцу. Закрывая проект, Лин не просто присвоил деньги клиентов, но и напоследок решил заработать на шантаже, угрожая опубликовать историю покупок всех пользователей. Теперь ему предстоит провести полжизни за решеткой и расстаться со всеми активами, а судья назвала это дело самым серьезным наркопреступлением в своей многолетней карьере.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Управляя поставками тонн запрещенных веществ по всему миру, он умудрялся вести двойную жизнь: находясь на Сент-Люсии, наркобарон проводил официальные тренинги для местной полиции, обучая офицеров борьбе с киберпреступностью и отмыванием денег. Но за фасадом эксперта скрывалась продажа смертельно опасных подделок лекарств, что привело к гибели людей.
Финал площадки оказался под стать её циничному владельцу. Закрывая проект, Лин не просто присвоил деньги клиентов, но и напоследок решил заработать на шантаже, угрожая опубликовать историю покупок всех пользователей. Теперь ему предстоит провести полжизни за решеткой и расстаться со всеми активами, а судья назвала это дело самым серьезным наркопреступлением в своей многолетней карьере.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
67🔥48❤4👍4🤯2👾1