Media is too big
VIEW IN TELEGRAM
Исследователи из KU Leuven нашли критическую уязвимость в Google Fast Pair. Ей присвоили номер CVE-2025-36911 и название WhisperPair. Под ударом оказались сотни миллионов беспроводных наушников и колонок от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi. Проблема сидит в самих аксессуарах, а не в телефонах. То есть рискуют все, у кого Android или iPhone, если рядом у кого-то есть устройство для атаки.
Суть уязвимость простая и обидная. Fast Pair должен игнорировать запросы, если наушники или колонка не находятся в режиме сопряжения. Это прямо написано в спецификации: Если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения. Но часть производителей этот шаг не реализовала. В результате атакующий может инициировать подключение и перехватить устройство даже тогда, когда вы ничего не нажимали и аксессуар уже подключен к вашему телефону.
Атаку можно провести с обычного Bluetooth-устройства, ноутбука или Raspberry Pi. Дальность до 14 метров, типичная скорость 10-15 секунд, без физического доступа и без общения с жертвой. Один из исследователей сформулировал это максимально прямолинейно: Вы идёте по улице в наушниках, слушаете музыку. Менее чем за 15 секунд мы перехватываем ваше устройство. Дальше я могу включить микрофон и слушать всё, что происходит вокруг вас, подменять звук или отслеживать, где вы находитесь.
Единственная реальная защита здесь это обновления прошивки на самих наушниках и колонках. Google работал с производителями около 150 дней, но патчи есть не у всех. Отключение Fast Pair на телефоне не спасает, потому что уязвимость живет в аксессуаре. Если у вас есть устройства с Fast Pair, имеет смысл проверить сайт производителя на наличие прошивки и не считать Bluetooth-наушники безопасной мелочью, пока они не обновлены.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Суть уязвимость простая и обидная. Fast Pair должен игнорировать запросы, если наушники или колонка не находятся в режиме сопряжения. Это прямо написано в спецификации: Если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения. Но часть производителей этот шаг не реализовала. В результате атакующий может инициировать подключение и перехватить устройство даже тогда, когда вы ничего не нажимали и аксессуар уже подключен к вашему телефону.
Атаку можно провести с обычного Bluetooth-устройства, ноутбука или Raspberry Pi. Дальность до 14 метров, типичная скорость 10-15 секунд, без физического доступа и без общения с жертвой. Один из исследователей сформулировал это максимально прямолинейно: Вы идёте по улице в наушниках, слушаете музыку. Менее чем за 15 секунд мы перехватываем ваше устройство. Дальше я могу включить микрофон и слушать всё, что происходит вокруг вас, подменять звук или отслеживать, где вы находитесь.
Единственная реальная защита здесь это обновления прошивки на самих наушниках и колонках. Google работал с производителями около 150 дней, но патчи есть не у всех. Отключение Fast Pair на телефоне не спасает, потому что уязвимость живет в аксессуаре. Если у вас есть устройства с Fast Pair, имеет смысл проверить сайт производителя на наличие прошивки и не считать Bluetooth-наушники безопасной мелочью, пока они не обновлены.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥52❤7🤯2👾2
LastPass предупредила о новой волне фишинга, которая маскируется под письма сервиса и пытается выманить мастер-пароль. Рассылка, по данным компании, началась примерно 19 января 2026 года и давит на классический триггер: у вас есть 24 часа, чтобы сделать локальную резервную копию хранилища перед якобы техническими работами.
Письма приходят не с LastPass. В предупреждении фигурируют адреса вроде
LastPass никогда не просит мастер-пароль по почте и не ставит ультиматумы по времени. Подозрительные письма компания просит пересылать на abuse@lastpass.com. Если нужно зайти в хранилище, открывайте приложение или свою закладку, а не ссылки из письма.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Письма приходят не с LastPass. В предупреждении фигурируют адреса вроде
support@sr22vegas.com и support@lastpass.server3/7/8. Дальше жертву ведут через ссылку на объект в Amazon S3 (group-content-gen2.s3.eu-west-3.amazonaws.com/5yaVgx51ZzGf) с редиректом на mail-lastpass.com. LastPass отдельно отмечает, что кампания стартовала в праздничные выходные в США, когда реакция на инциденты обычно медленнее.LastPass никогда не просит мастер-пароль по почте и не ставит ультиматумы по времени. Подозрительные письма компания просит пересылать на abuse@lastpass.com. Если нужно зайти в хранилище, открывайте приложение или свою закладку, а не ссылки из письма.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥31👍5❤4🤔1👾1
В Web3 снова пошла волна атак через фейковые приложения для созвонов. Группировку Crazy Evil связывают с поддельными сервисами Meeten, Meetio и Meetone. Сценарий будничный: вам пишут в Telegram, LinkedIn или X, предлагают работу или партнерство, зовут на короткий звонок и дают ссылку на установку. По данным Recorded Future и Darktrace, таким способом уже украли больше $5 млн, и кампания продолжается.
Неприятная деталь: вредонос может сработать еще до установки. На поддельных сайтах находили скрипт, который пытается вытащить крипту прямо из браузера. А если человек запускает скачанный файл, на компьютер попадает инфостилер Realst. Он собирает данные из браузеров и пытается добраться до кошельков и расширений, включая Phantom, а также следов использования Ledger и Trezor. Дальше деньги либо выводят напрямую, либо включают ледяной фишинг: убеждают подписать транзакцию, которая выглядит нормальной, но на деле дает злоумышленнику право управлять активами через смарт-контракт.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Неприятная деталь: вредонос может сработать еще до установки. На поддельных сайтах находили скрипт, который пытается вытащить крипту прямо из браузера. А если человек запускает скачанный файл, на компьютер попадает инфостилер Realst. Он собирает данные из браузеров и пытается добраться до кошельков и расширений, включая Phantom, а также следов использования Ledger и Trezor. Дальше деньги либо выводят напрямую, либо включают ледяной фишинг: убеждают подписать транзакцию, которая выглядит нормальной, но на деле дает злоумышленнику право управлять активами через смарт-контракт.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥49❤8👾2
Попался интересный инструмент для тех, кто делает пентест в закрытых контурах и не может тащить логи и отчеты в облако. Разработчик под ником Glass-Ant-6041 выложил Syd, локального ИИ-помощника, который работает прямо на вашем пк и, по заявлению автора, не отправляет данные во внешние сервисы.
Syd умеет разбирать результаты популярных утилит и превращать их в удобный контекст для вопросов человеческим языком. Сейчас заявлена поддержка BloodHound и Nmap, а Volatility 3 для анализа дампов памяти еще в разработке. Внутри стоит открытая модель Qwen 2.5 14B, приложение на Python, работает на Windows, macOS и Linux. Минимум по железу примерно 16 ГБ оперативной памяти, видеокарта не обязательна.
Самая полезная заявленная фича это слой проверки, который должен отсекать выдуманные ответы. Если модель ссылается на пользователя, хост или CVE, которых нет в загруженных данных, ответ отклоняется и объясняется почему.
Проект пока небольшой, автор говорит о примерно 60 скачиваниях с GitHub, но сама идея важная: ИИ-помощник, который помогает анализировать данные в изолированных сетях, не вынося их наружу.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Syd умеет разбирать результаты популярных утилит и превращать их в удобный контекст для вопросов человеческим языком. Сейчас заявлена поддержка BloodHound и Nmap, а Volatility 3 для анализа дампов памяти еще в разработке. Внутри стоит открытая модель Qwen 2.5 14B, приложение на Python, работает на Windows, macOS и Linux. Минимум по железу примерно 16 ГБ оперативной памяти, видеокарта не обязательна.
Самая полезная заявленная фича это слой проверки, который должен отсекать выдуманные ответы. Если модель ссылается на пользователя, хост или CVE, которых нет в загруженных данных, ответ отклоняется и объясняется почему.
Проект пока небольшой, автор говорит о примерно 60 скачиваниях с GitHub, но сама идея важная: ИИ-помощник, который помогает анализировать данные в изолированных сетях, не вынося их наружу.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥41❤5👾3
Два громких сюжета за неделю, которые показывают, как выглядит современная кража данных. Тут не про «сломали пароль», а про промышленные масштабы.
Nike проверяет заявление вымогателей WorldLeaks. Группа утверждает, что вытащила 1,4 ТБ внутренних файлов и выложила образцы. По описанию и названиям директорий это больше похоже на материалы по дизайну и производственным процессам, а не на клиентские базы. Nike факт утечки не подтверждает, но говорит, что расследует. Даже без данных покупателей такая история опасна: внутренние документы, обучение фабрик и процессы производства это подарок для серого рынка и контрафакта.
Исследователь Джеремайя Фаулер из Security Discovery, нашел в открытом доступе облачную базу на 149,4 млн логинов и паролей, объем около 96 ГБ. Без пароля, без шифрования, просто лежит и открывается в браузере. Внутри, по его данным, доступы к Gmail, Facebook, Instagram, Netflix, финансовым сервисам, встречаются и .gov домены. Структура была сделана “под работу”: логин, пароль и прямые URL для входа, то есть удобно для автоматизированных попыток входа.
И в обоих случаях ущерб может появиться не в момент утечки, а позже, когда данные начнут гулять и превращаться в атаки, подделки и точечный фишинг.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Nike проверяет заявление вымогателей WorldLeaks. Группа утверждает, что вытащила 1,4 ТБ внутренних файлов и выложила образцы. По описанию и названиям директорий это больше похоже на материалы по дизайну и производственным процессам, а не на клиентские базы. Nike факт утечки не подтверждает, но говорит, что расследует. Даже без данных покупателей такая история опасна: внутренние документы, обучение фабрик и процессы производства это подарок для серого рынка и контрафакта.
Исследователь Джеремайя Фаулер из Security Discovery, нашел в открытом доступе облачную базу на 149,4 млн логинов и паролей, объем около 96 ГБ. Без пароля, без шифрования, просто лежит и открывается в браузере. Внутри, по его данным, доступы к Gmail, Facebook, Instagram, Netflix, финансовым сервисам, встречаются и .gov домены. Структура была сделана “под работу”: логин, пароль и прямые URL для входа, то есть удобно для автоматизированных попыток входа.
И в обоих случаях ущерб может появиться не в момент утечки, а позже, когда данные начнут гулять и превращаться в атаки, подделки и точечный фишинг.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥56❤4👍3👾2👎1
Notepad++ пережил выборочную supply chain атаку на обновления. По разбору автора проекта, кампания длилась с июня по декабрь 2025: злоумышленники не ломали сам редактор, они скомпрометировали хостинг, где лежал notepad-plus-plus.org, и для части пользователей перехватывали запросы обновления, перенаправляя их на свои серверы с зараженными сборками.
2 сентября 2025 провайдер обновил ядро и прошивку, и атакующие потеряли прямой доступ к серверу, но продолжили операцию за счет украденных учетных данных внутренних сервисов. Окончательно историю остановили 2 декабря 2025, когда провайдер сменил все учетные данные и перенес клиентов на новый сервер. Провайдер отдельно отмечал, что домен Notepad++ искали целенаправленно, другие сайты на том же сервере не трогали. Независимые исследователи связывают атаку с китайской группой, поддерживаемой государством.
В версии 8.8.9 модуль обновления WinGup получил проверку цифровой подписи и сертификата загружаемых файлов, плюс подписываются XML-ответы сервера обновлений (XMLDSig). В версии 8.9.2 проверка подписи станет обязательной, без нее обновление не установится.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
2 сентября 2025 провайдер обновил ядро и прошивку, и атакующие потеряли прямой доступ к серверу, но продолжили операцию за счет украденных учетных данных внутренних сервисов. Окончательно историю остановили 2 декабря 2025, когда провайдер сменил все учетные данные и перенес клиентов на новый сервер. Провайдер отдельно отмечал, что домен Notepad++ искали целенаправленно, другие сайты на том же сервере не трогали. Независимые исследователи связывают атаку с китайской группой, поддерживаемой государством.
В версии 8.8.9 модуль обновления WinGup получил проверку цифровой подписи и сертификата загружаемых файлов, плюс подписываются XML-ответы сервера обновлений (XMLDSig). В версии 8.9.2 проверка подписи станет обязательной, без нее обновление не установится.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥33❤5🤯4
В работе любого исследователя наступает момент, когда ручной поиск информации становится слишком долгим и неэффективным. Подобрал для вас три инструмента, которые берут на себя самую кропотливую часть сбора данных из открытых источников.
Для глубокого изучения веб-ресурсов отлично подойдет WebSift. Этот инструмент работает как цифровое сито: он анализирует структуру сайта, находит скрытые файлы, забытые резервные копии и служебные директории, которые администраторы по неосторожности оставили доступными. Это позволяет составить полную карту целевого ресурса еще на этапе разведки.
Если же ваша задача смещается с технической части на человеческий фактор, стоит обратить внимание на EmploLeaks. Инструмет специализируется на поиске информации о сотрудниках конкретной организации. Она помогает выявить цепочки корпоративных адресов электронной почты и проверить их наличие в базах утечек, позволяя оценить риски проникновения через сотрудников.
Замыкает эту подборку CreepyCrawler. Это дотошный поисковый робот для сбора контактов. Вместо того чтобы вручную просматривать сотни страниц в поисках связей, вы запускаете этот сканер, и он методично обходит указанные сайты, извлекая адреса электронной почты, ссылки на социальные сети и геолокационные метки.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Для глубокого изучения веб-ресурсов отлично подойдет WebSift. Этот инструмент работает как цифровое сито: он анализирует структуру сайта, находит скрытые файлы, забытые резервные копии и служебные директории, которые администраторы по неосторожности оставили доступными. Это позволяет составить полную карту целевого ресурса еще на этапе разведки.
Если же ваша задача смещается с технической части на человеческий фактор, стоит обратить внимание на EmploLeaks. Инструмет специализируется на поиске информации о сотрудниках конкретной организации. Она помогает выявить цепочки корпоративных адресов электронной почты и проверить их наличие в базах утечек, позволяя оценить риски проникновения через сотрудников.
Замыкает эту подборку CreepyCrawler. Это дотошный поисковый робот для сбора контактов. Вместо того чтобы вручную просматривать сотни страниц в поисках связей, вы запускаете этот сканер, и он методично обходит указанные сайты, извлекая адреса электронной почты, ссылки на социальные сети и геолокационные метки.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
36🔥35❤3👍3
Российская хакерская группировка APT28, поставила рекорд скорости. Всего через три дня после того, как Microsoft закрыла уязвимость CVE-2026-21509 в Office, хакеры уже использовали эту уязвимость для реальных атак. Под удар попали государственные структуры Украины, Словакии и Румынии.
Группировка действует хитро: они рассылают документы, замаскированные под официальные сводки погоды или международные консультации. Главная особенность этой атаки в том, что пользователю даже не нужно разрешать выполнение макросов, вредоносная программа запускается сама, используя ошибку в механизме вставки объектов.
После заражения, пк превращается в шпионский инструмент. В одном сценарии бэкдор скрытно пересылает содержимое почтового ящика жертвы на сервера взломщиков, а в другом, дает им полный контроль над системой, маскируя свой трафик под работу обычного облачного хранилища. Специалисты отмечают, что атака работает избирательно и загружает вредонос только в том случае, если запрос приходит из целевого региона.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Группировка действует хитро: они рассылают документы, замаскированные под официальные сводки погоды или международные консультации. Главная особенность этой атаки в том, что пользователю даже не нужно разрешать выполнение макросов, вредоносная программа запускается сама, используя ошибку в механизме вставки объектов.
После заражения, пк превращается в шпионский инструмент. В одном сценарии бэкдор скрытно пересылает содержимое почтового ящика жертвы на сервера взломщиков, а в другом, дает им полный контроль над системой, маскируя свой трафик под работу обычного облачного хранилища. Специалисты отмечают, что атака работает избирательно и загружает вредонос только в том случае, если запрос приходит из целевого региона.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥52❤6❤🔥2👍1👎1🌚1
Испанское правительство решило радикально изменить правила игры в сети, анонсировав пакет законов под лозунгом защиты граждан. Павел Дуров отреагировал мгновенно: по мнению основателя Telegram, инициатива Педро Санчеса, это не забота о безопасности, а прямой путь к государственной цензуре и цифровому надзору.
Под предлогом защиты детей власти вводят обязательную проверку возраста, что на практике означает конец анонимности: платформам придется собирать паспортные данные и биометрию всех пользователей без исключения. Ситуация усугубляется угрозой реальных тюремных сроков для топ-менеджеров компаний. Дуров уверен, что страх уголовного преследования заставит модераторов перестраховываться и удалять любой спорный контент, включая неудобные журналистские расследования и критику власти.
Кроме того, государство намерено вмешиваться в работу алгоритмов и следить за «поляризацией мнений», что легко может превратиться в механизм зачистки политических оппонентов. Павел Дуров заверил, что Telegram останется верен принципам сквозного шифрования и независимости, призвав пользователей сопротивляться давлению, пока свободный доступ к информации не был уничтожен окончательно.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Под предлогом защиты детей власти вводят обязательную проверку возраста, что на практике означает конец анонимности: платформам придется собирать паспортные данные и биометрию всех пользователей без исключения. Ситуация усугубляется угрозой реальных тюремных сроков для топ-менеджеров компаний. Дуров уверен, что страх уголовного преследования заставит модераторов перестраховываться и удалять любой спорный контент, включая неудобные журналистские расследования и критику власти.
Кроме того, государство намерено вмешиваться в работу алгоритмов и следить за «поляризацией мнений», что легко может превратиться в механизм зачистки политических оппонентов. Павел Дуров заверил, что Telegram останется верен принципам сквозного шифрования и независимости, призвав пользователей сопротивляться давлению, пока свободный доступ к информации не был уничтожен окончательно.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥39❤6👾3👍2🥱1
Владелец одного из крупнейших теневых рынков Incognito Market, известный под ником Фараон, получил тридцать лет тюрьмы. За этим псевдонимом скрывался 24-летний Руи-Сян Лин, который всего за несколько лет построил наркоимперию с оборотом более ста миллионов долларов.
Управляя поставками тонн запрещенных веществ по всему миру, он умудрялся вести двойную жизнь: находясь на Сент-Люсии, наркобарон проводил официальные тренинги для местной полиции, обучая офицеров борьбе с киберпреступностью и отмыванием денег. Но за фасадом эксперта скрывалась продажа смертельно опасных подделок лекарств, что привело к гибели людей.
Финал площадки оказался под стать её циничному владельцу. Закрывая проект, Лин не просто присвоил деньги клиентов, но и напоследок решил заработать на шантаже, угрожая опубликовать историю покупок всех пользователей. Теперь ему предстоит провести полжизни за решеткой и расстаться со всеми активами, а судья назвала это дело самым серьезным наркопреступлением в своей многолетней карьере.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Управляя поставками тонн запрещенных веществ по всему миру, он умудрялся вести двойную жизнь: находясь на Сент-Люсии, наркобарон проводил официальные тренинги для местной полиции, обучая офицеров борьбе с киберпреступностью и отмыванием денег. Но за фасадом эксперта скрывалась продажа смертельно опасных подделок лекарств, что привело к гибели людей.
Финал площадки оказался под стать её циничному владельцу. Закрывая проект, Лин не просто присвоил деньги клиентов, но и напоследок решил заработать на шантаже, угрожая опубликовать историю покупок всех пользователей. Теперь ему предстоит провести полжизни за решеткой и расстаться со всеми активами, а судья назвала это дело самым серьезным наркопреступлением в своей многолетней карьере.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
67🔥48❤4👍4🤯2👾1
Air France взломали: в сеть утекли данные 2 миллионов человек. На darkforums появилось объявление о продаже доступа к внутренним системам французского авиаперевозчика. Юзер под ником GordonFreeman утверждает, что обнаружил критическую уязвимость в административной панели сайта, которая позволяет беспрепятственно выкачивать информацию о клиентах компании.
Судя по опубликованным доказательствам, утечка выглядит масштабной и крайне необычной. В руках хакера оказался странная смесь из данных участников программы лояльности Flying Blue и подробных анкет людей, которые когда-либо пытались устроиться на работу в авиакомпанию. В одной базе смешались номера бонусных карт, личные фотографии, резюме соискателей, даты собеседований и даже оценки уровня владения английским языком.
Вероятно, уязвимость находится где-то на стыке кадрового портала и основной клиентской базы данных.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Судя по опубликованным доказательствам, утечка выглядит масштабной и крайне необычной. В руках хакера оказался странная смесь из данных участников программы лояльности Flying Blue и подробных анкет людей, которые когда-либо пытались устроиться на работу в авиакомпанию. В одной базе смешались номера бонусных карт, личные фотографии, резюме соискателей, даты собеседований и даже оценки уровня владения английским языком.
Вероятно, уязвимость находится где-то на стыке кадрового портала и основной клиентской базы данных.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
52🔥24❤2🤔1👾1