WhatsApp для поиска контактов по номерам телефонов, вероятно, не имеет ограничения по скорости поиска и не блокируется при множестве обращений, следует из отчета исследователей из Венского университета. Таким образом, они смогли "пробить" 3,5 млрд зарегистрированных телефонных номеров, что в иной ситуации можно было бы назвать крупнейшей утечкой данных в истории.
У WhatsApp есть реестр пользователей, привязанный к их номерам телефонов - это нужно для беспрепятственного поиска контактов. Пользователи могут при установке приложения предоставить разрешение на доступ к своей локальной адресной книге и загрузить ее на серверы WhatsApp, получив в ответ доступ к данным о том, кто из контактов зарегистрирован в мессенджере. Но этим также можно злоупотреблять для проверки, подчеркивают исследователи.
Они разработали метод генерации датасетов с потенциально активными номерами телефонов для 245 стран, и искали контакты с частотой 7 тыс. номеров в секунду. Выявленные 3,5 млрд зарегистрированных в WhatsApp номеров превышают заявленные мессенджером "более 2 млрд". Случаи массовой проверки телефонов были и ранее.
"Поскольку зарегистрированный номер обычно указывает на активное устройство, эти списки являются надежной основой для спама, фишинга или обзвонов ботами. Это поднимает вопрос о том, как долго собранная информация остается актуальной и может быть использована злоумышленниками", - указывают составители материала.
"Так как мы предполагали, что запросы, всегда исходящие от одного IP-адреса и одних и тех же пяти аккаунтов, будут быстро ограничиваться и блокироваться, мы изначально сосредоточились на США, чтобы определить, сколько номеров, утекших в 2019 году, все еще активны. К нашему удивлению, ни IP-адрес, ни наши аккаунты не были заблокированы [за попытки]. Более того, мы не сталкивались с какими-либо ограничениями по скорости", - отмечается в отчете.
Согласно данным по "пробитым" аккаунтам, более 57% пользователей в мире имеют доступную всем фотографию в профиле. 9% глобально - бизнес-аккаунты. В материале также приведены данные по множеству стран. Но исследователи заверили, что их работа - это научное исследование, они не будут ни публиковать "сырые" данные, ни сохранять их после анализа.
У WhatsApp есть реестр пользователей, привязанный к их номерам телефонов - это нужно для беспрепятственного поиска контактов. Пользователи могут при установке приложения предоставить разрешение на доступ к своей локальной адресной книге и загрузить ее на серверы WhatsApp, получив в ответ доступ к данным о том, кто из контактов зарегистрирован в мессенджере. Но этим также можно злоупотреблять для проверки, подчеркивают исследователи.
Они разработали метод генерации датасетов с потенциально активными номерами телефонов для 245 стран, и искали контакты с частотой 7 тыс. номеров в секунду. Выявленные 3,5 млрд зарегистрированных в WhatsApp номеров превышают заявленные мессенджером "более 2 млрд". Случаи массовой проверки телефонов были и ранее.
"Поскольку зарегистрированный номер обычно указывает на активное устройство, эти списки являются надежной основой для спама, фишинга или обзвонов ботами. Это поднимает вопрос о том, как долго собранная информация остается актуальной и может быть использована злоумышленниками", - указывают составители материала.
"Так как мы предполагали, что запросы, всегда исходящие от одного IP-адреса и одних и тех же пяти аккаунтов, будут быстро ограничиваться и блокироваться, мы изначально сосредоточились на США, чтобы определить, сколько номеров, утекших в 2019 году, все еще активны. К нашему удивлению, ни IP-адрес, ни наши аккаунты не были заблокированы [за попытки]. Более того, мы не сталкивались с какими-либо ограничениями по скорости", - отмечается в отчете.
Согласно данным по "пробитым" аккаунтам, более 57% пользователей в мире имеют доступную всем фотографию в профиле. 9% глобально - бизнес-аккаунты. В материале также приведены данные по множеству стран. Но исследователи заверили, что их работа - это научное исследование, они не будут ни публиковать "сырые" данные, ни сохранять их после анализа.
👍5
Злоумышленник, известный как Zeroplayer, выставил на продажу на подпольных хакерских форумах уязвимость удаленного выполнения кода (RCE) нулевого дня в сочетании с возможностью выхода из песочницы, нацеленную на системы Microsoft Office и Windows.
Эксплойт стоимостью 300.000 долларов предположительно работает с большинством форматов файлов Office, включая последние версии, и затрагивает полностью исправленные установки Windows.
Эксплойт стоимостью 300.000 долларов предположительно работает с большинством форматов файлов Office, включая последние версии, и затрагивает полностью исправленные установки Windows.
1👍9
Forwarded from GitHub Community
Vet — это инструмент для обеспечения безопасности цепочки поставок программного обеспечения с открытым исходным кодом, созданный для разработчиков и инженеров по безопасности, которым необходимо:
1. Анализ состава программного обеспечения нового поколения — обнаружение уязвимостей и вредоносных пакетов
2. Политика как код — выражение политик безопасности с использованием CEL
3. Обнаружение вредоносных пакетов в режиме реального времени — на основе активного сканирования SafeDep Cloud
4. Поддержка нескольких экосистем — npm, PyPI, Maven, Go, Docker, GitHub Actions и другие
🐱 GitHub
1. Анализ состава программного обеспечения нового поколения — обнаружение уязвимостей и вредоносных пакетов
2. Политика как код — выражение политик безопасности с использованием CEL
3. Обнаружение вредоносных пакетов в режиме реального времени — на основе активного сканирования SafeDep Cloud
4. Поддержка нескольких экосистем — npm, PyPI, Maven, Go, Docker, GitHub Actions и другие
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с кражей учетных данных на этапе preinstall. Вредоносные (троянизированные) пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года.
😆 😆 😆
Зараженные репозитории добавляются ежеминутно!
Зараженные репозитории добавляются ежеминутно!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Сицебрекс!
Похоже, что на черном рынке появился продвинутый аналог нашумевшей малвары Котлетос (cutlet maker, написан на Делфи кстати).
Позиционируют как ATM JACKPOTTING MALWARE. Работает через NFC. Удивительно, что не требует подключения физического к банкомату. Еще из удивительного - продавец готов отправить «подготовленный» телефон покупателю вредоносного ПО. Или же отправить инструкцию для как подготовить телефон самостоятельно
Штош, ожидаем новостей о странных поведениях банкоматов?
Позиционируют как ATM JACKPOTTING MALWARE. Работает через NFC. Удивительно, что не требует подключения физического к банкомату. Еще из удивительного - продавец готов отправить «подготовленный» телефон покупателю вредоносного ПО. Или же отправить инструкцию для как подготовить телефон самостоятельно
Штош, ожидаем новостей о странных поведениях банкоматов?
👍5
cybersecurity-forecast-2026-en.pdf
2 MB
Google Cloud опубликовали свой прогноз в области кибербезопасности на 2026 год.
«Прогноз кибербезопасности 2026» посвящен трем ключевым
темам: использование искусственного интеллекта нападющими и защитниками,
киберпреступность как самая разрушительная глобальная угроза и
продолжающиеся действия государственных акторов для достижения своих стратегических целей.
«Прогноз кибербезопасности 2026» посвящен трем ключевым
темам: использование искусственного интеллекта нападющими и защитниками,
киберпреступность как самая разрушительная глобальная угроза и
продолжающиеся действия государственных акторов для достижения своих стратегических целей.
👍4
Forwarded from Femida
Whatsapp - ВСË. Официально
РКН заявил о начале полной блокировки Whatsapp. Со слов ведомства, это связано с многочисленными нарушениями приложения законодательства РФ.
Заявлено также, что блокировка будет осуществляться поэтапно.
Напомним, ранее РКН заблокировал звонки в Telegram и Whatsapp.
РКН заявил о начале полной блокировки Whatsapp. Со слов ведомства, это связано с многочисленными нарушениями приложения законодательства РФ.
Заявлено также, что блокировка будет осуществляться поэтапно.
Напомним, ранее РКН заблокировал звонки в Telegram и Whatsapp.
👍6👎4
29 ноября 2025 года пользователи голосового ассистента Алиса столкнулись с масштабными техническими неполадками.
Начиная с 13:57, в адрес сервиса начали массово поступать жалобы от пользователей из различных регионов России.
Виртуальный помощник от Яндекса перестал отвечать на запросы, что вызвало волну недовольства в социальных сетях и на специализированных платформах мониторинга сбоев. По данным мониторинговых систем, проблемы затронули значительную часть аудитории.
Начиная с 13:57, в адрес сервиса начали массово поступать жалобы от пользователей из различных регионов России.
Виртуальный помощник от Яндекса перестал отвечать на запросы, что вызвало волну недовольства в социальных сетях и на специализированных платформах мониторинга сбоев. По данным мониторинговых систем, проблемы затронули значительную часть аудитории.
👍9👎2
Forwarded from Cybred
Когда подключаешься к WiFi где-нибудь в коворкинге и пытаешься просканить хосты, можно ничего не найти из-за их изоляции. Pulse Security рассказали о том, как ее можно обойти.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
GitHub
GitHub - Pulse-Security/wifi-client-isolation-bypass: Bypass WiFi client isolation on Open and WPA2-PSK networks
Bypass WiFi client isolation on Open and WPA2-PSK networks - Pulse-Security/wifi-client-isolation-bypass
👍6
Forwarded from Cybred
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
👍3
Forwarded from AD_POHEQUE
React RCE: пруф с нуля, без «заведомо уязвимых серверов»
какой-то ясновидящий в комментах заявил, что poc крутится «на специально дырявом сервере» и вообще «это не по-настоящему».
я пошёл, потратил два часа, собрал всё с чистого react — и вот результат:
rce воспроизводится на react 19.2.0, без патчей и плясок с бубном.
ниже полностью воспроизводимый сценарий.
1) клонируем и фиксируемся на уязвимой версии
2) ставим зависимости и собираем react-server-dom-webpack
уязвимый бандл после сборки:
3) минимальный уязвимый сервер
кладём файл
https://gist.github.com/ghe770mvp/ebd40f33ec4ed080e603fda3ec20734e
4) стартуем уязвимый сервер
видим:
5) стреляем уже готовым эксплойтом
🔫 🤬 🔫
ожидаемый вывод (пример для windows):
это прямой результат
почему это НЕ «заведомо дырявый сервер»
- версия: четкий
- бандл: берём как есть из
- манифест: даём
итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.
хочешь спорить — сначала повтори шаги, потом уже пиши свое «экспертное» мнение. будет мне уроком тоже :)
👾
какой-то ясновидящий в комментах заявил, что poc крутится «на специально дырявом сервере» и вообще «это не по-настоящему».
я пошёл, потратил два часа, собрал всё с чистого react — и вот результат:
rce воспроизводится на react 19.2.0, без патчей и плясок с бубном.
ниже полностью воспроизводимый сценарий.
1) клонируем и фиксируемся на уязвимой версии
git clone https://github.com/facebook/react.git
cd react
git checkout v19.2.0
2) ставим зависимости и собираем react-server-dom-webpack
yarn install
yarn build react-server-dom-webpack
уязвимый бандл после сборки:
build/oss-stable/react-server-dom-webpack/cjs/react-server-dom-webpack-server.node.development.js
3) минимальный уязвимый сервер
poc-server.jsкладём файл
CVE-2025-55182_vuln_server.js в корень репо react:https://gist.github.com/ghe770mvp/ebd40f33ec4ed080e603fda3ec20734e
4) стартуем уязвимый сервер
в коде я использую упрощённый сервер: напрямую подключаю react-server-dom-webpack, руками собираю serverManifest с нужным гаджетом (vm.runInThisContext) и показываю, что одним HTTP-запросом через decodeAction можно выполнить произвольный код.
это минимальный пример на уровне библиотеки. в реальных фреймворках манифест генерируется автоматически и содержит ваши use server функции, там надо дальше искать реальные гаджеты и смотреть, что именно доступно через manifest.
node --conditions react-server --conditions webpack CVE-2025-55182_vuln_server.js
видим:
vuln server on http://localhost:3002
5) стреляем уже готовым эксплойтом
node exploit-rce-v4.js
ожидаемый вывод (пример для windows):
Test 2: vm.runInThisContext with require
RCE attempt: {"success":true,"result":"<computer_name>\\<user>\r\n"}
это прямой результат
child_process.execSync("whoami"), выполненный через decodeAction из уязвимого бандла 19.2.0.почему это НЕ «заведомо дырявый сервер»
- версия: четкий
git checkout v19.2.0, без правок исходников и без патчей;- бандл: берём как есть из
build/oss-stable/...react-server-dom-webpack-server.node.development.js, собранный yarn build react-server-dom-webpack;- манифест: даём
vm.runInThisContext, и при отсутствии hasOwnProperty-проверки payload через $ACTION_* проламывает код.итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.
хочешь спорить — сначала повтори шаги, потом уже пиши свое «экспертное» мнение. будет мне уроком тоже :)
👾
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👎2
Forwarded from International Studies
2025 National Security Strategy.pdf
500.5 KB
🇺🇸 Стратегия национальной безопасности США 2025
Буквально пару часов назад Белый дом опубликовал новую Стратегию нацбезопасности, которая утверждена Д.Трампом.
Делимся оригиналом.
Позже постараемся сделать обзор.
Международные исследования:
@interstudies
Буквально пару часов назад Белый дом опубликовал новую Стратегию нацбезопасности, которая утверждена Д.Трампом.
Делимся оригиналом.
Позже постараемся сделать обзор.
Международные исследования:
@interstudies
1👍6
Forwarded from Win-Win
Облачный сервис Cloudflare переживает очередной крупномасштабный сбой.
Множество платформ выходят из строя. Пользователи сообщают о проблемах с Perplexity AI, Epic Games Store, а также Zoom, Google Meet и Canva.
Множество платформ выходят из строя. Пользователи сообщают о проблемах с Perplexity AI, Epic Games Store, а также Zoom, Google Meet и Canva.