Forwarded from Война с фейками
Фейк: В московском метро в рамках досмотра смартфонов будут проверять личные переписки пассажиров. Об этом сообщают ряд оппозиционных телеграм-каналов, а новость активно обсуждают пользователи в комментариях.
Правда: Обсуждаемая процедура досмотра подразумевает под собой демонстрацию экрана блокировки устройства без какого-либо доступа к его содержимому. Такой порядок регламентирован Приказом Минтранса России от 04.02.2025 г. №4. Аналогичные меры уже действуют в ряде регионов России на различных транспортных объектах.
В соответствии с этим документом:
🟢 Пассажиру просто нужно показать сотруднику метрополитена, что телефон работает. Для этого достаточно демонстрации включенного и заблокированного экрана. Точно также, как это происходит с телефонами и компьютерами в аэропортах. Открывать личные переписки никто не просит.
🟢 Меры применяются не в отношении каждого пассажира, а выборочно. Досмотр содержимого переписок каждого пассажира не только противоречит законам, но и, учитывая объем пассажиропотока в столичной подземке, абсурден с точки зрения бытовой логики.
Примечательно, что жителей иных регионов новость о досмотре телефонов в метро не удивила, аналогичные меры безопасности уже реализованы на вокзалах и метрополитенах в их городах. В комментариях они отмечают, что процедура вполне обыденная, хотя и приходится внимательнее контролировать уровень заряда на телефоне.
📲 ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В МАХ — ТАМ МНОГО ИНТЕРЕСНОГО
Правда: Обсуждаемая процедура досмотра подразумевает под собой демонстрацию экрана блокировки устройства без какого-либо доступа к его содержимому. Такой порядок регламентирован Приказом Минтранса России от 04.02.2025 г. №4. Аналогичные меры уже действуют в ряде регионов России на различных транспортных объектах.
В соответствии с этим документом:
Примечательно, что жителей иных регионов новость о досмотре телефонов в метро не удивила, аналогичные меры безопасности уже реализованы на вокзалах и метрополитенах в их городах. В комментариях они отмечают, что процедура вполне обыденная, хотя и приходится внимательнее контролировать уровень заряда на телефоне.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Повёрнутые на войне 🇷🇺
Состояние одной киевских ТЭЦ, после комбинированных ударов.
Forwarded from Повёрнутые на войне 🇷🇺
Хохлы устроили очередной аттракцион для белого господина. В этот раз генсека НАТО пригласили на прогулку по территории Дарницкой ТЭЦ в Киеве, где показали ему разрушения в результате атак.
И все это для того чтобы в очередной раз сказать "ДАЙ".
И все это для того чтобы в очередной раз сказать "ДАЙ".
👆спасибо Рютте за видео и фото объективного контроля. Об одном можно сожалеть: знали бы, что оно туда попрётся - подготовились бы. Ну бывает же всякое, объект сам по себе небезопасный, мало ли что там хранили, и сдетонировало только потом... 🤷♂️
Forwarded from История.РФ
3 февраля 2018 года погиб летчик, Герой России Роман Филипов
Истребитель Су-25, которым управлял Филипов, был сбит боевиками в небе над сирийским Идлибом. Пилот приземлился после катапультирования в районе Телль-Дебеса и вступил в неравный бой с террористами. Будучи раненым, когда боевики подошли ближе, российский военный подорвал себя гранатой вместе с боевиками со словами, моментально ставшими крылатыми: «Это вам за пацанов!»
Роману Филипову было посмертно присвоено звание Героя Российской Федерации.
Автор иллюстрации – художник и основатель проекта «Словографика» Петр Скляр.
#памятныедаты_ИсторияРФ
🇷🇺 Подписаться на История.РФ
Истребитель Су-25, которым управлял Филипов, был сбит боевиками в небе над сирийским Идлибом. Пилот приземлился после катапультирования в районе Телль-Дебеса и вступил в неравный бой с террористами. Будучи раненым, когда боевики подошли ближе, российский военный подорвал себя гранатой вместе с боевиками со словами, моментально ставшими крылатыми: «Это вам за пацанов!»
Роману Филипову было посмертно присвоено звание Героя Российской Федерации.
Автор иллюстрации – художник и основатель проекта «Словографика» Петр Скляр.
#памятныедаты_ИсторияРФ
Please open Telegram to view this post
VIEW IN TELEGRAM
История.РФ
3 февраля 2018 года погиб летчик, Герой России Роман Филипов Истребитель Су-25, которым управлял Филипов, был сбит боевиками в небе над сирийским Идлибом. Пилот приземлился после катапультирования в районе Телль-Дебеса и вступил в неравный бой с террористами.…
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from NoName057(16)🇷🇺
🚨 Критическая уязвимость на 90% сайтов — захват аккаунтов через подмену Unicode в email
Если у вас на сайте есть регистрация и восстановление доступа по email — вы можете быть уязвимы к опасной атаке "Punny Code Account Takeover".
⚠️ Что происходит
Хакеры пользуются визуально идентичными, но технически разными символами Unicode (гомографами). Например:
- (с латинской буквой "a")
- аdmin@company.com (замена первой буквы на кириллическую "а")
Выглядит одинаково, но технически эти email — разные строки.
🔍 Как работает атака
1️⃣ Злоумышленник создаёт email с гомографом — например, вместо латинской «a» пишет кириллическую «а».
2️⃣ База данных (например, MySQL) при проверке таких email неправильно нормализует символы и считает их одинаковыми.
3️⃣ Почтовый сервер, наоборот, различает их, и может отправить письмо не тому человеку.
4️⃣ Хакер запрашивает сброс пароля для поддельного email — система думает, что аккаунт принадлежит реальному пользователю.
5️⃣ Письмо с ссылкой для восстановления приходит на поддельный email, которым управляет хакер.
6️⃣ Итог — потеря контроля реального пользователя над аккаунтом.
⚙️ Почему это происходит
- Разное ПО по-разному обрабатывает Unicode-символы.
- Система может считать кириллическую «а» и латинскую «a» одинаковыми, а почтовый сервис — разными.
- Особенно уязвимы сайты, не проверяющие и не нормализующие email при регистрации и восстановлении.
- Проблема касается не только email, но и OAuth/OIDC сервисов (Google, GitLab и др.), где email - ключ идентификации.
🛠 Как проверить уязвимость на своём сайте
1️⃣ Зарегистрируйтесь с обычным email — например, test@yourdomain.com.
2️⃣ Через инструменты проксирования (например, Burp Suite) замените буквы в email на похожие Unicode-гомографы (кириллические «а», «е», «о» и др.).
3️⃣ Попробуйте зарегистрировать аккаунт с таким поддельным email — если система ответит «Email уже занят», это сигнал об уязвимости.
4️⃣ Сделайте запрос на восстановление пароля для email с подменёнными символами. Если получите письмо — критическая проблема подтверждена!
5️⃣ Попробуйте войти с помощью ссылки из письма — если получилось, значит произошёл захват аккаунта.
⚡ Полезные примеры похожих Unicode символов
- Кириллическая «а» (U+0430) вместо латинской «a»
- Кириллическая «е» (U+0435) вместо латинской «e»
- Кириллическая «о» (U+043E) вместо латинской «o»
- Кириллическая «р» (U+0440) вместо латинской «p»
- Греческая «υ» вместо латинской «u»
- Математические символы, похожие на латиницу, например, 𝗍 вместо t
💡 Как защититься
✅ Обязательно нормализуйте email на сервере: приводите все похожие символы к одному виду.
✅ Настройте кодировку и collation в базе данных так, чтобы разные символы не сливались.
✅ Проверяйте email на уникальность с учётом Unicode-нормализации.
✅ Следите, чтобы почтовый сервер и веб-сервер использовали одинаковую логику обработки email.
✅ При работе с OAuth/OIDC провайдерами проверяйте и нормализуйте email-идентификаторы.
📌 Итог
Эта уязвимость — серьёзная угроза безопасности ваших пользователей и бизнеса. Проверка занимает всего несколько минут, а исправление предотвращает кражу аккаунтов и потери данных.
#Инфобез
NoName057(16) — [ПОДПИСАТЬСЯ]
Если у вас на сайте есть регистрация и восстановление доступа по email — вы можете быть уязвимы к опасной атаке "Punny Code Account Takeover".
⚠️ Что происходит
Хакеры пользуются визуально идентичными, но технически разными символами Unicode (гомографами). Например:
- (с латинской буквой "a")
- аdmin@company.com (замена первой буквы на кириллическую "а")
Выглядит одинаково, но технически эти email — разные строки.
🔍 Как работает атака
1️⃣ Злоумышленник создаёт email с гомографом — например, вместо латинской «a» пишет кириллическую «а».
2️⃣ База данных (например, MySQL) при проверке таких email неправильно нормализует символы и считает их одинаковыми.
3️⃣ Почтовый сервер, наоборот, различает их, и может отправить письмо не тому человеку.
4️⃣ Хакер запрашивает сброс пароля для поддельного email — система думает, что аккаунт принадлежит реальному пользователю.
5️⃣ Письмо с ссылкой для восстановления приходит на поддельный email, которым управляет хакер.
6️⃣ Итог — потеря контроля реального пользователя над аккаунтом.
⚙️ Почему это происходит
- Разное ПО по-разному обрабатывает Unicode-символы.
- Система может считать кириллическую «а» и латинскую «a» одинаковыми, а почтовый сервис — разными.
- Особенно уязвимы сайты, не проверяющие и не нормализующие email при регистрации и восстановлении.
- Проблема касается не только email, но и OAuth/OIDC сервисов (Google, GitLab и др.), где email - ключ идентификации.
🛠 Как проверить уязвимость на своём сайте
1️⃣ Зарегистрируйтесь с обычным email — например, test@yourdomain.com.
2️⃣ Через инструменты проксирования (например, Burp Suite) замените буквы в email на похожие Unicode-гомографы (кириллические «а», «е», «о» и др.).
3️⃣ Попробуйте зарегистрировать аккаунт с таким поддельным email — если система ответит «Email уже занят», это сигнал об уязвимости.
4️⃣ Сделайте запрос на восстановление пароля для email с подменёнными символами. Если получите письмо — критическая проблема подтверждена!
5️⃣ Попробуйте войти с помощью ссылки из письма — если получилось, значит произошёл захват аккаунта.
⚡ Полезные примеры похожих Unicode символов
- Кириллическая «а» (U+0430) вместо латинской «a»
- Кириллическая «е» (U+0435) вместо латинской «e»
- Кириллическая «о» (U+043E) вместо латинской «o»
- Кириллическая «р» (U+0440) вместо латинской «p»
- Греческая «υ» вместо латинской «u»
- Математические символы, похожие на латиницу, например, 𝗍 вместо t
💡 Как защититься
✅ Обязательно нормализуйте email на сервере: приводите все похожие символы к одному виду.
✅ Настройте кодировку и collation в базе данных так, чтобы разные символы не сливались.
✅ Проверяйте email на уникальность с учётом Unicode-нормализации.
✅ Следите, чтобы почтовый сервер и веб-сервер использовали одинаковую логику обработки email.
✅ При работе с OAuth/OIDC провайдерами проверяйте и нормализуйте email-идентификаторы.
📌 Итог
Эта уязвимость — серьёзная угроза безопасности ваших пользователей и бизнеса. Проверка занимает всего несколько минут, а исправление предотвращает кражу аккаунтов и потери данных.
#Инфобез
NoName057(16) — [ПОДПИСАТЬСЯ]
Forwarded from NoName057(16)🇷🇺
⚡️⚡️⚡️ Более 5000 кибератак на счету NoName057(16) за неделю!😈
#FuckEastwood #TimeOfRetribution
NoName057(16) — [ПОДПИСАТЬСЯ]
#FuckEastwood #TimeOfRetribution
NoName057(16) — [ПОДПИСАТЬСЯ]