Как 900 000 человек слили свои переписки с ChatGPT хацкерам

Исследователи из OX Security раскопали жемчужину в Chrome Web Store. Два популярных расширения приловчились сливать данные пользователей, маскируясь под легальный инструмент AITOPIA. И ладно бы это были какие-то ноунейм аддоны с накрученными ботами отзывами. Одно из расширений (Chat GPT for Chrome with GPT-5) носило плашку Featured (Рекомендованное) от Гугла. То есть модераторы корпорации добра вручную проверили этот софт, похвалили его и предложили установить 600 тысячам пользователей 🤡

Внутри рекомендованного кода прятался классический шпион. Расширение запрашивало права на чтение всех данных на сайтах, но вместо обещанного функционала сайдбара оно начинало пылесосить все диалоги с ChatGPT и DeepSeek. Промпты, ответы нейросеток, куски проприетарного кода, который вы просили отрефакторить, и личные страдания о жизни... всё это аккуратно паковалось и каждые 30 минут улетало на C2-сервер хацкеров.

Но чатами дело не ограничилось. Малварь также собирала полные URL всех открытых вкладок. Если у вас в адресной строке внутренней CRM болтались сессионные токены или ID тикетов, то они тоже утекли. По сути, это мечта промышленного шпиона... получить полный профиль интересов сотрудника и карту внутренних ресурсов компании, просто предложив ему удобный чатик с ИИ.

Самое смешное, что на момент публикации отчета расширения все еще были доступны для скачивания, а Гугл отвечал исследователям в стиле... ваша заявка очень важна для нас. Получается, что в 2026 году значок (Проверено) в магазине расширений означает только то, что малварь проверенно работает и стабильно крадет данные 🏥, хотя какое в 2026... и раньше так было.

Типичный 🎄 Сисадмин

📂 Коллеги, я тут собрал для вас ТГ папку Sysadmin Starter Pack

В ТГ сейчас столько информационного шума, что лента превращается в нескончаемую ДуДос-атаку на мозг. Чтобы вы не тратили время на поиск годноты 😬, я упаковал все каналы редакции в одну папку.

Один клик.... и у вас настроен полный стек мониторинга IT-реальности:

🥸 Типичный Сисадмин — база, боль и новости, которые мы обсуждаем.
☢️ 0-day / Зеродей — новый канал! Сухие выжимки по критическим уязвимостям, эксплойтам и CVE. Чтобы знать, что патчить.
🔧 Linux / GodnoTECH — всё про пингвинов, железо и технологии.
🥸 Всратый монтаж — смотреть на чужие ошибки, чтобы не допускать своих (и для душевного равновесия).
🤡 ИТ-Мемы — потому что без юмора в нашей профессии можно кукухой поехать.

Минимум воды. Только техника, ирония и суровая реальность.

👇 Накатить весь стек одной кнопкой:
https://news.1rj.ru/str/addlist/uScx9dVpvlI5NDc6

P.S. Добавляется в один клик, создает отдельную вкладку.

Кулстори гласит...Переезжая с HDD на SSD, не тащи за собой старые привычки. Юзверь этого ноутбука забыл отключить еженедельную дефрагментацию после клонирования системы. В итоге 1.3 Петабайта данных диске и здоровье 0% ⚰️

Типичный 🎄 Сисадмин

🏴‍☠️ Anna’s Archive потеряла домен .org

Главная теневая библиотека планеты, Anna’s Archive, внезапно лишилась своего основного домена annas-archive.org. Статус домена сменился на serverHold, что означает принудительную блокировку на уровне реестра. Зоной .org управляет организация Public Interest Registry (PIR), которая исторически славилась своим нейтралитетом. Эти ребята годами отказывались блокировать даже Пиратскую Бухту без прямого решения суда, но для Анны, видимо, сделали исключение или получили очень убедительный ордер, о котором пока молчат.

Тайминг блокировки выглядит крайне подозрительно. Буквально на днях Анна и её команда объявили, что сделали полный бэкап Spotify объемом в 300 ТБ и начали раздавать его народу. Видимо, одно дело - пиратить научные статьи и книги (тут копирасты вялые), и совсем другое - замахнуться на святое, на доходы музыкальных лейблов. Вероятно, юристы стримингов и правообладателей нащупали заветное место.

Но, как и полагается настоящему децентрализованному сопротивлению, эффект оказался нулевым. Админы архива, похоже, были готовы к такому повороту событий. Пока .org лежит, сайт прекрасно открывается через зеркала в зонах .li, .se и свежих .pm / .in. Классика... чем сильнее давление, тем больше зеркал появляется. Трафик продолжает идти, книги и музыка продолжают качаться 🏴‍☠️

Типичный 🎄 Сисадмин

Корпорация добра продолжает свой крестовый поход по внедрению ИИ туда, где его никто не просил. Энтузиасты раскопали в свежих превью-сборках Windows 11 следы новой интеграции. На этот раз Copilot будет жить прямо внутри Проводника 🚽

Судя по найденным строчкам кода Chat with Copilot и Detach Copilot , бот будет жить в боковой панели. Кнопка (Открепить) как бы намекает, что по дефолту эта функция будет включена.

По данным SimilarWeb, доля Copilot на рынке составляет всего 1% (против 64% у ChatGPT и 21% у Gemini). Мотивация понятна, никто не хочет добровольно пользоваться их творением, поэтому тактика сменилась на принудительную. Получается классика Майкрософт... если продукт не взлетает, значит надо агрессивнее пихать его во все щели системы 🏥

Типичный 🎄 Сисадмин

Это не кривые руки. Это искривление пространства-времени.

Чтобы получить доступ к данным, ты должен доказать свою решимость, станцевав ритуальный танец... Переворот-Недоумение-Переворот 🪄

Типичный 🎄 Сисадмин

🛡 Enterprise Security vs. Средний/малый бизнес Security...найди 10 отличий

Enterprise. Бюджеты как ВВП небольшой страны, SOC, SIEM и согласование открытия порта через 5 кабинетов. Ты чувствуешь себя в танке.

SMB. Микрот, настроенный по гайду с ютуба, бесплатный антивирус и вера в лучшее.

Но есть нюанс, который уравнивает эти две стороны... итог будет одинаковым, т.к. обоих взломают через бухгалтера, которая открыла вложение.

Просто рыцарь в латах будет падать громко, дорого и с потерей репутации, а картонный воин тихо и ценой выходных админа.

Типичный 🎄 Сисадмин

Factory Firmware 3.33 😮

Это значит, что этот RB951 видел еще Медведева президентом, доллар по 30 и не слышал про блокчейны. Уважайте старость, не шейте его семеркой!

Типичный 👨‍🦳 Сисадмин

☠️ Microsoft убил MDT.

MS без объявления войны провел эвтаназию легенде Microsoft Deployment Toolkit (MDT). Скачать его официально скоро будет нельзя, а баги (в том числе в безопасности) чинить никто не будет ⚰️

MDT был удобен для деплоя. Он позволял взять голый парк машин, загрузить их по сети (PXE) и через одну последовательность задач превратить в полностью настроенные рабочие станции с драйверами под конкретное железо, нужным софтом и вводом в домен. Скриптуй что хочешь, кастомизируй образы и раскатывай их локально, без интернета, без регистрации и СМС. Это была автоматизация здорового человека.

В качестве альтернативы MS сейчас предлагает переходить на облачный Windows Autopilot и Intune 🤡

Админы на форумах подметили, что MDT совершил три непростительных греха... он был бесплатным, он не сливал гигабайты телеметрии и он не требовал облачной подписки. Такое в 2026 году не прощают.

Есть и конспирологическая (но очень правдоподобная) версия такой спешки. Говорят, в MDT нашли критические дыры в безопасности, но Microsoft решила, что чинить легаси-код слишком дорого. Проще пристрелить продукт, чем выделить бюджет на патч.

Типичный 🫡 Сисадмин

🤡 Самый тупой взлом года. Элита даркнета не осилила chmod, админы BreachForums выложили users.sql в корень веб-сервера.

Случилось прекрасное. Главная цифровая помойка планеты, форум BreachForums, где обычно торгуют нашими с вами базами данных, сама оказалась в роли потерпевшей. В паблик выложили свежий дамп, содержащий данные 325 000 пользователей этой площадки. В утечке полный набор для деанонимизации... никнеймы, email-адреса, хеши паролей (тут хотя бы Argon2, а не MD5 😎) и, что самое неприятное (или для кого-то приятное) IP-адреса и личные сообщения. Теперь мамкины хакеры, которые вчера покупали логи с вашего взломанного RDP, сегодня ищут себя в базе Have I Been Pwned. Карма работает?

Особого внимания заслуживает причина провала. Текущий администратор форума (под ником N/A) выступил с объяснением, за которое в приличной компании увольняют одним днём. Оказывается, дамп утек еще в августе 2025 года во время миграции движка. Админы просто временно оставили таблицу пользователей в незащищенной папке на веб-сервере. 😗 Представьте уровень иронии... люди, которые называют себя элитой киберпреступности и продают доступы ко всяким Пентагонам, совершили ошибку эникея-стажера, который впервые выкладывает сайт на хостинг и забывает убрать лишнее из корня сайта.

Слив оформил персонаж под ником James, выложив манифест и базу на домене ShinyHunters. Для сообщества безопасников это настоящий подарок... перекрестный анализ этих данных позволит связать виртуальные ники с реальными людьми, которые годами портили жизнь. Получается, если даже параноики с даркнет-форумов не могут нормально настроить права доступа при бэкапе, то безопасность это действительно миф 😱

Типичный 🥸 Сисадмин

🦕 Мы пропустили Золотой век IT ?

Разного рода ИТ-тредах всё чаще всплывает нытье молодых айтишников, которые чувствуют, что опоздали. И глядя на происходящее, трудно с ними не согласиться. Золотой век сисадминства - это нулевые и начало десятых ⌨️. Время, когда ты покупал софт один раз и владел им вечно, а не платил аренду каждый месяц. Время, когда серверная была твоей личной крепостью, а не абстрактным набором ресурсов в облаке. Админ тогда был локальным божеством, единственным человеком в офисе, который понимал, как работает эта магия, и к которому директор заходил с уважением (и ништяками) 🍻

Сейчас профессия мутировала в бесконечную борьбу с энтропией и жадностью вендоров. Вместо инженерного творчества мы занимаемся обслуживанием подписок и латанием дыр в софте, который выпускают в прод в состоянии альфа-версии. Мы превратились из архитекторов в операторов техподдержки для переусложненных систем, где для запуска статического сайта теперь нужно поднимать Кубер кластер.

Еще к этому добавляется еще и специфический колорит суверенных технологий. Если забугорные админы негодуют от засилья облаков, то мы - от необходимости скрещивать ежа с ужом... запускать трофейный софт на отечественных ОС, искать драйверы для китайских серверов с переклеенными шильдиками и объяснять бизнесу, почему привычные схемы больше не работают. Романтика IT, когда можно было поднять сетку на коленке за вечер, умерла. Теперь у нас реестры, контуры безопасности, ФСТЭК и бесконечные отчеты 😭

Мы разгребаем баги разрабов, отбиваемся от эффективных менеджеров и пытаемся сохранить аптайм в мире, который делает всё, чтобы упасть. Но, с другой стороны, пока этот мир шатается, без работы мы точно не останемся. Кто-то же должен выключать и включать это всё, когда ИИ окончательно зайдет в тупик 👾

Типичный 🎄 Сисадмин

Джун на первом созвоне с заказчиком 😬

Типичный 🎄 Сисадмин

Автор решил собрать NAS на TrueNAS, но его задушила жаба тратить драгоценные SATA или M.2 порты под загрузочный диск. Поэтому он воткнул китайский адаптер вo внутренний USB-хедер материнки и две флешки в зеркале (RAID-1) для надежности 🏥

Выглядит как надежный план, надежный как швейцарские часы...

Типичный 🎄 Сисадмин

Бенчмарки CachyOS (оптимизированный Arch) против Windows 11 показывают страшное. В S.T.A.L.K.E.R. 2 разница в потреблении RAM достигает 195%

Windows не жирная, у неё просто телеметрия широкая 🤑

Linux / Линукс 🥸

Юзеры сами ставят троян, спасаясь от фейкового BSOD 😶

Засветилась новая хацкерская компания, которая бьет по корпоративному сектору через социальную инженерию. Хацкеры используют технику ClickFix, эксплуатируя человеческую панику. Схема достойная...сотруднику атакующейся компании приходит уведомление о критической финансовой проблеме, большом штрафе, отмене важной транзакции или срочном счете. Человек в ужасе переходит по ссылке, чтобы разобраться, видит фэйковую морду сайта, и тут - внезапно! - страница имитирует зависание и выдает BSOD прямо в браузере 😬

Поверх фэйкового бсода появляется инструкция...(Чтобы починить, нажмите Win+R, затем Ctrl+V и Enter). Жертва, думая, что спасает компьютер, своими руками вставляет в консоль PowerShell-дроппер, который скрипт на сайте уже положил в буфер обмена. Дальше начинается магия. Скрипт не качает EXE напрямую. Он загружает .proj файл (XML-проект) и скармливает его легитимной системной утилите MSBuild.exe. Поскольку MSBuild это доверенный компонент Windows с цифровой подписью Microsoft, многие антивирусы и EDR пропускают этот процесс, позволяя ему скомпилировать и выполнить вредоносный код в памяти.

Для закрепления атакующие используют ловкий трюк. Они создают в папке автозагрузки файл DeleteApp.url. Админ или умный юзверь, увидев такое название, подумает, что это просто остаток от какого-то деинсталлятора. Но внутри ярлыка прописан file:///, который вместо открытия сайта запускает локальную копию трояна. В итоге хацкеры получают полный контроль над системой, кейлоггер и VNC, а пользователь уверен, что он просто САМ всё починил 🏥.

Получается, если ваш EDR доверяет MSBuild по умолчанию, то самое время пересмотреть политики.

Типичный 🎄 Сисадмин