#news В США 35-летний украинец Артём Александрович Стрижак признал вину по участию в рансомварь-операции Nefilim. Он был одним из её аффилиатов, которого экстрадировали из Испании в апреле этого года.
Nefilim была активна в 2020-м и 2021-м годах под руководством Владимира Тимощука, он же Boba и Deadforz; LockerGoga, MegaCortex — вот это вот всё. Средненькая операция, пионерили двойное вымогательство вместе с остальными. Стрижак вкатился в Nefilim в середине 2021-го, а в июне 2024-го был арестован и дожидался экстрадиции. В деле есть забавный момент. Судя по докам, у следствия был доступ к логам группировки. Ступив на скользкую рансомварь-дорожку, Стрижак озаботился опсеком и спрашивал у более мудрого товарища, стоит ли ему сменить свой киберпреступный никнейм на случай, если панель вскроют федералы. Надо было Тёма, надо было, и не только. Увы, слишком поздно.
@tomhunter
Nefilim была активна в 2020-м и 2021-м годах под руководством Владимира Тимощука, он же Boba и Deadforz; LockerGoga, MegaCortex — вот это вот всё. Средненькая операция, пионерили двойное вымогательство вместе с остальными. Стрижак вкатился в Nefilim в середине 2021-го, а в июне 2024-го был арестован и дожидался экстрадиции. В деле есть забавный момент. Судя по докам, у следствия был доступ к логам группировки. Ступив на скользкую рансомварь-дорожку, Стрижак озаботился опсеком и спрашивал у более мудрого товарища, стоит ли ему сменить свой киберпреступный никнейм на случай, если панель вскроют федералы. Надо было Тёма, надо было, и не только. Увы, слишком поздно.
@tomhunter
😁9
#news Пираты-хактивисты наскрапили весь Spotify. Библиотеку платформы на 86 миллионов файлов стянули и планируют выложить в открытый доступ. Spotify скрапинг подтвердил.
В блог-посте авторы заявили о “бэкапе Spotify”. Метаданных в нём на 256 миллионов треков, их уже выложили. Остальное планируют зарелизить торрент-файлами. Размеры архива солидные: почти 300 терабайт. По итогам получается крупнейшая коллекция такого плана по многим параметрам — владельцы ИИ-моделей уже довольно урчат и раскочегаривают свои инфернальные машины, чтобы скормить им архивы. Новость, конечно, взрывает западные интернеты, не знакомые с такими достижениями пиратской мысли, как Рутрекер и десятки местечковых сайтов с музыкальными релизами на любой вкус. Но в целом занятно. Повеяло старыми-добрыми временами, когда активничали на цифровом Западе с огоньком.
@tomhunter
В блог-посте авторы заявили о “бэкапе Spotify”. Метаданных в нём на 256 миллионов треков, их уже выложили. Остальное планируют зарелизить торрент-файлами. Размеры архива солидные: почти 300 терабайт. По итогам получается крупнейшая коллекция такого плана по многим параметрам — владельцы ИИ-моделей уже довольно урчат и раскочегаривают свои инфернальные машины, чтобы скормить им архивы. Новость, конечно, взрывает западные интернеты, не знакомые с такими достижениями пиратской мысли, как Рутрекер и десятки местечковых сайтов с музыкальными релизами на любой вкус. Но в целом занятно. Повеяло старыми-добрыми временами, когда активничали на цифровом Западе с огоньком.
@tomhunter
❤13👍6😁4🔥3
#news В n8n, платформе для автоматизации рабочих процессов, закрыли критическую уязвимость под удалённое выполнение кода на 9.9 по CVSS. С аутентификацией, но низкими привилегиями.
Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов. Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!
@tomhunter
Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов. Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!
@tomhunter
👍8🔥2
#news Забавное с сетевых просторов. Несколько юзеров рапортуют о “странном, страшном вирусе”, внезапно всплывшим на их устройствах. Внимание на скрин. Кто-то вскрыл чужую веб-панель и разослал уведомления.
А здесь юзер в прямом эфире запечатлел, как добрый самаритянин тестировал пуш уведомлений. Сначала вылезло окно с текстом “Test”, затем предупреждение со скрина. Бонусом сообщение и для операторов: “В следующий раз не забудьте аутентификацию на своей С2-панели”. Хороший совет так-то — и для юзеров, и для подающих (или не подающих) надежды злоумышленников. Это вроде как сэмпл вредоноса. Может, позже в новости залетят подробности, ну а пока просто похихикать на вечер. Привет, я албанская малварь, и из-за кривых рук разраба у меня дырявый С2. Пожалуйста, не заходите на мою панель…
@tomhunter
А здесь юзер в прямом эфире запечатлел, как добрый самаритянин тестировал пуш уведомлений. Сначала вылезло окно с текстом “Test”, затем предупреждение со скрина. Бонусом сообщение и для операторов: “В следующий раз не забудьте аутентификацию на своей С2-панели”. Хороший совет так-то — и для юзеров, и для подающих (или не подающих) надежды злоумышленников. Это вроде как сэмпл вредоноса. Может, позже в новости залетят подробности, ну а пока просто похихикать на вечер. Привет, я албанская малварь, и из-за кривых рук разраба у меня дырявый С2. Пожалуйста, не заходите на мою панель…
@tomhunter
😁14👍3❤1
#news Исследователи откопали на VT несколько файлов, светившихся в свежих атаках по российской военке. Капслок “НЕ ЗАПУСКАТЬ” в названии одного из них уже сам по себе рассказывает грустную историю. Но дальше больше.
Как обычно, Werewolf, в этот раз бумажный, активный с 2022-го. Незадокументированный бэкдор, название сэмпла “Плановые цели противника” как бы намекает на цели атаки. Но здесь внимание привлекло другое. В одной из фишинговых кампаний рассылка фейковых приглашений на новогодний концерт со скрина. Чуете подвох? И здесь ИИ-слоп. Совсем обленились апэтэшечки, даже открытку нормальную на Новый Год сделать не хотят. Так что в 2026-й и мы вкатываемся с ощущением праздиика и чувством глубокого утомления от ИИ-контента из каждой щели. Не знаю как вы, но если я прочитаю ещё один ИБ-отчёт в исполнении ChatGPT, буду кричать.
@tomhunter
Как обычно, Werewolf, в этот раз бумажный, активный с 2022-го. Незадокументированный бэкдор, название сэмпла “Плановые цели противника” как бы намекает на цели атаки. Но здесь внимание привлекло другое. В одной из фишинговых кампаний рассылка фейковых приглашений на новогодний концерт со скрина. Чуете подвох? И здесь ИИ-слоп. Совсем обленились апэтэшечки, даже открытку нормальную на Новый Год сделать не хотят. Так что в 2026-й и мы вкатываемся с ощущением праздиика и чувством глубокого утомления от ИИ-контента из каждой щели. Не знаю как вы, но если я прочитаю ещё один ИБ-отчёт в исполнении ChatGPT, буду кричать.
@tomhunter
😁9💯3🤝2👍1🤡1
#news Неловкий момент из Узбекистана: в стране забыли про аутентификацию на национальной системе дорожных камер. Они в открытом доступе, около сотни блоков по трассам по всей стране.
Исследователь обнаружил веб-панель без пароля, так что вход свободный — смотрите кто хотите. Вот он и посмотрел. Миллионы снимков, записи с дорог, координаты камер. Сколько всё это удовольствие висит открытым, неясно, но судя по базе, инфру начали собирать где-то в сентябре 2024-го с полноценным запуском в середине этого года. Сумрачный узбекистанский ИБ-гений из UZCERT на письма не ответил, так что на текущий момент доступ всё ещё для всех желающих, кто доберётся до панели. Может, публикация поспособствует, но с учётом праздника, который к нам неизбежно приходит, и особенностей национального айти, глядишь, открытая панелька встретит с нами 2026-й.
@tomhunter
Исследователь обнаружил веб-панель без пароля, так что вход свободный — смотрите кто хотите. Вот он и посмотрел. Миллионы снимков, записи с дорог, координаты камер. Сколько всё это удовольствие висит открытым, неясно, но судя по базе, инфру начали собирать где-то в сентябре 2024-го с полноценным запуском в середине этого года. Сумрачный узбекистанский ИБ-гений из UZCERT на письма не ответил, так что на текущий момент доступ всё ещё для всех желающих, кто доберётся до панели. Может, публикация поспособствует, но с учётом праздника, который к нам неизбежно приходит, и особенностей национального айти, глядишь, открытая панелька встретит с нами 2026-й.
@tomhunter
😁18🔥2
#news Пентестеры потыкали палочкой в чат-бот железнодорожной компании Eurostar, нашли пачку багов и попытались донести информацию через их BB. Но с коммуникацией у Eurostar оказалось, мягко говоря, не очень.
BB-программа у них есть, уязвимости под внедрение промптов и скрипты прямиком в чат-боте тоже нашлись. А вот компетентных людей для работы с этим нет. Об уязвимостях сообщили ещё в июне, писали повторно, связывались с CБ — ответа не было или пишите в BB. Последнюю в процессе отдали на аутсорс. И потеряли репорты со старой. Письмо всё же нашли, что-то починили, но про пентестеров забыли. В итоге они публикуют отчёт в блоге, запрашивают acknowledgment и… получают от пиджака из Eurostar “Это шантаж”. Пентестер, помни, когда ты ждёшь благодарность за раскрытые тобой по ВВ уязвимости, это шантаж! В следующий раз подумай дважды, прежде чем заморачиваться.
@tomhunter
BB-программа у них есть, уязвимости под внедрение промптов и скрипты прямиком в чат-боте тоже нашлись. А вот компетентных людей для работы с этим нет. Об уязвимостях сообщили ещё в июне, писали повторно, связывались с CБ — ответа не было или пишите в BB. Последнюю в процессе отдали на аутсорс. И потеряли репорты со старой. Письмо всё же нашли, что-то починили, но про пентестеров забыли. В итоге они публикуют отчёт в блоге, запрашивают acknowledgment и… получают от пиджака из Eurostar “Это шантаж”. Пентестер, помни, когда ты ждёшь благодарность за раскрытые тобой по ВВ уязвимости, это шантаж! В следующий раз подумай дважды, прежде чем заморачиваться.
@tomhunter
😁13🤬3💯3❤1
#news Напоминание для тех, кто планирует провести праздничные выходные в компании эксплойтов и прочих нердовых удовольствий: под видом PoC на GitHub и другие платформы регулярно заливают вредонос.
У “Лаборатории Касперского” описан очередной случай. Кампанию заметили в октябре: злоумышленники распространяли WebRat, маскируя под эксплойты свежих CVE в Internet Explorer, WordPress, компоненте Windows —всего полтора десятка репозиториев. В описании на поверхностный взгляд убедительный ИИ-слоп, характерный для репортов об уязвимостях в 2025-м. Ну а в архиве бэкдор с инфостилером в придачу. Неопытный исследователь или подающий надежды студент, расслабившись на праздниках, рискует зайти не в ту дверь. Точнее, не в ту репу. Так что не теряйте бдительность и не ленитесь поднимать виртуалки. Словить троянец по глупости, конечно, очень познавательно, но лучше не стоит.
@tomhunter
У “Лаборатории Касперского” описан очередной случай. Кампанию заметили в октябре: злоумышленники распространяли WebRat, маскируя под эксплойты свежих CVE в Internet Explorer, WordPress, компоненте Windows —всего полтора десятка репозиториев. В описании на поверхностный взгляд убедительный ИИ-слоп, характерный для репортов об уязвимостях в 2025-м. Ну а в архиве бэкдор с инфостилером в придачу. Неопытный исследователь или подающий надежды студент, расслабившись на праздниках, рискует зайти не в ту дверь. Точнее, не в ту репу. Так что не теряйте бдительность и не ленитесь поднимать виртуалки. Словить троянец по глупости, конечно, очень познавательно, но лучше не стоит.
@tomhunter
👍6😁2❤1
#news Похититель Рождества Гринч в 2025-м, конечно же, обязан быть криптаном. Расширение TrustWallet под Chrome было скомпрометировано в атаке на цепочку поставок. И обзавелось криптодрейнером.
Троянизированную версию опубликовали прямиком под Рождество: релиз 2.68.0 от 24 декабря начал стягивать сид-фразы. Параллельно шла фишинговая кампания от тех же лиц. TrustWallet тихонько залил чистую версию и сегодня подтвердил, что расширение было скомпрометировано. Подробностей пока нет, но оно и неудивительно: кто-то в команде ещё в состоянии шевелиться и реагировать на инцидент — уже неплохо. Между тем юзеры потеряли около $7 миллионов, но TrustWallet обещает их компенсировать. Главная интрига, не инсайдерская ли это работа — может, ушлый разраб уже танцует с мохито в руке и тайской красоткой в обнимку. Новогоднего чуда-то хочется всем, а в его отсутствии находятся готовые, так сказать, взять дело в свои руки.
@tomhunter
Троянизированную версию опубликовали прямиком под Рождество: релиз 2.68.0 от 24 декабря начал стягивать сид-фразы. Параллельно шла фишинговая кампания от тех же лиц. TrustWallet тихонько залил чистую версию и сегодня подтвердил, что расширение было скомпрометировано. Подробностей пока нет, но оно и неудивительно: кто-то в команде ещё в состоянии шевелиться и реагировать на инцидент — уже неплохо. Между тем юзеры потеряли около $7 миллионов, но TrustWallet обещает их компенсировать. Главная интрига, не инсайдерская ли это работа — может, ушлый разраб уже танцует с мохито в руке и тайской красоткой в обнимку. Новогоднего чуда-то хочется всем, а в его отсутствии находятся готовые, так сказать, взять дело в свои руки.
@tomhunter
😁10🔥4👍3😱1
#article В расследовательской работе есть занятие столь же утомительное, сколь и неизбежное — рутинный мониторинг. Постоянная проверка контрагентов превращается в сизофов труд.
Но что если ваш главный инструмент для этой рутины — обычный Google Sheets — сможет стать автономной аналитической станцией? Давайте разберём, как можно организовать такую систему мониторинга, используя встроенные функции таблиц и немного скриптинга. За подробностями добро пожаловать на Хабр!
@tomhunter
Но что если ваш главный инструмент для этой рутины — обычный Google Sheets — сможет стать автономной аналитической станцией? Давайте разберём, как можно организовать такую систему мониторинга, используя встроенные функции таблиц и немного скриптинга. За подробностями добро пожаловать на Хабр!
@tomhunter
👍13😁1💯1
#news Новость, которая многое говорит о нашем ИБ-обществе. Fortinet предупредила об активном эксплойте уязвимости на обход 2FA в FortiOS SSL VPN. Только её давно исправили. В июле 2020-го.
Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно.
@tomhunter
Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно.
@tomhunter
😁8👍3🔥1
#news Ещё один подарок от Гринча на Рождество: в MongoDB идёт активный эксплойт уязвимости, получившей название MongoBleed со всем из этого, так сказать, вытекающим. А утекают у нас чувствительные данные из памяти.
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам. В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни.
@tomhunter
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам. В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни.
@tomhunter
😁10🔥2
#digest Подводим итоги месяца дайджестом ключевых ИБ-новостей. Декабрь удался на славу: его открыла React2Shell, встряхнувшая сеть, а закрывает MongoBleed, подпортившая многим праздничный сезон.
Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте на Хабре!
@tomhunter
Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте на Хабре!
@tomhunter
👍9❤3
#news Есть на конец декабря и воодушевляющие новости: у Ubisoft взломали её флагман Rainbow Six Siege. И на волне новогоднего настроения доброумышленники решили немного пошалить.
Все игроки обнаружили у себя игровой валюты на пару миллиардов кредитов — это около 13,3 миллионов долларов. Также всем разблокировали все скины в игре, включая девелоперские. Кого-то побанили, кого-то разбанили — развлекались как могли. Долго новогоднее чудо, конечно, не продлилось: все изменения откатят. Параллельно вокруг взлома развернулась целая сага с шантажом Ubisoft липовыми утечками, срывом покровов с маленьких обманщиков, драмами в индийском коммьюнити из-за обвинений сидящей в Индии техподдержки в продаже доступа за мелкий прайс… В общем, праздничная вакханалия удалась. Плохие новости для Ubisoft, но с учётом её репутации, все остальные остались довольны.
@tomhunter
Все игроки обнаружили у себя игровой валюты на пару миллиардов кредитов — это около 13,3 миллионов долларов. Также всем разблокировали все скины в игре, включая девелоперские. Кого-то побанили, кого-то разбанили — развлекались как могли. Долго новогоднее чудо, конечно, не продлилось: все изменения откатят. Параллельно вокруг взлома развернулась целая сага с шантажом Ubisoft липовыми утечками, срывом покровов с маленьких обманщиков, драмами в индийском коммьюнити из-за обвинений сидящей в Индии техподдержки в продаже доступа за мелкий прайс… В общем, праздничная вакханалия удалась. Плохие новости для Ubisoft, но с учётом её репутации, все остальные остались довольны.
@tomhunter
😁10👍3❤1
#cve Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed.
Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте на Хабре!
@tomhunter
Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте на Хабре!
@tomhunter
👍9
#news В Китае на грядущий год предложили законопроект по регуляции запитанных от ИИ чат-ботов. По оценкам, он может стать одним из первых и самым строгим из аналогичных законов. Что, впрочем, вряд ли кого-то удивит.
Проект широко трактует понятие чат-ботов — под него подпадают любые ИИ-продукты для симуляции общения. Он направлен на борьбу с LLM-психозами, которые подарил нам 2025-й: так, при упоминании роскомнадзора и прочего вреда себе к общению должен подключиться кожаный мешок. А несовершеннолетние и пожилые люди и вовсе будут указывать контакты опекуна при регистрации. На вредный контент блок: никаких азартных игр, агрессии, порно и мемов с Винни-Пухом. Также прописан запрет на подпитывание зависимости от чат-бота как фичи, а для борьбы с ней должны быть поп-апы, если юзер зависает в чате. В целом проект любопытный. Партия лишать тебя робо-жена, изволь быть продуктивным членом общества. Но надолго дивный новый мир этим, конечно, не удержать.
@tomhunter
Проект широко трактует понятие чат-ботов — под него подпадают любые ИИ-продукты для симуляции общения. Он направлен на борьбу с LLM-психозами, которые подарил нам 2025-й: так, при упоминании роскомнадзора и прочего вреда себе к общению должен подключиться кожаный мешок. А несовершеннолетние и пожилые люди и вовсе будут указывать контакты опекуна при регистрации. На вредный контент блок: никаких азартных игр, агрессии, порно и мемов с Винни-Пухом. Также прописан запрет на подпитывание зависимости от чат-бота как фичи, а для борьбы с ней должны быть поп-апы, если юзер зависает в чате. В целом проект любопытный. Партия лишать тебя робо-жена, изволь быть продуктивным членом общества. Но надолго дивный новый мир этим, конечно, не удержать.
@tomhunter
😁8👍3
#news Праздничная история про взлом ИБ-фирмы со счастливым концом. Юные дарования из SLH заявили о полном доступе к системам Resecurity; стянули всё: чаты, логи, данные сотрудников и клиентов и прочее. Но есть нюанс. Это был ханипот.
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
Пост появился у Scattered Lapsus$ Hunters в субботу. Взломали безопасников, копающих под малолетних богов хакинга — как не похвастаться? Вот только в Resecurity на это невозмутимо кинули ссылку на отчёт недельной давности по ханипоту, в котором описаны приключения горе-взломщиков, включая голые айпи, раскрытые из-за барахливших проксей. В SLH помялись, поотрицали очевидное да и удалили пост. Бонусом на связь с журналистами вышли ShinyHunters и стыдливо сообщили, что они в этом участия не принимали. Так что если тебе, юзернейм, бывает стыдно за косяки в кибербез-прериях, можно утешиться, что твой год не начинается вот так с последующими видео на ютубчике с заголовками в духе “Этот нуб попался на взломе ханипота и уехал на 5 лет”.
@tomhunter
😁15🔥5👍3
#news NordVPN отрицает взлом своего Salesforce dev-сервера, информация о котором всплыла на очередном Breached. Пишут, это был триальный аккаунт у стороннего поставщика с тестовыми данными.
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый серверна каникулах и стянул dummy data. В принципе, здесь уже по посту от ноунейма, “брутфорсящего сервер с Jira и Salesforce”, всё и так понятно. Но до поста на обскурном форуме доберётся не каждый, а громких заголовков на праздники хочется. Так что если вдруг увидите сенсационную паничку про взлом очередного народного ускорителя ютуба, здесь всё мимо.
@tomhunter
Инфа о взломе появилась вчера со сливом “исходных кодов” с десятка баз с ключами API, токенами Jira и прочим. Но ещё не забывший об инциденте с утечкой приватных ключей в 2019-м NordVPN резко взбодрился и начал реагировать. В этот раз без катастроф: похоже, кто-то и правда насканил дырявый тестовый сервер
@tomhunter
😁13👍4❤3
#news Новый Год вышел по-настоящему праздничным для Лихтенштейна. Ильи Лихтенштейна: осуждённого за взлом Bitfinex в 2016-м досрочно выпустили из тюрьмы. Одна из крупнейших криптокраж в истории на ~120 тысяч битков с Бонни и Клайдом от мира крипты по версии Netflix.
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
По сети разносится инфа о его освобождении после радостного поста в eX-Твиттере, но на деле Илья отбывает остаток срока под домашним арестом. Так что немного лукавит. Как, собственно, и разгоняя новое амплуа: “Хакер на пути к искуплению”. Классика же, особенно с оглядкой на жену, уже конвертировавшую дурную славу в стильный медиа-образ. Что-то подсказывает, новый Митник из Лихтенштейна не выйдет, да и до уровня ярого борца за свободу Ульбрихта не дотягивает. Но хотя бы Сэм Бент с местечковым YT-каналом и тейками, которые так и кричат “Я сидел за сайберкрайм и не только”, может получиться. А там, глядишь, и на DefCon позовут. Как водится, хочешь жить [после изъятия всего и вся], умей вертеться.
@tomhunter
😁8❤2🤔2💯2
#news Новость, задающая тон 2026-му: ещё пару расширений в Chrome поймали на стягивании чатов с LLM’ками. Они мимикрируют под легитимное, добавляющее боковую панель под ИИ-чаты, и при этом сопоставимы по загрузкам — под миллион пользователей.
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
Названия на скрине — проверяйте подписки, любители разговоров с копипастой. Помимо чатов, расширения стягивают ссылки во вкладках — всё это улетает на С2 каждые 30 минут. Формально это прописано как “анонимные аналитические данные”. На деле же собранное можно продать не только дата-брокерам, но и монетизировать под корпоративный шпионаж: сколькие из миллиона юзеров поставили вредонос на рабочие машины с корпоративными url и скормили LLM’кам внутреннюю документацию — попробуй предположи. Под это уже есть отдельный термин — prompt poaching, и такой функциональностью тихонько обрастают всё новые браузерные поделия. Кто не хочет пополнять чужой карман за счёт своих чатиков, не забывайте про цифровую гигиену.
@tomhunter
👍5😁3🤯2❤1
#news В n8n, платформе для автоматизации рабочих процессов, очередная уязвимость на 10 из 10, цепочка ведёт к RCE и произвольной записи файлов. Это уже четвёртая критическая CVE, раскрытая в n8n за пару недель.
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
Свежайшая получила название Ni8mare, раскрытая днём ранее — N8scape, там же затесалась ещё одна безымянная десяточка. Как водится, если не дать уязвимости запоминающееся имя, шансы того, что поднимется хайп и патчи накатят, резко снижаются. Ni8mare без аутентификации в отличие от остальных — ночной кошмар ожидаемо ведёт к компрометации инстанса с админ-правами. N8scape на обход песочницы и произвольные команды. Из плюсов, это всё ответственные раскрытия исправленных в прошлогодних версиях n8n CVE — терпели до конца праздников как могли. Из минусов, патчами озаботились далеко не все, PoC в наличии, а уязвимых версий в сети ~26 тысяч. Так что у особо везучих рабочая неделя начнётся с огоньком.
@tomhunter
😁7❤1👍1🔥1