Решил запилить разбор пользовательского соглашения RuStore. Собрал для вас самое интересное. Если коротко, то собирают практически всё: технические данные (IP, ОС, тип устройства, рекламный ID), данные из вашего VK ID при авторизации (если вы зачем-то авторизовались), а встроенный трекер отслеживает ваши покупки, логины, приглашения и даже время, проведенное в приложении. Эти данные могут передаваться партнерам, рекламным сетям и госорганам по запросу.
Теперь о самом вкусном, перекосах в пользу сервиса. Оставляя отзыв, вы "автоматически, безвозмездно и безотзывно" даете VK неограниченные права на его использование по всему миру. Встроенный Антивирус Касперского включен по умолчанию, и его нужно отключать вручную. В случае нарушения правил, VK имеет право идентифицировать все ваши аккаунты по железу и IP и заблокировать их все разом. Соглашение может меняться в любой момент, и продолжение использования сервиса — это ваше автоматическое согласие. А отозвать согласие на обработку персональных данных можно только через письменное заявление по адресу компании
Как минимизировать риски? Во-первых искать альтернативы, но если очень нужен именно Рустор, то скачивайте приложения без авторизации через VK ID, чтобы не связывать свои данные. Отключите встроенный антивирус в настройках профиля, если не хотите, чтобы ваше устройство сканировали по умолчанию (а что там собирает антивирус - одному ему известно). И, конечно, не оставляйте отзывы, если не готовы подарить их VK навсегда.
Кстати, на скринах видно по каким доменам ломится RuStore при первом запуске (
99% соединений можно дропать.
Классический пример того, как бесплатный сервис на самом деле оплачивается вашими данными.
Не читай, принимай.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍5🤯2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6🌚2
Собрал для вас самое вкусное из соглашения. Если прям коротко, то ваш почтовый ящик это прямо полноценный источник данных для всей экосистемы VK. Помимо стандартных технических данных вроде IP и
User-Agent, мобильные приложения Почты Mail собирают просто огромный массив информации. На Android, если вы дадите разрешение, они получат доступ к вашему списку контактов, полной истории звонков (call log) и даже к содержимому SMS (под предлогом автоматической верификации). На iOS, помимо прочего, они могут получить доступ к вашему рекламному идентификатору (IDFA) и списку установленных на телефоне приложений. Вся эта телеметрия, обогащенная данными из вашего почтового ящика, уходит в целый зоопарк аналитических сервисов, включая AppsFlyer, Firebase и myTracker - по ним сделаю отдельный разборЧто касается самих писем, то тайна переписки, как говорится в соглашении, обеспечивается "в пределах функционирования Сервиса". На практике это означает, что все ваши письма автоматически обрабатываются для фильтрации спама и антивирусной проверки. Но самое интересное - это модуль «Покупки». Он по усмотрению компании может анализировать и систематизировать ваши письма-чеки, используя "автоматическое распознавание содержимого"
Если вы не заходили в ящик 6 месяцев, его могут заблокировать или удалить со всем содержимым (но на практике такого не видел). Если вы поигрались с их ИИ-функциями, например, сгенерировали текст, вы автоматически даете компании безотзывную, с правом передачи третьим лицам, лицензию на этот контент. Политика соглашения может меняться в любой момент, и вы об этом, скорее всего, не узнаете. Новая редация вступает в силу на следующий день. То есть, вы находитесь в постоянном состоянии согласия по умолчанию с правилами, которые вы не читали.
З.Ы. На подходе обзор пользовательского соглашения Gmail и многие другие.
Не читай, принимай.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯6👍1😱1
n8n автоматизировал собственный взлом. Критическое RCE (9.9 баллов).
Любители связывать сервисы стрелочками и программировать без кода, у меня для вас плохие новости. В популярнейшей платформе автоматизации n8n нашли дыру размером с Эверест. Уязвимость CVE-2025-22631 получила почти максимальный рейтинг опасности 9.9 из 10😗
Проблема кроется в механизме песочницы, который должен был изолировать исполняемый пользователем JavaScript-код. Разработчики n8n использовали встроенный модуль Node.js
Масштаб катастрофы сложно переоценить. n8n это обычно связка ключей от всей инфраструктуры. Там хранятся API-токены, доступы к базам данных, ключи от ботов телеги и прочее, которое нужно для автоматизации. Получив RCE на таком узле, атакующий получает ключи от всего. А учитывая, что многие запускают n8n в Докере под рутом (потому что так проще монтировать вольюмы), взлом контейнера происходит мгновенно.
Под угрозой находятся все версии от 1.0.0 до 1.71.2. Разработчики уже выкатили патч в версии 1.71.3, и обновляться нужно было еще вчера. Если ваш n8n торчит наружу интерфейсом (а он часто торчит, чтобы принимать вебхуки), то вы сейчас сидите на пороховой бочке, к которой уже поднесли спичку💥
Автоматизация... это прекрасно, особенно когда она автоматизирует слив ваших данных🤡
☢️ @zeroday_log
Любители связывать сервисы стрелочками и программировать без кода, у меня для вас плохие новости. В популярнейшей платформе автоматизации n8n нашли дыру размером с Эверест. Уязвимость CVE-2025-22631 получила почти максимальный рейтинг опасности 9.9 из 10
Проблема кроется в механизме песочницы, который должен был изолировать исполняемый пользователем JavaScript-код. Разработчики n8n использовали встроенный модуль Node.js
vm, который, как написано даже в официальной документации Node.js (но кто её читает?), не является механизмом безопасности. Хакеры нашли способ совершить Sandbox Escape (побег из песочницы). Злоумышленник может создать вредоносный воркфлоу, который выберется за пределы изоляции и начнет исполнять произвольные команды в хост-системе.Масштаб катастрофы сложно переоценить. n8n это обычно связка ключей от всей инфраструктуры. Там хранятся API-токены, доступы к базам данных, ключи от ботов телеги и прочее, которое нужно для автоматизации. Получив RCE на таком узле, атакующий получает ключи от всего. А учитывая, что многие запускают n8n в Докере под рутом (потому что так проще монтировать вольюмы), взлом контейнера происходит мгновенно.
Под угрозой находятся все версии от 1.0.0 до 1.71.2. Разработчики уже выкатили патч в версии 1.71.3, и обновляться нужно было еще вчера. Если ваш n8n торчит наружу интерфейсом (а он часто торчит, чтобы принимать вебхуки), то вы сейчас сидите на пороховой бочке, к которой уже поднесли спичку
Автоматизация... это прекрасно, особенно когда она автоматизирует слив ваших данных
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍3
IBM API Connect забыл спросить пароль. Критический баг с рейтингом 9.8
В мире дорогого энтерпрайза снова пожар. IBM выпустила экстренный бюллетень для своей платформы API Connect, и ситуация там выглядит скверно. Уязвимость CVE-2025-13915 получила рейтинг 9.8 из 10, что на языке безопасников переводится как... бросай всё и беги фиксить.
Суть проблемы в полном обходе аутентификации. Удаленному злоумышленнику не нужно подбирать креды, перехватывать сессии или искать инсайдеров. Ошибка в коде позволяет просто обойти механизмы входа и получить несанкционированный доступ к приложению. Учитывая, что API Connect используется как центральный шлюз в крупных банках и авиакомпаниях, взлом такого узла равносилен получению мастер-ключей от всей API-инфраструктуры.
Под угрозой находятся версии 10.0.8.x и
☢️ @zeroday_log
В мире дорогого энтерпрайза снова пожар. IBM выпустила экстренный бюллетень для своей платформы API Connect, и ситуация там выглядит скверно. Уязвимость CVE-2025-13915 получила рейтинг 9.8 из 10, что на языке безопасников переводится как... бросай всё и беги фиксить.
Суть проблемы в полном обходе аутентификации. Удаленному злоумышленнику не нужно подбирать креды, перехватывать сессии или искать инсайдеров. Ошибка в коде позволяет просто обойти механизмы входа и получить несанкционированный доступ к приложению. Учитывая, что API Connect используется как центральный шлюз в крупных банках и авиакомпаниях, взлом такого узла равносилен получению мастер-ключей от всей API-инфраструктуры.
Под угрозой находятся версии 10.0.8.x и
10.0.11.0. Если возможности накатить патч прямо сейчас нет, вендор предлагает временный костыль... отключить самостоятельную регистрацию (self-service sign-up) на портале разработчиков. Это снизит поверхность атаки, но полноценным решением не является. Тот случай, когда софт за миллионы долларов защищен хуже, чем домашний роутер.Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4
В Южной Корее приняли предпринимателя из Литвы, который преподал индустрии мастер-класс по монетизации человеческой жадности. Он умудрился заразить 2.8 миллиона компьютеров, используя самый популярный софт в мире... активатор KMSAuto. Схема атаки как эталонная социальная инженерия, помноженная на техническую безграмотность пользователей. Жертва сама находит софт, сама скачивает его и, самое главное, сама отключает Defender или добавляет файл в исключения, потому что... ну это же кряк, он всегда детектится
Софт запускается от имени Админа (иначе службу KMS и драйвер не поставить), и в этот момент вместе с ключом активации в систему залетает Клиппер. Зловред тихо висит в процессах, хукает буфер обмена через WinAPI и ждет своего часа. Как только регулярное выражение (
RegEx) детектит строку, похожую на адрес криптокошелька (BTC, ETH, TRC20 и тд), скрипт на лету подменяет её на кошелек злоумышленника Заметить подмену глазами практически нереально. Большинство людей проверяют только первые и последние 4 символа адреса, а современные генераторы позволяют хакерам создавать тысячи кошельков с похожими хвостами специально для таких атак. В итоге пользователь копирует адрес, вставляет, жмет Отправить... и деньги улетают в никуда. Таким нехитрым способом автор кряка заработал $1.2 млн, не написав ни строчки сложного эксплойта.
Если в вашей сети есть машины, активированные народными методами через бинарники с торрентов, то не лишним будет прочекаться. KMS-активатор это идеальный троянский конь, которому вы сами открываете ворота.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7🏆3😱2