[Перевод] Localhost-атака: как Meta и Яндекс отслеживали пользователей Android через localhost
Мы раскрыли новый метод отслеживания, используемый компаниями Meta и Яндекс, который потенциально затрагивает миллиарды пользователей Android. Мы обнаружили, что нативные приложения Android — включая Facebook, Instagram и несколько приложений Яндекса, таких как Карты и Браузер — незаметно слушают...
Рейтинг Рунета выпустил 34 рейтинга digital-подрядчиков
Включая 9 не имеющих аналогов на рынке....
Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
В прошлом и нынешнем году коллеги из «Лаборатории Касперского» и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая мы снова фиксируем ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Я Никита Полосухин, ведущий аналитик центра мониторинга и...
Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы
Привет, Хабр! Меня зовут Алексей Костянов, я архитектор по информационной безопасности в Selectel. В этой статье я расскажу, как составить список потенциально уязвимых мест вашей информационной системы, и что делать с этим списком. Важно уточнить, что эта статья предназначена по большей части для...
Один на один с Rust
Всем привет! Я Влад Лунин, занимаюсь анализом сложных угроз в экспертном центре безопасности Positive Technologies. В последнее время часто приходится сталкиваться с вредоносным ПО (ВПО), написанном на Rust, поэтому хочу поделиться своим опытом реверса исполняемых файлов, написанном на этом языке....
Крах Builder.ai: как «революционный ИИ-стартап» оказался скамом из сотен программистов из Индии
В мае 2025 года на рынке ИИ-стартапов разразился грандиозный скандал. Компания Builder.ai, на пике оцененная в $1,5 млрд и получившая инвестиции в размере $450 млн от таких гигантов как Microsoft, Softbank и Катарский инвестиционный фонд, объявила о банкротстве. Речь идет о потенциально самом...
Как торговые сети ищут людей на смены через цифровые платформы и сколько им платят
Как устроен наём в новой диджитал-реальности....
Управление уязвимостями: практический гайд по защите инфраструктуры
В 2024 году компании по всему миру потеряли сотни миллионов долларов из-за кибератак, использующих давно известные уязвимости, — и почти все эти атаки можно было предотвратить. По данным Positive Technologies, за последние два года 32% успешных атак начались с эксплуатации уязвимостей, для которых...
Trust & Safety AI Meetup — как это было?
Привет! 22 мая прошел Trust & Safety AI Meetup — обсудили применение AI в борьбе за безопасность и доверие пользователей. К ивенту присоединились спикеры из Wildberries & Russ, Avito, AI Masters, а в зале встретились 60+ гостей и онлайн‑трансляция собрала 250+ просмотров. Смотри фото, чтобы...
Paranoia Mode: подборка инструментов для приватной и безопасной работы в Linux
Технологии позволяют следить за каждым — где вы бываете, что ищете, на что кликаете. А любая утечка личных данных может обернуться серьезными последствиями: от взлома аккаунтов до компрометации корпоративной инфраструктуры. Особенно если вы работаете с чувствительной информацией или просто не...
Нулевое доверие: “Супермодель” кибербезопасности, которая вам не по зубам
Вам знакомо это чувство, когда вы видите кого-то совершенно потрясающего в другом конце комнаты и думаете: "Я бы ни за что не смог быть с таким человеком"? Именно так большинство ИТ-отделов относятся к безопасности с нулевым уровнем доверия. Она - супермодель систем кибербезопасности - утонченная,...
Zero Trust не спасёт, пока у вас включён SMBv1
В корпоративной сети часто остаются устаревшие технологии и протоколы, которые не соответствуют текущим требованиям безопасности. Их продолжают использовать из-за зависимости от старого оборудования или недостаточного аудита. Такие компоненты создают критические уязвимости, позволяющие...
Claude Sonnet 4, и это самая защищенная модель? Wasted
Anthropic всегда делала ставку на безопастность. И Claude действительно сложнее всего взломать (я её взламывал в прошлой статье). На днях вышла новая версия Claude 4, заявляющая о повышенном уровне защищённости, особенно в отношении биологических угроз. Сегодня проверим её на прочность, и получим...
Zerotrust по-пацански #2. Как сделать устройство доверенным
Это вторая часть цикла статей про zerotrust. В ней разберем процесс создания “доверенного устройства” Читать далее...
[Перевод] Я завайбкодил и запустил приложение за три дня. И его взломали. Дважды. Вот что я усвоил
Моё приложение представляет собой каталог, который объединяет профили исследователей безопасности с различных платформ, таких как HackerOne, Bugcrowd, GitHub и других. Фронтенд подключается к Supabase, и я создал его с помощью инструментов Lovable и Cursor. Вся автоматизация, которая подает данные...
[Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно
Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о ней, а довёл до уровня P1 с помощью цепочки уязвимостей. Без лишних слов — начнём! Я не имею права раскрывать информацию о цели, поэтому давайте назовём...
Почему синтетические данные редко используются в реальных задачах
Синтетические данные – это искусственно сгенерированные наборы, имитирующие структуру и статистические закономерности реальных данных. В последние годы вокруг этой технологии возник значительный ажиотаж. Еще недавно аналитики прогнозировали, что уже к 2024 году до 60% данных, используемых для...
[Перевод] Разбор уязвимости умного Bluetooth-замка
Привет, Хабр! Сегодня предлагаем разобрать успешный взлом коммерческого умного замка с поддержкой Bluetooth, который открывается по отпечатку пальца или через беспроводное соединение. Здесь будет реверс‑инжиниринг мобильного приложения, манипуляции с API‑запросами и перехват протокола связи...
Назад