API-безопасность 2026: почему защита требует нового подхода
Ещё пять лет назад Gartner предсказывал, что эксплуатация уязвимостей API станет самым частым вектором взлома приложений и сервисов. Сегодня этот сценарий атак стал практически нормой. Из-за этого API превратились в полноценный бизнес-актив, к которому, по-хорошему, должны применяться те же...
Мартовское обновление ВКонтакте привело к рекордному росту просмотров
Исследование LiveDune....
30% крупных брендов отказываются от лендингов в пользу чековых ботов, а интерес к промо в Max вырос на 40%
По данным АЙNET....
Реализация требований обеспечения безопасности критической информационной инфраструктуры с помощью автоматизации
Юрий Подгорбунский, Security Vision Введение Требования к безопасности критической информационной инфраструктуры (далее – КИИ) установлены Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон). Цель...
Бесплатный фильтр: почему высшее образование — это не про знания, а про послушание
Вместо вступления Есть короткая история. Она гуляет по интернету, её пересылают в мессенджерах, публикуют на юмористических сайтах. Звучит она так: «Спросил одного кадровика, почему все непременно требуют высшего образования. Он ответил: — Чтобы была гарантия, что этот человек в состоянии пять лет...
48% участников рекламного рынка уже используют ИИ и машинное обучение в своей работе
Исследование АРИР....
Дело 2005г.: Sony BMG против собственных покупателей или как защита от пиратства превратилась в руткит
Давайте немного поностальгируем. Помните, каких-то 20 лет назад мы еще покупали музыку альбомами и на дисках, в каждом компе стоял пишущий DVD-привод, а фирмам-дистрибьюторам музыки казалось, что самая большая их проблема в будущем - это пиратство. Герой этой статьи, Sony BMG, испытывала к пиратам...
Black Box пентест: как один домен привел к полной компрометации инфраструктуры. Часть 2
Иногда доступ во внутреннюю сеть — это не начало атаки, а тупик. Именно в такой ситуации я оказался в самом начале. Всем привет! Продолжаем разбор одного из интересных кейсов по тестированию на проникновение, в котором мне довелось принять участие. Первая часть уже опубликована у моего коллеги и...
Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1
Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой...
Костыли телеграма: «печатает...» в избранных и «вы сделали скриншот!» в любом чате
Почти каждый человек в СНГ пользуется телеграмом, но не каждый задумывается о том, на каких костылях держится его любимая платформа. Всё начинается с «печатает...» в избранном, а заканчивается тем, что форумы — лишь иллюзия интерфейса. Давайте же разберёмся, какие костыли есть в телеграме и почему...
Мы наняли дипфейк: как фальшивый кандидат прошёл все этапы собеседования
Компаниям, выходящим на экспортные рынки, часто сложно найти менеджеров по продажам, владеющих иностранными языками. Одно из решений — привлекать иностранцев. Например, в странах Африки много молодых людей, которые, имея два родных языка, прекрасно владеют ещё и английским. Год назад я «с нуля»...
CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки
Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур...
PLONK: разбираем уязвимости криптографического протокола
Привет, Хабр! Я Ирина Слонкина из отдела безопасности распределенных систем, Positive Technologies. Вместе с коллегами исследую безопасность смарт-контрактов и блокчейн-приложений. Конечно, всегда интересно вникнуть вглубь каждой технологии, вышедшей на рынок. В этой статье я расскажу про...
Android. Три буквы. Российские приложения
Статья будет без ИИ мусора и прочего пустословия. Обсудим способы выживания на операционной системе Android в тяжелых условиях. Читать далее...
«Музыка на костях», или как современный ИТ-бизнес лишил пользователей субъектности
«Можно, я не буду регистрироваться — давайте обсудим всё, как раньше?» — возмутился старый клиент одного уважаемого сервиса, когда ему предложили завести аккаунт на новой платформе. Медицинскую клинику у приличных людей сегодня выбирают не по рейтингу, не по врачам и не по локации. А по тому, в...
Соцсети, соседи и лайки: как глубоко налоговая анализирует ваши связи?
Вот уже почти полгода, после ухода со службы в ФНС, я помогаю разбираться в реальных механизмах налогового контроля. Для связи с читателями я сделал телеграм канал «Налоговый Инсайдер», в котором отвечаю на вопросы и развенчиваю мифы, которые любят тиражировать различные псевдоэксперты и СМИ....
Умный телевизор — дурак, который продаёт ваше лицо
Или: Как Сбер Box стал продуктовым магазином, а вы — товаром на полке 🧻 Пролог: Коробочка за 30 долларов, которая оказалась дороже Вы купили TV-бокс. За 30 долларов. Или за 50. Или за 100. Или, если вы фанат экосистемы, за 200 (Apple TV). Подключили к телевизору, настроили, радуетесь: YouTube,...
Реверсим штатный ключ сигнализации JAC-Москвич
Авто — идеальный полигон для экспериментов программно-аппаратного хакера. Здесь вам и реверс-инжиниринг прошивок IoT устройств, и подключение к портам дебага, и взлом беспроводных сетей, и радиохакинг. Но самое интересное начинается, когда все эти направления пересекаются в одном исследовании. На...
Назад