4 дыры в защите персональных данных сотрудников, которые должен закрыть HR в 2026 году
Привет! С вами Руслан Нуриев, методолог-аналитик компании Directum. Хочу обсудить тему, игнорирование которой все чаще обходится компаниям очень дорого: безопасное хранение и передачу персональных данных кандидатов и сотрудников. Прольем свет на моменты из слепой зоны обработки ПДн в компании....
Делаем своё «цифровое королевство» прочным и устойчивым — инструкция для «чайников»
Халё‑малё (привет‑привет), мой вожделенный читатель! В наше, признаться, не очень спокойное время каждый, у кого есть телефон (а часто и компьютер), должен особенно заботиться о своём маленьком «цифровом королевстве». Вирусы, трояны, черви, а главное — телефонные мошенники постоянно хотят пожинать...
Я жуликам пообещал, поэтому пост (по факту статья, ибо много букв), пусть и не там где озвучил
Заходит ко мне коллега, и говорит: меня тут в чат добавили, я боюсь туда заходить (сказались годы запугиваний и утомительных бесед). Ну я пошел и зашел....
X-Real-IP, X-Forwarded-For и белый список WAF: разбор опасного мисконфига
Привет, Хабр. Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность, занимаюсь WAF и цепочками обратных прокси. В одном из недавних проектов мы с коллегами натолкнулись на странную реакцию WAF: подставляешь в запрос X-Real-IP, а WAF принимает его...
Как не отдать рецепт крабсбургера ИИ: Guardrails-фильтр против утечек данных
ИИ, большие языковые модели, ассистенты, агенты — нам обещали безграничную свободу и автоматизацию, но на практике отсыпали еще больше ограничений, правил и страхов. В итоге мы получаем длинные списки запретов, требований по безопасности и постоянно переживаем, что любой промпт может случайно...
OSINT: военная история открытой разведки
Привычные методы сбора и верификации открытых данных имеют неожиданную предысторию, которая редко попадает в поле зрения гражданских специалистов. Сегодня OSINT воспринимается как нечто само собой разумеющееся. Журналисты проверяют факты через открытые базы данных, аналитики мониторят социальные...
Компьютер Ёжика — идеальный вирус
Здравствуй, брат по (надеюсь) уму‑разуму! Начитался и насмотрелся я в интернете всяких сайтов и сервисов, и были там статьи про один очень страшный вирус в игре «Смешарики. Компьютер Ёжика». И решил я затеять одно дельце: пересказать эту легенду максимально подробно. И затеял… Короче, я публикую...
sing-box-lx: как, почему и зачем я завёл fork сетевого ядра — XHTTP + AWG2 для всех
Если вы пользовались моим LxBox или десктопным лаунчером, то могли натыкаться на оранжевый баннер: «с этим узлом, скорее всего, не соединится». Так клиент честно сознаётся, что наткнулся на узел с транспортом XHTTP, а ядро sing-box, на котором всё крутится, его не умеет. В этот момент лаунчер тихо...
Как починить блокировку Вашего сайта от РКН ТСПУ — реальный кейс
Ранее уже выкладывал способ, Как починить блокировку легальных сайтов РКН ТСПУ одной строчкой в Chrome - он работает, но не для всех. Теперь же мы разберем ситуацию, как починить Ваш сайт если Вы Владелец / Администратор, расскажу как к этому пришёл и почему это работает. Читать далее...
Как войти в MAX без пароля, СМС и QR. Две команды, и ты внутри
Подробная инструкция: как войти в свой аккаунт MAX, если нет доступа к СМС, QR и паролю. Справится даже твоя бабушка. Читать далее...
Когда AI ошибается уверенно
Это третья глава серии про AI Innovation Lab — исследовательскую площадку, где я строю AI-augmented SOC: систему из шести AI агентов, которая следит за корпоративной инфраструктурой, расследует инциденты и предлагает действия. В этой главе я подключил к платформе внешнюю разведку угроз — и во время...
Топ самых интересных CVE за май 2026 года
Май 2026 года ознаменовался всплеском критических уязвимостей в корпоративных и потребительских технологиях. Подводим итоги месяца: три уязвимости в продуктах Microsoft, use-after-free в Google Chrome, критические CVE в плагинах WordPress, переполнение буфера в Palo Alto PAN-OS, обход...
Цифровой карцер: как IT-платформы используют статус «Подозрительный аккаунт» для скрытой цензуры и обхода ГК РФ
Так уж повелось, что каждый автор и создатель уникального контента считает, что его профиль на крупной цифровой платформе – это его нематериальный актив. Увы, но это не так. Ведь, согласитесь, многие из нас сталкивались с такой ситуацией, что в один «прекрасный» день всё то, что мы годами собирали,...
Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 2
Всем привет! На связи снова Никита Таскин и Анастасия Ильина. Продолжаем тему о контроле доступа применительно к системным интерфейсам, и на этот раз речь пойдёт об API. Напомним, что первая часть была про авторизацию UI, и ознакомиться с ней можно здесь. У нас всё так же разбор контекста...
Включил отладку по Wi-Fi — получил Mamont
В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя. Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi. Функция отладки по...
Миграция с ingress-nginx: переход к Gateway API
В предыдущей части были рассмотрены варианты ingress-контролера. В этой статье расскажем, как мы тестировали Traefik и постепенно готовим инфраструктуру к переходу на Gateway API без простоев и массового переписывания сервисов. Читать далее...
PII-Shield: режем персональные данные в логах до того, как они доехали до ELK
Сначала хотелось просто скрывать случайные токены по энтропии. Потом выяснилось, что UUID, trace id и номера карт ломают эту идею, и пришлось собирать более честный фильтр логов. Читать далее...
Совершеннолетний без лишних разглашений: можно ли проверить возраст пользователя без биометрии, ЕБС и рисков утечек
Привет, Хабр! Пока Минцифры изучает введение возрастной идентификации на онлайн-платформах и весь мир ищет способы проверять возраст пользователей, не подвергая риску конфиденциальность их персональных данных, мы в Smart Engines пришли с готовым решением. В этой статье рассказываем о простом...