В фокусе RVD: трендовые уязвимости августа
Хабр, привет! На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в августе 2025 года. В нём собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в...
Очень страшный публичный Wi-Fi
Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что? • Трафик перехватят; • Пароли утекут; • Смартфон будет взломан; • Установят какой-то мессенджер без вашего согласия. Причем транслируют инструкции «не пользоваться...
(Не) безопасный дайджест: «золотые» покемоны, фрод на аутсорсе, новые дыры в McDonald’s
Прощаемся с летом, вспоминая забавные и поучительные ИБ-инциденты августа. Сегодня под катом: аналог TikTok страдает от инсайдеров, TSMC подает в суд на бывших сотрудников, а ФБР ловят взяточника на живца. Читать далее...
[Перевод] $500 за DOM-Based XSS на странице вакансий HackerOne
Исследователь безопасности обнаружил DOM-based XSS уязвимость на странице вакансий HackerOne, за что получил вознаграждение в размере $500. Проблема заключалась в том, как страница обрабатывала “?lever-” параметры в URL и добавляла их в DOM, без должной проверки и очистки. Хотя эта атака не могла...
CSMA на практике: как слой управления инфраструктурой и Identity Fabric связывают ИТ и ИБ в единую систему
Большинство корпоративных ландшафтов ИБ - это набор разрозненных средств, где контекст и «сигналы доверия» теряются между инструментами. В статье разбирается два ключевых слоя Cybersecurity Mesh Architecture (CSMA), без которых сетчатый подход не работает: Читать далее...
Scamlexity — невидимый скам, в который попадут миллионы людей из-за ИИ агентов
Мошеннические схемы уже готовы к ИИ агентам. Обсуждаем неизбежную волну скама, чтобы быть к ней готовыми. Читать далее...
Новости кибербезопасности за неделю с 25 по 31 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про новый вектор атаки на Linux, как web-камера может начать шпионить за вами (и это не классическое подсматривание по видео), про кризис концепции open source и почему централизация - это плохо, про...
От многопоточности в ОС до «простукивания портов»: избранные материалы у нас на DIY-площадке
Мы в Beeline Cloud развиваем площадку для обмена опытом между ИТ-специалистами — «вАЙТИ». Делимся техническими материалами, которые могут быть полезны хабражителям: как перекинуть два терабайта данных между дата-центрами за шесть часов, как перевести почту на локальный сервер Postfix, а также —...
Пароли не там, где вы их оставили. Как работает DOM Clickjacking
Если честно, менеджеры паролей давно стали для меня чем‑то вроде зубной щётки. Пользуюсь каждый день, но задумываюсь о них только тогда, когда что‑то идёт не так. Обычно всё просто: клик — и нужная форма заполнена. Красота. Но именно эта красота может сыграть злую шутку. Совсем недавно я наткнулся...
Релиз ChameleonLab под Windows и macOS: История о невидимых данных, «зомби»-потоках и секретной игре
Хочу поделиться историей разработки и последним обновлением нашего проекта — ChameleonLab. Это кроссплатформенное десктопное приложение для стеганографии и стегоанализа. С момента первого релиза мы не только добавили новые функции, но и столкнулись с целым рядом интересных технических вызовов,...
DevSecOps-консоль для контроля уязвимостей в коде: автоматизация, аналитика и AI-ассистент
Как автоматизировать DevSecOps с помощью ИИ или как мы разработали DevSecOps-консоль для контроля над уязвимостями Читать далее...
Безопасность: на каких инструментах нельзя экономить?
Многие до сих пор думают, что экономия на безопасности — это разумная оптимизация бюджета. На практике же такой подход напоминает покупку самого дешёвого замка на дверь в криминогенном районе: кажется, что сэкономил, но на самом деле — заранее оплатил будущий взлом. Читать далее...
Getting Started: установка и инициализация комплекса «Соболь» 4.5
В этом гайде разбираем установку и первичную инициализацию программно-аппаратного комплекса «Соболь» версии 4.5. Пошагово пройдемся по установке платы, запуску инициализации, регистрации администратора и настройке параметров безопасности. Читать далее...
[Перевод] Захват аккаунта без единого клика с помощью параметра сброса пароля
Когда речь идёт о безопасности, процесс сброса пароля — одно из тех мест, где разработчики не могут позволить себе ошибаться. Одна единственная уязвимость может открыть дверь к критическим багам. Недавно, тестируя приложение Redacted.com, я обнаружил уязвимость перечисления пользователей. Честно...
Как мы дали абонентам возможность управлять мобильной сетью на уровне оператора: архитектура Membrana МТС
Спам-звонки, фишинговые ссылки, рекламный трафик и утечки данных — все это не просто источники раздражения, а реальная угроза для мобильных абонентов. Большинство решений защищает на уровне смартфона, нагружая устройство. В МТС пошли другим путем: объединили телеком и IT-функции в тарифе, где можно...
Новости кибербезопасности за неделю с 18 по 24 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про то, как и зачем хакеры сами исправляют уязвимости во взломанных системах, Hyundai делает уязвимое ПО, чтобы потом зарабатывать на патчах, Microsoft по доброте душевной сливал PoC в Китай, но сейчас...
Атаки с использованием дипфейк-вишинга: как они работают и почему их сложно остановить
Голосовые атаки с применением искусственного интеллекта, или дипфейк-вишинг, становятся все более изощренным инструментом киберпреступников. Представьте: вам звонит человек с голосом вашего коллеги, родственника или даже генерального директора, умоляя срочно перевести деньги или раскрыть...
Кто есть кто в ИБ. Аналитик SOC
Аналитики SOC — передняя линия обороны центров противодействия киберугрозам (Security Operation Center), отвечающих за обнаружение угроз и реагирование на киберинциденты. Именно они должны первыми обнаружить аномалию, оценить ее критичность и обработать инцидент. Это ответственная и интересная...