68691
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
🔍 Блокировать без суда? Госдума снова берётся за "деструктивный контент"
Вопрос, что считать опасным контентом в Сети, в России остаётся открытым. Именно поэтому Совет блогеров предложил наделить Роскомнадзор правом досудебной блокировки «деструктивных» материалов. Депутат Андрей Свинцов идею поддержал, но подчеркнул: сначала нужно точно определить, что именно подпадает под это понятие.
Ключевая инициатива — создать при Роскомнадзоре комиссию, которая будет рассматривать обращения пользователей и решать, подлежит ли контент блокировке. Также предлагается автоматизированно собирать жалобы через сайт Совета блогеров. Такой механизм может заработать уже летом.
Контекст: в 2024 году число удалённых в РФ материалов с призывами к беспорядкам выросло в 2,2 раза, а попытки вовлечения подростков в противоправные действия — почти в полтора.
Если не прописать границы — деструктивным завтра может оказаться любой неудобный пост.
#Госдума #Роскомнадзор #интернетцензура
@SecLabNews
🔒 Signal уходит в тень: мессенджер обошёл сквозное слежение Recall
Пока Microsoft продвигает свой ИИ-инструмент Recall, фиксирующий почти каждое действие пользователя, Signal пошёл в наступление — и заблокировал возможность снимать скриншоты своего интерфейса в Windows 11. Причина — опасения за приватность переписки, которую теперь может «увидеть» система, снимающая экран каждые три секунды.
Вместо того чтобы дожидаться, пока Microsoft предложит официальный способ защиты от Recall, разработчики Signal пошли в обход: они задействовали системный механизм, который в Windows используется для блокировки захвата экрана при воспроизведении защищённого видео. Этот трюк не позволяет Recall делать скриншоты Signal — как если бы это был фильм с защитой от копирования.
Сработает ли это в долгосрочной перспективе — вопрос открытый. Signal подчёркивает, что защита работает только при соблюдении условий: версия для Windows, включённые по умолчанию настройки и все участники чата в одинаковом окружении. Но главное — прецедент создан: приложениям придётся защищаться не только от вредоносов, но и от самой ОС.
#Recall #Signal #Приватность
@SecLabNews
🔴 Ботнет-гигант: 4,6 млн устройств атаковали российский госресурс
Curator зафиксировала беспрецедентную по масштабам DDoS-атаку — в ней участвовали 4,6 миллиона IP-адресов. Целью стала организация из сегмента «Государственные ресурсы». Это в 20 раз больше, чем у крупнейшего ботнета прошлого года, и в 30 раз — чем в 2023-м.
Механизм разворачивался поэтапно: сначала в бой пошли 2 миллиона устройств, затем ещё 1,5, и, наконец, в финале — весь пул. Состав «ударной группы» интернациональный: больше всего устройств — из Бразилии, США и Вьетнама; также отличились Индия и Аргентина.
Если раньше 200 тысяч зомби-устройств казались проблемой, то теперь планка взлетела до миллионов. И пока одни строят оборону, другие уже тренируют своих ботов на живых целях. Кто не успел — тот будет лежать.
#DDoS #ботнет #инфраструктура
@SecLabNews
Positive Hack Days Fest начинается уже завтра!
А пока мы готовились, это робокафе было взломано (пока ради этого видео)! 🤯
Оно будет представлено на одном из конкурсов PHDays Fest в киберхабе. Здесь все работает полностью в автоматическом режиме — без людей, без надзора и без тормозов.
Участникам предстоит взломать роборуку и захватить управление, чтобы помочь ей вспомнить «запрещенные» рецепты, получить халявный доступ к неограниченным запасам колбасы и даже прохладительным напиткам 🥤
🤖 Для заказа «посетителям» кафе будут доступны киоск, сайт и мобильное приложение — используя их слабости нужно пробраться сквозь хитросплетение сетей ближе к заветной колбасе. Но наш «терминатор» будет сопротивляться и не даст себя взломать на первом свидании.
Устроят ли участники конкурса полный расколбас? Узнаем уже скоро. А о других конкурсах PRO-части киберфестиваля вы можете узнать на нашем сайте 🔥
Вход в киберхаб по билетам.
@PHDays. 22—24 мая. «Лужники»
💸 Конфискация крипты и миллионные штрафы: ЦБ закручивает гайки
Сначала Минюст предложил расширить уголовную ответственность за DDoS-атаки — и параллельно приравнять цифровую валюту к имуществу, подлежащему аресту и конфискации. Теперь ЦБ с Минфином на ПМЭФ пошли дальше: в Госдуме лежит законопроект, который превращает запрет на расчёты криптовалютой в реальный удар по кошельку. Регуляторы предлагают штрафовать граждан на 100–200 тыс., компании — на 700 тыс.–1 млн ₽ и, главное, изымать саму «монету», если ею платили внутри страны.
Сам механизм упирается в новую статью 15.49 КоАП: четыре состава нарушений, отдельная часть — за использование цифровых активов как оплаты. ЦБ подчёркивает: позиция о «недопустимости встречного предоставления» железобетонна, а конфискация сделает санкции не символом, а реальной болью.
А вот для внешнеэкономической деятельности — зелёный свет: экспериментальный режим даёт возможность тестировать крипту в боевых условиях. То есть внутри страны — строгое табу, за границей — осторожное «можно». Разрешено, но под микроскопом.
#криптовалюта #закон #финансы
@SecLabNews
🔔 MULTIPUSHED: одна точка входа для всех push-уведомлений
Настраивать push-уведомления под каждую систему отдельно больше не нужно. MULTIPUSHED позволяет отправлять сообщения на iOS, Android, Huawei, RuStore и веб через единый API и SDK. Уведомления доставляются за 0,1 секунды, без дублей и с учётом статуса подключения пользователя.
Платформа использует отказоустойчивую инфраструктуру с RabbitMQ, Kubernetes и защищённым WebSocket-соединением. Вся обработка происходит в российских дата-центрах — без зависимости от внешних облаков.
📌 Подробнее о новом продукте читайте в статье.
🇷🇺Минюст: DDoS — в Уголовный кодекс, счета — на замок, крипта — в конфискат
Теперь за DDoS могут реально сажать. Минюст предлагает вынести атаки в отдельную статью — чтобы не маскировать их под «доступ к информации» или «вредоносное ПО». Прямая криминализация — значит, и расследовать станут жёстче, и наказывать — целенаправленно.
Параллельно — инициатива блокировать расходные операции по счетам на 10 дней, если они участвуют в обнале. Новый инструмент для следствия, пока цифровые деньги не разлетелись по тысячам карт. Быстро, без суда, но якобы с контролем.
И наконец, криптовалюта. Её предлагают считать имуществом и арестовывать как наличку. Только физически изъять нечего — значит, понадобятся «специалисты по сохранности». Теперь «арест» — это когда айтишник с доступом ставит пароль и говорит: «Теперь это наше».
#ddos #финмониторинг #криптовалюта
@SecLabNews
Все DLP-системы ловят утечки данных через отправку файлов и сообщений. Но что, если инсайдер сливает информацию иначе?
Разбираемся, чего может не хватить в DLP и как доступными средствами «подтянуть» возможности расследования и реагирования на инциденты.
Pwn2Own: VMware ESXi взят штурмом
🔐На хакерском турнире Pwn2Own в Берлине впервые в истории был успешно взломан гипервизор VMware ESXi. Эксперт по безопасности Нгуен Хоанг Тач из команды STARLabs SG использовал уязвимость переполнения целого числа, получив за свое достижение $150 000 и 15 очков в турнирной таблице.
🌐 Событие произошло на фоне серьезных проблем с безопасностью в корпоративной среде за последние недели. Агентство кибербезопасности США (CISA) сообщило об активно эксплуатируемой уязвимости в Chrome, а Microsoft подтвердила наличие критической угрозы в облачной инфраструктуре с максимальной оценкой 10 из 10.
🏆Pwn2Own — это престижное соревнование, проводимое дважды в год среди элитных хакеров мира. Участники в ограниченное время атакуют продукты, используя неизвестные ранее уязвимости, чтобы выявить их раньше киберпреступников и получить заветное звание Master of PWN.
#Pwn2Own #VMware #ZeroDay
@ZerodayAlert
До международного киберфестиваля Positive Hack Days осталось всего шесть дней. Встречаемся с 22 по 24 мая в «Лужниках»!
Вас ждут:
💻 Технические треки, которые охватят темы противодействия атакам, расследования инцидентов, эксплуатации уязвимостей и безопасной разработки
⚔️ Легендарная кибербитва Standoff 15, в которой примут участие более 40 команд атакующих и защитников из 18 государств
🎮 Ярмарка open-source-проектов, хакерские конкурсы, мастер-классы по безопасной разработке и олимпиада по программированию
🔬 Positive Labs — зона митапов и интерактивных инсталляций про исследование безопасности устройств
Онлайн будет, но часть докладов — только офлайн. Хотите всё — приезжайте лично!
У вас остается совсем мало времени, чтобы приобрести билет в закрытую зону (все вырученные деньги идут на благотворительность). Скорее регистрируйтесь, пока мы не закрыли продажу!
📷 Nova следит — без ордера, но с последствиями
Пока дебаты об этике ИИ в правоприменении только набирают обороты, компания Flock уже тестирует Nova — инструмент, превращающий обычное распознавание автомобильных номеров в полноценную идентификацию людей. Внутренние документы раскрывают, что система не просто показывает, кто ехал в машине, но и строит связи между людьми на основе брака, адресов и даже утечек данных.
В отличие от традиционного ALPR, требующего поэтапных запросов, Nova агрегирует информацию из двадцати источников — от полицейских баз и открытых реестров до украденных баз. На выходе — единый интерфейс, где правоохранитель получает развернутый профиль личности, не поднимая трубку и не запрашивая ордер.
Внутри Flock уже обсуждают этические последствия, но поздно: дверь открыта. Если государство может легально покупать украденные данные, а полиция — следить без ордера, то где заканчивается закон и начинается контроль? Nova не помогает искать преступников — она превращает всех в потенциальных подозреваемых.
#слежка #ALPR #конфиденциальность
@SecLabNews
⚡️С 30 мая 2025 ужесточаются штрафы за утечки данных
С конца мая в России вступают в силу изменения в КоАП РФ, касающиеся защиты персональных данных. Например, при незаконной передаче данных от тысячи до 10 тысяч человек компаниям и ИП грозит штраф до 5 млн рублей.
При этом количество утечек растет — только за январь и февраль Роскомнадзор зафиксировал 19 утечек, из-за которых в открытый доступ попало 24 млн. записей.
Для защиты от утечек компаниям важно не только выбирать верные решения в сфере ИБ, но и грамотно внедрять их.
📌Рассказали, как внедрить 2ФА-сервис без сбоев в работе компании.
Реклама. 16+. АО «ПФ «СКБ Контур». ОГРН 1026605606620
620144, Екатеринбург, ул. Народной Воли, 19А, erid:2SDnjdvbEqs
📱 Таджикистан отменил уголовку за лайки
С 2018 года лайк под видео мог стоить таджикскому пользователю до 15 лет — достаточно было подозрения в «экстремизме». Теперь это в прошлом: 14 мая президент Эмомали Рахмон подписал закон, исключающий такую ответственность из Уголовного кодекса.
Изменения затронули статьи 179−3 и 307−1, под которые попадали даже невинные репосты. Согласно официальным данным, в колониях по таким делам сейчас сидят 1507 человек — за лайки, реакции и комментарии.
Сам закон — результат внутриполитического давления. Ещё в 2024-м Рахмон раскритиковал силовиков за чрезмерную интерпретацию цифровых жестов. Но остаётся вопрос: будет ли этот шаг сопровождаться реабилитацией осуждённых — или история с лайками закончится без правового эпилога?
#Таджикистан #цензура #УК
@SecLabNews
⚡️ Опубликована полная программа «БеКон‑2025» — единственной в России специализированной конференции по безопасности контейнерных сред.
Контейнеры занимают центральное место в современном ИТ, но их безопасность требует узкоспециализированных знаний.
На «БеКоне‑2025» эксперты из топовых компаний РФ — Яндекс Cloud, Авито, МТС Web Services, Т‑Банка, Luntry и других — разберут практические решения для защиты контейнерных сред.
Программа целиком уже доступна на сайте.
Конференция «БеКон» превращает абстрактные принципы (типа Zero Trust) в рабочие инструкции и даёт то, чего не найти в статьях или вебинарах:
🟣живое общение,
🟣проверенные кейсы,
🟣мгновенная обратная связь.
👉Изучайте программу, выбирайте билеты и приходите на «БеКон-2025».
📊 53% россиян ставят APK «на свой страх и троян»
Согласно опросу, более половины пользователей в России по-прежнему устанавливает приложения не из официальных источников. И неважно, насколько осознанно они избегают фишинга или включают 2FA — один заражённый APK с форума, и смартфон превращается в терминал удалённого доступа.
CraxsRAT и вредоносные версии NFCGate всё чаще маскируются под госсервисы, антивирусы и мессенджеры. При установке они получают доступ к SMS, камере, микрофону и банковским данным. По оценкам, только в марте 2025 года в России выявлено более 200 000 заражённых Android-устройств.
Проблема не в неосторожности, а в ложном доверии к интерфейсу. Пока пользователи воспринимают APK как «такой же, только без маркетплейса», киберпреступники продолжают собирать доступ — и прибыль.
#Android #вредоносы #безопасность
@SecLabNews
6 июня 2025 года в Москве пройдёт CTO Conf X 2025 — конференция для технических директоров и архитекторов, которые стремятся не просто следить за трендами, но и активно влиять на развитие технологий и бизнеса.
Если CTO Conf X 2025 ещё не в вашем календаре, вот несколько причин это исправить:
📌 Практические кейсы от опытных экспертов. Никакой воды — только реальные истории и работающие подходы.
📌 Самые актуальные темы: управление командами, взаимодействие с бизнесом, технологии и процессы — всё, с чем сталкивается технический директор.
📌 Более 300 участников — среди них ваши будущие партнёры, коллеги и друзья. Нетворкинг здесь — не просто слово, а реальный инструмент для карьерного роста и развития бизнеса.
Подробнее о конференции: https://clck.ru/3MCHAW
erid:2SDnjcvi3KK
🔥 Не пропустите главную дискуссию киберфестиваля PHDays — «Цифровой суверенитет: от зависимости к глобальному сотрудничеству»
Она начнется после открытия PHDays Fest в 10:10 на главной сцене киберарены, посмотреть ее можно будет онлайн на нашем сайте.
👤 В дискуссии примут участие:
• Максут Шадаев, министр цифрового развития, связи и массовых коммуникаций Российской Федерации
• Сергей Цивилев, министр энергетики Российской Федерации
• Доктор Ахмед Мустафа Аль-Иссави, директор личного офиса Е.П. Шейха Сухейма бин Ахмеда Аль-Тани, инвестиционный директор Al Adid Business
• Юрий Максимов, сооснователь фонда «Сайберус» и компании Positive Technologies
• Денис Баранов, генеральный директор Positive Technologies
• Эдуардо Вильегас Мехиас, чрезвычайный и Полномочный Посол Мексики в Российской Федерации
Модератор: Федор Лукьянов, главный редактор журнала «Россия в глобальной политике», председатель президиума Совета по внешней и оборонной политике.
На дискуссии поговорим о глобальной кооперации, совместном создании новой цифровой архитектуры, основанной на принципах безопасности, технологического суверенитета участников, справедливости и открытости — ради безопасного технологичного будущего.
Присоединяйтесь!
#PHDays
📍 Нет приложения — нет Москвы: мигрантов переведут на GPS-учёт
С 1 сентября въезд в столичный регион для мигрантов безвизовых стран будет возможен только по новым правилам. Биометрия, фактический адрес и главное — установка специального приложения. Через него МВД получит непрерывный доступ к геолокации устройства, а значит — и к перемещениям самого человека.
Протокол нарушения прописан прямо с трибуны: попытка обойти слежку — попадание в реестр контролируемых, затем — выдворение. Приложение должно фиксировать смену адреса, а уведомить МВД о переезде нужно максимум за трое суток. Иначе — объяснения, проверка, санкции. Все этапы — в Сахарово, в том числе согласие на обработку персональных данных.
Пока не ясно, что делать тем, у кого нет смартфона, и как именно будет устроена техническая часть контроля. Но уже сейчас ясно другое: московский эксперимент грозит стать цифровым стандартом миграционного надзора в стране.
#миграция #цифровойконтроль #МВД
@SecLabNews
🔐 Google решает за вас: Chrome сам поменяет ваш пароль
Скомпрометированный или слишком слабый пароль? Chrome сам его заменит. На конференции Google I/O анонсирована функция автоматической смены паролей через встроенный менеджер. Браузер не только предупредит, но и самостоятельно подставит надёжную комбинацию — без участия пользователя, если сайт поддерживает такую возможность.
Механизм работает через Google Password Manager: при входе Chrome может определить, что пароль скомпрометирован, и предложить автоматически заменить его — на поддерживаемых сайтах. Разработчикам дали время подготовиться: запуск ожидается в конце года.
Это попытка решить давнюю проблему — люди не меняют пароли, даже когда знают об угрозе. Теперь браузер сделает это за них. Но если пользователь откажется — никто не помешает злоумышленнику сделать то же самое, только первым. И без предупреждений.
#Chrome #GoogleIO #Кибербезопасность
@SecLabNews
🔓 ИИ взламывает PIN-коды за доли секунды
PIN-код — обязательный элемент защиты даже при использовании отпечатков и распознавания лица. Но именно он становится самым уязвимым местом. ИИ больше не просто подбирает комбинации — он предсказывает их. В исследовании Messente нейросеть расшифровала код «5555» за 0,37 секунды. Даже «1234» и «год рождения» не представляют для неё сложности.
Причина — в шаблонах, по которым люди выбирают коды. Алгоритмы учитывают поведенческую психологию, а не перебирают варианты. Риск максимален, если тот же PIN используется и для телефона, и для банковской карты. В случае утери устройства это прямой доступ ко всем данным и счетам.
Рекомендация от аналитиков: полностью отказаться от четырёхзначных кодов. Система блокировки позволяет ввести до 10 цифр. Такой пароль остаётся неприступным даже для самых продвинутых ИИ-алгоритмов. Пока что.
#PIN #взлом #киберугрозы
@SecLabNews
🤖 Telegram: от бастиона свободы к цифровому ангару для властей — что дальше?
Telegram когда-то казался бастионом цифровой независимости, но статистика за 2025 год открывает совсем другую картину: более 22 тысяч пользователей переданы властям. Эти цифры показывают не только технический сдвиг — они раскрывают смену философии самой платформы, которая теперь активно сотрудничает с государствами по всему миру. На фоне этих изменений возникает вопрос: насколько безопасны личные переписки в современных мессенджерах и кто на самом деле контролирует доступ к нашим данным?
Показательно, что перемены в политике Telegram начались после ареста Павла Дурова во Франции. После этого инцидента сервис стал гораздо охотнее отвечать на запросы правоохранителей, внедрив инструменты для прозрачности и отслеживания количества запросов по странам. Особенно выделяется рост активности властей Франции и появление новых игроков вроде Румынии — это говорит о расширяющейся географии и усложнении взаимоотношений платформы с госорганами.
Развитие Telegram из утопии свободного общения в сервис, вынужденный подчиняться требованиям национальных правовых систем, отражает более широкую тенденцию: даже самые «свободные» платформы становятся уязвимыми перед политическим и юридическим давлением. Мир цифровой анонимности трещит по швам — а владельцы мессенджеров уже не могут обещать абсолютную приватность своим пользователям.
#приватность #мессенджеры #Telegram
@SecLabNews
Microsoft: строим ИИ — увольняем тех, кто умеет думать
Microsoft увольняет не просто разработчиков — а носителей языка. Среди них — участники команды CPython, создатели инфраструктуры TypeScript и ветераны, 20 лет строившие фундамент современных экосистем.
На первый взгляд — очередной корпоративный «организационный сдвиг». Но если присмотреться, это не реструктуризация, а редактирование ДНК компании. То, что раньше считалось ключевым активом (компетенция, опыт, вклад в open-source), теперь легко заменяется «ИИ, пишущим 30% кода».
Так заканчивается эра, в которой программист был кем-то. Теперь он — прослойка между моделью и продом. Вопрос не в том, заменит ли вас ИИ. Вопрос — почему вы ещё не заменены?
#microsoft #python #увольнения
@SecLabNews
📍ZKLP: как доказать, что ты здесь — не раскрывая где именно
Большинство методов приватной геолокации либо искажают координаты, либо требуют доверия к анонимизирующим посредникам. Новый подход ZKLP решает эту дилемму радикально иначе: теперь пользователь может криптографически подтвердить своё присутствие в заданной области без разглашения конкретного местоположения. Никаких API-брокеров и подмешивания шума — только чистая математика.
Технология опирается на zk-SNARK и дискретную глобальную сеточную систему (DGGS), делящую Землю на шестиугольники. Выбор уровня детализации остаётся за пользователем: можно доказать, что ты был в Берлине, или в конкретном парке — но не раскрывать, на какой скамейке. Все расчёты выполняются с плавающей точкой, что дало прирост в эффективности до 16 раз по сравнению с традиционными схемами SNARK.
Разработка открывает возможности для приватных доказательств локации в системах верификации контента (C2PA), цифровой идентичности (Proof-of-Personhood) и даже в приватном ML. Но важно помнить: ZKLP гарантирует математическую корректность координат, а не их достоверность — подделку источника сигнала никто не отменял.
#геолокация #zkSNARK #конфиденциальность
@SecLabNews
🔌 Солнечные панели работают. А заодно — шпионят?
Когда энергетическая независимость сталкивается со скрытыми антеннами, даже мирный инвертор становится кибероружием. США начали повторную проверку китайского оборудования, подключающего солнечные панели и батареи к электросетям. Поводом стали радиомодули и каналы связи, не указанные в спецификациях, — они могут обходить защиту и позволять внешнему оператору удалённо вмешиваться в настройки.
Речь идёт не о мелочах: в США и Европе установлены сотни гигаватт китайской генерации. В случае дистанционного отключения даже части этих систем последствия будут масштабными — от перебоев до реального коллапса сетей. Особенно уязвимы домохозяйства и локальные сети с инверторами от таких производителей, как Huawei, BYD и CATL.
После инцидента с удалённым отключением инверторов в ноябре 2024 года тревога уже не гипотетическая. Литва, Эстония, а теперь и США ужесточают контроль, а в Конгрессе обсуждаются прямые запреты. Технологии обновляемой энергетики становятся новой точкой давления в цифровой холодной войне.
#энергобезопасность #киберугрозы #Китай
@SecLabNews
🌐 Кто видел ваш трафик, тот знает, кто вы
Хотя HTTPS давно стал стандартом, он не прячет всё. Доменные имена сайтов по-прежнему «текут» наружу — через DNS-запросы и фазу TLS ClientHello. А это значит: достаточно просто перехватывать адреса сайтов, чтобы строить поведенческие профили, определять местоположение и выявлять связи. Особенно уязвимы госслужащие, правозащитники и активисты.
Google и Cloudflare наконец-то взялись закрыть эти дыры. Сначала — массовый переход на зашифрованный DNS (DoH/DoT), теперь — внедрение стандарта Encrypted Client Hello (ECH). Вместе они убирают последние открытые участки в процессе подключения. Новый механизм уже работает в Chrome и BoringSSL, ожидается официальная публикация в IETF.
Но главное — это конец эпохи «ничего страшного, это всего лишь адрес сайта». Домены — это метаданные. А метаданные — это власть. И чем раньше будет принято это как базовая истина, тем меньше поводов для паранойи останется у тех, кто просто хочет тишины в своём трафике.
#HTTPS #DNS #ECH
@SecLabNews
🕹 Игры на прицеле: Госдума готовит штрафы за «антипатриотичный» контент
Видеоигры снова на слуху у законотворцев — на этот раз как потенциальный канал антироссийской пропаганды. По мнению депутата Выборного, западные политики используют сюжетные вставки, чтобы «воспитывать ненависть к россиянам» и продвигать искаженную историческую повестку. Прямого запрета на такую информацию пока нет — но скоро может появиться.
КоАП предлагают дополнить новыми основаниями для ответственности разработчиков и дистрибьюторов. В ход идут и старые нормы — например, статья 13.15, которая применялась к СМИ. За «вредные вставки» и ИИ-контент, воздействующий на подсознание, могут грозить штрафы до миллиона с конфискацией.
Параллельно в Госдуме обсуждается отдельный законопроект о регулировании игровой индустрии. Пока документ сырой: нет ответственного органа, не прописаны санкции. Но уже 15 мая его обещают доработать. Идея — защитить детей, не убив рынок. Удастся ли — вопрос открытый.
#видеоигры #законопроект #коап
@SecLabNews
📜 Чат-боты не болтают зря — всё идёт в дело
Когда чат-бот становится «психологом», разговор уже не безобиден. Всё больше людей делятся с ИИ мыслями о самоощущении, одиночестве, суициде — полагаясь на его эмпатию. Но доверие оборачивается риском: исповеди сохраняются в логах, доступных корпорациям и государству.
Meta*, OpenAI, Google собирают массивы чувствительной информации — от откровений до биоданных с носимых устройств. Эти сведения легко попадают под флаги «нацбезопасности» и инициатив вроде федеральной базы по аутизму. Появление структур типа DOGE лишь ускоряет процесс.
Чат-бот — удобный собеседник, но и потенциальный доносчик. Сегодня он советует обратиться к врачу, а завтра — сдаст вас с потрохами.
*Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
#ИИ #приватность #цифровоенаблюдение
@SecLabNews
🛡 EUVD: если CVE упадёт — нам есть чем ответить
На фоне недавнего финансового кризиса вокруг MITRE CVE, едва не обрушившего глобальную систему отслеживания уязвимостей, ENISA представила European Union Vulnerability Database (EUVD) — свой ответ на вызовы цифровой зависимости и геополитической неустойчивости.
EUVD — не просто «ещё один список». Система агрегирует данные от CSIRT-групп, разработчиков и open source-репозиториев, фокусируясь на практической полезности: отслеживание активно эксплуатируемых уязвимостей и централизованная координация на уровне ЕС.
ЕС больше не верит в непогрешимость CVE — и делает свой запасной выход. Один сбой в финансировании MITRE, и мир замер. EUVD — это не жест вежливости, а холодный расчёт: в глобальной ИБ больше нельзя класть все яйца в одну американскую корзину.
#ENISA #EUVD #уязвимости
@SecLabNews
🧨 Machine1337 продаёт 89 млн записей Steam
Пользователь под ником Machine1337 выставил на продажу базу из 89 миллионов записей, содержащих одноразовые коды доступа Steam. Стоимость архива — $5 000. В открытой выборке — около 3 тысяч строк с текстами SMS и номерами телефонов.
Администратор сообщества SteamSentinels заявил, что формат логов в этих данных напоминает структуру, характерную для инфраструктуры Twilio — поставщика SMS-услуг, который широко используется для 2FA. Он предположил, что утечка могла быть связана со взломом учётной записи или утечкой ключей. Но сама Twilio настаивает: «у нас всё чисто».
Если не Twilio — тогда кто? Сторонний SMS-агрегатор? Компрометированный клиент? Или атака на цепочку поставок? Пока вопросов больше, чем ответов. А пользователям остаётся лишь одно — включать Steam Guard и не ждать официального признания, когда логины уже у других.
#Steam #Twilio #утечкаданных
@SecLabNews
🛞 Nissan слушает — и повинуется
Что получится, если собрать CAN-симулятор из деталей с eBay и подключиться к автомобилю через Bluetooth и DNS-канал? Хакеры из PCAutomotive показали: Nissan LEAF 2020 поддаётся — руль крутится в движении, микрофоны активны, динамики вещают, сообщения читаются.
На Black Hat Asia они представили 118-страничный доклад с пошаговой атакой: от построения стенда до эксплуатации уязвимостей — MiTM в app_redbend, переполнения буфера, отсутствие цифровой подписи, уязвимости в Wi-Fi и загрузчике i.MX 6, а также проблемы фильтрации CAN.
Автомобиль оказался не только средством передвижения, но и объектом прослушки, слежки и удалённого управления. Производителям есть над чем задуматься — пока руль ещё крутится по воле водителя, а не удалённого сценария.
#автоИБ #uavsec #взлом
@SecLabNews