32258
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Бумажные спецвыпуски «Хакера»: сборники 2015–2021 годов доступны для заказа
Материалы «Хакера», которые раньше существовали только в цифре, можно подержать в руках и поставить на полку. Все три бумажных спецвыпуска по-прежнему доступны для заказа — в них собраны лучшие статьи за 2015–2021 годы с комментариями авторов и редакторов. Тиражи ограничены!
https://xakep.ru/2025/10/10/allspecials/
Реклама. ИП Яковлева А.В. ИНН 503806735948. Erid: 2SDnjd8fFmy
Ботнет RondoDox использует 56 уязвимостей в своих атаках
Обнаружен крупный ботнет RondoDox, который эксплуатирует 56 уязвимостей в более чем 30 различных устройствах, включая баги, которые впервые показали на хакерских соревнованиях Pwn2Own.
https://xakep.ru/2025/10/10/rondodox/
Android-спайварь ClayRat атакует пользователей в РФ, маскируясь под WhatsApp, TikTok и YouTube
Новый шпионский вредонос для Android маскируется под популярные приложения и сервисы, включая WhatsApp, Google Photos, TikTok и YouTube. ClayRat нацелен на российских пользователей и распространяется через Telegram-каналы и фишинговые сайты. Вредонос похищает SMS, логи звонков, уведомления, делает фото с камеры и даже может осуществлять звонки от имени жертвы.
https://xakep.ru/2025/10/10/clayrat/
Уязвимость Figma MCP позволяла удаленно выполнить произвольный код
Исследователи из компании Imperva раскрыли детали уже исправленной уязвимости в популярном сервере figma-developer-mcp (Model Context Protocol, MCP). Проблема позволяла атакующим удаленно выполнять произвольный код.
https://xakep.ru/2025/10/10/cve-2025-53967/
Google не будет исправлять проблему ASCII smuggling в ИИ-помощнике Gemini
Разработчики Google сообщили, что проблема «контрабанды ASCII-символов» (ASCII smuggling) в Gemini не получит исправлений. Такая атака может использоваться для обмана ИИ-ассистента с целью предоставления пользователям фальшивой информации, изменения поведения модели и скрытого отравления данных.
https://xakep.ru/2025/10/09/gemini-ascii-smuggling/
Воркшоп «Бренд в шести измерениях»: как сделать ИБ-продукт видимым на рынке
Основатель «Хакера» и эксперт с опытом построения 100+ брендов Дмитрий Агарунов проведет в «Кибердоме» практический воркшоп по упаковке кибербез- и ИТ-продуктов для стартапов и разработчиков.
Когда: 27 октября, 18:00–21:00.
Где: «Кибердом», г. Москва, ул. 2-я Звенигородская, д. 12 стр. 18.
Мероприятие ориентировано на основателей ИБ-стартапов, BDM, продакт-менеджеров и технические команды, готовящие выход на рынок.
Вы получите бренд-код продукта вашей компании и научитесь:
▪️переводить технические фичи в понятные клиенту преимущества;
▪️четко формулировать уникальную ценность продукта;
▪️строить позиционирование, которое выделит вас среди конкурентов;
▪️говорить с клиентами на их языке, а не на языке кода.
📝 Зарегистрироваться.
Реклама. АО «Кибердом». ОГРН 1217700633622.
Salesforce заявила, что не будет платить хакерам-вымогателям, похитившим 1 млрд записей
Представители Salesforce сообщили, что не намерены вести переговоры и платить выкуп злоумышленникам, которые стоят за серией масштабных атак, связанных с кражей данных клиентов компании. В настоящее время хакеры пытаются шантажировать 39 компаний, чьи данные были похищены из Salesforce.
https://xakep.ru/2025/10/09/salesforce-blackmail/
Discord подтверждает: хакеры украли удостоверения личности 70 000 пользователей
Компания Discord заявила, что не собирается платить выкуп злоумышленникам, которые утверждают, что им удалось похитить данные 5,5 млн пользователей. В украденных данных содержатся копии удостоверений личности и частичная платежная информация некоторых пользователей. В компании утверждают, что на самом деле утечка затронула около 70 000 человек.
https://xakep.ru/2025/10/09/discord-statement/
Восточноазиатская группа NGC4141 атакует кастомные веб-приложения российских организаций
Аналитики центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую группировку, которая с помощью публичных инструментов атаковала веб-приложение неназванного федерального ведомства, работавшее на кастомном движке. По словам экспертов, хакеры сумели проникнуть в инфраструктуру жертвы и выполнить команды в ОС сервера.
https://xakep.ru/2025/10/08/ngc4141/
Недобровольный осмотр. Исследуем защитные скрипты, пересекающие границы приватности #статьи #подписчикам
В этой статье мы разберем необычную стратегию защиты веб‑приложений, где скрипты загружаются еще до отображения страницы и выполняют сложные проверки сети, портов и активности пользователя. Раскроем обфусцированный код и изучим механизмы, применяемые для выявления ботов и угроз.
https://xakep.ru/2025/10/08/js-user-profiling/
Где узнать о передовых технологиях в сфере ИБ?
На III ежегодной конференции по защите данных «Гарда: Сохранить всё. Безопасность информации»!
Эксперты в области ИБ и IT, права, CISO и CIO крупнейших компаний, представители Минцифры и ФСТЭК встретятся, чтобы обсудить текущие вызовы в сфере кибербезопасности.
В программе
Защита персональных данных, угрозы 2026 года, законодательные изменения, оборотные штрафы, KPI безопасности и защита финансовых сервисов.
🔥 В пленарной сессии примет участие министр цифрового развития РФ Максут Шадаев.
На конференции
▪️ Более 2000 участников
▪️ 30+ экспертов
▪️ 3 трека: технологический, стратегический и практический
🔔 Мероприятие подводится при поддержке ФСТЭК России и Минцифры.
Ждем вас 🗓16 октября в московском конгресс-центре Soluxe. Участие бесплатное по предварительной регистрации.
🟣 Присоединяйтесь!
Реклама. ООО «Гарда Технологии». ИНН 5260443081.
Пожары в южнокорейских дата-центрах уничтожили 858 ТБ данных и могут быть связаны с КНДР
В конце сентября 2025 года Южная Корея столкнулась с одним из крупнейших технологических сбоев в истории страны. Два пожара в дата-центрах, произошедших за неделю, парализовали работу сотен государственных онлайн-сервисов, включая госуслуги, почтовые и налоговые системы. Премьер-министр страны назвал ситуацию «цифровым параличом». В сети предполагают, что происходящее может быть связано со статьей из Phrack о взломе систем северокорейского хакера.
https://xakep.ru/2025/10/08/nirs-fire/
Объявлены темы докладов CyberCamp 2025
Онлайн-конференция по информационной безопасности CyberCamp 2025 пройдет с 20 по 25 октября. В программе мероприятия запланировано более 40 докладов специалистов, которые поделятся методами построения эффективной защиты от кибератак и повышения киберустойчивости. Уже сейчас на платформе кэмпа доступны первые доклады и практические задания для соло-участников.
https://xakep.ru/2025/10/08/cybercamp-2025-program/
Реклама. АО «Инфосистемы Джет». ИНН 7729058675.
Критический баг в Redis угрожает тысячам серверов
Команда безопасности Redis выпустила патчи для критической уязвимости, которая позволяет атакующим осуществлять удаленное выполнение произвольного кода. Проблема присутствовала в коде около 13 лет.
https://xakep.ru/2025/10/07/redishell/
MFA, которая не бесит пользователей: как найти баланс между стойкостью, простотой и удобством
🗓 8 октября в 12:00 (мск)
➡️ Регистрация
TOTP и HOTP: в чем разница? Кто сейчас использует аппаратные генераторы OTP? Какие плюсы у "фирменного" мобильного приложения? Почему SMS — это не только SMS? Пуш-уведомления: есть ли у них минусы? Как работает адаптивная аутентификация?
Технический директор MFASOFT Михаил Рожнов расскажет про плюсы, минусы и подводные камни популярных методов аутентификации, а также про то, как MFASOFT позволяет гибко выбирать между ними в зависимости от требований ИБ-службы и предпочтений пользователей.
На вебинаре мы:
— Напомним, как работают генераторы одноразовых паролей, токены "запрос-ответ" и пуш-уведомления
— Расскажем о том, что такое беспарольная и адаптивная аутентификация
— Перечислим доступные нам сейчас методы аутентификации
— Обсудим их преимущества и недостатки
— Покажем, как они реализованы в программном комплексе SAS
— Продемонстрируем их работу в связке с популярными приложениями
— Поделимся опытом реальных внедрений
Вебинар будет полезен тем, кто:
• Отвечает за эксплуатацию и поддержку решений по MFA
• Проектирует инфраструктуру ИБ
• Участвует во внедрении аутентификации по требованиям регуляторов
• Выбирает между разными системами MFA и хочет понимать, как они устроены в деталях
• Устал от маркетинговых обещаний и хочет услышать правду от инженера
Регистрируйтесь на вебинар уже сейчас!
Реклама. ООО "Экспо-Линк". ИНН 6670051499
У SonicWall украли конфигурации брандмауэров всех клиентов, использовавших облачные бэкапы
Компания SonicWall подтвердила, что произошедшая в прошлом месяце утечка данных затронула всех клиентов, которые использовали облачный сервис компании для резервного копирования. В итоге конфигурации файрволов, хранившиеся в MySonicWall, попали в руки хакеров.
https://xakep.ru/2025/10/10/mysonicwall-leak/
One step to crit. Раскручиваем уязвимость в платежной логике #статьи #подписчикам
В этой статье я расскажу про кейс с Bug Bounty, в котором мне удалось обойти бизнес‑логику приложения, создавать валидные платежи и списывать деньги клиентов. Я тестировал API одной финансовой организации, у которой есть фонд с личным кабинетом. Основные функции были за авторизацией, за исключением кнопки «Сделать взнос»…
https://xakep.ru/2025/10/10/payment-logic-hack/
Атака Mic-E-Mouse превращает мышь в устройство для прослушки
Исследователи из Калифорнийского университета в Ирвайне представили атаку Mic-E-Mouse. Специалисты демонстрируют, что оптические сенсоры с высоким DPI в современных мышах могут улавливать малейшие вибрации поверхности, что позволяет с высокой точностью восстановить произнесенные рядом с гаджетом слова.
https://xakep.ru/2025/10/10/mic-e-mouse/
26 ноября пройдет конференция по кибербезопасности ZeroNights 2025
Конференция по практической кибербезопасности ZeroNights возвращается после перерыва. Мероприятие пройдет 26 ноября в Санкт-Петербурге. Call for papers еще открыт: последний день подачи заявок на доклады — 12 октября!
https://xakep.ru/2025/10/10/zeronights-2025/
Реклама. ООО «Кибер Сервис». ИНН 7725496205.
Clop атакует пользователей Oracle E-Business Suite с помощью 0-day уязвимости
На прошлой неделе компания Oracle предупредила клиентов о критической 0-day уязвимости в E-Business Suite (CVE-2025-61882), которая позволяет удаленно выполнять произвольный код без аутентификации. Как стало известно теперь, хак-группа Clop активно применяет эту уязвимость в атаках с августа 2025 года.
https://xakep.ru/2025/10/09/oracle-0day/
Двоюродный брат Flipper. Тестируем M5StickC Plus2
Этот компактный девайс называют «двоюродным братом Flipper», и не зря. M5StickC Plus2 — крошечное устройство на базе ESP32 размером с зажигалку, оборудованное дисплеем, несколькими датчиками и батарейкой. Для пентестера этот аппарат открывает множество интересных возможностей, часть которых доступна с дополнительными примочками. Я купил такую игрушку, чтобы посмотреть на нее в деле и рассказать тебе,…
https://xakep.ru/2025/10/09/m5stickc-plus2-review/
В 2025 году северокорейские хакеры похитили более 2 млрд долларов
По оценке блокчейн-аналиков компании Elliptic, за девять месяцев 2025 года северокорейские хакеры похитили криптовалютные активы на сумму свыше 2 млрд долларов США, что является новым рекордом.
https://xakep.ru/2025/10/09/elliptic-stats/
Осенняя серия практических курсов по ИБ от Inseca.
Все программы основаны на реальных задачах, практике и инструментах, которые используют в работе. Курсы ведут практикующие специалисты.
📅 Осень 2025:
Digital Forensics & Incident Response — 25 октября
Threat Intelligence — 8 ноября
Threat Hunting — 8 ноября
Vulnerability Management — 15 ноября
🆕 Новые курсы:
Antifraud — 11 октября
Получите навыки борьбы с мошенничеством. Пользовательский, финансовый, внутренний и рекламный антифрод.
Linux Incident Response & Security — 8 ноября
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
🔹Выгодные условия оплаты для физических и юридических лиц.
🔹Удостоверение о повышении квалификации с внесением в федеральный реестр.
👉🏼 Получить демодоступ
Реклама. ООО "Инсека". ОГРН 1233400004420.
Qualcomm покупает Arduino и анонсирует одноплатный компьютер UNO Q
Компания Qualcomm, разрабатывающая и производящая микросхемы для мобильных телефонов и другой электроники, приобретает Arduino — итальянскую компанию, известную своей опенсорсной экосистемой железа и ПО. В своем заявлении Qualcomm подчеркивает, что Arduino «сохранит свой бренд и миссию».
https://xakep.ru/2025/10/08/qualcomm-arduino/
Хакеры шантажируют Red Hat, угрожая опубликовать украденные данные
Группировка Scattered Lapsus$ Hunters шантажирует компанию Red Hat. На сайте злоумышленников появились образцы похищенных у компании отчетов о взаимодействии с клиентами, и хакеры утверждают, что потребовали у Red Hat выкуп, но пока не получили ответа.
https://xakep.ru/2025/10/08/red-hat-blackmail/
DLBI: боты-пробивщики создают дефицит утечек данных
Специалисты Data Leakage & Breach Intelligence (DLBI) провели исследование российского рынка утечек данных за январь–сентябрь 2025 года. По их данным, владельцы ботов-пробивщиков скупают даже небольшие базы данных, содержащие потенциально интересную информацию, и порой тратят на это тысячи и даже десятки тысяч долларов.
https://xakep.ru/2025/10/08/2025-leaks/
Открытое обращение к министру цифрового развития от основателя «Хакера»
Мы публикуем текст обращения, направленного министру цифрового развития с целью остановить принятие поправки к закону «Об информации», которая значительно затруднит работу как «Хакера», так и других обучающих ресурсов и площадок, связанных с кибербезопасностью.
https://xakep.ru/2025/10/08/infosec-law-letter/
Приложение Neon, платившее за запись звонков, слило разговоры пользователей и закрылось
В конце сентября 2025 года на второе место по популярности в Apple App Store вышло приложение Neon, которое платило пользователям за запись их телефонных звонков и продавало данные ИИ-компаниям. Однако вскоре в Neon обнаружили уязвимость, которая позволяла любому желающему получить доступ к телефонным номерам, записям звонков и расшифровкам разговоров пользователей.
https://xakep.ru/2025/10/07/neon-fail/
Бейсболки «Хакера»: классика, которая всегда с тобой
Зима близко, но бейсболки «Хакера» актуальны круглый год. Четыре модели с объемной вышивкой и удобной посадкой ждут своих владельцев. Работаешь в темном режиме? Оденься под стать.
https://xakep.ru/2025/10/07/hackercaps/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Еще один способ взломать WP. Загружаем веб-шелл через плагин Copypress #статьи #подписчикам
Сегодня разберем недавно найденный баг в WordPress и напишем собственный эксплоит на Python. Уязвимость содержится в copypress-rest-api, позволяет обходить запрет на скачивание плагина из каталога WP и добиваться возможности исполнения команд. Она получила номер CVE-2025-8625 и критический статус.
https://xakep.ru/2025/10/07/wp-copypress-cve/