ITsec NEWS (@itsec_news) — Telegram-канал | Telegram Dialogs
Все каналы
ITsec NEWS

ITsec NEWS

@itsec_news

5.7K подписчиков технологии

Регулярные новости и интересные публикации в сфере ITsec. По вопросам сотрудничества писать @cyberhackGL

Последние публикации

ITsec NEWS
27.03.2026 14:25 · 👁 1.2K
Исследователи из Стэнфорда просканировали 10 миллионов веб-страниц и обнаружили 1 748 действующих API-ключей, токены AWS, платёжные данные Stripe, ключи GitHub и OpenAI. Среди пострадавших оказались крупный международный банк, производитель прошивок для дронов, государственные учреждения и объекты критической инфраструктуры. Утечки оставались доступными в среднем 12 месяцев, некоторые, несколько лет. 84% ключей нашлись в JavaScript-файлах, из них 62% в бандлах Webpack. Корень проблемы, процесс сборки: инструменты встраивают переменные окружения прямо в итоговый файл, который отдаётся всем посетителям сайта. AWS-ключи составили 16% утечек и присутствовали на 4 693 сайтах. Такой ключ даёт доступ к S3-хранилищам, EC2-инстансам, базам данных и настройкам IAM. Утечка у производителя дронов открывала возможность внедрить вредоносную прошивку, достаточно было просто открыть публичную страницу. Для сканирования и проверки ключей команда использовала TruffleHog v3.90.8, который выполнял живую проверку через API сервисов. После уведомлений количество утечек сократилось вдвое за две недели, но реальное их число в интернете гораздо выше. ITsec NEWS
ITsec NEWS
27.03.2026 13:51 · 👁 1.1K
GitHub объявил о расширении GitHub Code Security: к классическому статическому анализу на базе CodeQL добавятся ИИ-детекторы уязвимостей, главная цель это находить больше проблем в языках, фреймворках и конфигурациях, где традиционный анализ покрывает не все сценарии. GitHub не заменяет CodeQL на ИИ, а строит гибридную модель: там, где силён формальный статический анализ, остаётся CodeQL, где нужно расширить охват и найти типовые ошибки в разных экосистемах, подключается ИИ. Среди направлений, Shell/Bash, Dockerfiles, Terraform, PHP и другие. Значительная часть рисков связана не только с прикладным кодом, но и с конфигурацией сборки, скриптами автоматизации и инфраструктурой как кодом. Система станет частью обычного рабочего процесса и будет срабатывать при создании pull request, при запросе на слияние изменений. Платформа автоматически выберет подходящий механизм проверки (CodeQL или ИИ). Если найдутся проблемы вроде слабой криптографии, небезопасных SQL-конструкций или ошибочных настроек, предупреждения появятся в интерфейсе pull request до слияния кода. GitHub Code Security, набор встроенных инструментов безопасности: сканирование кода на уязвимости, проверка зависимостей на уязвимые open-source библиотеки, поиск случайно опубликованных токенов и ключей, а также подсказки по исправлению через Copilot Autofix. Во внутреннем тестировании новая система обработала более 170 тысяч находок за 30 дней, а 80% отзывов разработчиков были положительными и указывали, что срабатывания оказались полезными и валидными. Новая гибридная модель с ИИ-детекторами должна выйти в публичное предварительное тестирование в начале второго квартала 2026 года. ITsec NEWS
ITsec NEWS
19.03.2026 12:20 · 👁 1.1K
Вчера исследователи из Google, Lookout и iVerify раскрыли DarkSword, набор из шести уязвимостей iOS, три из которых были 0-day. Эксплойт работает через одно посещение вредоносной веб-страницы в Safari и даёт полный контроль над iPhone. Затронуты версии iOS 18.4–18.7, жертвы обнаружены в Саудовской Аравии, Турции, Малайзии и на Украине. Три независимые группы использовали DarkSword одновременно. UNC6748 атаковал через фишинговый сайт под Snapchat в Саудовской Аравии, турецкий производитель PARS Defense действовал в Турции и Малайзии, а группа UNC6353 заражала украинские сайты. В коде последних обнаружили комментарии на русском языке. Атака начинается с уязвимостей в JavaScriptCore, пробивает песочницу Safari через графический слой ANGLE, затем через системную службу mediaplaybackd (системная службакоторая отвечает за воспроизведение медиаконтента⁠) получает доступ к ядру iOS. Весь эксплойт выполняется на чистом JavaScript без записи файлов на устройство. Каждая группа устанавливала свой вредоносный софт. GHOSTKNIFE собирал сообщения и записи с микрофона, GHOSTSABER поддерживал более 16 команд включая SQL-запросы к любым базам на устройстве, а GHOSTBLADE работал по принципу «ударил и ушёл», за минуты выгружая всё, от iMessage до кошельков криптовалют, после чего удалял следы. Интересная деталь, аналитики нашли признаки использования больших языковых моделей при написании кода. А образец GHOSTBLADE содержал полные записи отладки и ссылку на нереализованную функцию startSandworm(), возможно, кодовое название другого инструмента. Hacker's TOYS
ITsec NEWS
18.03.2026 11:09 · 👁 1K
Telegram 17 марта 2026 года заблокировал 114 348 групп и каналов за одни сутки, это первый случай превышения 100 000 отметки с 10 марта. С начала года мессенджер ограничил доступ к более чем 10 миллионам сообществ, что сопоставимо с темпами всего 2025 года, когда было заблокировано 44 миллиона каналов. Пиковые значения блокировок пришлись на январь и февраль: 23 января мессенджер ограничил доступ к 300 800 сообществам за одни сутки, в феврале максимум достиг 235 200. За март уже заблокировано более 1,5 миллиона сообществ, среди них около 9 500 связаны с терроризмом. Telegram использует трёхуровневую систему модерации: жалобы пользователей и автоматический мониторинг на основе машинного обучения работают с 2015 года, а с начала 2024 года к ним добавились инструменты на базе искусственного интеллекта. Роскомнадзор с начала 2026 года направил мессенджеру свыше 35 600 требований на удаление запрещённого контента. Более 10 000 касались материалов сексуального насилия над детьми, 13 000 публикаций были посвящены способам обхода блокировок, 9 700 содержали пронаркотический контент, 1 400 затрагивали тему суицида. Глава Минцифры Максут Шадаев в феврале заявил, что Telegram проигнорировал более 150 000 запросов на удаление. К середине марта доступность мессенджера в России значительно упала, доля неудачных запросов к доменам Telegram достигла 80%. С 14-15 марта пользователи сообщали о невозможности отправлять сообщения и загружать медиафайлы. Таганский суд Москвы 16 марта назначил мессенджеру пять штрафов на общую сумму 35 миллионов рублей. С сентября 2025 по январь 2026 судебные приставы возбудили 8 исполнительных производств на 9,12 миллиона рублей. ФАС 6 марта признала рекламу в Telegram незаконной, что затрагивает владельцев каналов, размещающих рекламные интеграции. ITsec NEWS
ITsec NEWS
18.03.2026 10:49 · 👁 815
С 1 сентября в России меняются правила регистрации доменов в национальных зонах. Анонимно зарегистрировать или продлить домен .ru, .рф или .su больше не получится, теперь это возможно только после подтверждения личности через «Госуслуги». Закон был принят Госдумой ещё в декабре 2025 года. Главное изменение, обязательная идентификация через ЕСИА для всех владельцев доменов. Регистраторы обязаны проверять личность каждого администратора доменного имени, и без этой проверки запись в реестр просто не внесут. Это касается как физических, так и юридических лиц. Изменения затронут и сам рынок регистраторов. Правительство создаст специальный перечень аккредитованных компаний, и только они смогут работать с национальными доменами. Эксперты предполагают, что это может привести к укрупнению рынка, небольшие регистраторы рискуют не пройти аккредитацию. Интересный момент для тех, у кого домены уже есть: предусмотрен переходный период. Владельцам старых доменов тоже нужно будет подтвердить личность через «Госуслуги», хотя конкретные сроки пока не установлены. Закон разрабатывался больше года и направлен против мошенников, которые создавали фишинговые сайты-однодневки на поддельные документы. Правда, юристы отмечают важный нюанс: меняется сам правовой режим доменов. Раньше для изъятия домена обычно требовалось решение суда, теперь же отсутствие подтверждения личности может стать основанием для удаления записи из реестра без суда. Владельцам доменов стоит заранее проверить наличие подтверждённой учётки на «Госуслугах» и уточнить у своего регистратора его планы по аккредитации. Остаётся открытым вопрос: переместятся ли мошенники просто в зарубежные зоны вроде .com или .net? Hacker's TOYS
ITsec NEWS
17.03.2026 15:45 · 👁 785
CISA внесло уязвимость Wing FTP Server в KEV, её уже используют в атаках. Речь о CVE-2025-47813 в Wing FTP Server до 7.4.4. По описанию NVD, уязвимость позволяет раскрыть полный локальный путь установки приложения через слишком длинное значение в cookie UID. Оценка уязвимости, 4.3 CVSS. Но CISA добавляет CVE в KEV только при наличии подтверждений активной эксплуатации. То есть уязвимость уже используется злоумышленниками в реальных атаках. Ситуация осложняется тем, что Wing FTP уже фигурировал в истории с критической CVE-2025-47812, которая позволяла добиться удалённого выполнения кода и также эксплуатировалась в реальных атаках. Необходимо обновить Wing FTP Server до версии 7.4.4 или новее. Не стоит недооценивать эту уязвимость только из-за средней оценки по CVSS. ITsec NEWS
ITsec NEWS
17.03.2026 11:46 · 👁 1.1K
Российская система интернет-блокировок не справляются с нагрузкой. IT-эксперты фиксируют системные сбои: ТСПУ физически не справляется с объёмом трафика, блокировки работают с перебоями, а пользователи то и дело получают доступ к якобы заблокированным сервисам. С Telegram ситуация особенно показательна. Полностью отключить мессенджер технически невозможно, не хватает мощности оборудования. Провайдеры идут окольным путём: душат скорость до предела, надеясь, что люди сами откажутся от платформы. Но если власти решат заменить точечные блокировки на тотальные «белые списки», последствия будут катастрофическими. Первыми жертвами станут умные устройства от лампочек до холодильников, включая технику из дружественных стран. Они потеряют связь с серверами производителей и часть функций просто отключится. Попытка добавить эти сервера в «белый список» создаст лазейки для обхода блокировок, превращая всю систему в бессмысленную затею. Эксперты бьют тревогу: нынешняя система не просто не работает против Telegram, она угрожает всей цифровой инфраструктуре. Блокировки затрагивают бизнес-сервисы, образовательные платформы и бытовые приложения. А переход к жёстким ограничениям может парализовать повседневную жизнь миллионов пользователей. ITsec NEWS
ITsec NEWS
17.03.2026 11:23 · 👁 737
WhatsApp расширяет тестирование функции гостевых чатов, которая позволяет общаться без регистрации в мессенджере. После нескольких месяцев испытаний на Android возможность стала доступна ограниченному числу бета-тестеров на iOS и в веб-версии, сообщает WABetaInfo. Как это работает? Пользователь создаёт уникальную ссылку-приглашение и отправляет её через SMS или другое приложение. Получатель переходит по ссылке в веб-версию WhatsApp, принимает условия сервиса, вводит имя и всё, можно общаться. Аккаунт создавать не нужно. Правда, к диалогу потенциально может подключиться любой, у кого есть эта ссылка. Участники без аккаунта помечаются как «Гость». WhatsApp заверяет, что гостевые чаты защищены сквозным шифрованием, так что содержимое сообщений остаётся недоступным ни для самой платформы, ни для третьих лиц. Пока функция сильно ограничена: работают только текстовые сообщения. Никаких групповых чатов, голосовых сообщений, вложений, стикеров, GIF или звонков. А если чат неактивен 10 дней, сессия автоматически завершается. ITsec NEWS
ITsec NEWS
17.03.2026 10:58 · 👁 819
Российские чиновники и менеджеры госкомпаний массово покупают новые сим-карты и отдельные смартфоны специально для национального мессенджера Max. Даже те, кто регистрируется по старому номеру, предпочитают использовать для этого отдельное устройство. Один из источников, близкий к правительству, объяснил это так: «Если ты установил себе на телефон Max, то это все равно, что ты отнес его в ФСБ». Многие чиновники не синхронизируют с приложением личные контакты и используют новые телефоны исключительно для рабочего общения с коллегами. Топ-менеджер госбанка признался, что скачал Max только для связи с коллегами, находясь за границей, и планирует удалить его после возвращения в Россию. Источник в федеральном ведомстве добавил, что никто на самом деле не хочет уходить из Telegram, и многие надеются, что Павел Дуров найдет способ обойти блокировки. ITsec NEWS
ITsec NEWS
13.03.2026 14:12 · 👁 1K
Anthropic и Mozilla провели совместный эксперимент: модель Claude Opus 4.6 за две недели нашла 22 уязвимости в Firefox, 14 из которых оказались критичными. Это почти пятая часть всех серьёзных дыр, закрытых в браузере за весь прошлый год. Тестирование прошло в январе. Claude начал с JavaScript-движка и за 20 минут обнаружил первую проблему use-after-free. Модель просканировала около 6000 файлов на C++ и выдала 112 отчётов, помимо CVE, нашлись десятки багов, которые традиционный фаззинг не засёк. Самая опасная уязвимость CVE-2026-2796 с оценкой 9.8 по CVSS. Ошибка в JIT-компиляции WebAssembly теоретически позволяет выполнить произвольный код. Anthropic потратила $4000 на попытки написать эксплойты, но только два сработали, и то лишь в тестовой среде с отключённой песочницей. В реальных условиях защита Firefox устояла. Интересный контраст: создатель CURL Даниэль Стенберг в феврале закрыл программу bug bounty из-за лавины ИИ-мусора, ни один автоматический отчёт за шесть лет не нашёл реальной дыры в его проекте. Разница в том, что Anthropic работала с Mozilla напрямую, а не через автоматизированную подачу. Mozilla уже закрыла большинство найденных уязвимостей в Firefox 148, вышедшем в конце февраля. Anthropic тем временем запустила в превью сервис Claude Code Security для автоматического поиска и исправления багов. Пользователям стоит обновиться до версии 148 или новее. ITsec NEWS
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.