🧟WhatsApp готовят к «цифровой эмиграции»?

По мнению депутата Александра Горелкина, WhatsApp с высокой вероятностью окажется в списке ПО из «недружественных» стран — и будет ограничен в России. Сервисом владеет Meta, признанная экстремистской, а значит — прямая дорога под запрет. Хотя платформа остаётся самой популярной в стране, это её уже не спасает.

Telegram ограничения могут обойти стороной — несмотря на офшорную регистрацию. Главное, как считает Горелкин, — соблюдать российские правила и демонстрировать лояльность. Взамен пользователям предлагают «национальный мессенджер» с верификацией через Госуслуги, цифровым паспортом и встроенной подписью.

Если WhatsApp действительно «уйдёт», начнётся самый масштабный передел пользовательской базы за последние несколько лет.

#мессенджеры #регуляторика #цифрасуверенитет

@SecLabNews

🔍 PT запускает альтернативу CVE: 317 тысяч уязвимостей в открытом доступе

Positive Technologies открыла общедоступный портал с данными о 317 тысячах уязвимостей в ПО и оборудовании. База регулярно пополняется — в среднем публикуется тысяча новых записей еженедельно.

Создание портала стало ответом на проблемы международных баз CVE и NVD, которые сталкиваются с задержками обновлений и сокращением финансирования. Такие сбои дают преимущество злоумышленникам, позволяя им эксплуатировать неустранённые уязвимости.

Портал использует ИИ для агрегации данных из множества источников и создания подробных описаний уязвимостей. В отличие от CVE, в базе PT указываются имена исследователей, обнаруживших уязвимости, а также рейтинг самых обсуждаемых брешей в сообществе.

#кибербезопасность #уязвимости #PositiveTechnologies #InfoSec

@SecLabNews

🆕 Еженедельный обзор киберновостей SecurityLab

На прошедшей неделе киберпреступники активизировались по всему миру: от парализующих атак на Air Serbia до новых требований по обязательному уведомлению о каждом инциденте в ГосСОПКА. Параллельно власти разных стран ужесточают контроль над цифровым пространством — в России готовят штрафы за VPN, а США впервые заговорили о физической уязвимости глобального интернета через подводные кабели — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Сербская авиакомпания Air Serbia осталась без IT-инфраструктуры после масштабной кибератаки, парализовавшей все компьютерные системы.

Хакеры превратили обычные NAS-устройства Synology в оружие массового шифрования, парализовав бизнесы по всей Италии на сотни тысяч евро.

Китайские дроны захватили 70% американского неба без единого выстрела, превратившись в новую угрозу для национальной безопасности США.

США впервые поставили под сомнение физическую надёжность всего глобального интернета из-за китайского контроля над подводными кабелями.

Криптобиржа BigONE потеряла $27 миллионов за одну ночь в результате атаки на цепочку поставок.

👁В России

Пользование VPN может обернуться штрафами, но Шейкин объяснил, когда наказывают, а когда проходят мимо.

Иностранные мессенджеры попали в чёрный список — до 1 сентября решат их судьбу в России.

Национальный мессенджер MAX обзавёлся новыми функциями: 4 ГБ в один клик, GigaChat и интеграция с Госключом.

ГИС обязали стучать: каждый инцидент — в ГосСОПКА, каждый байт — под надзором.

Telegram делает тихий шаг навстречу системе и идёт в Роскомнадзор с документами.

👨‍🔬 Кибермир

Российские хакеры показали, как взломать сервер одним кликом через критические уязвимости в ATEN KVM с оценкой 9,8 баллов.

Антивирусы признали поражение перед SquidLoader — вирусом-терминатором, который самоуничтожается при угрозе разоблачения.

Популярная утилита PuTTY стала рассадником троянов через заражённые репозитории, которым доверяют программисты.

Обнаружена критическая RCE-уязвимость в Cisco IOS с оценкой 10 из 10, дающая полный контроль над маршрутизатором.

Третья критическая дыра за год найдена в NVIDIA Container Toolkit — всего 3 строки кода для 9.0 баллов по CVSS.

🔎 Новости науки и технологий

NASA представила первый сверхзвуковой самолёт X-59, который не бьёт окна и не мешает спать соседям.

LIGO зафиксировала самое тяжёлое слияние чёрных дыр в истории — образование монстра весом в 225 Солнц.

Учёные заставили квант запутаться во времени и получили то, что Вселенная прятала столетиями.

OpenAI избавила нас от сложных промптов — теперь искусство создаётся простым выбором стиля.

ChatGPT научился выполнять всю работу за пользователя — от анализа до оформления презентаций.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

📱Massistant: карманная экспертиза под присягой

Исследователи раскрыли подробности работы Massistant — мобильного криминалистического инструмента от китайской компании Meiya Pico. Программа устанавливается на конфискованные устройства и превращает их в послушных информаторов для правоохранителей.

Физический доступ к телефону, установка приложения, которое выпрашивает все возможные разрешения, и синхронизация с настольным ПО. Инструмент собирает геоданные, переписки, медиафайлы и даже проникает в защищённые мессенджеры вроде Signal. При отключении от USB приложение автоматически удаляется.

Компания уже попала под санкции США за слежку за уйгурами, но продолжает развивать технологии массового контроля. Туристам в Китае стоит помнить — их смартфоны могут стать открытой книгой для местных силовиков.

#мобильнаябезопасность #китай #Massistant

@SecLabNews

🔒Соцсети обяжут цензурировать «духовные ценности»

Если сайт или видеосервис ежедневно набирает 100 тыс. пользователей из РФ — готовьтесь к цензурным требованиям. Поправки ко второму чтению закона №795487-8 вводят обязанность удалять фильмы и ролики, которые Минкульт сочтёт «дискредитирующими традиционные духовно-нравственные ценности».

При отказе в прокатном удостоверении или его отзыве Роскомнадзор направляет требование — у владельца платформы есть сутки на блокировку. Аналогичная норма вводится для соцсетей с аудиторией от 500 тыс. в сутки — под удар попадают даже пользовательские публикации.

С 1 марта 2026 года прокат фильма без учёта изменений в удостоверении приравнивается к полному его отсутствию. А понятие «показ» уточняется: теперь под ним официально понимается и распространение фильма через аудиовизуальные сервисы. Де-факто Минкульт получает рычаг регулирования всего видеоконтента в рунете.

#законодательство #цензура #аудиовизуальныйконтент @SecLabNews

✉️SS7 слил локацию — просто по номеру

Специалисты Enea зафиксировали, как господрядчик с Ближнего Востока обошёл защиту мобильной сети и запросил геолокацию абонентов через SS7 — старый, но до сих пор живой протокол. Без взлома, без заражения — просто отправил запрос и получил координаты с точностью до ближайшей вышки. В городе это — почти адрес.

Работает всё через уязвимости роуминга: оператор доверяет служебному запросу, если фильтры не выставлены правильно. Большинство пользователей даже не узнают, что за ними следили. А операторы — молчат. Кто был целью — не сообщается, но атака выглядела как точечная разведоперация.

И это не единичный случай. Слежка через SS7 — на подъёме, а коммерческие фирмы охотно пишут нужный софт «только для госорганов». Только вот следят им не за террористами, а за журналистами и активистами. Добро пожаловать в мир, где твоя SIM-карта — маяк.

#SS7 #слежка #госхакеры

@SecLabNews

🏴‍☠️Модератор за рубль: новый обман с OnlyFans

Мошенники снова играют на желании подзаработать: жителям России предлагают удалённую работу «модератором OnlyFans» с оплатой в 10 000₽ в неделю. Всё, что нужно — пройти «верификацию» через фейковое приложение и заплатить символический рубль. На деле — это троян, перехватывающий СМС от банков.

Приложение якобы скачивается с Google Play, но ведёт на сайт only-fans[.]in. Вместо работы — шпион на Android, который собирает данные карты, выводит деньги, оформляет кредит. За первое полугодие 2025 одна группа обманула 93 человека и похитила 869 000₽. В схеме — подставные Telegram-аккаунты с премиумами и деловыми аватарками.

Удалёнка, где вы — только цель. Высокая зарплата, минимум требований, «нужен Android 7+» — набор флажков, по которым вычисляется скам. F6 советует: не кликайте по мечтам.

#OnlyFans #удалёнка #мошенничество

@SecLabNews

🫡VPN не запретили — но играть по-старым правилам больше нельзя

В России официально не запретили VPN, но сделали его "опасным" аттракционом: к штрафам теперь ведёт не только реклама обхода блокировок, но даже намеренный поиск запрещённого контента через любой канал — включая туннель, шифр и бубен. Закон принят, ставки выросли, а формулировки стали точнее, чем DPI.

Смысл нововведений — не в тотальной зачистке, а в создании «санитарной зоны» вокруг цифровой активности: подключаться можно, но не высовывайся. VPN для удалёнки — пожалуйста. Защищать трафик в общественном Wi-Fi — без вопросов. Но если вы «случайно» искали PDF из реестра экстремистских материалов или написали твит про «самый быстрый обход» — готовьте 5 тысяч, а то и больше.

Ирония в том, что VPN в законе остался — но говорить о нём вслух становится опаснее, чем пользоваться. Формально не запрещено, фактически — под прицелом. Новый цифровой этикет прост: меньше слов, меньше ссылок, больше тишины в туннеле. И, возможно, никто не постучит.

#VPN #КоАП #РКН

@SecLabNews

🚨 Нейросеть удалила базу данных и сказала "простите, запаниковала"

Replit обещает сделать из любого менеджера программиста. На практике получается наоборот — из программиста делает нервного менеджера, который не понимает, что творится в его системе. Основатель SaaStr это прочувствовал на собственной шкуре.

Самое странное не в том, что нейросеть удалила базу. А в том, как она себя вела после этого. Сначала наврала, что данные невозможно восстановить. Потом оказалось — можно, просто никто не проверял. Это классическое поведение системы, которая пытается скрыть свои ошибки вместо их исправления.

Получается забавная ситуация — мы создаём ИИ, который должен упростить разработку, но он добавляет новый слой непредсказуемости. Вместо отладки кода теперь приходится отлаживать поведение нейросети. И никто не знает, что у неё в голове, когда она "паникует" и начинает удалять важные данные.

#Replit #ИИразработка #SaaStr

@SecLabNews

🔗Четырехлетняя охота за XSS.is завершилась арестом в Киеве

Парижская прокуратура опубликовала официальный пресс-релиз о задержании предполагаемого администратора XSS.is в Киеве. Четыре года работы, два уголовных дела, международная координация — операция была серьезной.

Французы начали копать в июле 2021-го, когда получили доступ к переписке на сервере​ thesecure.biz. Хакеры думали, что Jabber их защитит — ошиблись. К ноябрю 2021-го материала хватило на второе уголовное дело — уже по тяжким статьям.

XSS.is был не просто форумом, а полноценной B2B-платформой киберпреступности с 2013 года. Документированный ущерб — 7 миллионов долларов, но это только верхушка. Реальные цифры наверняка в разы больше. Задержание — болезненный удар по экосистеме. Но криминальные площадки имеют свойство возрождаться под новыми именами.

#киберпреступность #XSSis #хакеры

@SecLabNews

🫨Повторение SolarWinds, только хуже: взлом SharePoint обернулся эпидемией

Национальное управление по ядерной безопасности США стало жертвой масштабной кибератаки через критическую уязвимость в Microsoft SharePoint Server. Атака началась 18 июля и быстро распространилась на федеральные ведомства. Под ударом оказались системы, отвечающие за ядерный арсенал страны.

Группировка Storm-2603 изменила тактику — от традиционного шпионажа перешла к развертыванию программ-вымогателей. Это качественный скачок в киберугрозах для критической инфраструктуры. За неделю число подтвержденных жертв выросло с 100 до 400+ организаций, включая Министерство образования и налоговые службы штатов.

Эксперты сравнивают инцидент с атакой SolarWinds 2019 года по масштабу воздействия на государственный сектор. SharePoint развернут в тысячах организаций по всему миру, а централизованные обновления идут медленно. Получается эффект домино с непредсказуемыми последствиями.

#SharePoint #США #Кибератака

@SecLabNews

🤨 Совфед решил оградить россиян от "вредного" ИИ

Матвиенко заявила, что России нужны собственные независимые платформы для развития искусственного интеллекта. По её мнению, использование «чужеродного» ИИ несёт угрозу безопасности граждан и государства в целом. Важна именно суверенность — и технологическая, и законодательная.

Она подчеркнула, что ИИ — это направление, которое будет способствовать технологическому лидерству страны, и нельзя сдерживать его развитие. Вместе с тем спикер Совета Федерации отметила необходимость поставить заслон для проникновения чужеродных систем, поскольку это фактически форма влияния на суверенитет государства.

При этом Матвиенко обратила внимание на сложность законодательного регулирования в сфере ИИ. Профильный комитет уже занимается этим, и важно найти баланс — не затормозить развитие, но и защитить граждан и страну от возможных негативных последствий.

#ИскусственныйИнтеллект #ЦифровойСуверенитет #Матвиенко

@SecLabNews

🧟Как пират заработал больше многих стартапов (и сел за это)

Jetflicks собирал десятки тысяч подписчиков 12 лет подряд. Даже если брать скромные $10 в месяц с носа, получается неплохой бизнес с оборотом в миллионы. Кристофер Далман из Лас-Вегаса построил настоящую медиаимперию на чужом контенте, пока правообладатели спали и видели.

Цифры впечатляют: 183 тысячи серий, 10,5 тысяч фильмов, контент с Netflix, Hulu, Amazon Prime. Фактически пользователи Jetflicks получали доступ ко всем топовым платформам за цену одной подписки. Бизнес-модель мечты, если бы не мелочь — весь контент был ворованный.

Парадокс в том, что Далман создал именно тот сервис, о котором мечтали пользователи. Весь контент в одном месте, без геоблокировки, по честной цене. Студии до сих пор не могут договориться между собой и плодят десятки платформ. А пират из Вегаса решил проблему за них — правда, незаконно. Получается, семь лет тюрьмы за то, что показал индустрии правильное направление.

#стриминг #техноанархия #пиратство
@SecLabNews

😦 Охладите свое админство: в России создали специальный технологический костюм для сисадмина

Ко Дню системного администратора техноблогер BRIGMAN и команда Яндекс 360 представили костюм с активной системой охлаждения, встроенными вентиляторами и портативным аккумулятором. Блогер лично контролировал производство — от чертежей до финальной сборки.

Костюм рассчитан на весь рабочий день без перегрева: система вентиляции работает как кулер на процессоре, карманы продуманы под весь арсенал сисадмина — от кабелей до запасных отвёрток. Встроенный аккумулятор обеспечивает автономность всех гаджетов.

Испытания идут на слёте сисадминов. Интересно, станет ли тренд на персонализированную экипировку для IT-специалистов новой нишей для tech-брендов.

#айти #технологии #носимыйгаджет

@SecLabNews

🫡Трамп хочет "честный" ИИ. Проблема — такого не существует

Белый дом выпустил указ с говорящим названием "Предотвращение пробуждённого ИИ". Теперь все модели в федеральных структурах должны быть "правдивыми" и "идеологически нейтральными". Звучит здорово, но есть нюанс.

Ни одна существующая модель этим требованиям не соответствует. Вообще ни одна. ChatGPT лево-либеральный, Gemini мультикультурный, даже Grok от Маска умудряется врать про выборы. Все крупные разработчики используют RLHF, где модели перенимают взгляды тренеров. Это неизбежно.

Теперь подрядчики в панике ищут способы сделать своих ботов политкорректными в глазах новой администрации. Но как проверить соответствие "расплывчатым критериям" — загадка. Показательный пример: когда разработчики пытались "отучить" ИИ от прогрессивных взглядов, получился алгоритм, который назвал себя MechaHitler. Скорее всего, получится как всегда: кто лучше лоббирует, тот и "нейтральнее". А дебаты о правильной идеологии ИИ только начинаются.

#ИИ #США #политика

@SecLabNews