Bug Bounty по госрасценкам: что готовит Минцифры
📋 Минцифры рассматривает возможность введения государственных тарифов за участие в программе Bug Bounty. Заместитель министра Александр Шойтов подчеркнул необходимость «нормализации процедуры» для федеральных и региональных органов власти.
💼 В ведомстве уточнили, что предложение по введению тарифов находится на стадии проработки. По информации источников, под тарифами понимается регулирование выплат «белым хакерам» за выявленные уязвимости.
⚖️ Обсуждается разработка сетки тарифов по федеральным округам, а для крупных общероссийских сервисов, таких как «Госуслуги», планируется установить отдельные расценки. Так, для критических уязвимостей на уровне федеральных округов предполагаются выплаты от 30 до 50 тысяч рублей, а для общероссийских сервисов сумма может достигать миллиона рублей.
#BugBounty #Кибербезопасность #Минцифры #ИнфоБез
@SecLabNews
📋 Минцифры рассматривает возможность введения государственных тарифов за участие в программе Bug Bounty. Заместитель министра Александр Шойтов подчеркнул необходимость «нормализации процедуры» для федеральных и региональных органов власти.
💼 В ведомстве уточнили, что предложение по введению тарифов находится на стадии проработки. По информации источников, под тарифами понимается регулирование выплат «белым хакерам» за выявленные уязвимости.
⚖️ Обсуждается разработка сетки тарифов по федеральным округам, а для крупных общероссийских сервисов, таких как «Госуслуги», планируется установить отдельные расценки. Так, для критических уязвимостей на уровне федеральных округов предполагаются выплаты от 30 до 50 тысяч рублей, а для общероссийских сервисов сумма может достигать миллиона рублей.
#BugBounty #Кибербезопасность #Минцифры #ИнфоБез
@SecLabNews
SecurityLab.ru
Тариф «Государственный»: Минцифры введёт госрасценки для «белых хакеров»
Система Bug Bounty готовится к унификации и новым тарифам.
Forwarded from 0day Alert
Windows сливает хеши при распаковке архива
🔓 Уязвимость в Windows 10/11 позволяет красть NTLM-хеши при распаковке архива с файлом .library-ms.
📁 Эксплойт срабатывает автоматически — достаточно открыть архив, и хеши улетают злоумышленнику.
📬 Атаки зафиксированы в России и Беларуси, вредоносные архивы часто маскируются под PDF-документы.
Уязвимость CVE-2025-24071 позволяет удаленно инициировать NTLM-аутентификацию без участия пользователя. Автоматизация процесса через встроенные механизмы Windows делает вектор атаки крайне эффективным. Рекомендованы немедленные меры по блокировке .library-ms и SMB-соединений наружу.
#windows #уязвимость #cve2025 #инфобез #SecLabNews
🔓 Уязвимость в Windows 10/11 позволяет красть NTLM-хеши при распаковке архива с файлом .library-ms.
📁 Эксплойт срабатывает автоматически — достаточно открыть архив, и хеши улетают злоумышленнику.
📬 Атаки зафиксированы в России и Беларуси, вредоносные архивы часто маскируются под PDF-документы.
Уязвимость CVE-2025-24071 позволяет удаленно инициировать NTLM-аутентификацию без участия пользователя. Автоматизация процесса через встроенные механизмы Windows делает вектор атаки крайне эффективным. Рекомендованы немедленные меры по блокировке .library-ms и SMB-соединений наружу.
#windows #уязвимость #cve2025 #инфобез #SecLabNews
SecurityLab.ru
SMB-атаки возвращаются — теперь с проводником Windows
Виноват файл, на который вы даже не нажали.
🪤 TeleMessage провалил безопасность на старте
Когда приложение, созданное для конфиденциальности, превращают в инструмент для централизованного логирования — ничем хорошим это не заканчивается. TeleMessage, продавец «безопасных» версий Signal, WhatsApp и Telegram для госорганов и корпораций, хранил копии сообщений на своём сервере в AWS. Именно он и пал.
Хакер получил доступ к административной панели, логам и личной переписке чиновников CBP, сотрудников Coinbase и даже разведки полиции Вашингтона. Среди утечек — политические чаты, криптовалютные обсуждения и номера телефонов. Всё в открытом виде — потому что end-to-end там был только на бумаге.
Пока TeleMessage снимал YouTube-видео про «наследие Signal», их реальное наследие — это 747 записей из американской таможни и целый скриншотный архив утечек. Патч не поможет, когда уязвимость заложена прямо в логику работы сервиса.
#мессенджеры #утечкаданных #инфобез
@SecLabNews
Когда приложение, созданное для конфиденциальности, превращают в инструмент для централизованного логирования — ничем хорошим это не заканчивается. TeleMessage, продавец «безопасных» версий Signal, WhatsApp и Telegram для госорганов и корпораций, хранил копии сообщений на своём сервере в AWS. Именно он и пал.
Хакер получил доступ к административной панели, логам и личной переписке чиновников CBP, сотрудников Coinbase и даже разведки полиции Вашингтона. Среди утечек — политические чаты, криптовалютные обсуждения и номера телефонов. Всё в открытом виде — потому что end-to-end там был только на бумаге.
Пока TeleMessage снимал YouTube-видео про «наследие Signal», их реальное наследие — это 747 записей из американской таможни и целый скриншотный архив утечек. Патч не поможет, когда уязвимость заложена прямо в логику работы сервиса.
#мессенджеры #утечкаданных #инфобез
@SecLabNews
SecurityLab.ru
Хакер взломал мессенджер для чиновников и нашёл внутри полный архив их переписок
Защищённый мессенджер превратился в инструмент наблюдения за элитами.
🔓 От хулигана до героя: как хакинг стал карьерой мечты
Хакинг больше не табу — он стал профессией. Причём прибыльной. За шесть лет багхантеры только на HackerOne заработали более $300 млн, а 50 из них — свыше миллиона каждый. Этичные хакеры больше не маргиналы в худи, а признанные эксперты, которых нанимают Минобороны США и гиганты вроде Adobe и Snap.
На первый план выходит не диплом, а мышление. Истории вроде Specters — бывшего бездомного, ставшего суперзвездой DEFCON, — рушат миф о том, что путь в кибербезопасность начинается в вузе. По-настоящему ценные специалисты приходят с улицы, из креативных сообществ, локальных групп и нестандартных сред — именно там рождаются свежие подходы, которых так не хватает индустрии.
Сообщество уже научилось защищать своих: случай с арестом пентестеров в Айове показал, что индустрия может бойкотировать целый штат. Этичные хакеры больше не просто ищут уязвимости — они меняют правила игры в безопасности и трудоустройстве.
#хакинг #багбаунти #инфобез
@SecLabNews
Хакинг больше не табу — он стал профессией. Причём прибыльной. За шесть лет багхантеры только на HackerOne заработали более $300 млн, а 50 из них — свыше миллиона каждый. Этичные хакеры больше не маргиналы в худи, а признанные эксперты, которых нанимают Минобороны США и гиганты вроде Adobe и Snap.
На первый план выходит не диплом, а мышление. Истории вроде Specters — бывшего бездомного, ставшего суперзвездой DEFCON, — рушат миф о том, что путь в кибербезопасность начинается в вузе. По-настоящему ценные специалисты приходят с улицы, из креативных сообществ, локальных групп и нестандартных сред — именно там рождаются свежие подходы, которых так не хватает индустрии.
Сообщество уже научилось защищать своих: случай с арестом пентестеров в Айове показал, что индустрия может бойкотировать целый штат. Этичные хакеры больше не просто ищут уязвимости — они меняют правила игры в безопасности и трудоустройстве.
#хакинг #багбаунти #инфобез
@SecLabNews
SecurityLab.ru
Вчера — враги системы, сегодня — её главные защитники. Как хакеры стали элитой ИБ
Новая профессия, где не нужен даже университет.