TanStack заразил npm- и через него взломали Grafana. Supplychain в полный рост
Вы не нажимали на фишинговую ссылку. Вы не открывали вложение в письме от «нигерийского принца». Вы просто сделали npm install. И вот вы взломаны. Grafana Labs - именно так потеряла весь свой исходный код.
Что произошло
11 мая 2026 года группа TeamPCP распространила вредоносные версии 84 пакетов в 42 репозиториях @tanstack/* на npm. Малварь Mini Shai-Hulud автоматически похищала GitHub Actions tokens, GitLab, CircleCI, AWS, GCP, Azure, Kubernetes и HashiCorp Vault tokens из CI/CD-окружений.
16 мая Grafana получила требование выкупа и отказалась платить, сославшись на позицию ФБР. Параллельно этой атакой были также затронуты OpenAI и Mistral AI. Хорошая новость: исходный код был скачан, но не изменён - бэкдоров в Grafana не внедрено. Плохая: украден весь internal operational context - имена, e-mail, бизнес-документы.
Аналогия: Вы нанимаете клининговую компанию с идеальными отзывами. Один из их уборщиков оказался засланным - и сфотографировал все ваши внутренние документы, пока мыл полы. Вы уволили компанию, когда узнали. Но снимки уже у третьих лиц. Это и есть supply chain атака через npm.
Что делать
Пользователям (разработчикам): внедрите dependency pinning и lockfile-контроль. Используйте инструменты типа Socket.dev или Snyk для мониторинга npm-пакетов в реальном времени. Не доверяйте пакету только за количество звёзд на GitHub.
Бизнесу / CEO: supply chain security - не опция для «когда-нибудь». Каждый разработчик в вашей компании с доступом к npm install - потенциальная точка входа. SBOM (Software Bill of Materials), политики одобрения зависимостей и изоляция CI/CD-секретов должны быть в roadmap уже вчера.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
#SupplyChain #npm #Grafana #DevSecOps #cybersecurity
Вы не нажимали на фишинговую ссылку. Вы не открывали вложение в письме от «нигерийского принца». Вы просто сделали npm install. И вот вы взломаны. Grafana Labs - именно так потеряла весь свой исходный код.
Что произошло
11 мая 2026 года группа TeamPCP распространила вредоносные версии 84 пакетов в 42 репозиториях @tanstack/* на npm. Малварь Mini Shai-Hulud автоматически похищала GitHub Actions tokens, GitLab, CircleCI, AWS, GCP, Azure, Kubernetes и HashiCorp Vault tokens из CI/CD-окружений.
Grafana Labs детектировала активность в тот же день и начала ротацию токенов - но один токен пропустили. Через этот токен атакующие скачали весь публичный и приватный исходный код Grafana, а также внутренние репозитории.
16 мая Grafana получила требование выкупа и отказалась платить, сославшись на позицию ФБР. Параллельно этой атакой были также затронуты OpenAI и Mistral AI. Хорошая новость: исходный код был скачан, но не изменён - бэкдоров в Grafana не внедрено. Плохая: украден весь internal operational context - имена, e-mail, бизнес-документы.
Аналогия: Вы нанимаете клининговую компанию с идеальными отзывами. Один из их уборщиков оказался засланным - и сфотографировал все ваши внутренние документы, пока мыл полы. Вы уволили компанию, когда узнали. Но снимки уже у третьих лиц. Это и есть supply chain атака через npm.
Что делать
Пользователям (разработчикам): внедрите dependency pinning и lockfile-контроль. Используйте инструменты типа Socket.dev или Snyk для мониторинга npm-пакетов в реальном времени. Не доверяйте пакету только за количество звёзд на GitHub.
Бизнесу / CEO: supply chain security - не опция для «когда-нибудь». Каждый разработчик в вашей компании с доступом к npm install - потенциальная точка входа. SBOM (Software Bill of Materials), политики одобрения зависимостей и изоляция CI/CD-секретов должны быть в roadmap уже вчера.
TanStack - один из самых популярных npm-пакетов в мире. Его и выбрали. Это не случайность - это хирургически точный выбор максимального охвата. Через год атаки на open-source экосистемы станут основным вектором для APT-групп: там нет SOC, там нет EDR, там есть только доверие. И доверие - это главная уязвимость современного software development.
Автор: Беляев Дмитрий
#SupplyChain #npm #Grafana #DevSecOps #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
TrendMicroApexOne: антивирус взломали и использовали для атаки. Ирония? Нет, реальность
Ваш антивирус развернули на тысячах машин именно затем, чтобы защищать. Теперь представьте, что именно через него хакеры раздали малварь на все эти тысячи машин разом. CVE-2026-34926. Добро пожаловать в апрель-май 2026 года.
Что произошло: Trend Micro обнаружила и пропатчила zero-day уязвимость CVE-2026-34926 в своём корпоративном продукте Apex One. Это directory traversal баг в on-premise версии: атакующий с уже имеющимися admin-кредами может модифицировать ключевую таблицу на сервере и «толкнуть» вредоносный код сразу на все endpoint-агенты в организации. CISA добавила CVE в каталог KEV 21 мая и обязала все федеральные агентства США применить патч до 4 июня 2026. Вместе с этим закрыты ещё 7 high-severity LPE-уязвимостей (CVE-2026-34927 - 34930 и CVE-2026-45206 - 45208).
Что делать
Пользователям: если вы сотрудник компании - уточните у IT, обновлён ли Apex One до CP Build 18012 (on-premise) или Security Agent 14.0.20731 (SaaS).
Бизнесу / CEO: немедленный аудит: кто имеет remote admin доступ к серверу Apex One? Принцип наименьших привилегий должен применяться и к security-инструментам - особенно к тем, которые имеют агенты на всей инфраструктуре. Security products - это не «доверенная зона», они тоже должны быть в threat model.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
#TrendMicro #ApexOne #ZeroDay #CISA #cybersecurity
Ваш антивирус развернули на тысячах машин именно затем, чтобы защищать. Теперь представьте, что именно через него хакеры раздали малварь на все эти тысячи машин разом. CVE-2026-34926. Добро пожаловать в апрель-май 2026 года.
Что произошло: Trend Micro обнаружила и пропатчила zero-day уязвимость CVE-2026-34926 в своём корпоративном продукте Apex One. Это directory traversal баг в on-premise версии: атакующий с уже имеющимися admin-кредами может модифицировать ключевую таблицу на сервере и «толкнуть» вредоносный код сразу на все endpoint-агенты в организации. CISA добавила CVE в каталог KEV 21 мая и обязала все федеральные агентства США применить патч до 4 июня 2026. Вместе с этим закрыты ещё 7 high-severity LPE-уязвимостей (CVE-2026-34927 - 34930 и CVE-2026-45206 - 45208).
Аналогия: Это как если бы взломщик получил ключ от будки охранника - и теперь мог открывать все двери в здании, которые охранник должен был защищать. Security tool как attack vector - классика жанра, но от этого не менее болезненная.
Что делать
Пользователям: если вы сотрудник компании - уточните у IT, обновлён ли Apex One до CP Build 18012 (on-premise) или Security Agent 14.0.20731 (SaaS).
Бизнесу / CEO: немедленный аудит: кто имеет remote admin доступ к серверу Apex One? Принцип наименьших привилегий должен применяться и к security-инструментам - особенно к тем, которые имеют агенты на всей инфраструктуре. Security products - это не «доверенная зона», они тоже должны быть в threat model.
История повторяется с пугающей регулярностью: каждые несколько лет крупный security-вендор попадает в новости с уязвимостью в собственном продукте. SolarWinds, Fortinet, теперь Trend Micro. Вывод один: диверсифицируйте security-стек и никогда не давайте одному инструменту права на всю инфраструктуру без дополнительного контроля. Я называю это принципом «недоверие к защитнику».
Автор: Беляев Дмитрий
#TrendMicro #ApexOne #ZeroDay #CISA #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Fast16: вирус-диверсант 2005 года, который тайно ломал ядерные расчёты
Stuxnet считается первым кибероружием государственного уровня. Но оказывается, у него был предшественник - более тихий, более хитрый и более жуткий. Fast16 не взрывал центрифуги. Он просто незаметно врал математике - и заставлял физиков получать неверные результаты. Годами.
Что произошло: В мае 2026 года Symantec и Carbon Black окончательно расшифровали Fast16 - саботажный фреймворк, разработанный примерно в 2005 году, за два года до Stuxnet. Малварь была создана для атаки на программы LS-DYNA и AUTODYN - инженерные симуляторы, используемые, в частности, для моделирования взрывов в ядерном оружии. Ключевая деталь: Fast16 активировался только тогда, когда симулируемая плотность материала превышала 30 г/см³ - порог, характерный исключительно для урана под давлением имплозии. 101 правило перехвата. Полная невидимость. Самораспространение по сети без выхода за её пределы.
Исходный код был упомянут в архивах утечки Shadow Brokers (NSA). SentinelOne первой описала Fast16 в апреле 2026 на Black Hat Asia.
Что делать
Пользователям: прямых действий не требуется - атаки были целевыми.
Бизнесу / CEO в промышленности и ОПК: это исторический сигнал о том, что state-sponsored кибероружие существует и применяется задолго до того, как становится известным. Если у вас есть критические симуляционные или инженерные системы - они должны быть физически изолированы (air gap), проходить регулярную верификацию выходных данных и иметь независимый аудит ПО.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
#Fast16 #Stuxnet #APT #кибервойна #cybersecurity
Stuxnet считается первым кибероружием государственного уровня. Но оказывается, у него был предшественник - более тихий, более хитрый и более жуткий. Fast16 не взрывал центрифуги. Он просто незаметно врал математике - и заставлял физиков получать неверные результаты. Годами.
Что произошло: В мае 2026 года Symantec и Carbon Black окончательно расшифровали Fast16 - саботажный фреймворк, разработанный примерно в 2005 году, за два года до Stuxnet. Малварь была создана для атаки на программы LS-DYNA и AUTODYN - инженерные симуляторы, используемые, в частности, для моделирования взрывов в ядерном оружии. Ключевая деталь: Fast16 активировался только тогда, когда симулируемая плотность материала превышала 30 г/см³ - порог, характерный исключительно для урана под давлением имплозии. 101 правило перехвата. Полная невидимость. Самораспространение по сети без выхода за её пределы.
Исходный код был упомянут в архивах утечки Shadow Brokers (NSA). SentinelOne первой описала Fast16 в апреле 2026 на Black Hat Asia.
Аналогия: Представьте, что вы инженер на ядерном заводе. Все ваши расчёты показывают: устройство готово к испытанию. Но программа, которой вы доверяете, незаметно прибавляла маленькую ошибку к каждому числу. Результат - провал испытания, потерянные годы исследований, возможно, взрыв. Это не фантастика - именно так работал Fast16.
Что делать
Пользователям: прямых действий не требуется - атаки были целевыми.
Бизнесу / CEO в промышленности и ОПК: это исторический сигнал о том, что state-sponsored кибероружие существует и применяется задолго до того, как становится известным. Если у вас есть критические симуляционные или инженерные системы - они должны быть физически изолированы (air gap), проходить регулярную верификацию выходных данных и иметь независимый аудит ПО.
Fast16 - это напоминание о том, что мы знаем об истории кибероружия примерно 20% от реального. Stuxnet был «первым» только потому, что его обнаружили. Где сейчас живут наследники Fast16? Какие расчёты в каких системах они тихо искажают? Я убеждён: через год мы узнаем о нескольких аналогичных фреймворках, которые работали незамеченными ещё дольше.
Автор: Беляев Дмитрий
#Fast16 #Stuxnet #APT #кибервойна #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from Belyaev Security Talks 🎙
Тема: «Рынок кандидата или рынок работодателя: как понять правила игры именно сейчас»
Подкаст рубрики: "За кулисами ИБ"
Ведущий: Беляев Дмитрий
🏆 ТОП‑100 Лидеров ИТ (GlobalCIO) 2023/25/26
🏆 ТОП‑25 директоров по кибербезопасности России (Ассоциация менеджеров и Коммерсантъ)
🥇 CISO года, по версии комьюнити (Сайберус и КиберДом)
🏆 «Кибергерой года» (премия «Время инноваций»)
Гость: Днепровская Екатерина
У нас в гостях - Екатерина Днепровская. Это тот человек, которого ты точно читал, даже если не знал её имени: её материалы про рынок труда, ATS-системы и алгоритмы найма - интересно для всех, кто хоть раз задавался вопросом «почему я отправил 50 откликов - и не получил ни одного ответа».
Екатерина - основатель HR-стартапа и агрегатора вакансий ПоискВакансий.РФ, руководитель департамента AI&HR исследований, карьерный маркетолог и промт-инженер в области AI&Career. За плечами - более 20 лет в найме: она работала HR-директором в MTV Russia, строила HR-функцию в розничных сетях и консалтинге, а сегодня помогает кандидатам взламывать алгоритмы найма - в хорошем смысле этого слова.
Её суперсила - она знает, как ATS «читает» резюме изнутри. И она скажет тебе правду о найме в 2026-м, которую HR-директора обычно не говорят вслух.
Дата: 4 июня, 20:00 – 21:30 (GMT+3)
Ссылка для подключения:
https://belyaev-st.ktalk.ru/u496xpa79931
#BelyaevPodcast
Подкаст рубрики: "За кулисами ИБ"
Ведущий: Беляев Дмитрий
🏆 ТОП‑100 Лидеров ИТ (GlobalCIO) 2023/25/26
🥇 CISO года, по версии комьюнити (Сайберус и КиберДом)
Гость: Днепровская Екатерина
У нас в гостях - Екатерина Днепровская. Это тот человек, которого ты точно читал, даже если не знал её имени: её материалы про рынок труда, ATS-системы и алгоритмы найма - интересно для всех, кто хоть раз задавался вопросом «почему я отправил 50 откликов - и не получил ни одного ответа».
Екатерина - основатель HR-стартапа и агрегатора вакансий ПоискВакансий.РФ, руководитель департамента AI&HR исследований, карьерный маркетолог и промт-инженер в области AI&Career. За плечами - более 20 лет в найме: она работала HR-директором в MTV Russia, строила HR-функцию в розничных сетях и консалтинге, а сегодня помогает кандидатам взламывать алгоритмы найма - в хорошем смысле этого слова.
Её суперсила - она знает, как ATS «читает» резюме изнутри. И она скажет тебе правду о найме в 2026-м, которую HR-директора обычно не говорят вслух.
Дата: 4 июня, 20:00 – 21:30 (GMT+3)
Ссылка для подключения:
https://belyaev-st.ktalk.ru/u496xpa79931
#BelyaevPodcast
Please open Telegram to view this post
VIEW IN TELEGRAM
Наткнулся на подборку каналов и источников, которые помогают держать руку на пульсе, посмотрите по ссылке ниже и выберите понравившиеся каналы, которые соответствуют вашим ценностям.
https://xn--r1a.website/addlist/NhRvYozhVvBmZDli
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
схемы Apple, Nvidia и ещё кучи компаний
мошенников
Al-эксплойт: ИИ перестал играть в песочнице
💬 Поделитесь им с друзьями, близкими и коллегами.🔵 Такой контент повышает цифровую грамотность окружения и делает ваш круг общения чуть более защищённым.
📝 Автор: Альбина
📞 Связаться: @BELYAEV_SECURITY_bot
#дайджест@belyaevsec
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥2
Криптоматы-мошенники: $389 млн потерь и банкротство BitcoinDepot
«Позвоните в Microsoft», «вас взломал хакер», «переведите деньги через биткоин-банкомат, чтобы защитить счёт» - звучит как очевидный развод. Но в 2025 году американцы потеряли через такие схемы почти $389 миллионов. Это больше, чем в 2024-м - на 58%.
Что произошло: ФБР опубликовало предупреждение о резком росте мошенничества с использованием криптовалютных киосков. В 2025 году Центр жалоб ФБР (IC3) получил более 13 400 обращений, потери превысили $388 миллионов. Более 76% потерь понесли люди старше 60 лет. Параллельно крупнейший оператор крипто-ATM - Bitcoin Depot - объявил о банкротстве. По данным ICIJ и CNN, через сотни его машин в Circle K прошло минимум $1.5 млн мошеннических транзакций.
Схема работает так: жертве звонят «из службы безопасности банка» или «техподдержки Microsoft», убеждают, что счёт скомпрометирован, и направляют к ближайшему криптоматомату для «защиты» средств.
Что делать
Пользователям: запомните раз и навсегда: ни одна служба безопасности, банк, Microsoft, Amazon или ФСБ никогда не попросит вас снять деньги и положить их в банкомат криптовалюты. Никогда. Это 100% мошенничество. Предупредите родителей и бабушек.
Бизнесу / CEO: если ваши сотрудники или клиенты могут стать жертвами таких схем - проведите awareness-тренинг. Внедрите внутренние политики: любой перевод в криптовалюту на сумму выше X - автоматическая пауза и верификация через независимый канал.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
#крипто #мошенничество #BitcoinATM #scam #кибербезопасность
«Позвоните в Microsoft», «вас взломал хакер», «переведите деньги через биткоин-банкомат, чтобы защитить счёт» - звучит как очевидный развод. Но в 2025 году американцы потеряли через такие схемы почти $389 миллионов. Это больше, чем в 2024-м - на 58%.
Что произошло: ФБР опубликовало предупреждение о резком росте мошенничества с использованием криптовалютных киосков. В 2025 году Центр жалоб ФБР (IC3) получил более 13 400 обращений, потери превысили $388 миллионов. Более 76% потерь понесли люди старше 60 лет. Параллельно крупнейший оператор крипто-ATM - Bitcoin Depot - объявил о банкротстве. По данным ICIJ и CNN, через сотни его машин в Circle K прошло минимум $1.5 млн мошеннических транзакций.
Схема работает так: жертве звонят «из службы безопасности банка» или «техподдержки Microsoft», убеждают, что счёт скомпрометирован, и направляют к ближайшему криптоматомату для «защиты» средств.
Аналогия: Это как если бы у банка убрали всех кассиров и заменили машинами на углах улиц - без камер, без кассира, с мгновенным переводом в любую точку мира. Именно такой инфраструктурой пользуются мошенники. Криптомат - это идеальный инструмент для обналичивания доверия жертвы.
Что делать
Пользователям: запомните раз и навсегда: ни одна служба безопасности, банк, Microsoft, Amazon или ФСБ никогда не попросит вас снять деньги и положить их в банкомат криптовалюты. Никогда. Это 100% мошенничество. Предупредите родителей и бабушек.
Бизнесу / CEO: если ваши сотрудники или клиенты могут стать жертвами таких схем - проведите awareness-тренинг. Внедрите внутренние политики: любой перевод в криптовалюту на сумму выше X - автоматическая пауза и верификация через независимый канал.
$389 млн - и это только официальная статистика. Реальная цифра, по моей оценке, в 3-5 раз выше. Криптоматы решили проблему «последней мили» для мошенников: анонимность, скорость, необратимость. Регуляторы медленно реагируют, а мошенники - быстро адаптируются. Через год ожидаю существенного ужесточения KYC-требований для операторов криптокиосков - как минимум в США и ЕС.
Автор: Беляев Дмитрий
#крипто #мошенничество #BitcoinATM #scam #кибербезопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PR machine
Отражается ли выплата выкупа злоумышленникам на репутации атакованной компании?
Anonymous Poll
32%
Да, это удар по доверию: компания фактически финансирует киберпреступность
16%
Да, но это меньший вред, если на кону данные клиентов
19%
Нет, если выкуп реально помог предотвратить утечку в паблик
18%
Сам факт выплаты не так важен, как то, почему компания допустила инцидент
5%
Нет, не считаю, что это отражается на репутации
10%
Я не знаю
HackerOne заморозил BugBounty: ИИ нашёл так много багов, что платить не успевают
Bug bounty - это священная корова безопасности последних 15 лет. «Платим исследователям - они находят баги - все в плюсе». В мае 2026 года HackerOne поставил программу на паузу. Причина: ИИ нашёл слишком много уязвимостей, и экосистема не выдержала.
Что произошло: HackerOne объявил о приостановке выплат в рамках Internet Bug Bounty (IBB) program - программы, работавшей с 2012 года и выплатившей более $1.5 млн исследователям. Причина: взрывной рост AI-powered submissions, из-за которого баланс между discovery и remediation «существенно сдвинулся». Open-source maintainers физически не успевают закрывать то, что ИИ находит быстрее. Node.js стал первым пострадавшим - его исследователи больше не получают выплат.
Эта история - продолжение тренда: Google OSS VRP и проект Curl ранее также запретили AI-generated submissions. На ЦИПР-2026 в разгар дискуссий об ИИ хакеры атаковали сам форум с применением ИИ - в 2/3 сканирований зафиксированы следы ChatGPT.
Что делать
Пользователям (разработчикам): если вы ведёте open-source проект - готовьтесь к волне AI-репортов уязвимостей. Настройте политику принятия репортов с обязательной верификацией вручную, иначе потонете в шуме.
Бизнесу / CEO: bug bounty - не замена внутренней безопасности. Это дополнение. Если вы полагаетесь только на внешних исследователей - ваша программа уязвимости управления выглядит как «отдел безопасности за чужой счёт». Инвестируйте в SAST/DAST/ASPM внутри - ИИ уже доступен и вам тоже.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
#BugBounty #HackerOne #AIсecurity #VulnerabilityManagement #cybersecurity
Bug bounty - это священная корова безопасности последних 15 лет. «Платим исследователям - они находят баги - все в плюсе». В мае 2026 года HackerOne поставил программу на паузу. Причина: ИИ нашёл слишком много уязвимостей, и экосистема не выдержала.
Что произошло: HackerOne объявил о приостановке выплат в рамках Internet Bug Bounty (IBB) program - программы, работавшей с 2012 года и выплатившей более $1.5 млн исследователям. Причина: взрывной рост AI-powered submissions, из-за которого баланс между discovery и remediation «существенно сдвинулся». Open-source maintainers физически не успевают закрывать то, что ИИ находит быстрее. Node.js стал первым пострадавшим - его исследователи больше не получают выплат.
Эта история - продолжение тренда: Google OSS VRP и проект Curl ранее также запретили AI-generated submissions. На ЦИПР-2026 в разгар дискуссий об ИИ хакеры атаковали сам форум с применением ИИ - в 2/3 сканирований зафиксированы следы ChatGPT.
Аналогия: Представьте, что нанимаете 10 детективов для поиска утечек. Отлично работало годами. Потом даёте ИИ задание - и он за ночь находит 10 000 потенциальных утечек. Ваш персонал не справляется. Детективы обижены, что их не ценят. Система ломается не потому, что стало хуже - а потому что стало слишком быстро.
Что делать
Пользователям (разработчикам): если вы ведёте open-source проект - готовьтесь к волне AI-репортов уязвимостей. Настройте политику принятия репортов с обязательной верификацией вручную, иначе потонете в шуме.
Бизнесу / CEO: bug bounty - не замена внутренней безопасности. Это дополнение. Если вы полагаетесь только на внешних исследователей - ваша программа уязвимости управления выглядит как «отдел безопасности за чужой счёт». Инвестируйте в SAST/DAST/ASPM внутри - ИИ уже доступен и вам тоже.
HackerOne обнажил системный парадокс эпохи ИИ: мы научились находить уязвимости быстрее, чем умеем их чинить. Bug bounty как модель придётся переизобретать - возможно, с акцентом не на количество находок, а на помощь в remediation. Через год я ожидаю появления «AI-remediation bounty» - платим не за нахождение бага, а за помощь в его автоматическом исправлении. Рынок уже ждёт этой модели.
Автор: Беляев Дмитрий
#BugBounty #HackerOne #AIсecurity #VulnerabilityManagement #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Кажется, в 2026 году появилась новая профессия — успевать за обновлениями.
Только разобрался с одной нейросетью — выходит новая. Только внедрил инструмент — рынок уже обсуждает следующий. AI, IT и digital сейчас меняются быстрее, чем многие успевают читать новости.
Поэтому мы собрали в одной папке каналы людей, которые не пересказывают чужие посты, а работают внутри этих изменений каждый день.
Здесь про маркетинг, ИИ, автоматизацию, трафик, продукты, разработку и то, что действительно влияет на деньги, а не только на количество просмотров.
Если не хочется каждое утро открывать десять разных каналов, чтобы понять, что вообще происходит на рынке — просто сохраните эту папку.
Забрать папку себе 🗂
Только разобрался с одной нейросетью — выходит новая. Только внедрил инструмент — рынок уже обсуждает следующий. AI, IT и digital сейчас меняются быстрее, чем многие успевают читать новости.
Поэтому мы собрали в одной папке каналы людей, которые не пересказывают чужие посты, а работают внутри этих изменений каждый день.
Здесь про маркетинг, ИИ, автоматизацию, трафик, продукты, разработку и то, что действительно влияет на деньги, а не только на количество просмотров.
Если не хочется каждое утро открывать десять разных каналов, чтобы понять, что вообще происходит на рынке — просто сохраните эту папку.
Забрать папку себе 🗂
Forwarded from Кибервойна
«Аэрофлот» не стал пугать инвесторов кибератакой
Годовой отчёт «Аэрофлота» об устойчивом развитии показывает: даже в коммуникации с инвесторами компания твёрдо решила придерживаться версии о том, что в прошлом году она пострадала не от кибератаки, а от ИТ-сбоя неизвестной природы — несмотря на возбуждение уголовного дела по факту атаки, на направление Россией дипломатической ноты Великобритании о причастности к этой атаке некой британской компании, на присуждение «Аэрофлоту» премии РАСО за устойчивость перед лицом нападений хакеров, на возможное признание двух причастных ко взлому группировок экстремистскими организациями.
В отчёте ИТ-сбой пару раз кратко упоминается в контексте того, как быстро после него были возобновлены полёты — «в рекордные сроки (менее чем за полтора дня)». В разделе про обеспечение информационной безопасности об ИТ-сбое ни слова, наверно, потому что это не относится к безопасности.
Конечно, косвенных упоминаний чуть больше. Например, в таблице «Количество обращений и выявленных случаев коррупции, работа комиссии по противодействию коррупции и урегулированию конфликта интересов, проверка деловых партнеров» (с. 127) данные за 2025 год начинаются только с августа, поэтому показатель существенно ниже чем в предыдущие годы. Почему с августа? Видимо, не все данные удалось восстановить после ИТ-сбоя.
Ещё любопытный момент: по сравнению с аналогичным отчётом за 2024 приоритетность кибербезопасности в процессе подготовки нефинансовой отчётности снизилась. «Аэрофлот» по своей методике определяет перечень существенных тем и на их основании выстраивает список приоритетов. В отчёте за 2024 «Кибербезопасность и защита персональных данных» были указаны как приоритет 1 в блоке «Корпоративное управление и экономическое процветание» (с. 169), а за 2025 — как приоритет 2 (с. 216). Но если держать в уме, что ИТ-сбой не относится к кибербезопасности, то это вполне объяснимо.
Инвесторы и другие заинтересованные стороны, которым адресован отчёт, живут не в изоляции и в курсе причин сбоя, но это не мешает «Аэрофлоту» делать вид, что он поделился всем, что знал:
«Отчет подготовлен с использованием информации, доступной ПАО "Аэрофлот" на момент его составления, включая информацию, полученную от третьих лиц. Компания разумно полагает, что данная информация является полной и достоверной на момент публикации настоящего Отчета, однако не утверждает и не гарантирует, что указанная информация не будет в дальнейшем уточнена, пересмотрена или иным образом изменена».
Как заинтересованные стороны, будем ждать уточнений.
Своим подходом «Аэрофлот» посылает очевидный сигнал всем остальным компаниям: можно с каменным лицом замалчивать даже самый крупный киберинцидент нескольких лет. Зачем тогда раскрывать информацию о менее серьёзных происшествиях?
Годовой отчёт «Аэрофлота» об устойчивом развитии показывает: даже в коммуникации с инвесторами компания твёрдо решила придерживаться версии о том, что в прошлом году она пострадала не от кибератаки, а от ИТ-сбоя неизвестной природы — несмотря на возбуждение уголовного дела по факту атаки, на направление Россией дипломатической ноты Великобритании о причастности к этой атаке некой британской компании, на присуждение «Аэрофлоту» премии РАСО за устойчивость перед лицом нападений хакеров, на возможное признание двух причастных ко взлому группировок экстремистскими организациями.
В отчёте ИТ-сбой пару раз кратко упоминается в контексте того, как быстро после него были возобновлены полёты — «в рекордные сроки (менее чем за полтора дня)». В разделе про обеспечение информационной безопасности об ИТ-сбое ни слова, наверно, потому что это не относится к безопасности.
Конечно, косвенных упоминаний чуть больше. Например, в таблице «Количество обращений и выявленных случаев коррупции, работа комиссии по противодействию коррупции и урегулированию конфликта интересов, проверка деловых партнеров» (с. 127) данные за 2025 год начинаются только с августа, поэтому показатель существенно ниже чем в предыдущие годы. Почему с августа? Видимо, не все данные удалось восстановить после ИТ-сбоя.
Ещё любопытный момент: по сравнению с аналогичным отчётом за 2024 приоритетность кибербезопасности в процессе подготовки нефинансовой отчётности снизилась. «Аэрофлот» по своей методике определяет перечень существенных тем и на их основании выстраивает список приоритетов. В отчёте за 2024 «Кибербезопасность и защита персональных данных» были указаны как приоритет 1 в блоке «Корпоративное управление и экономическое процветание» (с. 169), а за 2025 — как приоритет 2 (с. 216). Но если держать в уме, что ИТ-сбой не относится к кибербезопасности, то это вполне объяснимо.
Инвесторы и другие заинтересованные стороны, которым адресован отчёт, живут не в изоляции и в курсе причин сбоя, но это не мешает «Аэрофлоту» делать вид, что он поделился всем, что знал:
«Отчет подготовлен с использованием информации, доступной ПАО "Аэрофлот" на момент его составления, включая информацию, полученную от третьих лиц. Компания разумно полагает, что данная информация является полной и достоверной на момент публикации настоящего Отчета, однако не утверждает и не гарантирует, что указанная информация не будет в дальнейшем уточнена, пересмотрена или иным образом изменена».
Как заинтересованные стороны, будем ждать уточнений.
Своим подходом «Аэрофлот» посылает очевидный сигнал всем остальным компаниям: можно с каменным лицом замалчивать даже самый крупный киберинцидент нескольких лет. Зачем тогда раскрывать информацию о менее серьёзных происшествиях?
Итоги БеКон’26: когда безопасность контейнеров перестаёт быть теорией
📌 2 июня я стоял перед входом в лофт ГОЭЛРО на Большой Почтовой, держал в руках бейдж в виде морской свинки‑пирата - фирменный мерч БеКона - и думал: вот это правильный тон для серьёзной конференции. Без пафоса, без маркетинговых лозунгов: несколько сотен инженеров вокруг и разговоры только о том, как не дать злоумышленникам уйти из вашего кластера с ключами от всего.
🔈 БеКон - четвёртая по счёту и, по сути, единственная в России конференция, целиком посвящённая безопасности контейнеров и Kubernetes.
⚡️ Организатор - Luntry, компания, которая системно развивает тему защиты контейнерных сред и с 2023 года собрала вокруг конференции довольно плотное комьюнити. Формат принципиально офлайн: никакого стрима, потому что половина ценности - это кулуарные разговоры и разбор чужих шишек вживую.
📰 Программа поделена на два трека. «Ингредиенты» - чистая техника: hardening кластеров, runtime‑защита, policy‑as‑code, сканирование образов, supply chain‑безопасность. «Рецепты» - про людей и процессы: как выстраивать команду SecK8S, как договариваться Dev/Sec/Ops, как проживать требования регуляторов и не убивать продуктивность.
🎙 Доклады по 30 минут, без вендорского онбординга - только практики, кейсы и инструменты.
🏆 Открывал технический трек доклад Дмитрия Рыбалки (Mindbox) «SLSA — язык доверия: от CI до Runtime». Контекст: в марте 2026 года группировка TeamPCP скомпрометировала open source‑сканер Trivy от Aqua Security, похитив токен GitHub Actions и выкатив вредоносные Docker‑образы с инфостилером. Эти образы собирали секреты прямо с CI‑раннеров, а число затронутых организаций пошло на тысячи. Именно через этот кейс Дмитрий показал, зачем нужен SLSA 1.2: L1 — машиночитаемое описание сборки (provenance), L2 — подписанный builder’ом provenance и принцип «неподтверждённый артефакт не должен попадать в execution path», L3 - изоляция среды и жёсткие границы доверия.
🔥 Отдельный блок доклада - что Aqua реально изменила после инцидента. В их post‑mortem чёрным по белому: pin GitHub Actions к конкретным commit SHA, immutable‑релизы в Docker Hub и GitHub Releases, защита тегов в артефактных репозиториях, добавление SLSA‑provenance к релизам Trivy, SSO и IP allow‑listing, отказ от long‑lived credentials в пользу scoped tokens.
📈 Остальные доклады закрывали почти всю палитру задач: от пентестов Kubernetes‑кластеров и защиты от криптоджекинга до GitOps‑подхода к политикам безопасности и практики прохождения ФСТЭК‑сертификации для контейнерных решений. В кулуарах было не менее интересно, чем в зале: банки, маркетплейсы, критка - у всех свои боли, но похожие шаблоны ошибок.
📁 Уезжал с БеКона с простым выводом: supply chain‑атаки - это уже не «мировой тренд», а наша повседневность. SLSA в этой картине - не серебряная пуля, а язык, на котором платформа и ИБ наконец могут договориться о доверии к артефактам от стадии сборки до runtime. Если вы живёте в Kubernetes‑экосистеме, БеКон - это не «ещё одна конференция», а та самая точка, где можно сверить часы и уйти с конкретным планом, что менять в своём пайплайне уже завтра.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
Это редкий пример, когда фреймворк не просто обсуждают на слайдах, а сразу превращают в политику и чек‑лист.
Автор: Беляев Дмитрий
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
This media is not supported in your browser
VIEW IN TELEGRAM
Иногда полезно выныривать из нашего инфобезового пузыря и смотреть, как живёт соседний мир - маркетинг и перфоманс.
19 июня моя команда будет в Конгресс-центре ЦМТ на CPC.Forum - это офлайн-история про performance-маркетинг, трафик и работу с рекламными бюджетами. Там заявлено больше сотни спикеров, несколько потоков и выставочная зона с сервисами и платформами.
По программе видно, что маркетологам сейчас особенно болят Telegram Ads, MAX, Авито, маркетплейсы, аналитика и окупаемость каналов. Моя команда уже набросала себе маршрут по секциям, чтобы посмотреть, как они решают вопрос распределения бюджета между каналами и что реально работает в 2026 году.
Честно говоря, меня там в первую очередь интересует не сцена, а кулуары: какие гипотезы тестируют, как считают эффективность, где пересечение маркетинга и безопасности данных пользователей. Плюс, как обычно, самый ценный инсайт часто прилетает не из презентации, а из случайного разговора в зоне нетворкинга.
Если тоже будете 19 июня в ЦМТ - можно взглянуть на маркетинг глазами безопасника и то, что из этого можно прикрутить к инфобез-стратегии. Регистрируйтесь,пока есть места.
19 июня моя команда будет в Конгресс-центре ЦМТ на CPC.Forum - это офлайн-история про performance-маркетинг, трафик и работу с рекламными бюджетами. Там заявлено больше сотни спикеров, несколько потоков и выставочная зона с сервисами и платформами.
По программе видно, что маркетологам сейчас особенно болят Telegram Ads, MAX, Авито, маркетплейсы, аналитика и окупаемость каналов. Моя команда уже набросала себе маршрут по секциям, чтобы посмотреть, как они решают вопрос распределения бюджета между каналами и что реально работает в 2026 году.
Честно говоря, меня там в первую очередь интересует не сцена, а кулуары: какие гипотезы тестируют, как считают эффективность, где пересечение маркетинга и безопасности данных пользователей. Плюс, как обычно, самый ценный инсайт часто прилетает не из презентации, а из случайного разговора в зоне нетворкинга.
Если тоже будете 19 июня в ЦМТ - можно взглянуть на маркетинг глазами безопасника и то, что из этого можно прикрутить к инфобез-стратегии. Регистрируйтесь,пока есть места.
👍1🔥1
ShinyHunters: серийные взломщики 2026 года
275 миллионов студентов. 6 миллионов туристов. 13 миллионов телеком-клиентов. Одна банда. Три месяца.
Если вы ещё не слышали о ShinyHunters - познакомьтесь с самой результативной хакерской группой 2026 года. Эти ребята умудрились взломать Canvas (учебная платформа от Instructure), Charter Communications (телеком под брендом Spectrum) и Carnival Corporation (крупнейший круизный оператор планеты) - и всё это в промежутке апрель-май 2026 года.
Что именно произошло:
Атака на Canvas началась в конце апреля. ShinyHunters утверждают, что украли терабайты данных - имена, email-адреса, ID студентов и приватные сообщения около 275 миллионов пользователей из тысяч учебных заведений. Когда Instructure не заплатила выкуп - хакеры вернулись и дефейснули страницы входа сотен университетов прямо в сезон финальных экзаменов. Жёстко. В итоге компания всё же договорилась и заплатила - данные якобы уничтожены.
С Charter Communications история проще и циничнее: один звонок, один сотрудник, один скомпрометированный аккаунт - и доступ к CRM с базой клиентов. Дедлайн по выкупу прошёл без ответа, и миллионы записей ушли в публичный доступ.
Carnival - почти копия: сотрудник попался на социнженерию, и данные миллионов клиентов (имена, даты рождения, номера документов) вылетели наружу.
Аналогия простая: представьте взломщика, который ограбил школу, офис телефонной компании и круизный лайнер - пока все смотрели друг на друга и ждали, кто первый вызовет полицию.
Что делать:
Обычным пользователям: проверить свой email на утечки, включить двухфакторку, не кликать на «официальные» письма от этих компаний - фишинг по горячим следам почти гарантирован.
Бизнесу/CEO: ShinyHunters - это не «богоподобные хакеры». Это группа, которая побеждает вашего сотрудника в телефонном разговоре и входит через парадную дверь. Пересмотрите политику верификации при доступе к критичным SaaS-системам. CRM + доступ без жёсткой MFA-проверки = катастрофа.
Мое мнение: ShinyHunters показывают индустриализацию вымогательства. Они не ломают стены - они покупают ключи или уговаривают сторожа. В ближайший год мы увидим десятки таких же историй: звонок - доступ - шантаж. Кто ставит всё на «технологическую защиту» и экономит на людях, будет в сводках.
Автор: Беляев Дмитрий
〰️ 〰️ 〰️
📝 Связаться с Дмитрием
〰️ 〰️ 〰️
↘️ [Все проекты]
🤔 [Стикеры]
📚 [Менторство]
💰 [Буст BS]
🔜 🔜 🔜
💥 Почему нужно попасть на проект [Belyaev_Security]💥
#ShinyHunters #DataBreach #утечкаданных #ransomware #кибербезопасность
275 миллионов студентов. 6 миллионов туристов. 13 миллионов телеком-клиентов. Одна банда. Три месяца.
Если вы ещё не слышали о ShinyHunters - познакомьтесь с самой результативной хакерской группой 2026 года. Эти ребята умудрились взломать Canvas (учебная платформа от Instructure), Charter Communications (телеком под брендом Spectrum) и Carnival Corporation (крупнейший круизный оператор планеты) - и всё это в промежутке апрель-май 2026 года.
Что именно произошло:
Атака на Canvas началась в конце апреля. ShinyHunters утверждают, что украли терабайты данных - имена, email-адреса, ID студентов и приватные сообщения около 275 миллионов пользователей из тысяч учебных заведений. Когда Instructure не заплатила выкуп - хакеры вернулись и дефейснули страницы входа сотен университетов прямо в сезон финальных экзаменов. Жёстко. В итоге компания всё же договорилась и заплатила - данные якобы уничтожены.
С Charter Communications история проще и циничнее: один звонок, один сотрудник, один скомпрометированный аккаунт - и доступ к CRM с базой клиентов. Дедлайн по выкупу прошёл без ответа, и миллионы записей ушли в публичный доступ.
Carnival - почти копия: сотрудник попался на социнженерию, и данные миллионов клиентов (имена, даты рождения, номера документов) вылетели наружу.
Аналогия простая: представьте взломщика, который ограбил школу, офис телефонной компании и круизный лайнер - пока все смотрели друг на друга и ждали, кто первый вызовет полицию.
Что делать:
Обычным пользователям: проверить свой email на утечки, включить двухфакторку, не кликать на «официальные» письма от этих компаний - фишинг по горячим следам почти гарантирован.
Бизнесу/CEO: ShinyHunters - это не «богоподобные хакеры». Это группа, которая побеждает вашего сотрудника в телефонном разговоре и входит через парадную дверь. Пересмотрите политику верификации при доступе к критичным SaaS-системам. CRM + доступ без жёсткой MFA-проверки = катастрофа.
Мое мнение: ShinyHunters показывают индустриализацию вымогательства. Они не ломают стены - они покупают ключи или уговаривают сторожа. В ближайший год мы увидим десятки таких же историй: звонок - доступ - шантаж. Кто ставит всё на «технологическую защиту» и экономит на людях, будет в сводках.
Автор: Беляев Дмитрий
#ShinyHunters #DataBreach #утечкаданных #ransomware #кибербезопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Друзья , у нас новый выпуск! Смотрим с удовольствием !
YouTube
🔥[Belyaev_Podcast]🔥 - Выпуск №18: Страх, как продукт кто и зачем продаёт нам ужас про киберугрозы
🎥 Рынок кибербезопасности живёт на страхе - и это не метафора, это бизнес-модель. Ведущий Дмитрий Беляев и два топовых эксперта — Александр Антипов (SecurityLab) и Илья Шабанов (Anti-Malware) - откровенно вскрывают: кто, как и зачем монетизирует вашу тревогу…
🔥2
Исследователи зафиксировали волну атак, когда злоумышленники отправляют сообщения от имени банков и криптокошельков. Жертвы получают «срочные уведомления» о заморозке счетов или подозрительных переводах. Схема простая: установить «защитное приложение», которое на самом деле крадет пароли и данные карт.
😂 💬 Если сообщение начинает с «Срочно обнови пароль», вспомни - единственное, что стоит обновлять - это чувство самосохранения.
Уязвимость ProxyShell позволяет удаленно выполнять код на серверах Exchange без аутентификации. Злоумышленники используют её для установки веб-оболочек, шифровальщиков и кражи корпоративной информации. Microsoft уже выпустил патч, но миллионы серверов пока не обновлены.
😂
💬
Microsoft, ты как тот друг, который каждый год обещает «всё исправить»… но уязвимость снова на вечеринке.
Хак-группа RansomHouse опубликовала 150 ГБ данных крупного телеком-оператора. Среди утекших данных: номера телефонов, адреса, контракты и платежная информация. По оценкам экспертов, утечка затрагивает миллионы клиентов.
😂
💬
Миллионы клиентов теперь знают, что их данные - почти как Wi-Fi соседа: «доступно для всех».
Исследователи обнаружили ботнет «Hydra», который заражает камеры наблюдения, умные телевизоры и роутеры через стандартные пароли. Зараженные устройства используют для DDoS-атак, рассылки спама и даже майнинга криптовалют.
😂
💬
Похоже, твой умный холодильник решил стать майнером… и теперь пьет больше электричества, чем кофе утром.
Министерство финансов США добавило новые ограничения на экспорт технологий, включая серверное оборудование, ПО для кибербезопасности и облачные сервисы. Ограничения направлены на сдерживание использования высокотехнологичных инструментов в России.
😂
💬
Америка говорит: «Серьезно, ребята, так не играем» - а российский ИТ-бизнес думает: «А у нас есть VPN, правда?»
Берегите свои данные, обновляйте системы вовремя и помните: самый надежный пароль - тот, который не совпадает с названием вашего кота и датой рождения.
Автор: Альбина
✏️Связаться с Дмитрием
↘️ все проекты
📚 менторство
#кибербезопасность #утечкаданных #infosec #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👏5🤔4