Индийская компания MicroWorld Technologies, разработчик антивируса eScan, подтвердила взлом одного из своих региональных серверов обновлений. 20 января 2026 года злоумышленники распространили через него вредоносное обновление среди небольшой части пользователей.…

В этом выпуске: один из фигурантов громкого взлома Bitfinex внезапно выходит на свободу после 14 месяцев за решеткой и обещает «внести вклад в ИБ», Роскомнадзор закручивает гайки вокруг VPN и «белых списков», а привычные опоры индустрии и повседневной безопасности…

Аналитики Positive Technologies сообщают, что 12 декабря 2025 года в соцсетях появилась ранее неизвестная группировка Punishing Owl. Хакеры опубликовали заявление о взломе российского госучреждения из сферы безопасности и выложили украденные внутренние документы…

Компания Match Group, владеющая популярными дейтинговыми сервисами Tinder, Match, Meetic, OkCupid и Hinge, пострадала от кибератаки. Хак-группа ShinyHunters выложила в сеть 1,7 ГБ данных, украденных у Match Group. Злоумышленники утверждают, что архив содержит…

В этом году бумажные выпуски «Хакера» будут выходить раз в квартал, и сбор предварительных заказов на первый номер уже подходит к концу. Специальная цена 1000 рублей действует только до 1 февраля — после этого стоимость возрастет! Если планируешь приобрести…

— Твой Стас — пи…

Эксперты компании Bitdefender обнаружили масштабную кампанию по распространению Android-малвари через платформу Hugging Face. Злоумышленники используют сервис как хранилище для тысяч вредоносных APK, которые воруют у пользователей учетные данные от финансовых…

ИИ-игрушки Bondu (плюшевые динозавры со встроенным чат-ботом) позволяли любому пользователю с аккаунтом Gmail получить доступ к транскриптам разговоров детей с игрушкой, их личным данным и семейной информации.

Федеральное жюри присяжных в США признало бывшего сотрудника Google Линвэя Динга (Linwei Ding) виновным в краже конфиденциальных данных о суперкомпьютерах для ИИ и передаче данных китайским технологическим компаниям. Против Динга выдвинуто семь обвинений…

Сегодня я покажу, как при атаке на машину с Linux злоумышленник может повысить привилегии через службу резервного копирования, которой разрешено запускаться от рута. Но прежде чем добраться до сервера, нам понадобится выйти из песочницы Js2Py на сайте, получить…

Исследователи обнаружили новую схему атак, которая сочетает метод ClickFix с поддельной CAPTCHA и использует подписанные скрипты Microsoft Application Virtualization (App-V) для распространения малвари Amatera.

Разработчики сообщили, что в 2025 году китайские «правительственные» хакеры скомпрометировали официальный механизм обновления Notepad++. Атака оставалась незамеченной с июня по декабрь и была нацелена на «отдельных пользователей».

Компания Microsoft объявила, что отключит протокол аутентификации NTLM 30-летней давности по умолчанию в грядущих версиях Windows. Причиной для этого послужили многочисленные уязвимости, которые открывают дорогу кибератакам.

В проекте OpenClaw (ранее ClawdBot, а затем Moltbot) продолжают исправлять уязвимости. На этот раз исследователи обнаружили цепочку эксплоитов, которая позволяла атакующим запустить код на машине жертвы через один клик и одну вредоносную веб-страницу.

Злоумышленники продолжают атаковать незащищенные инстансы MongoDB в автоматизированных вымогательских кампаниях. Жертвам предлагают заплатить небольшой выкуп за восстановление данных.

Сегодня я расскажу, как хакеры выкачивают огромные базы данных, эксплуатируя сообщения об ошибках. На конкретных примерах ты увидишь, как найти error-based SQL injection и как ее эксплуатировать. Попробуешь разные техники, а в конце превратим time-based в error…

Разработчики популярного ИИ-приложения Chat & Ask AI, аудитория которого насчитывает 50 млн пользователей, оставили открытыми сотни миллионов личных сообщений. В открытом доступе оказались переписки, где люди спрашивали у бота «как безболезненно покончить…

Специалисты компании Socket предупредили, что 30 января 2026 года четыре расширения в Open VSX, опубликованные разработчиком под ником oorzc, получили вредоносные обновления, содержащие лоадер малвари GlassWorm. В расширения выглядели абсолютно легитимными…

Специалисты Rapid7 и «Лаборатории Касперского» опубликовали отчеты о взломе инфраструктуры Notepad++. Исследователи приписывают эту атаку китайской группировке Lotus Blossom (она же Lotus Panda и Billbug) и сообщают о новом бэкдоре Chrysalis. Компании предупреждают…

Французские власти провели обыски в парижском офисе соцсети X в рамках расследования работы ИИ-инструмента Grok. Претензии властей к платформе связаны с генерацией контента — от изображений сексуального характера до отрицания Холокоста.