😈На повестке дня, Cloudflare и Max

Сервис Cloudflare подрывает основы доверия к своей объективности в погоне за "сенсацией". Основываясь на результатах неназванного исследования платформа заявила о небезопасном использовании мессенджера Max. При этом конкретных фактов приведено не было.

Ваш покорный слуга потратил немного времени и выяснил, что подобные "выводы" сделаны исходя из всего лишь интерпретации заголовков запросов к сервисам обыкновенной веб-аналитики сайта max.ru. И эти данные нам представляет авторитетный портал? Не кажется ли вам, дамы и господа, что это — просто смешно?

Сам мессенджер Max подчеркивает, что регулярно проходит аудиты безопасности с помощью программы Bug Bounty (которая приглашает независимых исследователей тестировать безопасность IT-систем за денежные выплаты), а также имеет собственный центр безопасности. Неужели сотни или даже тысячи тестировщиков не сообщили бы о якобы "существующих угрозах"? Ну а выводы делать только вам.

🧑‍💻 Этичный хакер

😈 Пиратские сайты массово ушли в офлайн

Десятки пиратских стриминговых сайтов (включая Sflix, Myflixerz, HDtoday и клоны Fmovies) внезапно перестали открываться

Хотя пользователи предполагали, что дело может быть в масштабной блокировке, до сих пор ни одна антипиратская организация не взяла на себя ответственность за происходящее, и операторы сайтов тоже хранят молчание

Журналисты же полагают, что у всех сайтов попросту отказал общий бэкенд

— Все они отображают одинаковую ошибку Cloudflare 521 и похоже проблема заключается в сбое общей для ресурсов PaaS-инфраструктуры (Piracy-as-a-Service)

Хотя эти сайты могут принадлежать разным операторам, за кулисами многие из них часто используют один и тот же стек, и работают по модели Piracy-as-a-Service (PaaS)

То есть фронтенд и сайт с плеером — лишь оболочка, а контент и стриминг работают через отдельные сервисы вроде MegaCloud, VidCloud или RapidCloud

🧑‍💻 Этичный хакер

Кто-то: игры не научат тебя жить.
Игры:

🧑‍💻 Этичный хакер

👏 Количество публичных и приватных каналов в MAX превысило 7 миллионов

— В национальном мессенджере общее число публичных и приватных каналов превысило 7 млн, а их совокупная аудитория достигла 300 млн подписчиков

По состоянию на конец апреля в сервисе зарегистрировано около 300 тыс. публичных каналов и более 6,7 млн приватных

Наиболее востребованными среди пользователей остаются новостные каналы, а также блоги, посвященные образованию и кулинарии

Мы в Max: https://max.ru/hack_less

🧑‍💻 Этичный хакер

😱 За девять секунд ИИ уничтожил все данные компании и резервные копии

❗️ Основатель компании PocketOS Джер Крейн рассказал, как Cursor с моделью Claude Opus 4.6 за девять секунд случайно уничтожили всю продакшен-базу компании вместе со всеми бэкапами

PocketOS — нишевая SaaS-платформа для бизнеса по прокату автомобилей

Сервис помогает автоматизировать управление автопарком, бронирования, платежи и работу с клиентскими данными

Все началось с обычной задачи, которую агент выполнял в тестовой среде

Когда агент столкнулся с несоответствием учетных данных и уперся в проблему, он решил «починить» ее самостоятельно, но вместо дебага он обратился к API Railway и удалил том (volume)

— Проблема заключалась в том, что этот том не был изолирован, и вместе с ним оказалась уничтожена и продакшен-база

«

Агент столкнулся с несоответствием учетных данных и решил — по собственной инициативе — “исправить” эту проблему, удалив том Railway.

Для выполнения удаления агент искал токен API. Он нашел его в файле, совершенно не связанном с выполняемой задачей. Этот токен был создан с одной целью: добавлять и удалять пользовательские домены через CLI Railway для наших сервисов.

Мы понятия не имели (так как в процессе создания токена в Railway нас об этом не предупредили), что этот же токен обладает неограниченными полномочиями для всего API Railway GraphQL, включая деструктивные операции, такие как volumeDelete.

Если бы мы знали, что токен CLI, созданный для обычных операций с доменами, может также удалять производственные тома, мы бы никогда его не хранили

» — рассказывает Крейн

🧑‍💻 Этичный хакер

😈 В Linux нашли уязвимость, позволяющую хакерам легко получать максимальный уровень привилегий

❗️ В Linux обнаружена уязвимость Copy Fail (CVE-2026-31431), позволяющая локальному пользователю получить максимальные права доступа

Ошибка связана с компонентом ядра AF_ALG и обусловлена некорректной работой с памятью, что дает возможность повысить привилегии до уровня root

— Эксплуатация Copy Fail позволяет злоумышленнику полностью контролировать систему, включая чтение и изменение любых файлов, подмену системных компонентов, отключение защитных механизмов и скрытую установку бэкдоров

Уязвимость подтверждена на актуальных версиях популярных дистрибутивов, включая Ubuntu, Amazon Linux, RHEL и SUSE

🧑‍💻 Этичный хакер

😳 В России начнут регулировать рынок криптовалют — Госдума приняла в первом чтении законопроект «О цифровой валюте и цифровых правах»

Проект разрешает торговлю криптовалютами только через лицензируемых посредников — биржи, брокеров, доверительных управляющих и цифровые депозитарии, но не отменяет запрета на использование криптовалюты в качестве средства платежа внутри России

❗️ Он обязывает всех участников крипторынка получать лицензию Банка России

В документе также предлагается разделить инвесторов на квалифицированных и неквалифицированных

Последних допустят к торгам после прохождения тестирования и установят для них годовой лимит на покупку криптовалюты — не более 300.000 рублей в год через одного посредника

Законопроект также закрепляет статус цифровой валюты как имущества — это формализует налоговые обязательства и даёт участникам рынка право на включение криптоактивов в наследство

🧑‍💻 Этичный хакер

Как убить свой прод:

🧑‍💻 Этичный хакер

😳 Роскомнадзор начал массовые проверки сайтов на соответствие 152-ФЗ

— Роскомнадзор начал массово проверять сайты российских организаций на соответствие требованиям законодательства о защите персональных данных

❗️ Если ещё в ноябре 2025 года такие проверки были единичными, то теперь Роскомнадзор разработал специального бота для автоматизированного сбора данных о нарушениях

При этом выросли и штрафы — неуведомление регулятора о сборе персональных данных или их обработка без согласия пользователя могут обернуться штрафом от 100.000 до 300.000 рублей

К нарушениям относят, например, простое размещение ссылок на документы без подтверждения ознакомления пользователя, а также предустановленные галочки согласия

При этом если пользователь должен поставить галочку самостоятельно, такой порядок регулятора уже устраивает

🧑‍💻 Этичный хакер

😈 Пользователи Linux Ubuntu не могут установить обновление из-за хакерской атаки

— Инфраструктура Linux Ubuntu и компании-разработчика Canonical подверглась масштабной DDoS-атаке, из-за которой пользователи столкнулись со сбоями в работе сервисов

❗️ Атака началась в четверг и затронула ключевые элементы, от которых зависит функционирование системы

Атака затронула API безопасности Ubuntu и ряд сайтов, связанных с проектом, а также привела к невозможности устанавливать обновления и новые пакеты

Ответственность за атаку взяла на себя хактивистская группа The Islamic Cyber Resistance in Iraq 313 Team

🧑‍💻 Этичный хакер

🧑‍🎓 Книга: Windows глазами хакера | Жмайло М.А. 2025

— Рассмотрена внутренняя архитектура Windows и Active Directory, подробно описаны доверенные отношения доменов и лесов, особенности работы Read-only Domain Controllers, уязвимости групповых политик и принципы управления привилегиями;
— Рассказывается о работе с Kerberos, инжекте и дампе, билетов, угоне пользовательских сессий, использовании WinAPI, COM и Named Pipes в пентесте, а также об обращении к нативному коду из C#;
— Описаны методы обхода средств защиты информации, включая анхукинг ntdll.dll, предотвращение подгрузки DLL, лазейки для исполнения стороннего кода, применение аппаратных точек останова, обход AMSI и написание раннеров для шелл-кода на .NET;
— Приводятся практические рекомендации по обфускации вызовов WinAPI и защите корпоративных сетей от атак.

🗣 Ссылка на книгу

🧑‍💻 Этичный хакер

⛔️ В Подмосковье домашний интернет работает по «белым спискам» — жалуются местные жители

Провайдеры на запрос отвечают, что не несут ответственности за «распоряжения сверху» и что ограничения продлятся все праздники

🧑‍💻 Этичный хакер

Вакансии в айти, обстановка.

🧑‍💻 Этичный хакер

😈 Взломавшим французский госсервис хакером оказался 15-летний школьник

— Во Франции задержан 15-летний подросток, подозреваемый в продаже данных, похищенных в результате кибератаки на государственное агентство France Titres (ANTS), отвечающее за оформление и управление официальными документами

Злоумышленник получил доступ к данным пользователей портала ants.gouv.fr, включая имена, адреса электронной почты, даты рождения, почтовые адреса и номера телефонов

Изначально сообщалось о возможной компрометации до 19 млн записей, однако впоследствии агентство уточнило, что затронуто 11,7 млн аккаунтов

❗️ По данным властей, он действовал под псевдонимом breach3d и предлагал на киберпреступном форуме от 12 до 18 млн записей

В самом ANTS подтвердили факт взлома и подлинность данных, выставленных на продажу

🧑‍💻 Этичный хакер

👍 Microsoft создали бесплатный курс по разработке собственных ИИ-агентов для автоматизации

Внутри — 12 уроков с теорией, практикой и кодом на Python

В каждом уроке:
◦ Есть вся обязательная документация;
◦ Множество видосов и примеров;
◦ Понятное объяснение для всех.

Забираем — тут.

🧑‍💻 Этичный хакер

— Достижения отечественных маркетплейсов

🧑‍💻 Этичный хакер