Приложение Be My Eyes для помощи незрячим недоступно в России
Приложение Be My Eyes, которое помогает незрячим и слабовидящим людям через видеосвязь с волонтерами, перестало работать в России, что подтверждают его разработчики. По информации СМИ, пользователи начали жаловаться на проблемы с доступом еще в начале декабря. Однако в Роскомнадзоре сообщили, что не ограничивают работу сервиса.
https://xakep.ru/2025/12/23/be-my-eyes/
Приложение Be My Eyes, которое помогает незрячим и слабовидящим людям через видеосвязь с волонтерами, перестало работать в России, что подтверждают его разработчики. По информации СМИ, пользователи начали жаловаться на проблемы с доступом еще в начале декабря. Однако в Роскомнадзоре сообщили, что не ограничивают работу сервиса.
https://xakep.ru/2025/12/23/be-my-eyes/
💩46🤬30😢8🤔5👎4😎2🔥1🦄1
Nmap с самого начала. Разбираем основы разведки и сканирования сети #статьи #начинающим #подписчикам
В этой статье я расскажу, как пользоваться одной из топовых утилит для хакеров и пентестеров. Ты узнаешь, как происходит сканирование разными методами, и научишься собирать информацию о таргете перед атакой на сервер. Nmap в строю уже 28 лет, но актуальности не теряет.
https://xakep.ru/2025/12/23/nmap-for-beginners/
В этой статье я расскажу, как пользоваться одной из топовых утилит для хакеров и пентестеров. Ты узнаешь, как происходит сканирование разными методами, и научишься собирать информацию о таргете перед атакой на сервер. Nmap в строю уже 28 лет, но актуальности не теряет.
https://xakep.ru/2025/12/23/nmap-for-beginners/
👍26🤩16😁3
В Нигерии арестован разработчик фишингового сервиса Raccoon0365
Полиция Нигерии сообщила об аресте трех человек, причастных к работе фишинговой платформы Raccoon0365, которая использовалась для атак на учетные записи Microsoft 365. Аресты были произведены благодаря данным, полученным от компании Microsoft, которые были переданы ФБР специалистам Национального центра по борьбе с киберпреступностью в полиции Нигерии (NPF-NCCC).
https://xakep.ru/2025/12/23/raccoon0365-arrest/
Полиция Нигерии сообщила об аресте трех человек, причастных к работе фишинговой платформы Raccoon0365, которая использовалась для атак на учетные записи Microsoft 365. Аресты были произведены благодаря данным, полученным от компании Microsoft, которые были переданы ФБР специалистам Национального центра по борьбе с киберпреступностью в полиции Нигерии (NPF-NCCC).
https://xakep.ru/2025/12/23/raccoon0365-arrest/
👍10🔥7😢3😁1🤝1
Новогодний Котусник 2026
🗓 24 декабря в 12:00 (МСК)
➡️ Регистрация
Пока все окончательно не нырнули в праздничный ажиотаж и новогодние салаты, соберемся в уютной атмосфере с друзьями проекта Код ИБ и поздравим друг друга с наступающим Новым годом!
В программе онлайн-котусника:
*️⃣ Поздравления от партнеров, экспертов и друзей Кода ИБ
*️⃣ Розыгрыш подарков
*️⃣ Порция новогоднего настроения
Гости эфира:
— Дмитрий Борощук (BeholderIsHere Consulting)
— Александр Леонов (Автор канала «Управление Уязвимостями и прочее»)
— Дмитрий Беляев (Автор канала BELYAEV_SECURITY)
— Дмитрий Хомутов (Ideco)
— Ксения Трохимец (Независимый эксперт)
— Всеслав Соленик (СберТех)
— Рустам Гусейнов (РАД КОП)
— Евгений Баклушин (Автор канала BESSEC)
— Сергей Рысин (АСИЕ-Групп)
— Артем Куличкин (Независимый эксперт)
— Артем Калашников (Газпромбанк)
— Игорь Бирюков (InfEra Security)
— Антон Ведерников (Selectel)
— Даниил Бориславский (Контур.Эгида)
— Харитон Никишкин (Secure-T)
— Лука Сафонов (Киберполигон)
— Виктория Гольцова (RTCloud)
— Юрий Драченин (Контур.Эгида)
— Владимир Яковенко (ГК Луис+)
— Михаил Щуров (МС Бункер)
— Анна Христолюбова (Независимый эксперт)
— Наталья Кузьмина (ARinteg)
— Артем Избаенков (АРСИБ)
Присоединяйтесь к нашему теплому эфиру и не пропустите розыгрыш классных призов!
Реклама. ООО "Экспо-Линк". ИНН 6670051499
Пока все окончательно не нырнули в праздничный ажиотаж и новогодние салаты, соберемся в уютной атмосфере с друзьями проекта Код ИБ и поздравим друг друга с наступающим Новым годом!
В программе онлайн-котусника:
Гости эфира:
— Дмитрий Борощук (BeholderIsHere Consulting)
— Александр Леонов (Автор канала «Управление Уязвимостями и прочее»)
— Дмитрий Беляев (Автор канала BELYAEV_SECURITY)
— Дмитрий Хомутов (Ideco)
— Ксения Трохимец (Независимый эксперт)
— Всеслав Соленик (СберТех)
— Рустам Гусейнов (РАД КОП)
— Евгений Баклушин (Автор канала BESSEC)
— Сергей Рысин (АСИЕ-Групп)
— Артем Куличкин (Независимый эксперт)
— Артем Калашников (Газпромбанк)
— Игорь Бирюков (InfEra Security)
— Антон Ведерников (Selectel)
— Даниил Бориславский (Контур.Эгида)
— Харитон Никишкин (Secure-T)
— Лука Сафонов (Киберполигон)
— Виктория Гольцова (RTCloud)
— Юрий Драченин (Контур.Эгида)
— Владимир Яковенко (ГК Луис+)
— Михаил Щуров (МС Бункер)
— Анна Христолюбова (Независимый эксперт)
— Наталья Кузьмина (ARinteg)
— Артем Избаенков (АРСИБ)
Присоединяйтесь к нашему теплому эфиру и не пропустите розыгрыш классных призов!
Реклама. ООО "Экспо-Линк". ИНН 6670051499
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9💩4🔥1👏1🤝1
Минцифры работает над единым ID для пользователей
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации разрабатывает единый обезличенный идентификатор для всех цифровых платформ. Об этом заявила замглавы ведомства Белла Черкесова на заседании Общественного совета. Главная цель — точнее считать аудиторию и избавиться от проблем с дублированием пользователей в статистике.
https://xakep.ru/2025/12/23/mintsifry-id/
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации разрабатывает единый обезличенный идентификатор для всех цифровых платформ. Об этом заявила замглавы ведомства Белла Черкесова на заседании Общественного совета. Главная цель — точнее считать аудиторию и избавиться от проблем с дублированием пользователей в статистике.
https://xakep.ru/2025/12/23/mintsifry-id/
💩81🤬20👍11🤯6🤮5👎1🔥1🌚1
В HPE OneView исправили критический RCE-баг
Разработчики Hewlett Packard Enterprise (HPE) выпустили исправления для критической уязвимости удаленного выполнения кода, обнаруженной в ПО для управления ИТ-инфраструктурой OneView. Проблема получила идентификатор CVE-2025-37164 (максимальные 10 баллов по шкале CVSS) и может использоваться без аутентификации.
https://xakep.ru/2025/12/23/cve-2025-37164/
Разработчики Hewlett Packard Enterprise (HPE) выпустили исправления для критической уязвимости удаленного выполнения кода, обнаруженной в ПО для управления ИТ-инфраструктурой OneView. Проблема получила идентификатор CVE-2025-37164 (максимальные 10 баллов по шкале CVSS) и может использоваться без аутентификации.
https://xakep.ru/2025/12/23/cve-2025-37164/
🔥8👍6😁2💩2
Разработчики WhatsApp заявили, что будут бороться за российских пользователей
Представители WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) заявили, что российские власти пытаются лишить более 100 млн россиян доступа к приватным коммуникациям накануне новогодних праздников. Это заявление компания сделала после повторного предупреждения Роскомнадзора о возможной полной блокировке мессенджера в стране.
https://xakep.ru/2025/12/24/whatsapp-reaction/
Представители WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) заявили, что российские власти пытаются лишить более 100 млн россиян доступа к приватным коммуникациям накануне новогодних праздников. Это заявление компания сделала после повторного предупреждения Роскомнадзора о возможной полной блокировке мессенджера в стране.
https://xakep.ru/2025/12/24/whatsapp-reaction/
👍82🤣37💩24😁11🔥6🤔3
Пользователи подали в суд на Роскомнадзор и Минцифры из-за ограничения звонков в WhatsApp и Telegram
РБК сообщает, что группа пользователей WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Telegram подала иск в Таганский районный суд Москвы. Истцы требуют признать незаконными действия Роскомнадзора и Минцифры по ограничению голосовых звонков в мессенджерах, а также заявляют, что это нарушает конституционные права и интересы граждан.
https://xakep.ru/2025/12/24/rkn-lawsuit/
РБК сообщает, что группа пользователей WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Telegram подала иск в Таганский районный суд Москвы. Истцы требуют признать незаконными действия Роскомнадзора и Минцифры по ограничению голосовых звонков в мессенджерах, а также заявляют, что это нарушает конституционные права и интересы граждан.
https://xakep.ru/2025/12/24/rkn-lawsuit/
1🔥126👍52😁21🤣14💩2🌚2👎1🤮1
В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены
В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API. Малварь похищала переписку пользователей, выгружала контакты и давала атакующим доступ к аккаунтам жертв.
https://xakep.ru/2025/12/24/lotusbail/
В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API. Малварь похищала переписку пользователей, выгружала контакты и давала атакующим доступ к аккаунтам жертв.
https://xakep.ru/2025/12/24/lotusbail/
😱18🤣18👍4
Истории года. Ограбление Bybit
🆓 Доступно без подписки
В феврале 2025 года злоумышленники похитили криптовалюту на сумму около 1,5 миллиарда долларов с одного из холодных кошельков биржи Bybit. Это крупнейший криптовалютный взлом в истории, более чем вдвое превзошедший предыдущий рекорд.
https://xakep.ru/2025/12/24/2025-bybit/
🆓 Доступно без подписки
В феврале 2025 года злоумышленники похитили криптовалюту на сумму около 1,5 миллиарда долларов с одного из холодных кошельков биржи Bybit. Это крупнейший криптовалютный взлом в истории, более чем вдвое превзошедший предыдущий рекорд.
https://xakep.ru/2025/12/24/2025-bybit/
👏18👍8🔥6😱3
React2Shell. Разбираем уязвимость в мегапопулярном фреймворке React #статьи #хардкор #подписчикам
День 29 ноября 2025 года стал кошмарным для всех владельцев веб‑приложений на React Server Components. ИБ‑исследователь нашел возможность одним POST-запросом без авторизации исполнять команды на сервере. Опасность по CVSS — 10 из 10. Сегодня разберем, как работает эта уязвимость, и сравним фейковый PoC с реальной эксплуатацией.
https://xakep.ru/2025/12/24/react2shell-cve/
День 29 ноября 2025 года стал кошмарным для всех владельцев веб‑приложений на React Server Components. ИБ‑исследователь нашел возможность одним POST-запросом без авторизации исполнять команды на сервере. Опасность по CVSS — 10 из 10. Сегодня разберем, как работает эта уязвимость, и сравним фейковый PoC с реальной эксплуатацией.
https://xakep.ru/2025/12/24/react2shell-cve/
🔥18👍2🤬2
Два вредоносных расширения для Chrome крадут данные
Обнаружены два расширения для Chrome, распространяющиеся под общим названием Phantom Shuttle. Они выдают себя за плагины для прокси-сервиса, однако на самом деле перехватывают трафик пользователей и воруют конфиденциальные данные.
https://xakep.ru/2025/12/24/phantom-shuttle/
Обнаружены два расширения для Chrome, распространяющиеся под общим названием Phantom Shuttle. Они выдают себя за плагины для прокси-сервиса, однако на самом деле перехватывают трафик пользователей и воруют конфиденциальные данные.
https://xakep.ru/2025/12/24/phantom-shuttle/
😱11👍4🔥4🤬2💩1
Обнаружены новые версии Android-трояна Mamont, которые распространяются через домовые чаты
Аналитики компании F6 изучили свежую версию трояна Mamont, который стал главной угрозой для российских пользователей Android. По данным компании, 47% всех скомпрометированных устройств в РФ заражены именно этим вредоносом. Только в ноябре 2025 года ущерб от его атак превысил 150 млн рублей.
https://xakep.ru/2025/12/24/mamont-new/
Аналитики компании F6 изучили свежую версию трояна Mamont, который стал главной угрозой для российских пользователей Android. По данным компании, 47% всех скомпрометированных устройств в РФ заражены именно этим вредоносом. Только в ноябре 2025 года ущерб от его атак превысил 150 млн рублей.
https://xakep.ru/2025/12/24/mamont-new/
🤬24
Фальшивый домен для активации Windows заражает пользователей малварью Cosmali Loader
Пользователи обнаружили фальшивый домен, маскирующийся под MAS-утилиту (Microsoft Activation Scripts) проекта Massgrave. Домен использовали для распространения вредоносных PowerShell-скриптов, которые заражали Windows-системы загрузчиком малвари Cosmali Loader.
https://xakep.ru/2025/12/25/fake-mas/
Пользователи обнаружили фальшивый домен, маскирующийся под MAS-утилиту (Microsoft Activation Scripts) проекта Massgrave. Домен использовали для распространения вредоносных PowerShell-скриптов, которые заражали Windows-системы загрузчиком малвари Cosmali Loader.
https://xakep.ru/2025/12/25/fake-mas/
🤯32😱8🤬4🔥2😁2🎉1
У Nissan произошла утечка данных 21 000 человек
Японский автопроизводитель Nissan Motor Co. Ltd. сообщил о компрометации персональных данных тысяч своих клиентов. Этот инцидент стал побочным эффектом сентябрьской атаки на американскую компанию Red Hat, разрабатывающую корпоративное ПО.
https://xakep.ru/2025/12/25/nissan-leak-2/
Японский автопроизводитель Nissan Motor Co. Ltd. сообщил о компрометации персональных данных тысяч своих клиентов. Этот инцидент стал побочным эффектом сентябрьской атаки на американскую компанию Red Hat, разрабатывающую корпоративное ПО.
https://xakep.ru/2025/12/25/nissan-leak-2/
😱17😁4🔥1🤬1🌚1
Дроппер MacSync обходит защиту Gatekeeper в macOS
Эксперты предупредили, что новую версию стилера MacSync для macOS распространяют через подписанное и нотаризованное Apple Swift-приложение. Это серьезный шаг вперед по сравнению с прошлыми итерациями малвари, которые использовали для заражения примитивные техники вроде «перетащи-в-терминал» и ClickFix.
https://xakep.ru/2025/12/25/macsync/
Эксперты предупредили, что новую версию стилера MacSync для macOS распространяют через подписанное и нотаризованное Apple Swift-приложение. Это серьезный шаг вперед по сравнению с прошлыми итерациями малвари, которые использовали для заражения примитивные техники вроде «перетащи-в-терминал» и ClickFix.
https://xakep.ru/2025/12/25/macsync/
🤯19👍3🤬2🤣1
Истории года. Катастрофа Jaguar Land Rover
🆓 Доступно без подписки
В конце августа 2025 года британская автомобилестроительная компания Jaguar Land Rover (JLR) объявила, что вынуждена отключить ряд своих систем из‑за хакерской атаки. Как выяснилось вскоре, это инцидент стал одной из крупнейших кибератак в истории страны и может повлиять на показатели роста экономики Великобритании в целом.
https://xakep.ru/2025/12/25/2025-landrover/
🆓 Доступно без подписки
В конце августа 2025 года британская автомобилестроительная компания Jaguar Land Rover (JLR) объявила, что вынуждена отключить ряд своих систем из‑за хакерской атаки. Как выяснилось вскоре, это инцидент стал одной из крупнейших кибератак в истории страны и может повлиять на показатели роста экономики Великобритании в целом.
https://xakep.ru/2025/12/25/2025-landrover/
🤯14🔥11🦄6👍2
Новая охота на идоров. Применяем Semgrep, шаблоны nuclei и auth-директивы в GraphQL #статьи #подписчикам
Сегодня расскажем, как не погибнуть в ручном поиске IDOR-уязвимостей в коде тысяч хендлов API. В ход пойдут правила Semgrep в режиме join. Затем попробуем восстановить логику бизнес‑сценариев по артефактам от QA-автотестов и обернуть ее в шаблоны nuclei.
https://xakep.ru/2025/12/25/idor-hunt-2/
Сегодня расскажем, как не погибнуть в ручном поиске IDOR-уязвимостей в коде тысяч хендлов API. В ход пойдут правила Semgrep в режиме join. Затем попробуем восстановить логику бизнес‑сценариев по артефактам от QA-автотестов и обернуть ее в шаблоны nuclei.
https://xakep.ru/2025/12/25/idor-hunt-2/
😁20👍8😢2💩1
Кибератака нарушила работу почтовых и банковских служб Франции
Национальная почтовая служба Франции — La Poste сообщила о масштабном сбое, который вывел из строя все ее информационные системы. Инцидент нарушил работу цифрового банкинга и онлайн-сервисов для миллионов пользователей.
https://xakep.ru/2025/12/25/la-poste/
Национальная почтовая служба Франции — La Poste сообщила о масштабном сбое, который вывел из строя все ее информационные системы. Инцидент нарушил работу цифрового банкинга и онлайн-сервисов для миллионов пользователей.
https://xakep.ru/2025/12/25/la-poste/
1👍12🔥5😁4😱3🤬2🤩1💩1
Разработчики MongoDB предупредили о серьезной RCE-уязвимости
Специалисты MongoDB предупредили администраторов о критической уязвимости, которая позволяет удаленно выполнить произвольный код на незащищенных серверах. Баг можно эксплуатировать без авторизации, и атака не требует взаимодействия с пользователем.
https://xakep.ru/2025/12/25/mongodb-rce/
Специалисты MongoDB предупредили администраторов о критической уязвимости, которая позволяет удаленно выполнить произвольный код на незащищенных серверах. Баг можно эксплуатировать без авторизации, и атака не требует взаимодействия с пользователем.
https://xakep.ru/2025/12/25/mongodb-rce/
😱20🔥8
Расширение Trust Wallet скомпрометировано. Пользователи лишились 7 млн долларов
Минувшей ночью известный ИБ-специалист и блочейн-аналитик ZachXBT предупредил о компрометации популярного Chrome-расширения Trust Wallet. Как сообщил глава биржи Binance и владелец Trust Wallet Чанпэн Чжао, в настоящее время известно, что у пользователей кошелька похитили около 7 млн долларов в криптовалюте.
https://xakep.ru/2025/12/26/trust-wallet-hack/
Минувшей ночью известный ИБ-специалист и блочейн-аналитик ZachXBT предупредил о компрометации популярного Chrome-расширения Trust Wallet. Как сообщил глава биржи Binance и владелец Trust Wallet Чанпэн Чжао, в настоящее время известно, что у пользователей кошелька похитили около 7 млн долларов в криптовалюте.
https://xakep.ru/2025/12/26/trust-wallet-hack/
😁22😱12🔥7🤬2