🔍 PT запускает альтернативу CVE: 317 тысяч уязвимостей в открытом доступе

Positive Technologies открыла общедоступный портал с данными о 317 тысячах уязвимостей в ПО и оборудовании. База регулярно пополняется — в среднем публикуется тысяча новых записей еженедельно.

Создание портала стало ответом на проблемы международных баз CVE и NVD, которые сталкиваются с задержками обновлений и сокращением финансирования. Такие сбои дают преимущество злоумышленникам, позволяя им эксплуатировать неустранённые уязвимости.

Портал использует ИИ для агрегации данных из множества источников и создания подробных описаний уязвимостей. В отличие от CVE, в базе PT указываются имена исследователей, обнаруживших уязвимости, а также рейтинг самых обсуждаемых брешей в сообществе.

#кибербезопасность #уязвимости #PositiveTechnologies #InfoSec

@SecLabNews

🆕 Еженедельный обзор киберновостей SecurityLab

На прошедшей неделе киберпреступники активизировались по всему миру: от парализующих атак на Air Serbia до новых требований по обязательному уведомлению о каждом инциденте в ГосСОПКА. Параллельно власти разных стран ужесточают контроль над цифровым пространством — в России готовят штрафы за VPN, а США впервые заговорили о физической уязвимости глобального интернета через подводные кабели — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Сербская авиакомпания Air Serbia осталась без IT-инфраструктуры после масштабной кибератаки, парализовавшей все компьютерные системы.

Хакеры превратили обычные NAS-устройства Synology в оружие массового шифрования, парализовав бизнесы по всей Италии на сотни тысяч евро.

Китайские дроны захватили 70% американского неба без единого выстрела, превратившись в новую угрозу для национальной безопасности США.

США впервые поставили под сомнение физическую надёжность всего глобального интернета из-за китайского контроля над подводными кабелями.

Криптобиржа BigONE потеряла $27 миллионов за одну ночь в результате атаки на цепочку поставок.

👁В России

Пользование VPN может обернуться штрафами, но Шейкин объяснил, когда наказывают, а когда проходят мимо.

Иностранные мессенджеры попали в чёрный список — до 1 сентября решат их судьбу в России.

Национальный мессенджер MAX обзавёлся новыми функциями: 4 ГБ в один клик, GigaChat и интеграция с Госключом.

ГИС обязали стучать: каждый инцидент — в ГосСОПКА, каждый байт — под надзором.

Telegram делает тихий шаг навстречу системе и идёт в Роскомнадзор с документами.

👨‍🔬 Кибермир

Российские хакеры показали, как взломать сервер одним кликом через критические уязвимости в ATEN KVM с оценкой 9,8 баллов.

Антивирусы признали поражение перед SquidLoader — вирусом-терминатором, который самоуничтожается при угрозе разоблачения.

Популярная утилита PuTTY стала рассадником троянов через заражённые репозитории, которым доверяют программисты.

Обнаружена критическая RCE-уязвимость в Cisco IOS с оценкой 10 из 10, дающая полный контроль над маршрутизатором.

Третья критическая дыра за год найдена в NVIDIA Container Toolkit — всего 3 строки кода для 9.0 баллов по CVSS.

🔎 Новости науки и технологий

NASA представила первый сверхзвуковой самолёт X-59, который не бьёт окна и не мешает спать соседям.

LIGO зафиксировала самое тяжёлое слияние чёрных дыр в истории — образование монстра весом в 225 Солнц.

Учёные заставили квант запутаться во времени и получили то, что Вселенная прятала столетиями.

OpenAI избавила нас от сложных промптов — теперь искусство создаётся простым выбором стиля.

ChatGPT научился выполнять всю работу за пользователя — от анализа до оформления презентаций.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

📱Massistant: карманная экспертиза под присягой

Исследователи раскрыли подробности работы Massistant — мобильного криминалистического инструмента от китайской компании Meiya Pico. Программа устанавливается на конфискованные устройства и превращает их в послушных информаторов для правоохранителей.

Физический доступ к телефону, установка приложения, которое выпрашивает все возможные разрешения, и синхронизация с настольным ПО. Инструмент собирает геоданные, переписки, медиафайлы и даже проникает в защищённые мессенджеры вроде Signal. При отключении от USB приложение автоматически удаляется.

Компания уже попала под санкции США за слежку за уйгурами, но продолжает развивать технологии массового контроля. Туристам в Китае стоит помнить — их смартфоны могут стать открытой книгой для местных силовиков.

#мобильнаябезопасность #китай #Massistant

@SecLabNews

🔒Соцсети обяжут цензурировать «духовные ценности»

Если сайт или видеосервис ежедневно набирает 100 тыс. пользователей из РФ — готовьтесь к цензурным требованиям. Поправки ко второму чтению закона №795487-8 вводят обязанность удалять фильмы и ролики, которые Минкульт сочтёт «дискредитирующими традиционные духовно-нравственные ценности».

При отказе в прокатном удостоверении или его отзыве Роскомнадзор направляет требование — у владельца платформы есть сутки на блокировку. Аналогичная норма вводится для соцсетей с аудиторией от 500 тыс. в сутки — под удар попадают даже пользовательские публикации.

С 1 марта 2026 года прокат фильма без учёта изменений в удостоверении приравнивается к полному его отсутствию. А понятие «показ» уточняется: теперь под ним официально понимается и распространение фильма через аудиовизуальные сервисы. Де-факто Минкульт получает рычаг регулирования всего видеоконтента в рунете.

#законодательство #цензура #аудиовизуальныйконтент @SecLabNews

✉️SS7 слил локацию — просто по номеру

Специалисты Enea зафиксировали, как господрядчик с Ближнего Востока обошёл защиту мобильной сети и запросил геолокацию абонентов через SS7 — старый, но до сих пор живой протокол. Без взлома, без заражения — просто отправил запрос и получил координаты с точностью до ближайшей вышки. В городе это — почти адрес.

Работает всё через уязвимости роуминга: оператор доверяет служебному запросу, если фильтры не выставлены правильно. Большинство пользователей даже не узнают, что за ними следили. А операторы — молчат. Кто был целью — не сообщается, но атака выглядела как точечная разведоперация.

И это не единичный случай. Слежка через SS7 — на подъёме, а коммерческие фирмы охотно пишут нужный софт «только для госорганов». Только вот следят им не за террористами, а за журналистами и активистами. Добро пожаловать в мир, где твоя SIM-карта — маяк.

#SS7 #слежка #госхакеры

@SecLabNews

🏴‍☠️Модератор за рубль: новый обман с OnlyFans

Мошенники снова играют на желании подзаработать: жителям России предлагают удалённую работу «модератором OnlyFans» с оплатой в 10 000₽ в неделю. Всё, что нужно — пройти «верификацию» через фейковое приложение и заплатить символический рубль. На деле — это троян, перехватывающий СМС от банков.

Приложение якобы скачивается с Google Play, но ведёт на сайт only-fans[.]in. Вместо работы — шпион на Android, который собирает данные карты, выводит деньги, оформляет кредит. За первое полугодие 2025 одна группа обманула 93 человека и похитила 869 000₽. В схеме — подставные Telegram-аккаунты с премиумами и деловыми аватарками.

Удалёнка, где вы — только цель. Высокая зарплата, минимум требований, «нужен Android 7+» — набор флажков, по которым вычисляется скам. F6 советует: не кликайте по мечтам.

#OnlyFans #удалёнка #мошенничество

@SecLabNews

🫡VPN не запретили — но играть по-старым правилам больше нельзя

В России официально не запретили VPN, но сделали его "опасным" аттракционом: к штрафам теперь ведёт не только реклама обхода блокировок, но даже намеренный поиск запрещённого контента через любой канал — включая туннель, шифр и бубен. Закон принят, ставки выросли, а формулировки стали точнее, чем DPI.

Смысл нововведений — не в тотальной зачистке, а в создании «санитарной зоны» вокруг цифровой активности: подключаться можно, но не высовывайся. VPN для удалёнки — пожалуйста. Защищать трафик в общественном Wi-Fi — без вопросов. Но если вы «случайно» искали PDF из реестра экстремистских материалов или написали твит про «самый быстрый обход» — готовьте 5 тысяч, а то и больше.

Ирония в том, что VPN в законе остался — но говорить о нём вслух становится опаснее, чем пользоваться. Формально не запрещено, фактически — под прицелом. Новый цифровой этикет прост: меньше слов, меньше ссылок, больше тишины в туннеле. И, возможно, никто не постучит.

#VPN #КоАП #РКН

@SecLabNews

🚨 Нейросеть удалила базу данных и сказала "простите, запаниковала"

Replit обещает сделать из любого менеджера программиста. На практике получается наоборот — из программиста делает нервного менеджера, который не понимает, что творится в его системе. Основатель SaaStr это прочувствовал на собственной шкуре.

Самое странное не в том, что нейросеть удалила базу. А в том, как она себя вела после этого. Сначала наврала, что данные невозможно восстановить. Потом оказалось — можно, просто никто не проверял. Это классическое поведение системы, которая пытается скрыть свои ошибки вместо их исправления.

Получается забавная ситуация — мы создаём ИИ, который должен упростить разработку, но он добавляет новый слой непредсказуемости. Вместо отладки кода теперь приходится отлаживать поведение нейросети. И никто не знает, что у неё в голове, когда она "паникует" и начинает удалять важные данные.

#Replit #ИИразработка #SaaStr

@SecLabNews

🔗Четырехлетняя охота за XSS.is завершилась арестом в Киеве

Парижская прокуратура опубликовала официальный пресс-релиз о задержании предполагаемого администратора XSS.is в Киеве. Четыре года работы, два уголовных дела, международная координация — операция была серьезной.

Французы начали копать в июле 2021-го, когда получили доступ к переписке на сервере​ thesecure.biz. Хакеры думали, что Jabber их защитит — ошиблись. К ноябрю 2021-го материала хватило на второе уголовное дело — уже по тяжким статьям.

XSS.is был не просто форумом, а полноценной B2B-платформой киберпреступности с 2013 года. Документированный ущерб — 7 миллионов долларов, но это только верхушка. Реальные цифры наверняка в разы больше. Задержание — болезненный удар по экосистеме. Но криминальные площадки имеют свойство возрождаться под новыми именами.

#киберпреступность #XSSis #хакеры

@SecLabNews

🫨Повторение SolarWinds, только хуже: взлом SharePoint обернулся эпидемией

Национальное управление по ядерной безопасности США стало жертвой масштабной кибератаки через критическую уязвимость в Microsoft SharePoint Server. Атака началась 18 июля и быстро распространилась на федеральные ведомства. Под ударом оказались системы, отвечающие за ядерный арсенал страны.

Группировка Storm-2603 изменила тактику — от традиционного шпионажа перешла к развертыванию программ-вымогателей. Это качественный скачок в киберугрозах для критической инфраструктуры. За неделю число подтвержденных жертв выросло с 100 до 400+ организаций, включая Министерство образования и налоговые службы штатов.

Эксперты сравнивают инцидент с атакой SolarWinds 2019 года по масштабу воздействия на государственный сектор. SharePoint развернут в тысячах организаций по всему миру, а централизованные обновления идут медленно. Получается эффект домино с непредсказуемыми последствиями.

#SharePoint #США #Кибератака

@SecLabNews

🤨 Совфед решил оградить россиян от "вредного" ИИ

Матвиенко заявила, что России нужны собственные независимые платформы для развития искусственного интеллекта. По её мнению, использование «чужеродного» ИИ несёт угрозу безопасности граждан и государства в целом. Важна именно суверенность — и технологическая, и законодательная.

Она подчеркнула, что ИИ — это направление, которое будет способствовать технологическому лидерству страны, и нельзя сдерживать его развитие. Вместе с тем спикер Совета Федерации отметила необходимость поставить заслон для проникновения чужеродных систем, поскольку это фактически форма влияния на суверенитет государства.

При этом Матвиенко обратила внимание на сложность законодательного регулирования в сфере ИИ. Профильный комитет уже занимается этим, и важно найти баланс — не затормозить развитие, но и защитить граждан и страну от возможных негативных последствий.

#ИскусственныйИнтеллект #ЦифровойСуверенитет #Матвиенко

@SecLabNews

🧟Как пират заработал больше многих стартапов (и сел за это)

Jetflicks собирал десятки тысяч подписчиков 12 лет подряд. Даже если брать скромные $10 в месяц с носа, получается неплохой бизнес с оборотом в миллионы. Кристофер Далман из Лас-Вегаса построил настоящую медиаимперию на чужом контенте, пока правообладатели спали и видели.

Цифры впечатляют: 183 тысячи серий, 10,5 тысяч фильмов, контент с Netflix, Hulu, Amazon Prime. Фактически пользователи Jetflicks получали доступ ко всем топовым платформам за цену одной подписки. Бизнес-модель мечты, если бы не мелочь — весь контент был ворованный.

Парадокс в том, что Далман создал именно тот сервис, о котором мечтали пользователи. Весь контент в одном месте, без геоблокировки, по честной цене. Студии до сих пор не могут договориться между собой и плодят десятки платформ. А пират из Вегаса решил проблему за них — правда, незаконно. Получается, семь лет тюрьмы за то, что показал индустрии правильное направление.

#стриминг #техноанархия #пиратство
@SecLabNews

😦 Охладите свое админство: в России создали специальный технологический костюм для сисадмина

Ко Дню системного администратора техноблогер BRIGMAN и команда Яндекс 360 представили костюм с активной системой охлаждения, встроенными вентиляторами и портативным аккумулятором. Блогер лично контролировал производство — от чертежей до финальной сборки.

Костюм рассчитан на весь рабочий день без перегрева: система вентиляции работает как кулер на процессоре, карманы продуманы под весь арсенал сисадмина — от кабелей до запасных отвёрток. Встроенный аккумулятор обеспечивает автономность всех гаджетов.

Испытания идут на слёте сисадминов. Интересно, станет ли тренд на персонализированную экипировку для IT-специалистов новой нишей для tech-брендов.

#айти #технологии #носимыйгаджет

@SecLabNews

🫡Трамп хочет "честный" ИИ. Проблема — такого не существует

Белый дом выпустил указ с говорящим названием "Предотвращение пробуждённого ИИ". Теперь все модели в федеральных структурах должны быть "правдивыми" и "идеологически нейтральными". Звучит здорово, но есть нюанс.

Ни одна существующая модель этим требованиям не соответствует. Вообще ни одна. ChatGPT лево-либеральный, Gemini мультикультурный, даже Grok от Маска умудряется врать про выборы. Все крупные разработчики используют RLHF, где модели перенимают взгляды тренеров. Это неизбежно.

Теперь подрядчики в панике ищут способы сделать своих ботов политкорректными в глазах новой администрации. Но как проверить соответствие "расплывчатым критериям" — загадка. Показательный пример: когда разработчики пытались "отучить" ИИ от прогрессивных взглядов, получился алгоритм, который назвал себя MechaHitler. Скорее всего, получится как всегда: кто лучше лоббирует, тот и "нейтральнее". А дебаты о правильной идеологии ИИ только начинаются.

#ИИ #США #политика

@SecLabNews

Еженедельный обзор киберновостей

Эта неделя запомнилась масштабными кибератаками на корпорации по всему миру и прорывными открытиями в области квантовых технологий. Microsoft неожиданно продлила жизнь Windows 10, а китайские хакеры нашли новые способы обхода систем защиты — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🔥В мире

Microsoft неожиданно отсрочила «казнь» Windows 10, продлив её поддержку дольше запланированного срока.

Google развернула масштабную охоту на госпропаганду, удалив более 11 тысяч каналов за один квартал.

Илон Маск запускает вычислительного монстра с 50 миллионами GPU против всего мира ИИ.

Международный суд в Гааге вынес исторический приговор, обязав государства спасать планету или платить миллиарды.

Китай обрушил цены на гуманоидных роботов в 2,5 раза, сделав их при этом умнее.


👁В России

В России запустили производство ключевого компонента для микросхем, заменив импортные поставки.

Российские регионы учатся жить без мобильной связи, создавая WiFi-карты выживания.

Госдума обязала соцсети и видеосервисы блокировать контент в течение суток по требованию Роскомнадзора.

Министр Шадаев объяснил, где начинается нарушение при поиске в интернете под государственным микроскопом.

Валентина Матвиенко заявила о необходимости суверенного ИИ, назвав чужой угрозой для государства.

👨‍🔬 Цифровая оборона

Обычная зарядка телефона через USB может отдать хакерам всё — фото, переписку и пароли.

Популярный VPN-сервис дал Ирану доступ к фото и звонкам пользователей вместо защиты.

ExpressVPN случайно сдал своих клиентов, несмотря на обещания полного шифрования.

В Киеве задержан фигурант дела крупнейшего хакерского форума XSS, работавшего с 2013 года.

Хакеры проникли в ядерное ведомство США и теперь шантажируют целые штаты.

🖥 Научные достижения

Учёные впервые в истории заставили атомы сдаться оптике, бросив вызов электронной микроскопии.

Искусственный интеллект за сутки победил протонный шум, над которым физики бились 20 лет.

Энтузиаст создал 8-битный компьютер из детского конструктора, который реально считает без единого провода.

Китайские учёные начали отправлять фотоны по телекому, превратив фантастику в реальность.

NASA запустило ядерное сердце на 400 лет для работы там, где мёрзнут панели и гаснет свет.


Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews