Будни баг баунти

🧑‍💻 Этичный хакер

😈 Самые важные события в мире инфосека за январь

В данной статье подробно рассмотрим:
— Дональд Трамп помило­вал осно­вате­ля Silk Road Рос­са Уль­брих­та
— Хакеры заяви­ли об ата­ках на Рос­реестр и «Рос­телеком»
— В в откры­тый дос­туп выложи­ли учет­ные дан­ные 15 тысяч устрой­ств FortiGate
— Обна­руже­на мас­совая ата­ка на рас­ширения для Chrome
— День­ги у рос­сий­ских поль­зовате­лей вору­ют через NFC
— Опасные туннели
— Ботнет из MikroTik’ов
— Identity Check
— Двойной кликджекинг
— Проблема Google OAuth

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 Facebook** признала ошибку при блокировке тем, связанных с Linux

❗️ Социальная сеть Facebook заявила, что блокировка публикаций, связанных с Linux, была ошибочной и уже исправлена

— Представитель компании сообщил, что ограничение было снято, а обсуждение Linux по‑прежнему разрешено в соцсети

Причины первоначальной блокировки остаются неясными. Facebook не пояснила, из‑за чего произошло ограничение тем, связанных с Linux

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Когда решил узнать статус исправления уязвимостей

🧑‍💻 Этичный хакер

😈 Взлом госуслуг: мифы и реальность

— В данной статье Лука Сафонов постарается выяснить что из взлома госуслуг миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги

Лука Сафонов — эксперт в сфере информационной безопасности, основатель компании «Киберполигон». В прошлом — руководитель Лаборатории практического анализа защищённости Центра информационной безопасности компании «Инфосистемы Джет»

Для экспериментов он использовал свой собственный аккаунт, содержащий доступ к моим данным и данным моего юр лица. Доступ осуществляется как с помощью связки логин/пароль + смс, так и ЭЦП

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 Операция Heart Blocker: ликвидация крупного фишингового сервиса

‼️ Правоохранительные органы США и Нидерландов провели операцию «Heart Blocker», в ходе которой ликвидировали фишинговую организацию Saim Raza или HeartSender

HeartSender продавал фишинговые наборы, инструменты для кражи cookie-файлов и другие средства для массовой рассылки вредоносных писем

— Группировка обслуживала тысячи клиентов, предоставляя доступ к панелям управления сайтами (cPanel), SMTP-серверам и взломанным аккаунтам WordPress

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 10 лучших инструментов для оценки уязвимостей и тестирования на проникновение (VAPT) в 2025 году

— Инструменты оценки уязвимостей и тестирования на проникновение (VAPT) являются неотъемлемой частью любого инструментария кибербезопасности и играют важную роль в выявлении, анализе и устранении уязвимостей в компьютерных системах, сетях, приложениях и ИТ-инфраструктуре

Лучшие инструменты VAPT в 2025 году:
— Wireshark: это анализатор сетевых протоколов, который фиксирует и интерактивно просматривает трафик, работающий в компьютерной сети.
— NMAP: это инструмент сканирования сети, используемый для обнаружения хостов и служб в компьютерной сети путем отправки пакетов и анализа ответов.
— Metasploit: это мощный инструмент для разработки и выполнения эксплойт-кода на удаленной целевой машине для выявления уязвимостей.
— Burp Suite: Интегрированная платформа для тестирования безопасности веб-приложений, включая зондирование уязвимостей и перехват трафика.
— OpenVAS: это фреймворк с открытым исходным кодом, который состоит из нескольких сервисов и инструментов, предлагающих комплексные и мощные решения для сканирования уязвимостей и управления уязвимостями.
— Nessus: это широко используемый сканер уязвимостей, который анализирует сети для выявления потенциальных рисков безопасности в сетевых системах для устранения.
— Nikto: Сканер веб-сервера, который проверяет веб-серверы на предмет опасных файлов, устаревшего программного обеспечения и других потенциальных проблем.
— Indusface: комплексное решение для обеспечения безопасности приложений, которое обеспечивает автоматизированное сканирование веб- и мобильных приложений в сочетании с ручным тестированием на проникновение.
— Acunetix: это сканер веб-уязвимостей, который автоматически проверяет веб-сайты на наличие уязвимостей безопасности, таких как SQL-впрыск и межсайтовые сценарии.
— SQLMap: это инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и использования недостатков SQL-инъекции и захвата серверов баз данных.

Под катом смотрите основные функции и особенности каждого инструмента

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Как реагируют на рекомендации по безопасности

🧑‍💻 Этичный хакер

😈 Операция Talent: закрыты хак-форумы Cracked и Nulled

— Правоохранители провели международную операцию Talent, в рамках которой были закрыты такие сайты, как cracked.io, cracked.to, nulled.to, starkrdp.io, mysellix.io и sellix.io

Европол и полиция Германии подтвердили арест двух подозреваемых и захват 17 серверов

❗️ Cracked и Nulled — два крупных хак-форума, насчитывающих более 10 млн пользователей. В основном эти ресурсы были ориентированы на кражу паролей, взлом и credential-stuffing атаки

На сайтах также публиковались хакерские инструменты, включая тулзы и скрипты для поиска уязвимостей и оптимизации атак, конфиги для credential-stuffing инструментов (таких как OpenBullet и SilverBullet)

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 Топ-менеджера Лаборатории Касперского развели на 10 млн рублей

Мошенники позвонили от лица сотрудников Росфинмониторинга и ФСБ и убедили его отдать им деньги

Советник генерального директора по образовательным проектам, 67-летний Вениамин Гинодман, поверил «руководителям службы безопасности» сразу же

Он снял со своего банковского счета 10 миллионов рублей и отдал их курьеру мошенической схемы

— Сама Лаборатория регулярно рассказывает о новых способах мошенничества и раздаёт советы, как на них не попасться

🧑‍💻 Этичный хакер