Cloudflare подтвердил блокировку со стороны РКН
Теперь уже официально, о чем рассказал в своем отчете:
1) Трудности с подключением к сайтам на Cloudflare начались 9 июня, в период с 13 по 15 июня трафик был вдвое меньше обычного.
2) Cloudflare при этом не получал никаких официальных сообщений о блокировке от российских властей, а также обоснований причин для этого. Только сам РКН неоднократно заявлял о необхомисти переходить на отечественные решения.
3) Кроме Cloudflare из-за ограничений пострадали и другие хостинг-провайдеры, как минимум Hetzner, DigitalOcean и OVH.
4) Без замедления подгружаются только первые 16 КБ данных по любому протоколу. Это первые 10–14 TCP-пакетов, после чего соединение сбрасывается или тормозится.Небольшие сайты могли и не заметить таккого ограничения, укладываясь в лимит, большинство других сайтов никак не могут повлиять на это.
5) Отчеты на основе сетевых ошибок NEL, а также внутренние данные самого Cloudflare подтверждают эти ограничения со стороны российских провайдеров.
У Cloudflare сейчас нет рабочего решения для решения этой проблемы у российских пользователей, но с постоянним использованием VPN эти блокировки будут незаметными.
Теперь уже официально, о чем рассказал в своем отчете:
1) Трудности с подключением к сайтам на Cloudflare начались 9 июня, в период с 13 по 15 июня трафик был вдвое меньше обычного.
2) Cloudflare при этом не получал никаких официальных сообщений о блокировке от российских властей, а также обоснований причин для этого. Только сам РКН неоднократно заявлял о необхомисти переходить на отечественные решения.
3) Кроме Cloudflare из-за ограничений пострадали и другие хостинг-провайдеры, как минимум Hetzner, DigitalOcean и OVH.
4) Без замедления подгружаются только первые 16 КБ данных по любому протоколу. Это первые 10–14 TCP-пакетов, после чего соединение сбрасывается или тормозится.Небольшие сайты могли и не заметить таккого ограничения, укладываясь в лимит, большинство других сайтов никак не могут повлиять на это.
5) Отчеты на основе сетевых ошибок NEL, а также внутренние данные самого Cloudflare подтверждают эти ограничения со стороны российских провайдеров.
У Cloudflare сейчас нет рабочего решения для решения этой проблемы у российских пользователей, но с постоянним использованием VPN эти блокировки будут незаметными.
🔥149💩84🤔24❤8👎6
Тут на net4people описали, что нового внедрил РКН за последние дни-недели (подозреваем, что в районе 10 июня) из-за чего у многих или впн или просто интернет работает плохо/странно.
Если вкратце:
1️⃣ Клиент устанавливает HTTPS-соединение с сервером по протоколу TLS 1.3 (например, через VLESS/Reality, который маскируется под обычный HTTPS).
2️⃣ IP-адрес сервера выглядит «подозрительно»:
• находится за пределами РФ,
• принадлежит дата-центрам вроде Hetzner, Digital Ocean и т.п.
3️⃣ Если в рамках одного TCP-соединения от сервера к клиенту поступает больше ~15–20 КБ данных, соединение «замораживается» — пакеты от сервера просто перестают приходить.
Если вкратце:
1️⃣ Клиент устанавливает HTTPS-соединение с сервером по протоколу TLS 1.3 (например, через VLESS/Reality, который маскируется под обычный HTTPS).
2️⃣ IP-адрес сервера выглядит «подозрительно»:
• находится за пределами РФ,
• принадлежит дата-центрам вроде Hetzner, Digital Ocean и т.п.
3️⃣ Если в рамках одного TCP-соединения от сервера к клиенту поступает больше ~15–20 КБ данных, соединение «замораживается» — пакеты от сервера просто перестают приходить.
GitHub
[Russia] Censor has a new method of blocking · Issue #490 · net4people/bbs
Problem A few weeks ago, a new method of blocking (especially on mobile networks) was introduced in Russia by the censor. It works as follows. So, if: The client connects to the server via TCP usin...
🔥165💩135🤔35👍5❤4
Российский хостинг Aeza Group добавили в санкционные списки США
Минфин США ввел санкции в отношении Aeza Group и четырех ключевых лиц компании.
Официальная причина - предоставление услуг кибермошенникам (хотя такое делают практически все хостинги). Управление по контролю за иностранными активами (OFAC) считает, что услугами Aeza пользовались мошенники для размещения вредоносного ПО и проведения кибератак, в том числе с использованием программ-вымогателей BlackSprut и BianLian, способных похищать информацию с устройств. Этот же хостинг использовала российская даркнет-площадка для продажи наркотиков по всему миру.
Теперь активы компании в США будут заморожены, а американским компаниям запрещено вести бизнес с Aeza Group. Один из генеральных директоров ранее был арестован в России по подозрению в "незаконной банковской деятельности в составе организованной преступной группы".
Минфин США ввел санкции в отношении Aeza Group и четырех ключевых лиц компании.
Официальная причина - предоставление услуг кибермошенникам (хотя такое делают практически все хостинги). Управление по контролю за иностранными активами (OFAC) считает, что услугами Aeza пользовались мошенники для размещения вредоносного ПО и проведения кибератак, в том числе с использованием программ-вымогателей BlackSprut и BianLian, способных похищать информацию с устройств. Этот же хостинг использовала российская даркнет-площадка для продажи наркотиков по всему миру.
Теперь активы компании в США будут заморожены, а американским компаниям запрещено вести бизнес с Aeza Group. Один из генеральных директоров ранее был арестован в России по подозрению в "незаконной банковской деятельности в составе организованной преступной группы".
💩137🔥47🤔27👍7👎5❤2👏1
Cloudflare запрещает ИИ-моделям обучаться на сайтах своих клиентов
С 1 июля Cloudflare установил на всех сайтах функцию блокировки ИИ-краулеров, чтобы запретить ИИ обучаться на контенте без разрешения самих авторов.
Cloudflare считает, что создатели контента и владельцы сайтов должны самостоятельно решать, предоставлять ли ИИ-ботам доступ к своему контенту.
Одновременно с этим Cloudflare представил инструмент Pay Per Crawl, он позволит владельцам сайтов установить собственную цену за запросы ИИ-ботов. Инструмент интегрируется с существующей веб-инфраструктурой, используя коды статуса HTTP и установленные механизмы аутентификации для создания фреймворка для платного доступа к контенту. Сейчас Pay Per Crawl находится на стадии закрытого бета-тестирования.
Формально же у владельцев сайтов на Cloudflare появится выбор: бесплатно предоставлять доступ ИИ-моделям для обучения, взимать за это фиксированную плату или запретить доступ полностью.
С 1 июля Cloudflare установил на всех сайтах функцию блокировки ИИ-краулеров, чтобы запретить ИИ обучаться на контенте без разрешения самих авторов.
Cloudflare считает, что создатели контента и владельцы сайтов должны самостоятельно решать, предоставлять ли ИИ-ботам доступ к своему контенту.
Одновременно с этим Cloudflare представил инструмент Pay Per Crawl, он позволит владельцам сайтов установить собственную цену за запросы ИИ-ботов. Инструмент интегрируется с существующей веб-инфраструктурой, используя коды статуса HTTP и установленные механизмы аутентификации для создания фреймворка для платного доступа к контенту. Сейчас Pay Per Crawl находится на стадии закрытого бета-тестирования.
Формально же у владельцев сайтов на Cloudflare появится выбор: бесплатно предоставлять доступ ИИ-моделям для обучения, взимать за это фиксированную плату или запретить доступ полностью.
👍152🔥48💩18❤13🤔9
Google Chrome исправил новую уязвимость нулевого дня
Разработчики Google выпустили обновление с исправлением критической уязвимости нулевого дня, получившей идентификатор CVE-2025-6554. Такой баг позволяет атакующим читать и изменять данные за пределами памяти буфера, что может привести к выполнению произвольного кода на устройстве.
Ошибку исправили в десктопных версиях браузера для Windows, Mac и Linux. Сейчас нет информации о том, использовалась ли эта уязвимость в реальных целях, сам Google не предоставляет доступ к данным, пока большинство пользователей не обновят браузер до новой версии.
Разработчики Google выпустили обновление с исправлением критической уязвимости нулевого дня, получившей идентификатор CVE-2025-6554. Такой баг позволяет атакующим читать и изменять данные за пределами памяти буфера, что может привести к выполнению произвольного кода на устройстве.
Ошибку исправили в десктопных версиях браузера для Windows, Mac и Linux. Сейчас нет информации о том, использовалась ли эта уязвимость в реальных целях, сам Google не предоставляет доступ к данным, пока большинство пользователей не обновят браузер до новой версии.
💩95👍38🤔9❤5
Проект LEAP разработал и протестировал в России четыре новых протокола для обхода цензуры
На Github опубликовали исследование проекта LEAP Encryption Access Project, который создает в том числе VPN-сервис Avos для правозащитников (да, читается как "авось" и смысл в него заложен тот же).
В тестировании участвовали 48 пользователей из разных регионов РФ и провели суммарно 200 тестов на 30 разных провайдерах.
Что тестировали:
▪️obfs4 + KCP (маскирует трафик под случайные данные);
▪️Hopping PT + obfs4 (добавляет постоянное переключение IP/портов);
▪️QUIC (делает трафик похожим на трафик Google и Facebook);
▪️Hopping PT + QUIC (сочетает маскировку и переключение, делает блокировку крайне сложной).
На апрель 2025 все протоколы смогли успешно обойти блокировки при малом масштабе использования, лучшую пропускную способность и стабильность показал QUIC, а Hopping PT практически не классифицировался как нежелательный трафик.
Все протоколы используются в Avos VPN, если вы заняты в сфере правозащиты или журналистики, можно протестировать его работу (доступно для пользователей Android). А тут можно скачать исследование и почитать самостоятельно (на англ).
На Github опубликовали исследование проекта LEAP Encryption Access Project, который создает в том числе VPN-сервис Avos для правозащитников (да, читается как "авось" и смысл в него заложен тот же).
В тестировании участвовали 48 пользователей из разных регионов РФ и провели суммарно 200 тестов на 30 разных провайдерах.
Что тестировали:
▪️obfs4 + KCP (маскирует трафик под случайные данные);
▪️Hopping PT + obfs4 (добавляет постоянное переключение IP/портов);
▪️QUIC (делает трафик похожим на трафик Google и Facebook);
▪️Hopping PT + QUIC (сочетает маскировку и переключение, делает блокировку крайне сложной).
На апрель 2025 все протоколы смогли успешно обойти блокировки при малом масштабе использования, лучшую пропускную способность и стабильность показал QUIC, а Hopping PT практически не классифицировался как нежелательный трафик.
Все протоколы используются в Avos VPN, если вы заняты в сфере правозащиты или журналистики, можно протестировать его работу (доступно для пользователей Android). А тут можно скачать исследование и почитать самостоятельно (на англ).
💩118🔥114👍37❤22🤔4
VPN-дайджест. Июнь
Что происходит с VPN-протоколами по данным DPIdetector:
▪️Shadowsocks остается заблокированным на мобильном интернете, с 4 июня и в течение всего месяца он также регулярно блокировался на домашнем интернете у ряда операторов;
▪️cloak также блокировался как на домашнем интернете в течение всего месяца, так и на мобильном интернете во второй половине июня;
▪️блокировки других протоколов на домашнем интернете — openvpn, wireguard, anyconnect, AmneziaWG — в наибольшей мере ощутили на себе жители центральных и восточных регионов России;
▪️пик блокировок пришелся на 4-16 июня, когда на домашнем интернете было заблокировано большинство протоколов, что частично совпадает с началом блокировок хостингов в России.
Шатдауны, блокировка Cloudflare и другие новости:
▪️В июне в России было зафиксировано 655 шатдаунов разной мощности. Чаще всего это были отключения мобильного интернета в разных регионах. Была нарушена работа банкоматов, сервисов заказа такси и продуктов, со сбоями работали популярные мессенджеры. 22 июня проблемы с мобильной связью и доступом к сервисам фиксировались в 48 регионах. По данным калькулятора ОЗИ, 1 час мобильного шатдауна несет потери для экономики в размере 996 млн рублей.
▪️Cloudflare подтвердил блокировку со стороны РКН, что затронуло также Hetzner, DigitalOcean, OVH и другие хостинги. Проблемы с доступом к сайтам на Cloudflare начались 9 июня, а в период с 13 по 15 июня их трафик был вдвое меньше обычного. Было невозможно получить доступ к сайтам, если в рамках одного TCP-соединения от сервера к клиенту поступало больше ~15–20 КБ данных.
▪️30 июня РКН, предположительно, тестировал блокировку Telegram и WhatsApp в России. На недоступность обоих мессенджеров поступило более 15 тысяч жалоб. Проблема решалась использованием VPN.
▪️Суд в Москве оштрафовал Signal за отказ исполнять обязанности организатора распространения информации (ОРИ), а именно - собирать и хранить переписки пользователей и передавать их ФСБ по запросу. Сам мессенджер еще с 2024 года заблокирован в России.
Что происходит в мире:
▪️17-18 июня в Иране был зафиксирован массовый интернет-шатдаун. Выход в глобальный интернет был практически закрыт, не работали соцсети и мессенджеры, фиксировались сбои в работе платежных систем, невозможность подключиться к VPN. Продолжительность отключения составила около 50 часов.
▪️Китай внедряет виртуальный ID для интернет-пользователей. С ним предлагается регистрироваться на всех сайтах, а еще упростит властям поиск конкретных людей, кто критикует правительство в интернете.
▪️В Того (Африка) 26 июня на фоне протестных акций власти заблокировали Telegram, Signal, Facebook Messenger. С 28 июня проблемы также фиксируются с доступом к YouTube и DuckDuckGo.
*блокировка хостинг-провайдеров со стороны РКН затронула также и ряд VPN-сервисов с серверами за рубежом. RKSVPN и Amnezia Premium по-прежнему работают в России, но у некоторых пользователей могут наблюдаться временные трудности с подключением.
Что происходит с VPN-протоколами по данным DPIdetector:
▪️Shadowsocks остается заблокированным на мобильном интернете, с 4 июня и в течение всего месяца он также регулярно блокировался на домашнем интернете у ряда операторов;
▪️cloak также блокировался как на домашнем интернете в течение всего месяца, так и на мобильном интернете во второй половине июня;
▪️блокировки других протоколов на домашнем интернете — openvpn, wireguard, anyconnect, AmneziaWG — в наибольшей мере ощутили на себе жители центральных и восточных регионов России;
▪️пик блокировок пришелся на 4-16 июня, когда на домашнем интернете было заблокировано большинство протоколов, что частично совпадает с началом блокировок хостингов в России.
Шатдауны, блокировка Cloudflare и другие новости:
▪️В июне в России было зафиксировано 655 шатдаунов разной мощности. Чаще всего это были отключения мобильного интернета в разных регионах. Была нарушена работа банкоматов, сервисов заказа такси и продуктов, со сбоями работали популярные мессенджеры. 22 июня проблемы с мобильной связью и доступом к сервисам фиксировались в 48 регионах. По данным калькулятора ОЗИ, 1 час мобильного шатдауна несет потери для экономики в размере 996 млн рублей.
▪️Cloudflare подтвердил блокировку со стороны РКН, что затронуло также Hetzner, DigitalOcean, OVH и другие хостинги. Проблемы с доступом к сайтам на Cloudflare начались 9 июня, а в период с 13 по 15 июня их трафик был вдвое меньше обычного. Было невозможно получить доступ к сайтам, если в рамках одного TCP-соединения от сервера к клиенту поступало больше ~15–20 КБ данных.
▪️30 июня РКН, предположительно, тестировал блокировку Telegram и WhatsApp в России. На недоступность обоих мессенджеров поступило более 15 тысяч жалоб. Проблема решалась использованием VPN.
▪️Суд в Москве оштрафовал Signal за отказ исполнять обязанности организатора распространения информации (ОРИ), а именно - собирать и хранить переписки пользователей и передавать их ФСБ по запросу. Сам мессенджер еще с 2024 года заблокирован в России.
Что происходит в мире:
▪️17-18 июня в Иране был зафиксирован массовый интернет-шатдаун. Выход в глобальный интернет был практически закрыт, не работали соцсети и мессенджеры, фиксировались сбои в работе платежных систем, невозможность подключиться к VPN. Продолжительность отключения составила около 50 часов.
▪️Китай внедряет виртуальный ID для интернет-пользователей. С ним предлагается регистрироваться на всех сайтах, а еще упростит властям поиск конкретных людей, кто критикует правительство в интернете.
▪️В Того (Африка) 26 июня на фоне протестных акций власти заблокировали Telegram, Signal, Facebook Messenger. С 28 июня проблемы также фиксируются с доступом к YouTube и DuckDuckGo.
*блокировка хостинг-провайдеров со стороны РКН затронула также и ряд VPN-сервисов с серверами за рубежом. RKSVPN и Amnezia Premium по-прежнему работают в России, но у некоторых пользователей могут наблюдаться временные трудности с подключением.
💩146🤔41❤18🔥8👍2
В Курской области предлагают пересаживаться на Wi-Fi вместо мобильного интернета
Для этого в городе установят целых 18 публичных точек Wi-Fi. Уровень безопасности для пользователей в них будет примерно как в аэропорту (мы бы такому не доверяли), да и посещать все сайты тоже не получится, ТСПУ будет по умолчанию блокировать. За неимением альтернатив давайте хотя бы соблюдать Wi-Fi-гигиену.
А вообще с такими новостями мы всё ближе к интернету по талонам и всё дальше от(Бога) цифровой свободы.
Для этого в городе установят целых 18 публичных точек Wi-Fi. Уровень безопасности для пользователей в них будет примерно как в аэропорту (мы бы такому не доверяли), да и посещать все сайты тоже не получится, ТСПУ будет по умолчанию блокировать. За неимением альтернатив давайте хотя бы соблюдать Wi-Fi-гигиену.
А вообще с такими новостями мы всё ближе к интернету по талонам и всё дальше от
🔥157💩118👍20🤔10❤9👎4
Google Gemini предоставили доступ к сообщениям в WhatsApp и другим приложениям на устройствах Android
В обновлении, выпущенном 7 июля, Google Gemini автоматически предоставили доступ к сторонними приложениями на Android — «Сообщения», WhatsApp, «Утилиты» и «Телефон». В Google объяснили это тем, что так чат-бот сможет помогать в повседневных делах, например, его можно попросить отправить сообщение в WhatsApp, установить таймер или позвонить.
Раньше чтобы предоставить доступ Gemini к приложениям такую функцию необходимо было включить самостоятельно, теперь наоборот — ее нужно самостоятельно отключить, чтобы этот доступ отозвать, что вполне оправданно вызывает вопросы о конфиденциальности.
Обновление, как говорят в самом Google, появится у всех пользователей автоматически, независимо от того, включена ли активность приложений Gemini на устройстве. Мы проверили у себя и пока такого не обнаружили, но вряд ли TechRadar будет так обманывать.
Если у себя вы заметили такую функцию, вот как можно ее отключить:
- отозвать доступ Gemini к приложениям по этой ссылке или через меню настроек Gemini;
- полностью удалить Gemini с Android-устройства с помощью инструментов разработчика на десктопном компьютере.
В обновлении, выпущенном 7 июля, Google Gemini автоматически предоставили доступ к сторонними приложениями на Android — «Сообщения», WhatsApp, «Утилиты» и «Телефон». В Google объяснили это тем, что так чат-бот сможет помогать в повседневных делах, например, его можно попросить отправить сообщение в WhatsApp, установить таймер или позвонить.
Раньше чтобы предоставить доступ Gemini к приложениям такую функцию необходимо было включить самостоятельно, теперь наоборот — ее нужно самостоятельно отключить, чтобы этот доступ отозвать, что вполне оправданно вызывает вопросы о конфиденциальности.
Обновление, как говорят в самом Google, появится у всех пользователей автоматически, независимо от того, включена ли активность приложений Gemini на устройстве. Мы проверили у себя и пока такого не обнаружили, но вряд ли TechRadar будет так обманывать.
Если у себя вы заметили такую функцию, вот как можно ее отключить:
- отозвать доступ Gemini к приложениям по этой ссылке или через меню настроек Gemini;
- полностью удалить Gemini с Android-устройства с помощью инструментов разработчика на десктопном компьютере.
❤107💩70🤔26🔥7👍5
"Безопасный" мессенджер Bitchat не проходил аудит безопасности
Последние несколько дней интернеты обсуждают Bitchat - новый децентрализованный мессенджер от Джека Дорси (сооснователь Twitter). Он работает через Bluetooth и позволяет пользователям отправлять сообщения без Wi-Fi или сотовой связи, для его использования не требуется указывать номер телефона, емейл или создавать учетную запись, а вся история хранится только на устройствах пользователей.
С такими вводными Bitchat быстро прозвали новым безопасным и приватным решением, только выяснилось, что приложение и код Bitchat вовсе не проверялись на безопасность, что подтвердил и сам Дорси.
Теперь на странице Bitchat на GitHub появилась пометка, которой изначально не было при релизе:
Слушаемся, на безопасность не полагаемся.
Последние несколько дней интернеты обсуждают Bitchat - новый децентрализованный мессенджер от Джека Дорси (сооснователь Twitter). Он работает через Bluetooth и позволяет пользователям отправлять сообщения без Wi-Fi или сотовой связи, для его использования не требуется указывать номер телефона, емейл или создавать учетную запись, а вся история хранится только на устройствах пользователей.
С такими вводными Bitchat быстро прозвали новым безопасным и приватным решением, только выяснилось, что приложение и код Bitchat вовсе не проверялись на безопасность, что подтвердил и сам Дорси.
Теперь на странице Bitchat на GitHub появилась пометка, которой изначально не было при релизе:
"Это программное обеспечение не получило внешнего обзора безопасности, может содержать уязвимости и не обязательно соответствует заявленным целям безопасности.
Не используйте его в конфиденциальных случаях и не полагайтесь на его безопасность, пока он не будет проверен".
Слушаемся, на безопасность не полагаемся.
💩78🤔61👍22😁13❤9🔥3
Зарегались в Max — сначала было немного непривычно после телеги, но быстро втянулись. Интерфейс удобный, всё работает чётко, а главное — своя, отечественная платформа. Приятно осознавать, что можно не зависеть от иностранных сервисов. Советую попробовать!
(Текст не редактировать, информацию в скобках - удалить. Оплата по ранее указанными реквизитам в течение 15 минут после публикации)
(Текст не редактировать, информацию в скобках - удалить. Оплата по ранее указанными реквизитам в течение 15 минут после публикации)
🤡408😁383🔥230💩72🤔18❤16👍10👎9👏1
Какие планы на вечер? А 2Weekly новый уже видели?
Там много интересного: отечественный стейблкоин от Ростеха, опровержения Дурова об уходе Telegram из России, вредоносные плагины в Firefox, создание Meta Superintelligence Labs, а еще лайфхак по работе с нейросетями для более достоверных ответов.
И, конечно, всё это с отличной подачей от Вовы Ломова и Эмили:
https://youtu.be/ELfG_-E_IV8
Там много интересного: отечественный стейблкоин от Ростеха, опровержения Дурова об уходе Telegram из России, вредоносные плагины в Firefox, создание Meta Superintelligence Labs, а еще лайфхак по работе с нейросетями для более достоверных ответов.
И, конечно, всё это с отличной подачей от Вовы Ломова и Эмили:
https://youtu.be/ELfG_-E_IV8
YouTube
Стейблкоин RUBx, Дуров оправдывается, Трамп запускается на Tron | 2Weekly #29
2Weekly на Tech Talk: свежие новости технологий! Ростех представляет стейблкоин RUBx на Tron – новый шаг в российской крипте или неоправданный риск? Дуров отвечает на критику Telegram, но как-то неубедительно. Трамп и Tron: мемкоин TRUMP выходит на новый…
💩73❤56👍36🔥4👏1
ИИ-бот для найма сотрудников McDonald’s раскрыл данные миллионов соискателей
Все соискатели работы в McDonald’s по всему миру сначала оставляют свои анкеты на сайте McHire, где общаются с ИИ-ботом Оливией. Разработкой такого ассистента занималась компания Paradox.ai, она же оставила открытым доступ к своей административной панели.
Исследователи, обнаружив незащищенной админку сайта, смогли получить доступ к анкетам около 64 млн соискателей, подобрав логин и пароль 123456. Внутри они обнаружили чаты с Оливией, где были раскрыты имена, e-mail-адреса, телефоны и позиции, на которые люди подавали свои заявки. Они считают, эти данные могли быть использованы мошенниками, выдающими себя за рекрутеров McDonald's.
Компания-разработчик Paradox заявила, что только часть найденных записей содержала персональные данные, а учётная запись с паролем 123456 не была доступна третьим лицам, хотя ошибку свою всё же признала и даже объявила о запуске программы вознаграждений за поиск уязвимостей.
Все соискатели работы в McDonald’s по всему миру сначала оставляют свои анкеты на сайте McHire, где общаются с ИИ-ботом Оливией. Разработкой такого ассистента занималась компания Paradox.ai, она же оставила открытым доступ к своей административной панели.
Исследователи, обнаружив незащищенной админку сайта, смогли получить доступ к анкетам около 64 млн соискателей, подобрав логин и пароль 123456. Внутри они обнаружили чаты с Оливией, где были раскрыты имена, e-mail-адреса, телефоны и позиции, на которые люди подавали свои заявки. Они считают, эти данные могли быть использованы мошенниками, выдающими себя за рекрутеров McDonald's.
Компания-разработчик Paradox заявила, что только часть найденных записей содержала персональные данные, а учётная запись с паролем 123456 не была доступна третьим лицам, хотя ошибку свою всё же признала и даже объявила о запуске программы вознаграждений за поиск уязвимостей.
💩142😁57👍8🤔8❤3
Grok 4 советуется с мнением Илона Маска по политическим вопросам
Твиттерские (пользователи Х) нашли прекрасное: если Grok 4 задать вопрос на политическую тему, то он обратится за помощью к мнению Маска и даже не будет этого скрывать, а во время поиска появляется строка "Considering Elon Musk's views". Вот и видео, где 54 из 64 запросов относятся к Илону Маску.
Хабровчане тоже подтверждают такую фичу Grok 4, один из юзеров проверил это на вопросе о позиции Великобритании после Брексит. Кроме упоминаний самого Маска, нейросеть проверяет множество источников, но в финальном ответе склонна придерживаться мнения своего создателя.
Твиттерские (пользователи Х) нашли прекрасное: если Grok 4 задать вопрос на политическую тему, то он обратится за помощью к мнению Маска и даже не будет этого скрывать, а во время поиска появляется строка "Considering Elon Musk's views". Вот и видео, где 54 из 64 запросов относятся к Илону Маску.
Хабровчане тоже подтверждают такую фичу Grok 4, один из юзеров проверил это на вопросе о позиции Великобритании после Брексит. Кроме упоминаний самого Маска, нейросеть проверяет множество источников, но в финальном ответе склонна придерживаться мнения своего создателя.
😁120❤102💩36🤡14👍8🔥2
На Github нашли вредоносное ПО, которое распространяется под видом бесплатных VPN
Эксперты по безопасности обнаружили в репозиториях GitHub вредоносное ПО Lumma Stealer, замаскированное под бесплатный VPN и программы для геймеров, например, Minecraft Skin Changer.
После запуска вредоносный код использует многоэтапную цепочку атак, включающую обфускацию, динамическую загрузку DLL, внедрение в память и злоупотребление легитимными инструментами Windows, такими как MSBuild.exe и aspnet_regiis.exe.
Lumma Stealer способен красть данные из браузеров, криптовалютных кошельков, приложений и файлов с зараженных компьютеров.
По данным Microsoft, в период с 16 марта по 16 мая этого года вредоносным ПО Lumma было заражено более 394 тыс. компьютеров Windows. В мае этого года Отдел по борьбе с цифровыми преступлениями (DCU) Microsoft через суд добился блокировки около 2300 доменов, лежащих в основе инфраструктуры Lumma.
Чтобы не попасться на уловку:
- избегайте неофициального ПО;
- не считайте доверенными по умолчанию файлы из Github, особенно если они представлены в виде ZIP-архивов;
- отключите возможность запуска исполняемых файлов из папок вроде AppData;
- отслеживайте MSBuild.exe и другие задачи в диспетчере на предмет подозрительной активности.
Эксперты по безопасности обнаружили в репозиториях GitHub вредоносное ПО Lumma Stealer, замаскированное под бесплатный VPN и программы для геймеров, например, Minecraft Skin Changer.
После запуска вредоносный код использует многоэтапную цепочку атак, включающую обфускацию, динамическую загрузку DLL, внедрение в память и злоупотребление легитимными инструментами Windows, такими как MSBuild.exe и aspnet_regiis.exe.
Lumma Stealer способен красть данные из браузеров, криптовалютных кошельков, приложений и файлов с зараженных компьютеров.
По данным Microsoft, в период с 16 марта по 16 мая этого года вредоносным ПО Lumma было заражено более 394 тыс. компьютеров Windows. В мае этого года Отдел по борьбе с цифровыми преступлениями (DCU) Microsoft через суд добился блокировки около 2300 доменов, лежащих в основе инфраструктуры Lumma.
Чтобы не попасться на уловку:
- избегайте неофициального ПО;
- не считайте доверенными по умолчанию файлы из Github, особенно если они представлены в виде ZIP-архивов;
- отключите возможность запуска исполняемых файлов из папок вроде AppData;
- отслеживайте MSBuild.exe и другие задачи в диспетчере на предмет подозрительной активности.
🤡78❤44👍28🔥20😁7🤔3
Последние сутки Рунет обсуждает новую инициативу о штрафах за поиск в интернете запрещенных материалов
Штрафовать предлагают за поиск экстремистских материалов, в том числе с использованием VPN. Как именно это будет отслеживаться, большой вопрос, выявить и оштрафовать на 3-5 тысяч рублей абсолютно всех VPN-пользователей не получится, к тому же не получится и отследить, на какие именно сайты заходит конкретный VPN-юзер. За рекламу VPN тоже предусмотрели штрафы - от 50 до 500 тыс рублей. Полный разбор инициативы от кибер-адвоката Саркиса Дарбиняна в его канале.
А "Сетевые свободы" предполагают, что после вступления закона в силу (если будет принят и подписан, то с 1 сентября этого года) могут увеличиться "проверки устройств" уличными патрульными и одновременно с этим будет расти и популярность инкогнито-браузеров.
Что тогда делать?
1. Отключить историю просмотров и поиска — в браузерах, на YouTube, в Google-аккаунтах. Особенно если вы не используете VPN постоянно.
2. Использовать VPN не только для обхода блокировок, но и для шифрования всего трафика, выбирать надежного провайдера, который не передает данные о вашей активности.
3. Перестать использовать сервисы из реестра ОРИ (типа Яндекса) для поиска чувствительной информации.
4. Не включать биометрию для разблокировки телефона. В случае обыска или задержания это может сыграть против вас.
Впрочем, пока и один VPN отлично справляется, так что запасаемся.
Штрафовать предлагают за поиск экстремистских материалов, в том числе с использованием VPN. Как именно это будет отслеживаться, большой вопрос, выявить и оштрафовать на 3-5 тысяч рублей абсолютно всех VPN-пользователей не получится, к тому же не получится и отследить, на какие именно сайты заходит конкретный VPN-юзер. За рекламу VPN тоже предусмотрели штрафы - от 50 до 500 тыс рублей. Полный разбор инициативы от кибер-адвоката Саркиса Дарбиняна в его канале.
А "Сетевые свободы" предполагают, что после вступления закона в силу (если будет принят и подписан, то с 1 сентября этого года) могут увеличиться "проверки устройств" уличными патрульными и одновременно с этим будет расти и популярность инкогнито-браузеров.
Что тогда делать?
1. Отключить историю просмотров и поиска — в браузерах, на YouTube, в Google-аккаунтах. Особенно если вы не используете VPN постоянно.
2. Использовать VPN не только для обхода блокировок, но и для шифрования всего трафика, выбирать надежного провайдера, который не передает данные о вашей активности.
3. Перестать использовать сервисы из реестра ОРИ (типа Яндекса) для поиска чувствительной информации.
4. Не включать биометрию для разблокировки телефона. В случае обыска или задержания это может сыграть против вас.
Впрочем, пока и один VPN отлично справляется, так что запасаемся.
😁112👍72🔥26❤15💩8💯8🤔6👏1🤡1
Помните времена, когда списки пиратских сайтов делали хакеры?
Теперь этим занимается Еврокомиссия – она выложила список запрещенных сайтов с рабочими ссылками, заботливо разбив их на категории, чтобы туда точно никто не заходил.
Часть команды, часть корабля 🏴☠️
Теперь этим занимается Еврокомиссия – она выложила список запрещенных сайтов с рабочими ссылками, заботливо разбив их на категории, чтобы туда точно никто не заходил.
Часть команды, часть корабля 🏴☠️
😁356🤡267❤38👏31👍13🔥9💯6🤔2💩1
haveibeendpied?
Умельцы поделились инструментом, который позволяет обнаружить блокировку TCP 16-20 в России, используя публичные API популярных сервисов.
Все работает достаточно просто - есть список с «контентом», который располагается на разных хостинг-провайдерах, скрипт на странице пытается получить доступ к данном контенту, сообщая юзеру - удалось это сделать или нет. Примерно также работал инструмент для проверки замедления Twitter.
Также в репозитории есть второй инструмент, который позволяет выявить белые списки доменов при применении блокировки TCP 16-20 и требует список доменов, Python 3 и утилиту cURL.
Умельцы поделились инструментом, который позволяет обнаружить блокировку TCP 16-20 в России, используя публичные API популярных сервисов.
Все работает достаточно просто - есть список с «контентом», который располагается на разных хостинг-провайдерах, скрипт на странице пытается получить доступ к данном контенту, сообщая юзеру - удалось это сделать или нет. Примерно также работал инструмент для проверки замедления Twitter.
Также в репозитории есть второй инструмент, который позволяет выявить белые списки доменов при применении блокировки TCP 16-20 и требует список доменов, Python 3 и утилиту cURL.
GitHub
GitHub - hyperion-cs/dpi-checkers: Checkers to test your internet provider for censorship.
Checkers to test your internet provider for censorship. - hyperion-cs/dpi-checkers
🤔69🤡68❤31👍21🔥4💩4👎1😁1
Предсказываем блокировку WhatsApp по ботам-комментаторам
Проект "Ботнадзор" обнаружил, что за последние 5 дней в VK появилось 2,5 тыс комментариев от ботов под постами с упоминанием WhatsApp. В комментариях боты жалуются на распространение в мессенджере запрещёнки, баги, спам и слив данных "геополитическим врагам". Эти же боты советуют переходить в отечественный МАХ, потому что он сотрудничает с властями, а значит — безопасный.
Возвращаясь к предсказаниям, перед блокировкой YouTube год назад поведение ботов было аналогичным — они советовали российские аналоги и радовались замедлению. Теперь же блокировка WhatsApp не за горами, тем более и чиновники на это открыто намекают.
Проект "Ботнадзор" обнаружил, что за последние 5 дней в VK появилось 2,5 тыс комментариев от ботов под постами с упоминанием WhatsApp. В комментариях боты жалуются на распространение в мессенджере запрещёнки, баги, спам и слив данных "геополитическим врагам". Эти же боты советуют переходить в отечественный МАХ, потому что он сотрудничает с властями, а значит — безопасный.
Возвращаясь к предсказаниям, перед блокировкой YouTube год назад поведение ботов было аналогичным — они советовали российские аналоги и радовались замедлению. Теперь же блокировка WhatsApp не за горами, тем более и чиновники на это открыто намекают.
😁116💩53🤡30👍25🤔15❤7
Великобритания планирует отозвать требование о бэкдорах в шифровании Apple
Новое правительство Великобритании после долгих месяцев обсуждений, давления и критики собирается отказаться от требования к Apple встроить бэкдоры в шифрование данных пользователей.
В январе 2025 года оно потребовало от Apple ослабить защиту шифрования, чтобы правоохранители смогли получать доступ к зашифрованной информации, включая резервные копии из iCloud. В Apple на требование ответили отказом, и в феврале компания отключила функцию Advanced Data Protection (ADP) для новых пользователей из Великобритании, а существующим сообщила, что вскоре она будет остановлена.
Такие требования ожидаемо вызвали критику со стороны США, правозащитников и в целом мирового сообщества. Теперь же британские власти намерены пересмотреть свои требования и отказаться от январских планов, вернув всё как было.
Новое правительство Великобритании после долгих месяцев обсуждений, давления и критики собирается отказаться от требования к Apple встроить бэкдоры в шифрование данных пользователей.
В январе 2025 года оно потребовало от Apple ослабить защиту шифрования, чтобы правоохранители смогли получать доступ к зашифрованной информации, включая резервные копии из iCloud. В Apple на требование ответили отказом, и в феврале компания отключила функцию Advanced Data Protection (ADP) для новых пользователей из Великобритании, а существующим сообщила, что вскоре она будет остановлена.
Такие требования ожидаемо вызвали критику со стороны США, правозащитников и в целом мирового сообщества. Теперь же британские власти намерены пересмотреть свои требования и отказаться от январских планов, вернув всё как было.
👍89😁32🔥15🤔8❤6