NordPass проанализировала пароли в индустрии гостеприимства и обнаружила катастрофу. Системы бронирования, платёжные терминалы и базы с паспортными данными защищены комбинациями типа "Reservations2021!" или названием отеля с цифрами.
Сотрудники используют одинаковые пароли для всех систем — взлом одного даёт доступ ко всему. В топ-20 самых популярных паролей отрасли входят "developer2", "P@ssw0rd" и простые числовые последовательности. Централизованных политик безопасности просто нет.
Масштаб проблемы огромен: отели интегрированы с банками, турагентствами, программами лояльности. Каждая гостиница — потенциальный вход для атаки на партнёров. Пока менеджеры внедряют ИИ для персонализации сервиса, базовая защита данных гостей остаётся на уровне записки с паролем под клавиатурой.
#кибербезопасность #отели #утечкиданных
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Wi-Fi с паролем "123456": в этих отелях ваши данные сдаются раньше, чем номер
Гость ещё не успел сказать «добрый вечер», а злоумышленники уже знают о нём всё.
Forwarded from 0day Alert
Эксплуатация Zero Day затронула клиентов Microsoft 365
⚠️ Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Злоумышленники получили доступ к конфиденциальным клиентским секретам, хранившимся в Azure-окружении компании.
🔍 Государственная хакерская группировка использовала ранее неизвестную уязвимость CVE-2025-3928 в веб-сервере Commvault для получения первоначального доступа. Эта уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере и получать доступ к критически важным ключам авторизации.
🛡 В ответ на инцидент Commvault провела полную ротацию всех учетных данных Microsoft 365 и усилила мониторинг облачных сервисов. Компания продолжает активное сотрудничество с государственными структурами и предоставила детальные рекомендации по защите для своих клиентов.
#commvault #кибератака #облако #microsoft365
@ZerodayAlert
⚠️ Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Злоумышленники получили доступ к конфиденциальным клиентским секретам, хранившимся в Azure-окружении компании.
🔍 Государственная хакерская группировка использовала ранее неизвестную уязвимость CVE-2025-3928 в веб-сервере Commvault для получения первоначального доступа. Эта уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере и получать доступ к критически важным ключам авторизации.
🛡 В ответ на инцидент Commvault провела полную ротацию всех учетных данных Microsoft 365 и усилила мониторинг облачных сервисов. Компания продолжает активное сотрудничество с государственными структурами и предоставила детальные рекомендации по защите для своих клиентов.
#commvault #кибератака #облако #microsoft365
@ZerodayAlert
SecurityLab.ru
Госхакеры использовали 0Day, чтобы проникнуть через Commvault в американские облака
Новая кампания атак на SaaS уже здесь — и Commvault оказался первым в списке.
Приглашаем 29 мая в 11:00 (МСК) на вебинар «Как доставлять push-уведомления на любые устройства, ОС и в любую точку мира».
Обсудим:
▪️Что такое MULTIPUSHED и почему он нужен вашему приложению.
▪️Как упростить жизнь разработчику через единую точку интеграции. Покажем, как единый API и SDK позволяют объединить все каналы доставки в одном месте.
▪️Умная логика доставки: каскад, омниканальность, отправка по графику, равномерная отправка. Вы узнаете, каким образом работает распределённая и отложенная отправка.
▪️Как сегментировать получателей и как может выглядеть пуш-сообщение (кастомизация).
▪️Принцип работы MULTIPUSHED (демонстрация решения).
▪️Экономическую выгоду и живые кейсы.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎯 Двадцать карт и точка: ЦБ ставит заслон финансовым мулам
Осенняя инициатива Набиуллиной отрежет кислородную трубку дропперам — тем самым «финансовым мулам», которые массово регистрируют банковские продукты для обналичивания краденых средств. Пока что злоумышленники спокойно создавали сотни счетов на подставных лиц.
Лимит в 20 карт на человека при интеграции с бюро кредитных историй заблокирует промышленное производство платежных инструментов. Но дьявол кроется в деталях — неясно, коснется ли ограничение уже выпущенных карт или только новых.
Ограничения работают лишь до тех пор, пока преступники не перестроят схемы. Вместо массового оформления на одних руках они переключатся на вербовку большего числа соучастников. Параллельно МВД готовит отдельную уголовную статью для дропперов — сейчас их судят по общим составам мошенничества.
#финбезопасность #дропперы #цифроваябезопасность
@SecLabNews
Осенняя инициатива Набиуллиной отрежет кислородную трубку дропперам — тем самым «финансовым мулам», которые массово регистрируют банковские продукты для обналичивания краденых средств. Пока что злоумышленники спокойно создавали сотни счетов на подставных лиц.
Лимит в 20 карт на человека при интеграции с бюро кредитных историй заблокирует промышленное производство платежных инструментов. Но дьявол кроется в деталях — неясно, коснется ли ограничение уже выпущенных карт или только новых.
Ограничения работают лишь до тех пор, пока преступники не перестроят схемы. Вместо массового оформления на одних руках они переключатся на вербовку большего числа соучастников. Параллельно МВД готовит отдельную уголовную статью для дропперов — сейчас их судят по общим составам мошенничества.
#финбезопасность #дропперы #цифроваябезопасность
@SecLabNews
SecurityLab.ru
Нормальный человек не заводит 100 карт: Центробанк предлагает лимит
Любишь собирать карты как стикеры? Придётся остановиться.
🕵️ Фан-сайт "Звёздных войн" оказался шпионской сетью ЦРУ — и это провал века
Наивный сайт с Йодой и играми времён Xbox 360 оказался не просто ретро-артефактом — это была дверь в шпионскую инфраструктуру ЦРУ. Под видом поп-культуры скрывалась сеть цифровых тайников, через которую США передавали задания агентам по всему миру.
Система работала просто: вводишь пароль в строку поиска — попадаешь в зашифрованный интерфейс. Но уязвимости были банальны — последовательные IP, неаккуратный код, следы в архивах. Исследователь Сиро Сантили разгрёб эти завалы, используя Tor, архивы и открытые инструменты. Началось как любопытство — закончилось сотнями найденных доменов.
Самое парадоксальное: сегодня эти сайты — музей провалов. Их можно открыть, изучить код, увидеть, как рушилась одна из крупнейших операций ЦРУ. Не нужно быть агентом — достаточно браузера и интереса к тому, как даже самые закрытые системы оставляют следы.
#OSINT #ЦРУ #шпионские_сети
@SecLabNews
Наивный сайт с Йодой и играми времён Xbox 360 оказался не просто ретро-артефактом — это была дверь в шпионскую инфраструктуру ЦРУ. Под видом поп-культуры скрывалась сеть цифровых тайников, через которую США передавали задания агентам по всему миру.
Система работала просто: вводишь пароль в строку поиска — попадаешь в зашифрованный интерфейс. Но уязвимости были банальны — последовательные IP, неаккуратный код, следы в архивах. Исследователь Сиро Сантили разгрёб эти завалы, используя Tor, архивы и открытые инструменты. Началось как любопытство — закончилось сотнями найденных доменов.
Самое парадоксальное: сегодня эти сайты — музей провалов. Их можно открыть, изучить код, увидеть, как рушилась одна из крупнейших операций ЦРУ. Не нужно быть агентом — достаточно браузера и интереса к тому, как даже самые закрытые системы оставляют следы.
#OSINT #ЦРУ #шпионские_сети
@SecLabNews
SecurityLab.ru
Чтобы связаться с ЦРУ — введите пароль в строку поиска сайта про джедаев
То, что казалось фан-сайтом, оказалось глобальной сетью агентуры США.
Если кто-то в 2025 году ещё надеялся на компромисс — его похоронили на деловом совещании. Путин жёстко высказался о тех, кто «не до конца ушёл»: Zoom, Microsoft и им подобные. Формально — в отъезде, фактически — продолжают зарабатывать на российском рынке. Ответ, по мнению президента, должен быть зеркальным.
Ключевая мишень — привычки пользователей. Президент потребовал избавлять россиян от «вредных привычек» в виде западного софта. В прицеле не только бизнес, но и простые граждане. Отечественные аналоги уже предложены, теперь их продвижение может перейти в директивный режим.
Контекст — закон о «приземлении», блокировки Discord, Meta* и замедление YouTube. Роскомнадзор требует локального присутствия и подчинения требованиям. Полумеры больше не устраивают власти — тренд на суверенность теперь продавливается публично и без эвфемизмов.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
#информационнаяполитика #Роскомнадзор #импортозамещение
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Западный софт ещё здесь? Путин предлагает «развязать» зависимость
От «приземления» к блокировке: как Россия давит на Big Tech.
23 мая на Positive Hack Days 2025 компания «Газинформсервис» рассказала об успехах своего центра мониторинга и реагирования GSOC. Теперь он предлагает новые услуги: расследования инцидентов; а также поиска следов компрометации.
Технический директор компании, Николай Нашивочников, также представил новинку. Это решение BAS SimuStrike, которое автоматизирует проведение тестов на проникновение, имитируя различные виды атак, включая сложные многоэтапные сценарии.
Успех GSOC компания закрепила предложением: первые пять заказчиков, подавшие заявку до 1 сентября 2025 года, смогут приобрести услуги Центра за 5 миллионов рублей.
Please open Telegram to view this post
VIEW IN TELEGRAM
💣 Квантовый удар по RSA: меньше миллиона кубитов — и всё рушится
Компания Google опубликовала расчёты, по которым RSA-2048 может быть взломан менее чем за неделю квантовым компьютером с менее чем 1 млн шумных кубитов. Ранее требовалось около 20 миллионов. Новый прогноз основан на улучшении алгоритмов и использовании приближённого модульного возведения в степень — это уже не фантастика, а инженерный вызов.
Модель предполагает квантовую систему, способную работать непрерывно в течение пяти суток при сверхнизком уровне ошибок. Ключевыми стали yoked surface codes и дистилляция магических состояний — фундамент для универсальных квантовых операций с минимальными затратами логических кубитов.
Работа Гидни не утверждает, что угроза реализуема сейчас, но она задаёт реальную планку для перехода на PQC. NIST обозначил срок — 2030. Если вы всё ещё на RSA — пора смотреть на календарь. Тикает.
#Google #PQC #квантоваяугроза
@SecLabNews
Компания Google опубликовала расчёты, по которым RSA-2048 может быть взломан менее чем за неделю квантовым компьютером с менее чем 1 млн шумных кубитов. Ранее требовалось около 20 миллионов. Новый прогноз основан на улучшении алгоритмов и использовании приближённого модульного возведения в степень — это уже не фантастика, а инженерный вызов.
Модель предполагает квантовую систему, способную работать непрерывно в течение пяти суток при сверхнизком уровне ошибок. Ключевыми стали yoked surface codes и дистилляция магических состояний — фундамент для универсальных квантовых операций с минимальными затратами логических кубитов.
Работа Гидни не утверждает, что угроза реализуема сейчас, но она задаёт реальную планку для перехода на PQC. NIST обозначил срок — 2030. Если вы всё ещё на RSA — пора смотреть на календарь. Тикает.
#Google #PQC #квантоваяугроза
@SecLabNews
SecurityLab.ru
RSA больше не вечен: миллион кубитов — и неделя на взлом
Не нужен суперкомпьютер — нужен просто квантовый хаос.
Легальные игорные зоны России столкнулись с блокировкой в Telegram — их каналы исчезли из поиска, несмотря на соответствие законодательству. Автоматические фильтры приравнивают офлайн-казино к запрещённым букмекерам без учёта специфики бизнеса.
Механизм «теневого бана» скрывает каналы из поиска, сохраняя доступ по прямым ссылкам. Корень проблемы — требования App Store и внутренние алгоритмы Telegram, которые не различают нелегальный онлайн-гемблинг и лицензированные туристические комплексы.
Последствия для отрасли ощутимы: утрата легального инфополя подталкивает аудиторию в сторону серых схем, а легальные операторы теряют возможность разъяснять условия своей работы. АИРИС предлагает компромисс — выделить игорные зоны в отдельную категорию. Вопрос в том, решится ли Telegram на такую градацию — или уступит поле нелегалам?
#казино #цензура #telegram
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
2,6 млрд налогов и ноль видимости: казино из игорных зон пишут Дурову
Казино не виноваты, но под подозрением: Telegram идёт по широкой метке.
🧨 Endgame и RapTor: киберпреступников выдёргивают из тени за шкирку
Полицейские больше не стучат в дверь — они заходят сразу в серверную. В ходе двух операций под кодовыми названиями Endgame и RapTor правоохранители из ЕС и США парализовали критическую инфраструктуру вредоносов и торговлю на даркнете. За четыре дня — минус 300 серверов, 650 доменов и почти два десятка ордеров. Поимка новых фигур, сменивших шильдики на QakBot и TrickBot, подтверждает: зачистка — не разовая акция, а методичная охота.
Среди ликвидированных цепочек — Bumblebee, DanaBot, Lactrodectus, HijackLoader. Изъято крипты на 3,5 млн евро, в сумме по операции — уже 21,2 млн. Немцы завели дела на 37 подозреваемых, шестерых из них теперь ищет весь Евросоюз. Фамилии и ники опубликованы, а значит, игра окончена — у этих людей нет больше тыла ни в даркнете, ни в открытом мире.
RapTor добил — 270 задержанных, 184 млн в валюте, две тонны наркотиков, оружие и тоннажи контрафакта. Основой стала информация с уже уничтоженных маркетплейсов Nemesis и Bohemia. Даркнет разрезан по швам, а продавцы спешно расползаются по кустарным площадкам. Только это не побег — это отступление под огнём.
#Endgame #RapTor #киберпреступность
@SecLabNews
Полицейские больше не стучат в дверь — они заходят сразу в серверную. В ходе двух операций под кодовыми названиями Endgame и RapTor правоохранители из ЕС и США парализовали критическую инфраструктуру вредоносов и торговлю на даркнете. За четыре дня — минус 300 серверов, 650 доменов и почти два десятка ордеров. Поимка новых фигур, сменивших шильдики на QakBot и TrickBot, подтверждает: зачистка — не разовая акция, а методичная охота.
Среди ликвидированных цепочек — Bumblebee, DanaBot, Lactrodectus, HijackLoader. Изъято крипты на 3,5 млн евро, в сумме по операции — уже 21,2 млн. Немцы завели дела на 37 подозреваемых, шестерых из них теперь ищет весь Евросоюз. Фамилии и ники опубликованы, а значит, игра окончена — у этих людей нет больше тыла ни в даркнете, ни в открытом мире.
RapTor добил — 270 задержанных, 184 млн в валюте, две тонны наркотиков, оружие и тоннажи контрафакта. Основой стала информация с уже уничтоженных маркетплейсов Nemesis и Bohemia. Даркнет разрезан по швам, а продавцы спешно расползаются по кустарным площадкам. Только это не побег — это отступление под огнём.
#Endgame #RapTor #киберпреступность
@SecLabNews
SecurityLab.ru
Operation Endgame и RapTor: грандиозная зачистка показала, что анонимность в даркнете — больше не защита, а иллюзия
300 серверов, 650 доменов, 21 миллион евро — и это только начало.
🔒 DevSecOps, ваш голос важен!
«Экспресс 42» вместе с Positive Technologies и другими лидерами индустрии запустили ежегодный опрос, чтобы изучить тренды DevOps в России.
Опрос на 4000+ специалистов: DevOps-инженеров, разработчиков, тестировщиков, техлидов, CTO и вас — экспертов DevSecOps. Ваш опыт поможет сформировать будущее индустрии и показать, как ИБ меняет DevOps!
🎁 Пройдите опрос.
В 2024 году 44% компаний уже использовали ИИ для разработки, а 33% увеличили ИТ-бюджеты. Узнайте, что ждет индустрию в 2025, и станьте частью исследования!
☕️ Заваривайте чай или кофе и проходите опрос по ссылке 👉 ссылка
«Экспресс 42» вместе с Positive Technologies и другими лидерами индустрии запустили ежегодный опрос, чтобы изучить тренды DevOps в России.
Опрос на 4000+ специалистов: DevOps-инженеров, разработчиков, тестировщиков, техлидов, CTO и вас — экспертов DevSecOps. Ваш опыт поможет сформировать будущее индустрии и показать, как ИБ меняет DevOps!
🎁 Пройдите опрос.
В 2024 году 44% компаний уже использовали ИИ для разработки, а 33% увеличили ИТ-бюджеты. Узнайте, что ждет индустрию в 2025, и станьте частью исследования!
☕️ Заваривайте чай или кофе и проходите опрос по ссылке 👉 ссылка
🧠 Код как соучастник: соцсети могут ответить за стрельбу в Буффало
На скамье подсудимых — не человек, а алгоритм. Юристы обвиняют YouTube, Meta*, Reddit и другие платформы в том, что они стали соавторами убийства десяти человек в супермаркете Буффало. По версии обвинения, 18-летний Пейтон Джендрон не сам пришёл к радикализму — его к этому методично вели алгоритмы, которые показывали всё более экстремальный контент.
Это не спор о модерации и не борьба с фейками. Иск подан по законам о товарной ответственности: алгоритм — как продукт, запатентованный и предсказуемо опасный. Как неисправный дрон, сработавший в автоматическом режиме. Именно такую модель уже однажды применили в деле против TikTok — и теперь пытаются сделать это прецедентом.
Если суд примет эту логику, платформы впервые могут быть признаны производителями небезопасного цифрового продукта, а не нейтральными площадками. А значит — могут начать нести ответственность за последствия рекомендаций, как за последствия дефекта в автомобиле или оружии.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
#Буффало #алгоритмы #productliability
@SecLabNews
На скамье подсудимых — не человек, а алгоритм. Юристы обвиняют YouTube, Meta*, Reddit и другие платформы в том, что они стали соавторами убийства десяти человек в супермаркете Буффало. По версии обвинения, 18-летний Пейтон Джендрон не сам пришёл к радикализму — его к этому методично вели алгоритмы, которые показывали всё более экстремальный контент.
Это не спор о модерации и не борьба с фейками. Иск подан по законам о товарной ответственности: алгоритм — как продукт, запатентованный и предсказуемо опасный. Как неисправный дрон, сработавший в автоматическом режиме. Именно такую модель уже однажды применили в деле против TikTok — и теперь пытаются сделать это прецедентом.
Если суд примет эту логику, платформы впервые могут быть признаны производителями небезопасного цифрового продукта, а не нейтральными площадками. А значит — могут начать нести ответственность за последствия рекомендаций, как за последствия дефекта в автомобиле или оружии.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
#Буффало #алгоритмы #productliability
@SecLabNews
SecurityLab.ru
Подросток просто листал мемы, а потом расстрелял людей — теперь судят соцсети
Суд пытается понять, кто виноват, если лайки, мемы и стримы превратили юношу в убийцу.
🔓 От хулигана до героя: как хакинг стал карьерой мечты
Хакинг больше не табу — он стал профессией. Причём прибыльной. За шесть лет багхантеры только на HackerOne заработали более $300 млн, а 50 из них — свыше миллиона каждый. Этичные хакеры больше не маргиналы в худи, а признанные эксперты, которых нанимают Минобороны США и гиганты вроде Adobe и Snap.
На первый план выходит не диплом, а мышление. Истории вроде Specters — бывшего бездомного, ставшего суперзвездой DEFCON, — рушат миф о том, что путь в кибербезопасность начинается в вузе. По-настоящему ценные специалисты приходят с улицы, из креативных сообществ, локальных групп и нестандартных сред — именно там рождаются свежие подходы, которых так не хватает индустрии.
Сообщество уже научилось защищать своих: случай с арестом пентестеров в Айове показал, что индустрия может бойкотировать целый штат. Этичные хакеры больше не просто ищут уязвимости — они меняют правила игры в безопасности и трудоустройстве.
#хакинг #багбаунти #инфобез
@SecLabNews
Хакинг больше не табу — он стал профессией. Причём прибыльной. За шесть лет багхантеры только на HackerOne заработали более $300 млн, а 50 из них — свыше миллиона каждый. Этичные хакеры больше не маргиналы в худи, а признанные эксперты, которых нанимают Минобороны США и гиганты вроде Adobe и Snap.
На первый план выходит не диплом, а мышление. Истории вроде Specters — бывшего бездомного, ставшего суперзвездой DEFCON, — рушат миф о том, что путь в кибербезопасность начинается в вузе. По-настоящему ценные специалисты приходят с улицы, из креативных сообществ, локальных групп и нестандартных сред — именно там рождаются свежие подходы, которых так не хватает индустрии.
Сообщество уже научилось защищать своих: случай с арестом пентестеров в Айове показал, что индустрия может бойкотировать целый штат. Этичные хакеры больше не просто ищут уязвимости — они меняют правила игры в безопасности и трудоустройстве.
#хакинг #багбаунти #инфобез
@SecLabNews
SecurityLab.ru
Вчера — враги системы, сегодня — её главные защитники. Как хакеры стали элитой ИБ
Новая профессия, где не нужен даже университет.
🔌 Минцифры берётся навести порядок с VPN
Максут Шадаев заявил, что в ближайшие полгода будет сформирована единая политика в сфере использования VPN-сервисов. Сейчас доля трафика через VPN растёт, и в условиях блокировки «недружественных» сервисов Роскомнадзором страдают и корпоративные каналы, которые необходимы для работы компаний.
По словам министра, ведомство готовит чёткие правила: какие VPN допустимы с точки зрения законодательства, а какие — нет. В настоящее время такие сервисы блокируются через ТСПУ как угроза устойчивости Рунета, а с марта 2024 года запрещена реклама способов обхода ограничений. К октябрю 2024 года были заблокированы почти 200 VPN.
Впереди — попытка отделить служебное от запрещённого. А заодно — проверить, возможно ли это вообще.
#VPN #Минцифры #Роскомнадзор
@SecLabNews
Максут Шадаев заявил, что в ближайшие полгода будет сформирована единая политика в сфере использования VPN-сервисов. Сейчас доля трафика через VPN растёт, и в условиях блокировки «недружественных» сервисов Роскомнадзором страдают и корпоративные каналы, которые необходимы для работы компаний.
По словам министра, ведомство готовит чёткие правила: какие VPN допустимы с точки зрения законодательства, а какие — нет. В настоящее время такие сервисы блокируются через ТСПУ как угроза устойчивости Рунета, а с марта 2024 года запрещена реклама способов обхода ограничений. К октябрю 2024 года были заблокированы почти 200 VPN.
Впереди — попытка отделить служебное от запрещённого. А заодно — проверить, возможно ли это вообще.
#VPN #Минцифры #Роскомнадзор
@SecLabNews
SecurityLab.ru
Все VPN — равны, но некоторые равнее: как выжить до осени
Государство пишет новые правила доступа к Сети.
Продукты, сервисы, практика: UserGate показал всё на PHDays
На фестивале PHDays 2025 компания UserGate представила обновлённую экосистему кибербезопасности UserGate SUMMA. На стенде можно было познакомиться с новыми продуктами, облачными сервисами, услугами по мониторингу и реагированию, а также образовательными программами. Специалисты рассказывали о практических сценариях применения решений и делились опытом защиты инфраструктуры.
📌 Как это было и что показали — читайте в нашем материале.
erid:2SDnje5DQVs
На фестивале PHDays 2025 компания UserGate представила обновлённую экосистему кибербезопасности UserGate SUMMA. На стенде можно было познакомиться с новыми продуктами, облачными сервисами, услугами по мониторингу и реагированию, а также образовательными программами. Специалисты рассказывали о практических сценариях применения решений и делились опытом защиты инфраструктуры.
📌 Как это было и что показали — читайте в нашем материале.
erid:2SDnje5DQVs
🚨 Крах Builder.ai: обещали ИИ, а писали вручную
Стартап Builder.ai восемь лет уверял инвесторов, что создаёт приложения с помощью искусственного интеллекта. На деле — весь код писали обычные разработчики из Индии, а «умный помощник» Natasha был просто маркетингом. Но деньги пришли — Microsoft, SoftBank, $445 млн инвестиций.
Платформа якобы позволяла собирать сложные приложения за считанные часы и без навыков программирования. В реальности — всё вручную, а выручку завышали в четыре раза. Когда выяснилось, что $37 млн заблокированы, компания осталась с $5 млн и подала на банкротство. В США начали расследование, долги Amazon и Microsoft — десятки миллионов.
Builder.ai — хрестоматийный пример «AI-washing»: хайп вместо технологий, яркий фронт и пустая начинка. Но рынок не делает выводов — в 2024 году в ИИ-стартапы вложили $60 млрд. Пузырь подрастает.
#искусственныйинтеллект #стартапы #банкротство
@SecLabNews
Стартап Builder.ai восемь лет уверял инвесторов, что создаёт приложения с помощью искусственного интеллекта. На деле — весь код писали обычные разработчики из Индии, а «умный помощник» Natasha был просто маркетингом. Но деньги пришли — Microsoft, SoftBank, $445 млн инвестиций.
Платформа якобы позволяла собирать сложные приложения за считанные часы и без навыков программирования. В реальности — всё вручную, а выручку завышали в четыре раза. Когда выяснилось, что $37 млн заблокированы, компания осталась с $5 млн и подала на банкротство. В США начали расследование, долги Amazon и Microsoft — десятки миллионов.
Builder.ai — хрестоматийный пример «AI-washing»: хайп вместо технологий, яркий фронт и пустая начинка. Но рынок не делает выводов — в 2024 году в ИИ-стартапы вложили $60 млрд. Пузырь подрастает.
#искусственныйинтеллект #стартапы #банкротство
@SecLabNews
SecurityLab.ru
Как построить “ИИ-сервис мечты” без ИИ, но с тысячей индусов и глянцевым сайтом — опыт Builder.ai
“Наташа всё сделает” — говорили они, а потом Наташу обыскала прокуратура и конфисковала сервера.
Неожиданное признание сооснователя Google на конференции в Майами взорвало профессиональное сообщество. Оказывается, языковые модели действительно показывают более высокое качество ответов под воздействием «угроз физической расправы» — и это касается не только продуктов Google.
Механизм связан с техниками джейлбрейкинга, где агрессивные формулировки заставляют модель обходить встроенные ограничения. Парадокс в том, что попытки взломать защиту одновременно улучшают базовую производительность системы — побочный эффект, который разработчики предпочитают не афишировать.
Признание ставит индустрию перед выбором: либо эксплуатировать обнаруженную особенность для повышения эффективности, либо полностью блокировать подобные воздействия. Пока что побеждает второй подход — OpenAI уже запустила программы поиска уязвимостей в своих моделях.
#ИИ #Уязвимости #Джейлбрейк
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Угроза вместо «спасибо»: Брин нашёл способ заставить ИИ стараться
Человечество опять ошиблось в воспитании.
🚨 Пароль под обстрелом: Госуслуги зовут «стража»
Схемы с выманиванием SMS-кода стали рутиной: мошенники меняют пароли и торгуют аккаунтами граждан. Достаточно одной ошибки — доступ к выплатам и услугам улетает на чёрный рынок.
Минцифры отвечает двойной проверкой. С III квартала 2025-го любой сможет назначить доверенное лицо; при попытке смены пароля система дублирует запрос «стражу». Пока он не нажмёт «одобрить», пароль не перепишут, даже если код уже у злоумышленника.
Для атакующих теперь двойной квест: обмануть и владельца, и его «сторожа». Но и оборотная сторона тревожит — если доверенное лицо решит сыграть против вас, оно получит рычаги для смены пароля и доступа к аккаунту.
#госуслуги #социнженерия #рискидоверия
@SecLabNews
Схемы с выманиванием SMS-кода стали рутиной: мошенники меняют пароли и торгуют аккаунтами граждан. Достаточно одной ошибки — доступ к выплатам и услугам улетает на чёрный рынок.
Минцифры отвечает двойной проверкой. С III квартала 2025-го любой сможет назначить доверенное лицо; при попытке смены пароля система дублирует запрос «стражу». Пока он не нажмёт «одобрить», пароль не перепишут, даже если код уже у злоумышленника.
Для атакующих теперь двойной квест: обмануть и владельца, и его «сторожа». Но и оборотная сторона тревожит — если доверенное лицо решит сыграть против вас, оно получит рычаги для смены пароля и доступа к аккаунту.
#госуслуги #социнженерия #рискидоверия
@SecLabNews
SecurityLab.ru
Вам нужен друг, чтобы сменить пароль на Госуслугах — буквально
Минцифры внедряет неожиданный подход к безопасности.
🔔 «Не пустят на ЕГЭ»: школьников пугают и грабят под видом учителей
Новая схема: фальшивые «сотрудники школы» выходят на детей в соцсетях и сообщают, что без немедленной регистрации на «специальной платформе» подростка не допустят к экзаменам. В панике жертвы переходят по фишинговой ссылке, где теряют доступ к аккаунтам и деньгам.
Ключевая деталь — просьба включить демонстрацию экрана. Это открывает полный доступ к смартфону: злоумышленники получают пароли, банковские приложения и даже геолокацию. После — шантаж: «ты нарушил закон, теперь плати или посадим родителей».
Ставка на стресс, изоляцию и чувство вины. МВД фиксирует рост атак и призывает родителей заранее проговорить с детьми возможные схемы давления. Фейковые сайты часто маскируются под edu-порталы, но выдают себя доменами типа .xyz и орфографией.
#ЕГЭ #фишинг #детскаяИБ
@SecLabNews
Новая схема: фальшивые «сотрудники школы» выходят на детей в соцсетях и сообщают, что без немедленной регистрации на «специальной платформе» подростка не допустят к экзаменам. В панике жертвы переходят по фишинговой ссылке, где теряют доступ к аккаунтам и деньгам.
Ключевая деталь — просьба включить демонстрацию экрана. Это открывает полный доступ к смартфону: злоумышленники получают пароли, банковские приложения и даже геолокацию. После — шантаж: «ты нарушил закон, теперь плати или посадим родителей».
Ставка на стресс, изоляцию и чувство вины. МВД фиксирует рост атак и призывает родителей заранее проговорить с детьми возможные схемы давления. Фейковые сайты часто маскируются под edu-порталы, но выдают себя доменами типа .xyz и орфографией.
#ЕГЭ #фишинг #детскаяИБ
@SecLabNews
SecurityLab.ru
Сначала ЕГЭ, потом курьер за деньгами — новая реальность школьников
Родителям советуют заранее объяснить детям, что настоящий ЕГЭ не требует «входа по ссылке».
Эта неделя запомнилась громкой кибератакой на Белый дом с использованием ИИ и неожиданными новостями о подаче Microsoft на банкротство из-за претензий российских компаний. Параллельно мир технологий встряхнули анонсы Claude 4 от Anthropic и атаки технонархистов на энергосети Франции — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
Кибератака на Белый дом с использованием ИИ стала ударом по репутации США — злоумышленники впервые применили искусственный интеллект для проникновения в правительственные системы, что ставит под сомнение эффективность традиционных методов защиты.
Технонархисты атакуют энергосети на юге Франции — группа активистов вывела из строя ключевые объекты инфраструктуры, поставив под угрозу проведение мероприятий в Каннах.
Amazon, Google и Microsoft обвинили в потакании стриминговому пиратству — крупнейшие облачные провайдеры оказались в центре скандала из-за размещения нелегального контента на своих платформах.
Apple и Google вынудят проверять возраст всех пользователей — новый закон превращает каждый клик в повод для слежки, что вызывает серьёзные вопросы о приватности.
Престижный район, крипта, пытки током — Манхэттен стал площадкой для биткоин-инквизиции — элитные районы Нью-Йорка превратились в арену жестоких разборок из-за криптовалют.
Microsoft подаёт на банкротство на фоне претензий от крупнейших российских компаний — неожиданное решение технологического гиганта связано с накопившимися судебными исками и финансовыми требованиями.
YouTube могут вернуть в Россию — названы условия, при выполнении которых популярный видеохостинг сможет возобновить работу в стране.
Путин предлагает «развязать» зависимость от западного софта — президент выступил с инициативой по ускоренному переходу на отечественные IT-решения.
Москва собрала 40 стран для обсуждения цифрового суверенитета — масштабная конференция стала платформой для выработки единых подходов к независимости в цифровой сфере.
Вам нужен друг, чтобы сменить пароль на Госуслугах — новая система аутентификации требует подтверждения от доверенного лица, что усложняет процедуру восстановления доступа.
ИИ показал хакерам, кто тут босс — искусственный интеллект продемонстрировал превосходство над человеческими киберпреступниками в противостоянии атак и защиты.
Новый вирус Lyrix написан на Python, но работает как спецназ — малвар демонстрирует невиданную эффективность, несмотря на использование интерпретируемого языка программирования.
Добро пожаловать в Google — введите пароль, чтобы его украли — обнаружена новая схема фишинга, использующая поддельные страницы авторизации Google для кражи учётных данных.
Один баг в ASP.NET открыл доступ чужим спецслужбам в облако ConnectWise — критическая уязвимость позволила злоумышленникам получить контроль над инфраструктурой популярного IT-сервиса.
Исследователи обнаружили новое поколение троянов-призраков — малвар нового типа не оставляет следов в системе, делая обнаружение практически невозможным.
Claude 4 уже здесь — новая версия ИИ от Anthropic обещает революционные возможности: бесплатная версия просто умная, а платная кодит как опытный разработчик.
Обнаружен квантовый материал с нулевыми потерями при передаче тока — открытие учёных может кардинально изменить подходы к созданию сверхпроводящих устройств.
Linux 6.16 ускоряет сети — новое ядро получило TCP из видеопамяти, поддержку Wi-Fi 7 и попрощалось с устаревшим протоколом DCCP.
Китайские учёные впервые получили мюоны в лаборатории — прорыв достигнут без использования коллайдера и бюджета NASA, открывая новые возможности для физических исследований.
Космос — наш! Китай бросает вызов всему миру миссией Tianwen-2 — амбициозная космическая программа КНР демонстрирует готовность конкурировать с ведущими космическими державами в освоении дальнего космоса.
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM