Для подписчиковДень 29 ноября 2025 года стал кошмарным для всех владельцев веб‑приложений на React Server Components. ИБ‑исследователь нашел возможность одним POST-запросом без авторизации исполнять команды на сервере. Опасность по CVSS — 10 из 10. Сегодня разберем, как работает эта уязвимость, а также посмотрим на фейковый PoC.
Обнаружены два расширения для Chrome, распространяющиеся под общим названием Phantom Shuttle. Они выдают себя за плагины для прокси-сервиса, однако на самом деле перехватывают трафик пользователей и воруют конфиденциальные данные.
Ежегодный отчет блокчейн-аналитиков из компании Chainalysis показал, что за прошедший год злоумышленники похитили 3,41 млрд долларов в криптовалюте. При этом более 2,02 млрд было украдено северокорейскими хакерами, и почти 1,5 млрд пришлось на ограбление криптовалютной биржи Bybit.
Пираты-активисты из Anna's Archive сообщили, что сумели соскрапить почти всю музыкальную библиотеку крупнейшего стримингового сервиса Spotify. Они утверждают, что собрали метаданные для 256 млн треков, а также скачали сами аудиофайлы — 86 млн композиций общим объемом около 300 ТБ.
Компания Cisco предупредила клиентов о неустраненной 0-day-уязвимости в Cisco AsyncOS, которая уже активно используется для атак на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM).
Проект поправки к закону 149-ФЗ «Об информации, информационных технологиях и защите информации» вызвал (ссылка) серьезную обеспокоенность в ИБ-сообществе. Документ в первоначальной редакции сделал бы невозможной (ссылка) публикацию открытой информации об уязвимостях.
Приложение Be My Eyes, которое помогает незрячим и слабовидящим людям через видеосвязь с волонтерами, перестало работать в России, что подтверждают его разработчики. По информации СМИ, пользователи начали жаловаться на проблемы с доступом еще в начале декабря. Однако в Роскомнадзоре сообщили, что не ограничивают работу сервиса.
Для подписчиковВ этой статье я расскажу, как пользоваться одной из топовых утилит для хакеров и пентестеров. Ты узнаешь, как происходит сканирование разными методами, и научишься собирать информацию о таргете перед атакой на сервер. Nmap в строю уже 28 лет, но актуальности не теряет.
Полиция Нигерии сообщила об аресте трех человек, причастных к работе фишинговой платформы Raccoon0365, которая использовалась для атак на учетные записи Microsoft 365. Аресты были произведены благодаря данным, полученным от компании Microsoft, которые были переданы ФБР специалистам Национального центра по борьбе с киберпреступностью в полиции Нигерии (NPF-NCCC).