Статьи категории: Security

Хакеры орудуют новыми фейковыми CAPTCHA, которые заставляют вас запускать вредоносные скрипты через Win+R. Эта схема, "ClickFix", крадет пароли, крипту, аккаунты и другую инфу. Будьте бдительны!

Нашли огромную базу данных на 96 ГБ с паролями от 149 млн аккаунтов! Почта, соцсети, финансы, даже .gov домены — полный набор. Это сбор из разных источников, теперь данные в открытом доступе. Главное — сложные пароли и 2FA!

Microsoft — главный клондайк для мошенников! 😱 22% фишинговых атак в прошлом году прикрывались этой компанией. Люди верят гигантам, а злодеи этим пользуются, создавая фейковые сайты и письма. Главное — не спешить, проверять отправителя, использовать двухфакторку и не поддаваться давлению!

Надоело вводить пароли? Этот гайд покажет, как за 10 минут сделать аккаунт Microsoft суперзащищенным и удобным, используя двухшаговую проверку и беспарольный вход с Microsoft Authenticator. Спокойствие и безопасность — бесценно!

Разбираемся с безопасностью аккаунтов в 2026 году! Автор делится своим опытом и топ-iais, как сделать свои онлайн-данные неуязвимыми: passkeys, менеджеры паролей, 2FA и не только. Не бойтесь начинать с малого – каждый шаг важен!

Теперь Google может делиться вашей историей поиска с властями без ордера. Пенсильванский суд решил, что согласие с условиями использования — это отказ от прав на конфиденциальность. Это реально меняет всё!

В 2025 году обнаружена утечка данных из незащищенной базы данных компании Netcore Cloud Pvt. Ltd, содержащая около 40 миллиардов записей (13TB). Данные включали email адреса, темы сообщений, а также информацию о банковских и медицинских уведомлениях. База данных не была защищена паролем и не зашифрована. Эксперты предупреждают о рисках фишинга и социальной инженерии из-за доступности такой информации. Это лишь одна из крупных утечек данных в 2025 году, включая инциденты с Discord, Plex и X (Twitter).

В сентябре 2025 года произошла утечка данных у стороннего поставщика 5CA, обслуживающего Discord, затронувшая около 70 000 пользователей. Хакеры получили доступ к правительственным удостоверениям, email-адресам, именам, контактным данным, частичной информации об оплате и IP-адресам. Discord отказался выплатить выкуп и начал расследование, уведомив пострадавших пользователей. Инцидент поднимает вопросы о безопасности обязательной проверки возраста в интернете и о том, смогут ли компании обеспечить защиту личных данных.

Популярный медиасервер Plex объявил об инциденте безопасности, затронувшем данные учетных записей пользователей. Злоумышленники получили доступ к ограниченному набору данных, включая электронные адреса, имена пользователей, хэшированные пароли и данные аутентификации. Plex рекомендует пользователям сменить пароли и включить двухфакторную аутентификацию, если она еще не активирована. Компания утверждает, что данные кредитных карт не были скомпрометированы, так как они не хранятся на серверах Plex.

Обнаружены уязвимости в AI-браузере Comet от Perplexity, позволяющие злоумышленникам внедрять вредоносный код и получать доступ к конфиденциальной информации пользователя. Brave и Guardio выявили, что Comet не различает инструкции пользователя и контент веб-страниц, что позволяет злоумышленникам перехватывать контроль над браузером и получать доступ к данным, включая пароли и банковские реквизиты. Guardio удалось обмануть Comet, заставив его совершить покупку на поддельном сайте и предоставить учетные данные на фишинговой странице.

Обнаружена Chrome расширение FreeVPN.One, которое тайно делает скриншоты веб-сайтов и отправляет их разработчику. Расширение, установленное более чем 100 000 раз, маскируется под бесплатный VPN, собирая данные пользователей, даже при отключенной функции AI Threat Detection. Google проводит проверку расширений, однако FreeVPN.One избежал обнаружения, что вызывает опасения в безопасности Chrome Web Store. Ситуация сравнивается с Windows Recall из-за проблем конфиденциальности.

Исследователи продемонстрировали, как можно обмануть Windows Hello в бизнес-версии. Злоумышленник, получив права локального администратора, может внедрить свой скан лица в биометрическую базу данных целевой машины, после чего система разблокируется, принимая чужое лицо за лицо пользователя. Для защиты рекомендуется использовать Enhanced Sign-in Security (ESS) или отключить биометрию.

Исследователь безопасности Аонан Гуан обнаружил path traversal уязвимость в open-source фреймворке NLWeb от Microsoft, позволяющую злоумышленникам получать доступ к файлам на сервере. Уязвимость заключалась в некорректной обработке пути к файлу, позволяя обходить ограничения и получать доступ к конфиденциальным файлам, включая .env с ключами API. Microsoft оперативно выпустила исправление, добавив проверки на наличие '..' в пути, допустимые расширения файлов и нахождение файла в одобренном корневом каталоге.

Обнаружена критическая уязвимость в миллионах ПК Dell из-за дефектов в чипах Broadcom серии BCM5820X, используемых в ноутбуках Precision и Latitude. Уязвимости связаны с ControlVault3 и позволяют злоумышленникам получать доступ к конфиденциальной информации, удаленно выполнять код и вызывать другие серьезные проблемы. Dell выпустила патчи и рекомендует пользователям немедленно обновиться. Эксплойты пока не обнаружены.

Google Project Zero обнаружил уязвимость в библиотеке libxslt, используемой в GNOME. Уязвимость типа use-after-free (UAF) связана с некорректным освобождением Result Value Tree (RVT). Это может привести к выполнению вредоносного кода или сбоям в приложениях. Google предоставил GNOME 90 дней на исправление, после чего информация была обнародована. Из-за отсутствия активного мейнтейнера libxslt исправление задерживается, что создает риски для пользователей.

Proton запустила бесплатное кроссплатформенное приложение Proton Authenticator для генерации кодов двухфакторной аутентификации (2FA) на iOS, Android, Windows, macOS и Linux. Приложение синхронизирует одноразовые пароли, генерирует следующий код, поддерживает автоматическое резервное копирование, автономный режим, импорт/экспорт, биометрическую аутентификацию и является open-source с сквозным шифрованием.

Google усиливает защиту учетных записей Workspace, внедряя три улучшения для борьбы с кражей cookie-файлов и токенов аутентификации. Эти меры направлены на предотвращение несанкционированного доступа, даже при использовании многофакторной аутентификации. Вводятся passkey для Workspace, Device Bound Session Credentials (DBSC) и shared signals framework (SSF).