«Яндекс Маркет» внедрил алгоритмы на базе искусственного интеллекта для отслеживания случаев мошенничества ещё до того, как они принесут какой-либо вред покупателю, партнёрам или самому маркетплейсу. Такие алгоритмы применяются для анализа данных на протяжении всего пути товара и передачи сигналов в службу безопасности при выявлении каких-либо отклонений от нормы, будь то задержка доставки или смена маршрута.

Источник изображения: Steve Johnson / Unsplash

«Маркет» разработал алгоритм на основе технологий «Яндекса», который умеет отслеживать факты мошенничества ещё до того, как они принесут какой-либо вред покупателям, партнёрам или самому маркетплейсу. Алгоритм анализирует данные, поступающие на протяжении всего пути товара от систем управления складами, логистикой, заказами и других. На основе этих данных он просчитывает потенциальные сценарии движения товара. Если в них обнаруживается отклонение от нормы, например, задержка доставки или смена маршрута, алгоритм сигнализирует об этом службе безопасности», — сказали в компании.

После получения уведомления служба безопасности блокирует операции с товаром и инициирует проведение расследования. По данным источника, такая система была недавно выведена из тестирования, но уже успела помочь в предотвращении реального случая мошенничества.

Эти ИИ-алгоритмы являются частью большой системы, которая применяется для обеспечения безопасности покупателей и партнёров маркетплейса. «Компания ежегодно проводит десятки внутренних и внешних аудитов безопасности, выявляя и устраняя потенциальные уязвимости в своих IT-системах и логистической инфраструктуре. Параллельно ведётся работа с партнёрами — например, для владельцев и управляющих пунктов выдачи заказов доступен бесплатный обучающий курс по безопасности. Он помогает минимизировать риски кризисных ситуаций, повысить общий уровень защиты и эффективности работы ПВЗ», — рассказал представитель «Яндекс Маркета».

Google добавила в грядущую версию ОС Android 16 новый режим безопасности — усиленную защиту (Advanced Protection). В этом режиме смартфон сможет отражать атаки нескольких известных типов, при которых, например, производится перехват звонков через незащищённые сети операторов или отправляются мошеннические сообщения.

Источник изображения: security.googleblog.com

Режим усиленной защиты в Android появился на фоне сообщений о том, что израильская NSO Group продолжает разрабатывать и продавать средства для взлома мобильных устройств. В основе этих программных средств лежит эксплуатация уязвимостей нулевого дня для перехвата контактов, истории сообщений, местоположения и другой конфиденциальной информации. Инструменты для взлома продолжают работать и после выпуска обновлений Google Android и Apple iOS.

В стремлении оградить пользователей от этих типов атак Google и развернёт режим усиленной защиты. Выбрав соответствующую опцию в настройках устройства, пользователь включает комплекс средств, направленных на блокировку некоторых методов, которые применяются при сложных взломах. Могут снизиться производительность и отключиться некоторые функции устройства, поэтому Google рекомендует пользоваться новым режимом журналистам, должностным лицам и всем тем, кто обычно оказывается целями подобных атак. В этом году в набор инструментов усиленной защиты Google включит «регистрацию вторжений, защиту USB, возможность отказа от автоматического повторного подключения к небезопасным сетям и интеграцию с функцией обнаружения мошенничества в „Google Телефоне“», пообещали в компании.

Источник изображения: Andriy Vitaly / unsplash.com

К основным функциям режима усиленной защиты в Android относятся:

• блокировка подключения к сетям 2G, у которых отсутствует защита с использованием шифрования, не позволяющая осуществлять мониторинг голосовых и текстовых сообщений;
• блокировка автоматического подключения к незащищённым сетям Wi-Fi с WEP-шифрованием или вообще без шифрования;
• включение функции Memory Tagging Extension для защиты от атак на подсистему памяти;
• автоматическая блокировка устройства при длительном отсутствии подключения к сети;
• автоматическое выключение устройства при длительном нахождении в заблокированном состоянии, чтобы сделать данные пользователя нечитаемыми без разблокировки;
• регистрация вторжений — запись системных событий в защищённую область устройства, чтобы использовать эти сведения при обнаружении или диагностике успешных и неудачных попыток взлома;
• защита JavaScript, отключающая оптимизатор, который может использоваться в некоторых типах эксплойтов.

Схожий режим Apple встроила в iOS в 2022 году. Основная идея в обоих случаях состоит в том, чтобы уменьшить поле деятельности для хакеров, отключив несущественные компоненты, которые наиболее подвержены взлому. В ряде случаев режим блокировки (Lockdown) в iOS неотличим от штатного; Android-устройство в режиме усиленной защиты, возможно, будет вести себя так же.

Электромобили молодой в автомобильном сегменте марки Xiaomi в последнее время нередко фигурировали в новостях в негативном контексте, но ресурс CarNewsChina неожиданно поделился характеризующей их с лучшей стороны новостью. Электроседан SU7, на который упал грузовик, сохранил относительную структурную целостность силового каркаса кузова и работоспособность.

Источник изображения: CarNewsChina

Как сообщает источник, в Китае на этой неделе произошло неприятное происшествие, которое заставило общественность с восхищением говорить о высоком уровне пассивной безопасности электромобилей Xiaomi. Стоявшую без людей в салоне машину Xiaomi SU7 протаранил потерявший управление грузовик, оба транспортных средства после упали с некоторого возвышения на твёрдую поверхность, причём виновник аварии в итоге придавил пустовавший электрический седан сверху своим весом.

Источник изображения: CarNewsChina

«Жёсткая посадка», тем не менее, хоть и вызвала обширную деформацию внешних кузовных панелей Xiaomi SU7, не слишком сильно исказила геометрию силового каркаса кузова. Автовладельцу после подъёма придавленной машины на ровную свободную площадку удалось не только без использования специализированных инструментов открыть все двери электромобиля, но и отдать голосовую команду на открытие «переднего багажника» бортовому компьютеру.

Хотя очевидно, что машина не подлежит восстановлению и будет утилизирована, инцидент невольно продемонстрировал хороший уровень пассивной безопасности её конструкции. Пострадавший в инциденте только материально и морально автовладелец выразил решимость купить ещё один такой же электромобиль.

Группа специалистов из Амстердамского свободного университета (Vrije Universiteit Amsterdam) выявила серию уязвимостей Spectre-v2, получивших кодовое название Training Solo. Эти атаки позволяют обходить защитные механизмы процессоров Intel, такие как IBPB и eIBRS, и извлекать данные из памяти ядра со скоростью до 17 Кбайт/с, а из гипервизора со скоростью 8,5 Кбайт/с. Эксплойты уже опубликованы в открытом доступе на GitHub.

Источник изображения: Kandinsky

Как сообщает OpenNET, в основе Spectre-v2 лежит манипуляция предсказанием переходов в процессоре. Злоумышленник заставляет систему спекулятивно выполнять инструкции, оставляя в кеше следы данных, которые затем можно извлечь, анализируя время доступа. Training Solo отличается тем, что вместо запуска своего кода атакующие используют уже существующие фрагменты кода в ядре или гипервизоре, делая, таким образом, атаку более завуалированной.

Источник изображения: opennet.ru

Исследователи описали три варианта реализации атак Training Solo. Первый способ заключается в использовании SECCOMP для подмены BPF-фильтров и создания ложных переходов (скорость утечки — 1,7 Кбайт/с). Второй метод основан на IP-коллизиях в буфере переходов (BTB), когда один переход влияет на другой. Третий метод, самый быстрый (17 Кбайт/с), использует такие аппаратные уязвимости, как CVE-2024-28956 (ITS) и CVE-2025-24495, позволяющие прямым переходам влиять на косвенные. Интересно, что на тестировании один из этих методов позволил считать хеш-значение пароля пользователя root всего за 60 секунд.

Источник изображения: opennet.ru

Атакам подвержены чипы Intel с поддержкой eIBRS, включая Coffee Lake и Lion Cove. Уязвимость ITS (CVE-2024-28956) затрагивает Core 9–11 поколений и Xeon 2–3 поколений, а уязвимость CVE-2025-24495 угрожает новейшим Lunar Lake и Arrow Lake. Одновременно AMD заявила, что её процессоры не подвержены данным атакам, а компания Arm уточнила, что в зоне риска находятся только старые чипы без поддержки современных расширений FEAT_CSV2_3 и FEAT_CLRBHB.

Все найденные проблемы уже получили исправления от производителей. Intel выпустила обновление микрокода с новой инструкцией IBHF, а в Linux добавлены патчи, блокирующие эксплуатацию через cBPF. Для старых процессоров рекомендована программная очистка буфера переходов. Также в ядре внедрён механизм выноса косвенных переходов в верхнюю часть строки кеша.

Отмечается, что угроза актуальна для облачных провайдеров и виртуальных сред, где возможна утечка между гостевыми системами и управляющим хостом. Владельцам серверов на Intel рекомендуется как можно скорее установить обновления, а пользователи AMD и современных Arm-чипов могут не опасаться — их системы защищены на аппаратном уровне.

Исследователь в области кибербезопасности Кристиан Бик (Christiaan Beek) из компании Rapid7 создал образец вируса-вымогателя, который напрямую заражает центральный процессор компьютера. Работающий на этом уровне вредонос не обнаруживается практически ни одним существующим антивирусом и остаётся на машине, даже если заменить системный диск.

Источник изображения: Glen Carrie / unsplash.com

Вредоносное ПО, работающее на уровне процессора, уже встречалось ранее — существуют руткиты, поражающие прошивку UEFI, но впервые удалось успешно запустить таким образом вирус-вымогатель. Идея посетила автора проекта, когда он изучил одну из уязвимостей процессоров AMD Zen, которая дала злоумышленникам возможность загружать вредоносный микрокод, взламывать шифрование на аппаратном уровне и изменять поведение процессора по своему усмотрению. В 2022 году огласку получили журналы чатов хакерской группировки Conti, в которых киберпреступники уже обсуждали эту идею, но рабочего решения так и не получили — по крайней мере, сообществу кибербезопасности об этом не известно.

«Если они работали над этим несколько лет назад, готов спорить, что некоторым из них в какой-то момент хватит ума, чтобы начать создание этой штуки», — рассудил Кристиан Бик. Видимо, по этой же причине он принял решение не выкладывать код своего проекта в общий доступ, хотя и назвал образец «потрясающим». За минувший год от вирусов-вымогателей в той или иной мере пострадали почти три четверти предприятий в Америке, Европе и Австралии, показало проведённое недавно компанией Veeam Software исследование.

Утилита управления драйверами Asus DriverHub, которая поставляется вместе с материнскими платами компании, имеет ряд уязвимостей, эксплуатация которых может позволить злоумышленникам осуществлять удалённое выполнение команд на компьютерах, где она установлена. Проблему обнаружил независимый исследователь в сфере кибербезопасности из Новой Зеландии, известный под ником MrBruh.

Источник изображения: Mika Baumeister / Unsplash

DriverHub представляет собой официальную утилиту Asus, которая предназначена для управления драйверами. Она автоматически загружается на компьютеры с определёнными материнским платами компании при первичной настройке системы. Приложение работает в фоновом режиме, автоматически определяя и загружая наиболее актуальные версии драйверов для материнской платы и чипсета. После установки утилита использует протокол удалённого вызова процедур (RPC) и порт 53000 для проверки обновлений драйверов. При этом большинство пользователей даже не подозревает, что на их ПК запущена такая служба.

Веб-сайты могут подключиться к созданной утилитой локальной службе через API-запросы. При этом она проверят заголовки входящих HTTP-запросов, чтобы отклонять всё, что приходит не от driverhub.asus.com. Однако процедура проверки плохо реализована, из-за чего служба принимает запросы от любого сайта, в имени которого содержится driverhub.asus.com, даже если он не является легитимным ресурсом, принадлежащим Asus.

Вторая проблема связана с модулем UpdateApp, который позволяет DriverHub загружать и запускать файлы с расширением .exe с URL-адресов, содержащих «.asus.com». Исследователь выяснил, что утилита сохраняет файлы, поступающие с таких URL-адресов, загружает файлы с любым расширением, выполняет подписанные файлы с правами администратора, а также не удаляет файлы, которые не прошли проверку подписи.

Фактически злоумышленник может выбрать любого пользователя, на компьютере которого запущен DriverHub, и обманом заставить его посетить вредоносный сайт. После этого с вредоносной страницы будут отправляться запросы UpdateApp локальной службе по адресу http://127.0.0.1:53000. Подмена заголовка на что-то вроде driverhub.asus.com.mrbruh.com позволяет пройти процедуру проверки подлинности, после чего DriverHub будет принимать запросы от вредоносного сайта.

В демонстрации исследователь успешно загружает легитимный установщик AsusSetup.exe с подписью Asus с портала вендора, а также вредоносный файл с расширением .ini и вредоносное ПО с расширением .exe. Программа установки с подписью Asus запускается от имени администратора и использует информацию о конфигурации в ini-файле, который направляет легитимную утилиту установки драйвера на запуск вредоносного исполняемого файла. Атака такого типа возможна ещё и потому, что утилита не удаляет файлы, которые не прошли проверку подписи вендора.

Созданная исследователем цепочка эксплойтов использует уязвимости CVE-2025-3462 и CVE-2025-3463. MrBruh уведомил Asus о проблеме 8 апреля, а соответствующее исправление вендор выпустил 18 апреля. Отмечается, что компания не предложила исследователю вознаграждение за обнаружение серьёзных уязвимостей. В описании уязвимостей на сайте Asus их значимость несколько преуменьшена. Там сказано, что проблема затрагивает только материнские платы и не касается ПК, ноутбуков и других устройств. Однако это не так, поскольку проблема затрагивает ПК и ноутбуки, на которых установлена утилита DriverHub. При этом после выхода исправления Asus настоятельно рекомендовала пользователям обновить версию DriverHub до наиболее актуальной. Использовались ли упомянутые уязвимости хакерами для проведения реальных атак, неизвестно.

Компания Google представила новые инструменты на базе искусственного интеллекта, направленные на усиление защиты пользователей браузера Chrome от онлайн-мошенничества. Нововведение касается большой языковой модели (LLM) Gemini Nano, работающей локально, непосредственно на устройстве пользователя.

Источник изображения: AI

Эта технология, как сообщает TechCrunch, будет использоваться в настольной версии Chrome в режиме расширенной защиты (Enhanced Protection), которая обеспечивает в два раза более высокую безопасность по сравнению со стандартной защитой. Gemini Nano поможет выявлять и блокировать потенциально опасные сайты, в том числе ранее неизвестные и, как отмечают в Google, идеально подходит для этой задачи благодаря своей способности анализировать разнообразную и сложную структуру ресурсов.

Компания также обращает внимание на риски, связанные с уведомлениями от недобросовестных сайтов, которые могут использовать push-уведомления для попыток обмана. Для противостояния этому в мобильной версии Chrome для Android появится новая система предупреждений о таких push, а пользователь сможет выбрать — отключить это уведомление или пройти по ссылке в нём.

Также Google отметила, что уже использует ИИ для борьбы с мошенничеством в поисковой системе. Технологии позволяют ежедневно блокировать сотни миллионов подозрительных результатов. В частности, компания зафиксировала рост числа мошенников, выдающих себя за сотрудников авиакомпаний, и утверждает, что благодаря новым мерам количество подобных случаев удалось сократить более чем на 80 %.

Google выпустила обновление безопасности для операционной системы Android, устранив 45 уязвимостей, включая критическую ошибку в библиотеке компьютерных шрифтов FreeType. Эта уязвимость, обозначенная как CVE-2025-27363, позволяла злоумышленникам выполнять произвольный код на устройстве без каких-либо действий со стороны пользователя.

Источник изображения: AI

По данным BleepingComputer, уязвимость была обнаружена специалистами из Facebook✴ в марте 2025 года. Она затрагивает все версии FreeType вплоть до 2.13.0, выпущенной в феврале 2023 года. Также сообщается, что есть признаки того, что эксплойт уже применялся в ограниченных целевых атаках.

Ошибка возникает при обработке вредоносных файлов со шрифтами TrueType GX и связана с некорректной обработкой данных при разборе структур субглифов. Это приводит к переполнению буфера и потенциальному выполнению со стороны злоумышленника произвольного кода на устройстве.

Помимо FreeType, обновления исправляют уязвимости в компонентах Framework, System, Google Play и ядре Android, а также в чипсетах MediaTek, Qualcomm, Arm и Imagination Technologies. Большинство из этих ошибок позволяли повысить привилегии в системе и имели высокий уровень опасности.

Исправления доступны для Android 13, 14 и 15, хотя не все уязвимости затрагивают каждую из этих версий. При этом стоит учесть, что Android 12 официально перестал получать обновления безопасности с 31 марта 2025 года, а более старые версии и вовсе остались без защиты. Тем не менее, Google может выпускать некоторые критические исправления через Google Play System Updates, но без гарантии их для устаревших устройств.

Чтобы проверить наличие обновления, нужно зайти в «Настройки» → «Безопасность и конфиденциальность» → «Система и обновления» → «Обновление безопасности» и нажать «Проверить наличие обновлений». Точный путь может отличаться в зависимости от модели устройства и производителя.

Эксперты рекомендуют владельцам смартфонов на Android 12 и старше перейти на более новую версию ОС или установить кастомную прошивку с актуальными патчами. В противном случае устройства остаются уязвимыми для атак.

Хакерская группировка TheWizards развернула кампанию с использованием уязвимости в SLAAC — одной из функций сетевого протокола IPv6, которая активно применяется злоумышленниками для взлома ресурсов определённых организаций и перехвата обновлений ПО. Кампанию обнаружили эксперты ESET.

Источник изображения: Glen Carrie / unsplash.com

В ходе атаки злоумышленники используют программное средство Spellbinder, которое отправляет на ресурсы своих целей поддельные сообщения Router Advertisement (RA). Получив такое сообщение, целевое устройство воспринимает подконтрольный хакерам сервер как маршрутизатор и направляет через него весь свой трафик. Атака построена на манипулировании процессом Stateless Address Autoconfiguration (SLAAC), поэтому она получила название «подмена SLAAC» (SLAAC spoofing).

Получив контроль над трафиком, хакеры TheWizards при помощи Spellbinder перехватывают запросы устройств к доменам с обновлениями ПО и перенаправляют их. В результате жертвы получают обновления с троянами, в частности, с бэкдором WizardNet. Злоумышленники пользуются удалённым доступом к устройствам цели, осуществляют взаимодействие с ними через зашифрованные сокеты TCP или UDP и используют SessionKey на основе системных идентификаторов для шифрования AES. WizardNet загружает и выполняет в памяти модули .NET, извлекает системные данные, составляет список запущенных процессов и поддерживает присутствие.

Кампания активна как минимум с 2022 года, утверждают эксперты ESET; целями являются частные лица и организации преимущественно в Китае, Гонконге, Камбодже, ОАЭ и на Филиппинах. Есть версия, что сервер с поддельными обновлениями продолжает работать и в настоящий момент. Программа Spellbinder отслеживает обращения к доменам Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 и Baofeng. Единственный способ защититься от атаки — отслеживать трафик IPv6 или отключать протокол, если в нём нет явной потребности, заявили в ESET.

Неизвестный хакер воспользовался уязвимостью в TeleMessage — защищённой надстройке служб мгновенных сообщений Signal, Telegram и WhatsApp — и сумел похитить историю переписки и другие данные, связанные с использовавшими этот инструмент американскими должностными лицами и компаниями, узнал ресурс 404 Media.

Источник изображения: Jonas Leupe / unsplash.com

Приложение оказалось в центре внимания после инцидента, когда теперь уже бывший советник президента США по национальной безопасности по неосторожности предоставил в системе Signal американскому журналисту доступ к секретным сведениям. Израильская компания TeleMessage предлагает клиентам возможность архивировать сообщения, в том числе голосовые заметки, из приложений с шифрованием.

Сообщения чиновника и других членов правительства США скомпрометированы не были, утверждает издание, но злоумышленнику удалось похитить другую информацию: контакты должностных лиц, учётные данные для входа на серверную часть TeleMessage и многое другое. Украдены данные, относящиеся к Погранично-таможенной службе США, криптовалютной бирже Coinbase и кредитным организациям, в том числе Scotiabank. Архивные журналы переписки в модифицированном варианте Signal, который предлагает TeleMessage, не подвергаются сквозному шифрованию. Владеющая TeleMessage компания Smarsh заявила, что приостановила действие данных услуг.

«После обнаружения [взлома] мы отреагировали оперативно, чтобы остановить его, и привлекли стороннюю компанию, которая занимается кибербезопасностью, чтобы она поддержала наше расследование. Из соображений предосторожности все услуги TeleMessage временно приостановлены. Все остальные продукты и услуги Smarsh остаются полностью работоспособными», — заявили в Smarsh ресурсу TechCrunch. Особое внимание в расследовании уделяется инциденту с Coinbase, но в администрации криптобиржи заверили, что её сотрудники не передавали через мессенджер паролей, кодовых фраз и прочих необходимых для доступа к учётным записям данных.

После того, как в России был принят закон об ужесточении наказания за утечку данных и введены оборотные штрафы, спрос на решения для защиты информации вырос на 40 %. По оценкам участников рынка, вложения отечественных компаний в обеспечение кибербезопасности в этом году могут увеличиться до 47 млрд рублей. Поскольку к моменту вступления закона в силу не все организации успеют внедрить новые решения, спрос на них сохранится как минимум в течение двух лет.

Источник изображения: Kevin Ku / Unsplash

По прогнозу ИБ-компании «Стахановец», в следующем году расходы российских предприятий на кибербезопасность могут составить 58 млрд рублей. Тенденцию к росту инвестиций аналитики связывают в том числе с развитием регулирования работы с данными. Отмечается, что с момента подписания законопроектов об ужесточении наказания за утечку данных спрос на системы Data Loss Prevention компании вырос на 35-40 %.

По данным «Б1 », на данный момент рынок решений для защиты данных составляет примерно 10 % от всех продуктов в сфере кибербезопасности. В денежном выражении это примерно 21 млрд рублей. В компании прогнозируют, что этот сегмент вырастет до 17 % к 2027 году, в том числе за счёт закона о введении оборотных штрафов для организаций, допустивших утечку данных.

Отмечается, что от утечек данных и негативной деятельности инсайдеров в полной мере не защищена ни одна российская компания. По данным источника, в 38 % случаев увольняющиеся сотрудники пытаются скачать базы данных клиентов или партнёров компании. Основными каналами утечек продолжают оставаться мессенджеры, на долю которых приходится 35 % подобных случаев. Публикации в интернете, в том числе в облачных хранилищах, является каналом для утечки данных в 15 % случаев.

Представитель компании «Стахановец» рассказал, что во многих российских организациях всё ещё не используются системы защиты данных. Это подтверждается данными ФСТЭК России, сотрудники которой подсчитали, что к концу 2024 года только у 10 % организаций был обеспечен базовый уровень безопасности. Это означает, что к моменту вступления в силу закона об ужесточении наказания за утечку данных многие отечественные компании попросту не успеют внедрить DLP-решения.

В InfoWatch подсчитали, что рынок DLP-систем стабильно растёт на 10-15 % в год. Там также отметили, что чаще всего подобные атаки реализуются с помощью инсайдеров — когда внутренний и внешний злоумышленники действуют совместно. Одна из задач DLP-систем заключается в мониторинге и предотвращении подобных инцидентов.

Исследователи безопасности из CyberNews проанализировали 19 миллиардов паролей, попавших в сеть в следствии хакерских атак в 2024 и 2025 году, и пришли к выводу, что только 6 % являются уникальным набором символов, а остальные 94 % — это настоящая катастрофа, не отвечающая самым элементарным требованиям безопасности.

Источник изображения: AI

Как пишет TechSpot, 42 % пользователей выбирают пароли длиной 8–10 символов, а 27 % ограничиваются только цифрами и строчными буквами. Если бы не требования сервисов по количеству символов, многие использовали бы и вовсе 3–4 знака. В топе самых предсказуемых вариантов оказались «1234» (727 млн случаев), «password» (56 млн) и «admin» (53 млн). Также популярны имена, ругательства, названия городов, стран и животных.

Источник изображения: CyberNews

«Проблема не в незнании правил безопасности, а в нежелании их соблюдать, — говорят эксперты. — Создать сложный пароль легко, но запомнить его трудно, и без специальных программ держать в голове десятки надёжных комбинаций практически невозможно».

Исследователи выяснили, что люди полагаются на шаблонные варианты, которые хакеры первыми проверяют при взломе. Например, словарь для подбора паролей обязательно включает «qwerty», «iloveyou» и «123456». Такие комбинации взламываются за секунды даже без специального ПО.

Источник изображения: CyberNews

Но решение конечно имеется. Можно использовать менеджеры паролей, например, Bitwarden или 1Password, и двухфакторную аутентификацию (2FA). Однако их используют немногие. «Люди готовы рисковать данными, лишь бы не тратить лишние 30 секунд», — констатируют в CyberNews.

Сообщается, что все проанализированные данные были анонимизированы — не привязаны к конкретному логину или почте. Однако масштабы утечек показывают, если пароль простой или повторяется на нескольких сайтах, шанс взлома крайне велик.

Современные хакеры с помощью искусственного интеллекта и мощных видеокарт (GPU) могут взламывать даже сложные пароли за считанные дни, а в некоторых случаях — мгновенно. Новое исследование по кибербезопасности, о котором сообщил HotHardware, показало, что традиционные комбинации символов больше не обеспечивают надёжной защиты.

Источник изображения: AI

Системы безопасности давно используют метод хеширования — преобразование пароля в случайную последовательность символов. Например, пароль «Hot2025hard@» может храниться в базе данных сайта как зашифрованная строка вида «M176рге8739sheb647398nsjfetwuha63». Однако злоумышленники научились обходить эту защиту, создавая огромные списки возможных комбинаций и сравнивая их с утёкшими в сеть хешами.

Согласно исследованию Hive Systems, такие нейросети, как ChatGPT-3, в сочетании с 10 000 видеокарт Nvidia A100 способны за короткое время подобрать 8-символьный пароль, состоящий из цифр, заглавных и строчных букв. Если же пароль ранее уже утёк в сеть, содержит словарные слова или повторяется на разных сайтах, взлом происходит ещё быстрее.

Особую угрозу представляют мощные GPU-кластеры. Так, получив доступ, например, к 20 000 чипов Nvidia A100, хакеры могут взламывать даже длинные пароли. При этом исследователи подчёркивают, что речь идёт о случайно сгенерированных комбинациях, а простые пароли вроде «123456» или «qwerty» взламываются моментально.

Вывод исследования очевиден: привычные способы защиты становятся неэффективными. Некоторые крупные компании, такие как Microsoft, уже переходят на passkey — более безопасную форму аутентификации без использования паролей. Она представляет собой защищённый цифровой ключ, хранящийся в специальном аппаратном или программном модуле непосредственно на устройстве пользователя, например, в Trusted Platform Module (TPM) или в облаке Microsoft с шифрованием. Тем не менее большинство пользователей всё ещё полагаются на устаревшую систему паролей.

Пока же эксперты советуют использовать пароли длиной не менее 12 символов, включающие цифры, спецсимволы (например, «@» или «~») и буквы разного регистра. Также важно не применять один и тот же пароль на разных сайтах и, по возможности, активировать двухфакторную аутентификацию.

Функция Apple AirPlay позволяет с лёгкостью воспроизводить музыку или демонстрировать фотографии и видео с iPhone и MacBook на других устройствах Apple или других производителей. Но в этом протоколе обнаружилась уязвимость, позволяющая гипотетическим злоумышленникам свободно перемещаться по сети между устройствами и распространять вредоносное ПО. Продукты Apple обновляются регулярно, но некоторые устройства умного дома — нет, и они способны стать плацдармами для вредоносного ПО, пишет Wired.

Источник изображений: apple.com

Эксперты специализирующейся на кибербезопасности компании Oligo раскрыли информацию о наборе уязвимостей, который они назвали AirBorne, — он создаёт угрозу для работы протокола локальной беспроводной связи Apple AirPlay. Из-за ошибки в комплекте разработки ПО (SDK) для сторонних устройств гипотетические хакеры могут взламывать широкий спектр устройств: динамики, ресиверы, телевизионные приставки и умные телевизоры, подключённые к той же сети Wi-Fi, что и машина хакера. Ещё один набор уязвимостей того же семейства AirBorne мог бы позволить использовать в тех же целях устройства Apple с AirPlay, но в последние месяцы компания закрыла эти уязвимости в обновлениях. Эксплуатировать эти уязвимости можно было лишь в том случае, когда пользователи изменяли настройки по умолчанию, добавил представитель Apple.

Подверженные уязвимости совместимые с AirPlay устройства сторонних производителей исчисляются десятками миллионов — чтобы исправить это, уйдут годы, но в действительности большинство из них так и останется уязвимым из-за ошибки в ПО Apple, говорят в Oligo. Компания уже несколько месяцев помогает технологическому гиганту закрывать уязвимости AirBorne, но если потребители не начнут устанавливать обновления на стороннюю продукцию, ничего не изменится.

Хакер может войти в сеть Wi-Fi с уязвимыми устройствами, взломав компьютер в домашней или корпоративной сети или подключившись к Wi-Fi в кафе или аэропорту. После этого он может захватить контроль над уязвимым устройством и использовать его в качестве скрытой точки входа, взлома других устройств в сети, а также включать их в ботнет, который координируется централизованно. Многие из уязвимых гаджетов располагают микрофонами, и их можно использовать для подслушивания, говорят в Oligo. Эксперты не стали создавать эталонный код эксплойта, чтобы продемонстрировать величину угрозы, но показали, как он работает на примере динамика Bose, который показал логотип Oligo.

Oligo предупредила Apple о проблеме AirBorne минувшей осенью — производитель отреагировал, выпустив соответствующие обновления безопасности при поддержке компании, которая выявила проблему. В умных колонках и телевизорах сторонних производителей могут оказаться данные пользователей, признали в Apple, хотя и в незначительных объёмах. AirBorne затронула и протокол CarPlay, который используется для подключения устройств Apple к информационно-развлекательным системам автомобилей, но в случае с CarPlay у потенциальных злоумышленников меньше возможностей сделать это.

А вот устройства в домашних сетях, напротив, представляются более подходящими мишенями для взлома — они могут стать источниками распространения вирусов-вымогателей или подконтрольными злоумышленникам средствами для шпионажа; при этом потребитель в таком оборудовании часто вообще не видит угрозы и не считает необходимым обновлять ПО для него. Набор уязвимостей AirBorne в Oligo обнаружили случайно, когда работали над другим проектом. Ситуация усугубляется тем, что некоторые производители включают поддержку AirPlay в свою продукцию, не уведомляя Apple и не придавая продукции статуса «сертифицированной».

Интернет-гигант Cloudflare сообщил о предотвращении рекордного количества DDoS-атак в 2024 году, зафиксировав их рост на 358 % по сравнению с годом ранее и на 198 % в расчёте на квартал. Цифры взяты из отчёта Cloudflare по DDoS-атакам за первый квартал 2025 года, в котором компания также заявляет, что предотвратила в общей сложности 21,3 миллиона DDoS-атак в 2024 году.

Источник изображений: Cloudflare

Однако 2025 год, похоже, станет для интернет-гиганта и организаций, пользующихся его услугами, ещё более проблемным, поскольку Cloudflare уже отразила 20,5 миллиона DDoS-атак только за первый квартал 2025 года. Среди этих атак 6,6 млн были направлены на саму инфраструктуру Cloudflare в ходе 18-дневной многовекторной кампании.

«Из 20,5 миллионов DDoS-атак 16,8 миллионов были DDoS-атаками сетевого уровня, и из них 6,6 миллионов были направлены непосредственно на сетевую инфраструктуру Cloudflare. Эти атаки были частью 18-дневной многовекторной DDoS-кампании, включающей атаки SYN-флуда, DDoS-атаки, сгенерированные Mirai, атаки с усилением SSDP и многие другие», — поясняет Cloudflare.

Значительнее всего рост за последние несколько месяцев наблюдался в атаках сетевого уровня — их количество выросло на 509 % в годовом исчислении.

Между тем среди злоумышленников сохраняется тенденция к гиперобъёмным атакам: Cloudflare зафиксировала более 700 атак, которые превышали пропускную способность в 1 Тбит/с (терабит в секунду) или скорость передачи в 1 миллиард пакетов в секунду. В течение первого квартала 2025 года компания ежедневно подвергалась около восьми гиперобъёмным атакам, а их общее количество удвоилось по сравнению с предыдущим кварталом.

Cloudflare сообщает, что выявила две новые угрозы в первом квартале 2025 года — атаки с отражением/усилением через Connectionless Lightweight Directory Access Protocol (CLDAP) и Encapsulating Security Payload (ESP). Количество атак CLDAP выросло на 3488 % по сравнению с предыдущим кварталом: эти атаки используют вариант LDAP-протокола на базе UDP вместо TCP, что обеспечивает более высокую скорость, но меньшую надёжность. UDP в CLDAP не требует подтверждения передачи, что позволяет злоумышленникам подменять IP-адрес, направляя огромные объёмы трафика к цели. Атаки ESP, количество которых увеличилось на 2301 % по сравнению с предыдущим кварталом, становятся возможными из-за неправильных настроек или уязвимостей в открытых системах.

Одна из атак, описанных в отчёте Cloudflare и произошедших в первом квартале 2025 года, была направлена на хостинг-провайдера из США, предоставляющего услуги многопользовательских игровых серверов для Counter-Strike GO, Team Fortress 2 и Half-Life 2: Deathmatch. Атака, проходившая несколькими волнами, была нацелена на порт 27015, который часто используется в играх и требует, чтобы он оставался открытым как для пакетов UDP, так и для TCP. Целью атаки было явное нарушение работы игровых сервисов. Атака была гиперобъёмной, достигнув 1,5 млрд пакетов в секунду, хотя Cloudflare утверждает, что ей удалось её нейтрализовать.

Игровые серверы являются частыми целями для DDoS-атак, поскольку их сбой может быть крайне разрушительным и иметь серьёзные последствия для издателей и целых сообществ игроков.

Генеральный директор Cloudflare Мэтью Принс (Matthew Prince) сообщил на своей странице в соцсети X в конце прошлой недели, что компания нейтрализовала рекордную распределённую атаку типа «отказ в обслуживании» (DDoS) с пиковым трафиком в 5,8 Тбит/с, которая длилась примерно 45 секунд. Предыдущий рекорд, о котором также сообщала Cloudflare, был установлен DDoS-атакой мощностью 5,6 Тбит/с, приписываемой ботнету на базе Mirai, состоящему из 13 000 устройств. Как сообщается, последняя атака носила тестовый характер для оценки мощности их DDoS-пушки. Принс намекнул, что в тот же день Cloudflare столкнулась с ещё более масштабной атакой и пообещал вскоре поделиться дополнительной информацией.