SecLabNews

Machine1337 продаёт 89 млн записей Steam Пользователь под ником Machine1337 выставил на продажу базу из 89 миллионов записей, содержащих одноразовые коды доступа Steam. Стоимость архива — $5 000. В открытой выборке — около 3 тысяч строк с текстами SMS и номерами телефонов. Администратор сообщества SteamSentinels заявил, что формат логов в этих данных напоминает структуру, характерную для инфраструктуры Twilio — поставщика SMS-услуг, который широко используется для 2FA. Он предположил, что утечка могла быть связана со взломом учётной записи или утечкой ключей. Но сама Twilio настаивает: «у нас всё чисто». Если не Twilio — тогда кто? Сторонний SMS-агрегатор? Компрометированный клиент? Или атака на цепочку поставок? Пока вопросов больше, чем ответов. А пользователям остаётся лишь одно — включать Steam Guard и не ждать официального признания, когда логины уже у других. #Steam #Twilio #утечкаданных

53% россиян ставят APK «на свой страх и троян» Согласно опросу, более половины пользователей в России по-прежнему устанавливает приложения не из официальных источников. И неважно, насколько осознанно они избегают фишинга или включают 2FA — один заражённый APK с форума, и смартфон превращается в терминал удалённого доступа. CraxsRAT и вредоносные версии NFCGate всё чаще маскируются под госсервисы, антивирусы и мессенджеры. При установке они получают доступ к SMS, камере, микрофону и банковским данным. По оценкам, только в марте 2025 года в России выявлено более 200 000 заражённых Android-устройств. Проблема не в неосторожности, а в ложном доверии к интерфейсу. Пока пользователи воспринимают APK как «такой же, только без маркетплейса», киберпреступники продолжают собирать доступ — и прибыль. #Android #вредоносы #безопасность

Миллион за хостинг в обход реестра: в Госдуме новый законопроект С 1 ноября в России могут ввести штрафы за работу вне реестра Роскомнадзора: до 1 млн рублей — для юрлиц, 500 тыс. — для ИП, 100 тыс. — для физлиц. Отдельные санкции — для госструктур, сотрудничающих с незарегистрированными хостерами. Законопроект уже внесён депутатами и сенаторами, включая Горелкина и Клишаса. Хостеры обязаны держать оборудование в РФ, подключать СОРМ и внедрять ИБ-средства. Это требует миллионов вложений, и провайдеры, скорее всего, переложат их на клиентов. Даже компании из реестра рискуют штрафами за формальное соблюдение правил. Эксперты спорят, дойдёт ли дело до ответственности для пользователей «серых» хостеров. Пока это лишь предположение, но тренд на усиление контроля уже очевиден. #хостинг #штрафы #Роскомнадзор

Банк перевёл — оператор виноват? Новый спор о миллиардах Банковское сообщество предложило новый принцип: если оператор сообщил банку о подозрительном номере, а тот всё равно перевёл деньги — отвечает банк. Если же оператор промолчал, то компенсировать ущерб должен уже он. В НСФР считают, что начинать нужно с крупнейших операторов и системно значимых банков, а порядок взаимодействия должно установить правительство. Но сами операторы идею не поддерживают, ссылаясь на погрешности алгоритмов и отсутствие контроля над денежными переводами. Минцифры подтвердило получение письма и напомнило о создании специальной платформы для борьбы с кибермошенничеством. Однако даже с ней остаётся главный вопрос: кто будет платить, если фильтр сработает неправильно? #мошенничество #финансоваяответственность #банки #операторы

Telegram атакуют в Telegram? Конкуренты вышли из тени 11 марта в русскоязычных каналах Telegram появились синхронные посты с критикой самой платформы. Telegram обвиняют в рекламе, скаме, навязчивых функциях и даже «перегреве устройства», призывая Павла Дурова «очнуться». Авторы этих публикаций продвигают WhatsApp как более честный и удобный мессенджер — без рекламы, подписок и с лучшим качеством связи. Повторяющийся стиль и аргументы постов указывают на централизованную кампанию. Дуров отреагировал, обвинив соперников в отчаянии и напомнив о технологическом превосходстве Telegram. Битва мессенджеров выходит на новый виток — и, похоже, теперь она будет вестись прямо на площадке Telegram. #мессенджеры #инфовойны #telegram

RTX 5090: перебор стал бытовым Флагман Nvidia вышел за пределы игр и ИИ. Исследование Hive Systems показало: 12 видеокарт RTX 5090 подбирают простой восьмизначный цифровой пароль за 15 минут. Даже одной карте достаточно трёх часов — это на треть быстрее, чем у предыдущего поколения RTX 4090. Такой результат стал возможен благодаря тысячам параллельных потоков: видеокарты сравнивают миллионы хешей в секунду. Вся стойкость защиты теперь зависит не от алгоритма, а от сложности самого пароля. Пара заглавных букв и символов — и взлом отодвигается на десятки лет, даже при наличии целой фермы топовых видеокарт. Пока RTX учит нейросети, она уже с лёгкостью обходит самую популярную защиту — человеческую лень. #RTX5090 #пароли #взлом

Шпион на линии: Meta дожала NSO NSO Group не отвертелась. Присяжные в Калифорнии обязали компанию выплатить Meta $167,4 млн за атаку через уязвимость в WhatsApp — ту самую, где Pegasus проникал в устройство одним входящим звонком, даже без ответа. Уязвимость была устранена быстро, но Meta пошла дальше: четыре года суда, доступ к коду Pegasus, стенограммы допросов, помощь Citizen Lab — и в итоге самое болезненное для NSO решение. Попытки спрятаться за «государственный иммунитет» не сработали, особенно после того, как всплыли попытки продать Pegasus американским силовикам. Теперь NSO может сколько угодно говорить о борьбе с терроризмом — но Meta выиграла не только деньги, а битву за прецедент. Крупный техгигант впервые дожал разработчика шпионки в открытом суде. Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ. #pegasus #whatsappуязвимость #цифровыеправа

Немкин: «В праздники — без лишней связи» С 7 по 9 мая в Москве возможны ограничения доступа к мобильному интернету. Антон Немкин называет это «временной и точечной мерой» в целях безопасности. Никаких технических сбоев — всё по плану: «Это элемент превентивной защиты, направленной на пресечение возможных угроз заранее». Ограничения затронут в первую очередь мобильный трафик. «Пользователям при этом остаётся доступен Wi-Fi» — это, по словам депутата, должно «сократить неудобства». Парламентарий также подчеркнул, что речь не о цензуре или ограничении прав, а о временной мере на период массовых мероприятий. Формально — защита. По сути — новая управляемая практика: временно отключить связь стало допустимым сценарием в дни, когда город под наблюдением. #интернет #ограничения #безопасность

TeleMessage провалил безопасность на старте Когда приложение, созданное для конфиденциальности, превращают в инструмент для централизованного логирования — ничем хорошим это не заканчивается. TeleMessage, продавец «безопасных» версий Signal, WhatsApp и Telegram для госорганов и корпораций, хранил копии сообщений на своём сервере в AWS. Именно он и пал. Хакер получил доступ к административной панели, логам и личной переписке чиновников CBP, сотрудников Coinbase и даже разведки полиции Вашингтона. Среди утечек — политические чаты, криптовалютные обсуждения и номера телефонов. Всё в открытом виде — потому что end-to-end там был только на бумаге. Пока TeleMessage снимал YouTube-видео про «наследие Signal», их реальное наследие — это 747 записей из американской таможни и целый скриншотный архив утечек. Патч не поможет, когда уязвимость заложена прямо в логику работы сервиса. #мессенджеры #утечкаданных #инфобез

Шантаж на экране: подросток в ловушке Если ребёнок резко замкнулся и стал прятать телефон — это может быть не подростковый кризис. МВД предупреждает о распространённой схеме интернет-шантажа, направленной на подростков. Сценарий прост: через фейковый аккаунт выманить личные фото или видео, а затем угрожать распространением: «если не сделаешь X, отправим всем». Злоумышленники используют разные способы давления: эмоциональный шантаж, финансовые требования, угрозы опубликовать интимные материалы «сексторшн» и даже создание дипфейков. Родителям важно не просто поставить антивирус и настроить приватность аккаунтов. Главное — выстраивать с ребёнком открытые и спокойные отношения. Потому что никакие фильтры не спасут, если подросток уверен: «лучше не говорить никому». #кибершантаж #безопасностьдетей #интернетугрозы