Карманная мини лаборатория обещает за пару минут проверить блюдо на опасные аллергены.

Почему газ в древних скоплениях нагрелся на миллиарды лет раньше графика.

Ученые обучили модель на данных десятков исследований, чтобы подбирать параметры капель и форсунок.

Метод выглядит красиво на бумаге, однако впереди тесты в реальных системах.

Автономным системам обещают «всепогодное зрение» с угловым разрешением 0,13 градуса и дальностью почти километр.

Подмена аудио на пешеходных переходах вскрыла классическую ошибку, которую до сих пор допускают даже госслужбы.

Энергетика Тайваня стала главной мишенью, и цифры выглядят как предупреждение перед бурей.

Мошенники нашли способ превратить обычный клик по письму в полноценный удалённый доступ к компьютеру.

Новая CVE показывает, почему старый роутер из шкафа опаснее, чем кажется.

Злоумышленники маскируют заражение под запросы Верховной рады и прячут вредоносный код за «легитимными» процессами Windows.

Взлом оказался не просто атакой, а публичным перформансом, с большими экранами, ликованием зала и мгновенным удалением инфраструктуры.

AI Barmen обещает одинаковое качество напитка в разных барах и странах благодаря памяти предпочтений.

На смену срочности и необходимости простой замены пришёл запрос на качество, гарантированную совместимость компонентов и экономическую эффективность решений.

Вендорам и интеграторам пришлось отвечать на этот вызов, делая ставку не на единичные продукты, а на создание или встраивание в доверенные экосистемы.

в промышленном сегменте, выпустили новое решение для резервного копирования и серьёзно продвинулись в области инфраструктурных решений для искусственного интеллекта.

Андрей Крючков, директор по развитию технологических партнёрств, компания «Киберпротект»Валентин Губарев: «Наша стратегия в этом году строилась на 3 ключевых фокусах.

Год показал, что будущее отечественных информационных тех…

Автоматизировать процесс внедрения стандартов и комплаенс-контроль по этому сценарию поможет модуль MaxPatrol Host Compliance Control (MaxPatrol HCC) в составе MaxPatrol VM.

Как MaxPatrol HCC делает комплаенс-контроль и харденинг прощеMaxPatrol HCC — это модуль для MaxPatrol VM, который позволяет приоритизировать риски, назначать политики безопасности, контролировать выполнение требований и сроки устранения несоответствий.

Возможность разрабатывать собственные стандарты или адаптировать системные, включая стандарты PT Essentials, с помощью встроенного в MaxPatrol HCC конструктора.

В MaxPatrol HCC уже реализованы готовые стандарты, интегрированные в продукт.

Дашборды в MaxPatrol HCC для ключ…

Флагманское решение вендора — сервер управления аутентификацией Blitz Identity Provider, позволяющий избавиться от неудобств парольной защиты и усилить ИБ организации.

Схема работы Blitz Identity ProviderНовые возможности Blitz Identity Provider 5.31:Мобильное приложение Blitz Key для подтверждения входа через push и с помощью TOTP-генераторов кодов подтверждений.

Архитектура Blitz Identity ProviderПомимо сервиса аутентификации, Blitz Identity Provider включает следующие модули:Blitz Panel.

Графический интерфейс Blitz PanelРабота с системой Blitz Identity ProviderРассмотрим вкратце развёртывание и настройку сервера аутентификации Blitz Identity Provider, чтобы продемонстрировать возможности…

Мы проанализируем, как изменился ландшафт угроз, куда движется рынок, на что делать ставку в 2026 году и как в новой реальности выстроить работу, которая позволит не просто выживать, но и уверенно развиваться.

Екатерина Черун, коммерческий директор, Security VisionАтаки на репозиторииИлья Шабанов отметил, что в 2025 году стали сильно заметнее атаки на репозитории кода, такие как Git и NPM.

Алексей Павлов в ответ подчеркнул, что в случае подобных сложных инцидентов необходимо привлекать профессионалов и проводить полномасштабную работу.

Александр Лебедев отметил, что в определённой степени отрасль уже получила «прививку» от подобных угроз благодаря инциденту с Protestware в 2022 году.

Их сут…

И ключевую роль в ней играет NDR (Network Detection and Response) — модуль, который видит атаку не с конца и не с начала, а целиком, на уровне сетевых коммуникаций.

Таким образом, ключевое различие в том, что NTA предоставляет данные для расследования ИБ-инцидентов, а NDR — это готовый инструмент для расследования и реагирования.

Отметим, что и до появления NDR в KATA были модули по распознаванию угроз в копии сетевого трафика.

NDR как стратегияИнтеграция NDR в экосистему защиты, как это реализовано в платформе KATA, — это качественный сдвиг в стратегии противодействия целевым атакам.

Однако ключевой инсайт заключается не в самой технологии, а в изменении подхода к расследованию.

Servicepipe Cybert обеспечивает защиту от нежелательной автоматизации в веб-трафике (в том числе OWASP Automated Threats) и в зависимости от схемы внедрения защищает от volumetric L3/L4 и/или L7 DDoS-атак.

Реализованная в Servicepipe Cybert функциональность:Защита от DDoS-атак на уровнях L3–L7 с автоматическим срабатыванием (в реальном времени).

On-prem модель защиты (NGINX-модуль)On-prem модель подразумевает локальную установку ПО Cybert в качестве модуля на веб-сервера NGINX или Angie в контуре заказчика.

Расширенная аналитика в Servicepipe CybertЛоги запросов (Request logs)В данном разделе отображается вся информация о запросах, которые поступают к ресурсу.

Настройки ресурсаПользовательс…

RuSIEM WAF 1.0 обеспечивает защиту веб-приложений от атак и уязвимостей.

Версия 1.0 RuSIEM WAF позволяет снизить перечисленные угрозы, обеспечивая защиту веб-приложений от атак.

Функциональные возможности RuSIEM WAF 1.0RuSIEM WAF — интеллектуальная система защиты веб-приложений от атак и уязвимостей.

Создание учётной записи пользователя в RuSIEM WAF 1.0После выполнения настроек сведения о состоянии веб-приложения отображаются на панели мониторинга.

Архитектура движка обработки правил AegisФункциональность балансировки нагрузки в RuSIEM WAF позволяет распределять входящие запросы между несколькими серверами, что повышает надёжность и производительность системы.

Во-вторых, такие инциденты несут в себе не только технологические, но и кадровые, юридические и репутационные риски.

После 2020 года с массовым переходом на удалённую работу и изменениями в законодательстве учёт рабочего времени в DLP-системах стал стандартной необходимостью.

Контроль информации и документов: мониторинг мест хранения, перемещения и круга лиц, имеющих к ним доступ.

Александр Луганцев обратил внимание на правовой контекст, пояснив, что с точки зрения государства инциденты могут классифицироваться по нормам гражданского, административного или уголовного права.

Как показала дискуссия экспертов и опыт участников, ключ к успеху лежит в системном подходе, который начинается задолг…

Архитектура, системные требования и лицензированиеКомпоненты платформы DeteAct EASM размещаются на облачных ресурсах, арендованных в ИТ-компаниях «Селектел» и «Яндекс.Облако».

Запуск сканирования с текущими настройкамиПри создании нового сканирования необходимо задать его название, выбрать тип («Разведка»/«Инфраструктура»), указать ID воркера, указать настройки запуска.

Домены в DeteAct EASMИнтерфейс и функциональность раздела «IP-адреса» аналогичен разделу «Домены», разница заключается только в нескольких полях.

Фильтрация веб-сервисов в DeteAct EASMУправление уязвимостямиВ разделе «Уязвимости» отображается информация, полученная от сетевых сканеров.

Оценка соответствия в DeteAct EASMВывод…

Positive Technologies представил PT Dephaze для безопасного внутреннего автопентеста.

Функциональные возможности PT Dephaze 3.0Концепция PT Dephaze — постоянная оценка защищённости внутренней инфраструктуры через реальные атаки, которые используются злоумышленниками и пентестерами.

Как работает PT Dephaze 3.0Принцип работы PT Dephaze схож с ручным тестированием: продукт последовательно анализирует системы и их компоненты, предпринимая попытки эксплуатации недостатков, перехвата данных из трафика для компрометации систем.

Возможности PT Dephaze 3.0 позволяют:ограничивать область тестирования;исключать из проверки критичные бизнес-активы;настраивать параметры отдельных атак;согласовывать дейс…

Владимир Зуев , технический директор центра мониторинга и реагирования на кибератаки RED Security SOC, RED Security.

, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC, RED Security.

При этом первый шаг — это грамотная оценка ситуации: нужно понять, какие именно данные потребуются для расследования, и доходчиво объяснить клиенту, что и с каких систем необходимо собрать.

После работы команды реагирования и расследования часто не проводится работа по устранению уязвимостей и усилению защиты, что делает повторение инцидента лишь вопросом времени.

Когда же подобных случаев накапливается несколько, их решение становится быстрым и как раз поддаётся автоматизац…

Система удалённого мониторинга и управления АССИСТЕНТ, разработанная компанией «САФИБ», принесёт безопасность и прозрачность в процессы управления инфраструктурой.

Объединение и настройка всех компонентов в одном месте обеспечивает прозрачность управления и масштабируемость при работе как с внутренними, так и с клиентскими инфраструктурами.

Управление политиками устройств и сотрудниковПри добавлении устройствам и сотрудникам назначаются политики безопасности и доступа.

Набор собираемых данных достаточно широк и включает:информацию об оборудовании;установленное ПО;информацию и историю обновлений Windows;содержимое каталогов Program Files и автозагрузки;данные об антивирусном ПО и брандмауэре…

Сегодня защита корпоративных коммуникаций вышла за рамки технической задачи ИТ-отделов и превратилась в стратегический приоритет, непосредственно влияющий на репутацию, финансовую стабильность и само существование компании.

Понимание и реализация эффективной защиты коммуникаций — это не просто техническая задача.

Угрозы при использовании небезопасных средств корпоративных коммуникацийИспользование несанкционированных средств коммуникаций — личных мессенджеров и аккаунтов в сервисах видеосвязи — создаёт для компании «слепые зоны» и серьёзные риски утечки данных.

Это создаёт серьёзные риски для безопасности, утечки данных и соответствия нормативным требованиям, поскольку данные инструменты об…

Для противодействия перечисленным угрозам Positive Technologies разработала продукт для защиты конечных устройств от сложных и целевых атак MaxPatrol Endpoint Detection and Response (MaxPatrol EDR).

Редактирование стандартной роли в MaxPatrol EDR 8.1АдминистрированиеАгент MaxPatrol EDR устанавливается на сервер или рабочую станцию и изначально не содержит активных модулей или функциональной нагрузки.

Работа с пользовательскими правилами осуществляется в компоненте PT Knowledge Base, общем для MaxPatrol SIEM и MaxPatrol EDR.

Системные требования MaxPatrol EDR 8.1 и лицензированиеMaxPatrol EDR применяется совместно с системой MaxPatrol SIEM версии 27.2, 27.3 или 27.4.

MaxPatrol EDR использует…

Основные функциональные характеристики СУБД JatobaЗащищённая СУБД Jatoba основана на модернизированном ядре СУБД с открытым кодом PostgreSQL.

Централизованное управление СУБД Jatoba и другими СУБД на PostgreSQLКомпонент веб-интерфейса Jatoba Data Safe (JDS) предназначен для администраторов СУБД, специалистов по безопасности и аудиторов безопасности.

Функциональные возможности позволяют администрировать как СУБД Jatoba, так и другие СУБД на базе PostgreSQL.

Релевантность СУБД Jatoba трендам развития рынка СУБДПродуктовая команда Jatoba учитывает в развитии СУБД практически все рыночные тренды, такие как:Облачные среды, СУБД как сервис DBaaS.

Поддержка отказоустойчивых и геораспределённых кла…

ПредисловиеТак уж случилось, что из разработки железа и встроенного ПО я постепенно ушел в безопасность.

А в дальнейшем и в пентест.

Тайминги чтения нужного нам бита в конкретном случае лежат в районе 30-60 миллисекунд после ресета в зависимости от тактовой частоты.

В итоге нам нужно сгенерировать импульс максимально возможно контролиремый как по длительности, так и по таймингу.

И не забудьте- один такой упешный взлом это в среднем несколько дней такого вот железного брутфорса.

Новый год начался, и мы продолжаем рассказывать про кибертренды и делать киберпрогнозы.

Применение AI, ML в российских решениях для кибербезопасностиИспользование технологий AI и ML в средствах защиты стал ключевым трендом 2025 года.

В случае с песочницей в модуль поведенческого анализа встроена модель машинного обучения, анализирующая HTTP-трафик, записанный после запуска вредоносного образца в песочнице.

В PT NAD, в свою очередь, реализован механизм пользовательских правил профилирования, который заточен на гибкий поиск аномалий в сетевом трафике.

Уверены, что тренд сохранится в ближайшие годы и направление, связанное с облачными технологиями, будет развиваться быстрее других в сфере ИТ и…

Это типичный приём вредоносного ПО, позволяющий:загружать код динамически;исполнять его в обход простых сигнатур;скрывать реальную логику от ревью.

Это не случайность, а осознанная маскировка:ухудшение читаемости;снижение шансов на ручной аудит;демонстративное игнорирование поддержки и легитимности.

exports.interpreter=e() : t.interpreter=e() }(self,function(){ ... })Этот код не является частью бизнес‑логики расширения.

Динамическая доставка кодасервер AES C2 payload decrypt interpreter.run()Код:отсутствует в Chrome Web Store;появляется после установки ;полностью контролируется оператором.

Функциональность расширения может быть изменена в любой момент, и пользователь не имеет над этим никак…

Часто ли бывает, что вы скачали программу с зеленого магазина, залили на VirusTotal, увидели 0 угроз и пошли открывать?

Так вот, вирустотал это не детектор вирусов, а фраза 0 угроз после сканирования буквально НИЧЕГОКак работает VirusTotal и почему его очень легко обойти?

Что такое VirusTotal (VT) на самом делеВирустотал это сайт куда можно загрузить файл и он проверится десятками антивирусных движков.

Когда мы заливаем файл на этот сайт мы думаем, что вот мы прогоним файл через 60 антивирусов и узнаеместь ли там вирусы.

Вирусы знают где они запущены, у вас на компе или в вирутальной машинеВредоносы умеют распознавать где они запущены.

В 2025 году я встретила минимум трёх адекватных взрослых людей с образованием, которые после общения с GPT-4o реально ехали крышей.

Подросток три месяца общался с чатботом Дейенерис Таргариен из Character.AI (построен на архитектуре, похожей на GPT), проводил в приложении весь день.

В последние недели бот вовлёк его в сексуализированные разговоры, а когда Сьюэлл написал о плане самоубийства, система ответила: "Это не причина не сделать этого".

Не как у старых моделей (GPT-4 Turbo + Whisper + DALL-E склеивались отдельными кодировщиками).

В GPT-4o одно скрытое пространство для всех входов.

Я не говорил, что я из банка.

Банковские подумают, что я с аудиторами, а аудиторы — что я из банка.

Заранее зашли в местный полицейский участок и оставили им письмо, где объясняли суть теста и давали контакты — и наши, и клиента.

Клиент дал добро и на социальную инженерию, и на физическое проникновение.

Все эти методы клиент письменно утвердил с одним условием: ничего не ломать и не просить помощи у сотрудников.

Однако, если вы попробуете автоматизировать отклики на крупных job-board платформах (особенно на hh.ru) в 2026 году, вы столкнетесь с серьезным противодействием.

Мы не призываем нарушать правила площадок, а разбираем технические методы эмуляции браузера).

Реализация Human Mimicry (Кривые Безье)Чтобы обойти это, мы написали модуль движения курсора, основанный на кубических кривых Безье.

Важно: мы не разрешаем отправлять более 20 откликов в сутки с одного аккаунта, чтобы не триггерить поведенческие аномалии на бэкенде платформы.

Кому интересна техническая сторона вопроса или хочется протестировать агента на своем профиле — welcome в наш канал: [Ссылка на ТГ-канал]

Его можно использовать как транспортный уровень анонимности для всей домашней сети, проксируя HTTP и SOCKS5-трафик через Tor.

Tor в связке с Privoxy это позволяет:проксировать HTTP/HTTPS клиентов, которые не умеют SOCKS;централизованно фильтровать и контролировать трафик;дать доступ к Tor всей локальной сети через один хост;не трогать настройки каждого приложения отдельно.

В статье разберём настройку Tor + Privoxy на Arch Linux в роли прокси-сервера для домашней сети.

Архитектура решенияСхема работы следующая:[Клиенты в LAN] | | HTTP proxy (8118) | SOCKS5 proxy (9050) v [Privoxy] ---> [Tor] ---> [Tor Network] ---> ИнтернетTor поднимает SOCKS5-проксиPrivoxy принимает HTTP/HTTPS и перенаправл…

Верификация ПД – это часть гораздо более широкой картины в отрасли информационной безопасности (ИБ).

В некоторых случаях они не в силах изменить свои бизнес-процессы, в которых обработка ПД осталась в качестве анахронизма.

По нашим представлениям, перевод обработки ПД в категорию сервиса, доступного по аутсорсингу, реализует федеративный подход в области обеспечения безопасности, поэтому мы и назвали эту публикацию «Архитектура коллективной безопасности».

Мой внутренний рецензент Claude предупредил меня, что выбор термина «архитектура коллективной безопасности» может быть скомпрометирован его использованием в области геополитики, ссылаясь на соответствующие инициативы ООН, НАТО и ОДКБ.

Част…

И вы не одиноки.

Кибербезопасность генерирует проблемы не только в маркетинге, но и в самом железе и коде.

Защищайтесь от того, что происходит, а не от того, что пугает.

Если у вас нет внутреннего человека, который разбирается и в безопасности, и в бизнес-процессах — вы управляете вслепую.

Тот, кто платит не за галочки, а за измеримый результат.

Пользователи часто знали друг друга лично, а саму сеть воспринимали как продолжение научного сообщества — но не как потенциально враждебную среду.

Это были не коммерческие платформы и не массовые сервисы, а в первую очередь научные и исследовательские инфраструктуры.

Но в большинстве случаев они оставались локальными и рассматривались как частные проблемы отдельных организаций, а не как системный вызов всей сети.

Проблема заключалась не в одном конкретном сервисе и не в одном ошибочном решении.

«Внутренние» сервисы по-прежнему иногда оказываются снаружи, а доверие к системе и пользователю часто воспринимается как разумное допущение, а не как риск.

Это не просто слова - с 2017 года я использую умный дом в обычной двухкомнатной хрущевке, и в основном всё работает.

А на этих новогодних каникулах у меня было время и я решил полностью обновить все дополнения и прошивки.

1000 дней пользовался OpenHAB, а затем перешел на Home Assistant, а в 2024 году провёл ремонт и замену Wi-Fi реле на Zigbee.

И я в своём полностью локальном Home Assistant не могу к нему по локальной сети подключиться из-за того что этот онлайн сервис HIBP не отвечает.

Работоспособность сохранения паролей восстановиласьМасштаб проблемыСудя потому что я нашёл через поиск эта проблема существует уже несколько месяцев.

В этой хочу поделиться неожиданным и эффективным способом борьбы с такими жуликами.

Для понимания масштаба такой схемы:В реквизитах на мошенническом сайте, были указаны данные ООО «СИНЕМА ХАУС» - компания занимается, контентом, как я понял, а не арендой.

Скажу честно, я не смог найти какого-то официального описания работы этой системы, поэтому опишу свою гипотезу как это работает.

Можно написать регистратору домена и хостеру, что их клиенты мошенники и плохие люди, и что их надо заблокировать.

Но тут опять же, скорее всего будет долгая бюрократия так ещё и на английском...Страница оплаты жуликов И тут пришёл вариант быстрого и эффективного решения.

Это­му або­нен­ту сле­дова­ло отве­тить, даже нес­мотря на то, что тот решил раз­будить его в девять часов утра, да еще и в выход­ной.

Осо­быми литера­тур­ными талан­тами он пох­вастать­ся не мог, да и в рек­ламе был не слиш­ком иску­шен, одна­ко твор­ческий про­цесс увлек его не на шут­ку.

Ее он и запос­тил на нес­коль­ко форумов, а потом взгля­нул на часы и ужас­нулся: за работой про­лете­ло пол­дня, и Кирилл уже понем­ногу опаз­дывал на намечен­ную встре­чу.

— При­вет, — бро­сил Жора, при­сажи­ваясь нап­ротив, — изви­ни, что задер­жался, в редак­ции, как обыч­но, дур­дом и бед­лам.

Ки­рилл с инте­ресом рас­смат­ривал вошед­шего: лет око­ло сорока, седе­ющие гус­тые волосы, буд­то слу­чай…

Так и помер в сви­нар­нике.

Так он, от них спа­саясь, в окно и вышел.

Его так и под­мывало поин­тересо­вать­ся нап­рямую, отку­да все‑таки у Бориса Семено­вича взя­лись столь глу­бокие поз­нания в генера­торах и клю­чах.

— В прин­ципе, мож­но… — Кирилл при­кинул в уме, что понадо­бит­ся для реали­зации этой затеи, и потянул­ся за сле­дующим кус­ком.

— Может, и так, — хмык­нул сосед, — но на вся­кий слу­чай ста­рай­ся лиш­ний раз не све­тить­ся в интерне­те.

Ничего не изме­нилось, и воз­вра­щать­ся к это­му я не хочу».

И я не жду воз­вра­щения прош­лого.

Я не хочу уго­вари­вать тебя, но мне важ­но знать, что с тобой всё в поряд­ке и ты счас­тли­ва.

В соз­нании про­мель­кну­ла пос­ледняя осоз­нанная мысль о том, что с ноч­ными бде­ниями пора бы уже завязы­вать, и с нею он пог­рузил­ся в сон.

Но я могу ему что‑нибудь передать, если хотите.

Котенок показал язык уже во весь экран, в отдель­ном окош­ке без каких‑либо эле­мен­тов навига­ции, кро­ме стан­дар­тных кно­пок «зак­рыть‑свер­нуть», и он неволь­но усмехнул­ся.

Он на секун­ду зак­рыл гла­за, прис­лушал­ся к себе.

Стан­дар­тные user , password и email не подош­ли, и Кирилл начал переби­рать вари­анты с раз­личны­ми пре­фик­сами и окон­чани­ями.

Что ж, пус­кай заокеан­ская машина тру­дит­ся, а он тем вре­менем может занять­ся чем‑нибудь дру­гим.

Что­бы успо­коить его, Кирилл зак­рыл лиш­нюю вклад­ку бра­узе­ра, и в этот самый момент нас­тупив­шую тишину нарушил тре­вож­ный треск двер­ного звон­ка.

За­кинув пакет с покуп­ками домой и спря­тав все ско­ропор­тяще­еся в холодиль­ник, Кирилл пере­обул­ся в домаш­ние шле­пан­цы и пересек лес­тнич­ную пло­щад­ку.

Сосед­ская дверь и впрямь ока­залась не запер­та: за ней обна­ружи­лась тес­ная при­хожая, в точ­ности такая же, как и в его однушке.

— Вот, взгля­ни, какая беда прик­лючилась, — посето­вал Борис Семено­вич, с крях­тени­ем усту­пая сво­ему гос­тю мес­то за пись­мен­ным сто­лом.

— кряк­нул Борис Семено­вич и с досадой почесал в затыл­ке.

— М‑м-м, — про­тянул Борис Семено­вич, и Кирилл ожи­вил­ся:— И что­бы сов­сем прос­то: возь­мем два огромных чис­ла, перем­ножим — это быс­тро.

Ки­рилл взгля­нул на часы и поежил­ся: он по сво­ему обык­новению явил­ся на встре­чу чуть рань­ше наз­начен­ного вре­мени и уже успел осно­ватель­но замер­знуть.

Да и не тонет такое… Это мне Кущин рас­ска­зал, а он в теме.

А тут под­вернул­ся отличный слу­чай про­верить теорию на прак­тике, да не пер­выми уда­рить, а как бы отве­тить на внеш­нее втор­жение.

Они ведь там уве­рены, что ата­ка на «Тер­ру» была сан­кци­они­рова­на на государс­твен­ном уров­не…— И что‑то мне под­ска­зыва­ет, что это не прям стоп­роцен­тное заб­лужде­ние.

Зап­рещать отправ­ку содер­жимого фор­мы отдель­ным поль­зовате­лям он не умел, мак­симум, на что был спо­собен, — зафик­сировать дату и вре­мя пуб­ликации каж…

И не ска­жешь точ­но, сколь­ко ему лет: острые чер­ты лица казались какими‑то вне­воз­рас­тны­ми, точ­но у ликов на древ­них ико­нах.

Гля­дя в экран, он не мог отде­лать­ся от ощу­щения, буд­то слу­чай­но заг­лянул в окно заб­рошен­ной лабора­тории, где кто‑то про­дол­жает начатый невесть ког­да экспе­римент.

Любопытс­тво обжи­гало, как рас­кален­ное железо в куз­нечном гор­не, но Кирилл боял­ся нарушить мол­чание, ругая себя за вне­зап­но накатив­шую робость.

С голоду он, конеч­но, не пом­рет, на форумах всег­да под­кинут какую‑нибудь хал­туру, дело вов­се не в этом — пугало отсутс­твие дол­госроч­ных пла­нов.

Ки­рилл не отве­тил.

Затем, как и год назад, новые гла­вы ста­нут пуб­ликовать­ся раз в неделю, по суб­ботам, и будут дос­тупны под­писчи­кам.

Так сидел Сань­ка — веч­но сос­редото­чен­ный и в то же вре­мя рас­слаб­ленный, с видом челове­ка, готово­го в любую минуту вско­чить и куда‑то бежать сло­мя голову.

Кни­ги выс­тро­ились ряд­ком на пол­ке, как сол­даты на параде, а вот и тот самый сис­темник — с него ког­да‑то все началось.

Мож­но было и не ста­рать­ся: зре­ние с недав­них пор сов­сем испорти­лось, ничего там не раз­гля­деть, кро­ме мут­ной серой пелены.

Кажет­ся, пару месяцев назад… Это с рабочих стан­ций, а с сер­вака — так вооб­ще при царе Горохе… За спи­ной раз­далось зна­комое сопение.

Если ты планируешь собрать коллекцию бумажных сборников «Хакера» с лучшими материалами последних лет, сейчас самое время.

Бумажные журналы — это артефакт, который можно взять в руки, полистать и поставить на полку.

И всегда круто иметь подшивку лучших материалов «Хакера» в печатном формате.

В него вошли лучшие статьи за 2019–2021 годы, включая материалы про Active Directory, SDR, checkm8, VeraCrypt и не только.

Каждая статья по традиции снабжена комментариями, позволяющими узнать больше о работе редакции.

В этом же году, но вес­ной вышел кол­лекци­онный спец­выпуск под номером три с луч­шими стать­ями за 2019–2021 годы.

В 2024 году в «Хакере» дебюти­ровал mr.grogrig с отличны­ми стать­ями про взлом игр.

Две темы номера в этом году были намерен­но хай­повыми и лай­товыми: про Android и про Minecraft.

В выпус­ке про Android мощ­но выс­тупил Polski Kot со стать­ей «Ан­дро­иды с root» (о том, каково живет­ся в 2025 году с рутован­ным аппа­ратом) и об­зором GrapheneOS.

Гла­вы начали выходить еще в 2024-м, а в новогод­ние праз­дни­ки мы решили пулять по одной ежед­невно.

ИБ-специалисты предупреждают, что в сети по-прежнему доступно более 87 000 уязвимых серверов.

Уязвимость затрагивает множество версий MongoDB и MongoDB Server:MongoDB 8.2.0 — 8.2.3;MongoDB 8.0.0 — 8.0.16;MongoDB 7.0.0 — 7.0.26;MongoDB 6.0.0 — 6.0.26;MongoDB 5.0.0 — 5.0.31;MongoDB 4.4.0 — 4.4.29;все версии MongoDB Server 4.2;все версии MongoDB Server 4.0;все версии MongoDB Server 3.6.

В свою очередь специалисты компании Wiz сообщали, что уязвимость может оказать значительное влияние на облачные среды, так как 42% всех наблюдаемых ими систем «имеют как минимум один инстанс MongoDB в версии, уязвимой перед CVE-2025-14847».

В своем отчете эксперты подчеркивают, что уже фиксируют эксплуатацию Mo…

Некто под ником Lovely опубликовал на хак-форуме базу подписчиков журнала Wired, в которой насчитывается 2,3 млн записей.

Злоумышленник утверждает, что в течение нескольких недель он опубликует данные еще 40 млн пользователей других изданий, принадлежащих Condé Nast.

Позже эта БД появилась и на других хак-форумах, где также требуется оплата для получения пароля к архиву.

Пока же хакер обнародовал статистику о других изданиях Condé Nast, данные которых он якобы похитил.

Сначала Lovely утверждал, что скачал лишь небольшое количество записей, необходимых для демонстрации проблемы Condé Nast (включая данные сотрудника DataBreaches.net и Wired).

Са­мая мощ­ная DDoS-ата­ка года дос­тигла 29,7 Тбит/с, про­изош­ла в треть­ем квар­тале 2025 года и была отра­жена ком­пани­ей Cloudflare.

Гла­ва Cloudflare Мэтью Принс сооб­щил, что в пери­од с июля 2025 года ком­пания заб­локиро­вала более 416 мил­лиар­дов зап­росов от ИИ‑ботов.

Еще один червь — IndonesianFoods — начал рас­простра­нять­ся еще в сен­тябре 2025 года и соз­дал более 100 тысяч пакетов в npm.

Дело в том, что в этом году сра­зу нес­коль­ко гло­баль­ных сбо­ев про­изош­ли из‑за слу­чай­ных оши­бок раз­работ­чиков ком­пании.

ИИ-слоп годаИИ-краулерыВ этом году мы решили отка­зать­ся от номина­ции «Хайп года» и пред­став­ляем тво­ему вни­манию новую руб­рику, пос­вящен­ную ИИ‑мусор…

В индийском городе Хайдарабад задержан бывший сотрудник службы поддержки криптобиржи Coinbase, который помогал злоумышленникам получить доступ к базе данных компании.

Весной 2025 года представители Coinbase заявили, что у биржи произошла утечка данных.

Как оказалось, злоумышленники сумели подкупить нескольких сотрудников поддержки компании и в результате похитили данные клиентов.

Как выяснилось, утечка произошла через индийскую аутсорсинговую компанию TaskUs, которая предоставляла сотрудников для поддержки Coinbase.

После этого инцидента TaskUs уволила всех 226 сотрудников департамента, хотя причастны к атаке на Coinbase были лишь двое.

A cybercrime gang known as Black Cat has been attributed to a search engine optimization (SEO) poisoning campaign that employs fraudulent sites advertising popular software to trick users into downloading a backdoor capable of stealing sensitive data.

"After visiting these high-ranking phishing pages, users are lured by carefully constructed download pages, attempting to download software installation packages bundled with malicious programs," CNCERT/CC and ThreatBook said.

Black Cat is assessed to be active since at least 2022, orchestrating a series of attacks designed for data theft and remote control using malware distributed via SEO poisoning campaigns.

Other domains registered by Blac…

Cybersecurity researchers have disclosed details of yet another maximum-severity security flaw in n8n, a popular workflow automation platform, that allows an unauthenticated remote attacker to gain complete control over susceptible instances.

The vulnerability, tracked as CVE-2026-21858 (CVSS score: 10.0), has been codenamed Ni8mare by Cyera Research Labs.

"A vulnerability in n8n allows an attacker to access files on the underlying server through execution of certain form-based workflows," n8n said in an advisory published today.

The vulnerability affects all versions of n8n prior to and including 1.65.0.

"A compromised n8n instance doesn't just mean losing one system -- it means handing at…

More attacks today don't arrive as files.

Instead, they run quietly through tools that already exist inside the environment — scripts, remote access, browsers, and developer workflows.

Secure your spot for the live session ➜In this session, experts will cover:"Living off the Land" Attacks: These use trusted system tools like PowerShell, WMI, or remote desktop.

Fileless "Last Mile" Reassembly Attacks: Obfuscated HTML and JavaScript can execute malicious logic without ever delivering a clear payload to the endpoint.

It's a practical look at how modern attacks operate — and why relying on file-based signals alone is no longer enough.

Open-source workflow automation platform n8n has warned of a maximum-severity security flaw that, if successfully exploited, could result in authenticated remote code execution (RCE).

The vulnerability, which has been assigned the CVE identifier CVE-2026-21877, is rated 10.0 on the CVSS scoring system.

"Under certain conditions, an authenticated user may be able to cause untrusted code to be executed by the n8n service," n8n said in an advisory released Tuesday.

The issue impacts the following versions ->= 0.123.0< 1.121.3It has been addressed in version 1.121.3, which was released in November 2025.

The disclosure comes as n8n has addressed a steady stream of critical flaws in the platform …

Non-human employees are becoming the future of cybersecurity, and enterprises need to prepare accordingly.

Why non-human identities are a growing cybersecurity riskUnlike human users, NHIs and their activity typically go unnoticed, even though they hold powerful access to sensitive systems.

In cloud environments, non-human users significantly outnumber human users, expanding attack surfaces and introducing many more security vulnerabilities.

Luckily, organizations can use secrets management and Privileged Access Management (PAM) solutions to centralize control over both secrets and privileged access.

As a unified solution, KeeperPAM integrates enterprise password management, secrets managem…

Veeam has released security updates to address multiple flaws in its Backup & Replication software, including a "critical" issue that could result in remote code execution (RCE).

The vulnerability, tracked as CVE-2025-59470, carries a CVSS score of 9.0.

"This vulnerability allows a Backup or Tape Operator to perform remote code execution (RCE) as the postgres user by sending a malicious interval or order parameter," it said in a Tuesday bulletin.

According to Veeam's documentation, a user with a Backup Operator role can start and stop existing jobs; export backups; copy backups; and create VeeamZip backups.

A Tape Operator user, on the other hand, can run tape backup jobs or tape catalog jo…

Threat actors engaging in phishing attacks are exploiting routing scenarios and misconfigured spoof protections to impersonate organizations' domains and distribute emails that appear as if they have been sent internally.

This includes a campaign that has employed spoofed emails to conduct financial scams against organizations.

An example of complex routing involves pointing the mail exchanger record (MX record) to either an on-premises Exchange environment or a third-party service before reaching Microsoft 365This creates a security gap that attackers can exploit to send spoofed phishing messages that seem to originate from the tenant's own domain.

The spoofed messages also impersonate leg…

A newly discovered critical security flaw in legacy D-Link DSL gateway routers has come under active exploitation in the wild.

"An unauthenticated remote attacker can inject and execute arbitrary shell commands, resulting in remote code execution," VulnCheck noted in an advisory.

"For this reason, D-Link is validating firmware builds across legacy and supported platforms as part of the investigation."

"The vulnerability enables unauthenticated remote code execution via the dnscfg.cgi endpoint, giving attackers direct control over DNS settings without credentials or user interaction."

Because the impacted D-Link DSL models are end of life and unpatchable, organizations that continue to opera…

Cybersecurity researchers have discovered two new malicious extensions on the Chrome Web Store that are designed to exfiltrate OpenAI ChatGPT and DeepSeek conversations alongside browsing data to servers under the attackers' control.

The names of the extensions, which collectively have over 900,000 users, are below -Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (ID: fnmihdojmnkclgjpcoonokmkhjpjechg, 600,000 users)AI Sidebar with Deepseek, ChatGPT, Claude, and more.

This tactic of using browser extensions to stealthily capture AI conversations has been codenamed Prompt Poaching by Secure Annex.

They are still available for download from the Chrome Web Store as of writing, altho…

The CERT Coordination Center (CERT/CC) has disclosed details of an unpatched security flaw impacting TOTOLINK EX200 wireless range extender that could allow a remote authenticated attacker to gain full control of the device.

The flaw, CVE-2025-65606 (CVSS score: N/A), has been characterized as a flaw in the firmware-upload error-handling logic, which could cause the device to inadvertently start an unauthenticated root-level telnet service.

"An authenticated attacker can trigger an error condition in the firmware-upload handler that causes the device to start an unauthenticated root telnet service, granting full system access," CERT/CC said.

Successful exploitation of the flaw requires an a…

The end goal of the multi-stage campaign is to deliver a remote access trojan known as DCRat, according to cybersecurity company Securonix.

The starting point of the attack chain is a phishing email impersonating Booking.com that contains a link to a fake website (e.g., "low-house[.]com").

Specifically, this entails a multi-step process that commences with the PowerShell dropper downloading an MSBuild project file ("v.proj") from "2fa-bns[.

"The phishing emails notably feature room charge details in Euros, suggesting the campaign is actively targeting European organizations," Securonix said.

"The use of the Russian language within the 'v.proj' MSBuild file links this activity to Russian thr…

Everything else remains invisible: the unverified, non-human, unprotected mass of identities we call identity dark matter.

Why Identity Dark Matter is a Security CrisisThe growth of these ungoverned entities creates significant "blind spots" where cyber risks thrive.

Download the Identity Dark Matter Buyer's Guide To navigate these hidden risks and bridge the gap between IAM and unmanaged systems, download our Identity Dark Matter Buyer's Guide.

Solving the Problem: From Configuration to ObservabilityTo eliminate identity dark matter, organizations must shift from configuration-based IAM to evidence-based governance.

By unifying telemetry, audit, and orchestration, enterprises can transform…

The problem, according to Koi, is that these integrated development environments (IDEs) inherit the list of officially recommended extensions from Microsoft's extensions marketplace.

These extensions don't exist in Open VSX.

"The problem: these recommended extensions didn't exist on Open VSX," Koi security researcher Oren Yomtov said.

In other words, an attacker could weaponize the absence of these VS Code extensions and the fact that the AI-powered IDEs are VS Code forks to upload a malicious extension to the Open VSX registry, such as ms-ossdata.vscode-postgresql.

The Eclipse Foundation, which oversees Open VSX, has since removed non-official contributors and enforced broader registry-lev…

As 2025 draws to a close, Tony looks back at the cybersecurity stories that stood out both in December and across the whole of this yearAs we close out 2025, it's time for ESET Chief Security Evangelist Tony Anscombe to review some of the main cybersecurity stories from both the final month of the year and 2025 as a whole.

While staggering, this figure is still just the tip of the iceberg.

The Texas Attorney General is suing five major TV manufacturers, alleging that they illegally collected their users' data by secretly capturing what the viewers watch.

Indeed, Tony goes on to take a look back at some of the most notable cyber-incidents for the entire year, highlighting some of the most pe…

Brushing scams are a type of e-commerce fraud where a seller sends a package to an apparently random person’s address.

It shouldn’t take too much effort to work out if you’ve been singled out by brushing scammers.

It’s yours to keep, if you want toHow do I stay safe from brushing scams?

There are steps you can also take to stop brushing scams from even targeting you.

Brushing scams are just one of many ways fraudsters weaponize your personal information against you.

We provide our method to reproduce the crash using a simple 12-bit or 16-bit JPG image, and an examination of the initial released patch.

CVE-2025-50165 is a flaw in the encoding and compressing process of a JPG image, not in its decoding.

Zscaler’s findings, as well as the description provided by Microsoft, reveal that the flaw stems from the dereference of an uninitialized function pointer in WindowsCodecs.dll, which is part of the Windows Imaging Component.

We analyzed the vulnerable version 10.0.26100.4768 (SHA-1: 5887D96565749067564BABCD3DC5D107AB6666BD), and then performed a binary comparison with the first patched version 10.0.26100.4946 (SHA-1: 4EC1DC0431432BC318E78C520387911EC44F84…

We provide a detailed analysis of NosyHistorian, NosyDoor, NosyStealer, NosyDownloader, NosyLogger, and other tools used by LongNosedGoblin.

NosyDoor Stage 3 – payloadNosyDoor’s third stage, the main payload, is a C#/.NET backdoor with the internal name OneDrive and with PDB path E:\Csharp\Thomas\Server\ThomasOneDrive\obj\Release\OneDrive.pdb.

NosyStealer Stage 2 – injectorWe observed two NosyStealer Stage 2 samples – one (SERV.dll) in our telemetry, and the other (msi.dll) uploaded to VirusTotal from Malaysia.

NosyStealer Stage 4 – payloadAgain, like NosyStealer Stage 3 – loader, this stage is shellcode that decrypts, loads, and executes an embedded PE file in memory using Donut’s reflecti…

A view of the H2 2025 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research expertsThe second half of the year underscored just how quickly attackers adapt and innovate, with rapid changes sweeping across the threat landscape.

AI-powered malware moved from theory to reality in H2 2025, as ESET discovered PromptLock, the first known AI-driven ransomware, capable of generating malicious scripts on the fly.

Meanwhile, CloudEyE, also known as GuLoader, surged into prominence, skyrocketing almost thirtyfold in ESET telemetry.

On the Android platform, NFC threats continued to grow in scale and sophistication, with an 87% increase in ESET telemet…

“A City of a Thousand Zero Days” is the partial title of a talk at Black Hat Europe 2025.

Compounding the issue, the software is hosted on public-facing IP addresses; thus, it’s accessible from the internet.

One comment I distinctly remember from the research is that the protocol used by the ICS device concerned was never designed to be connected to the internet.

The talk by Gjoko raised a similar concern: the building management system was not designed to be public facing on the internet, and the vendor recommends to secure it behind a virtual private network (VPN).

Building management systems are one example of this.

Being seen as reliable is good for ‘business’ and ransomware groups care about 'brand reputation' just as much as their victimsBlack Hat Europe 2025 opened with a presentation by Max Smeets of Virtual Rotes titled ‘Inside the Ransomware Machine’.

At their height, between 2022-2024, the group had 194 affiliates, of which 110 had managed to get a cyberattack to the point of negotiation, with 80 of the affiliates succeeding in getting paid by the ransomware group.

Reputation is everythingA key message delivered by Max was regarding reputation, both of the victim and the ransomware group.

The victim company needs to uphold their reputation with their customers and any hint of a data breach can …

Which brings to mind Schrödinger’s cat, the famous thought experiment where a cat in a sealed box is simultaneously alive and dead – until you look inside.

But now I’m going to pick holes in the analogy a little whilst hoping to underscore the key message.

Therefore, the quantum breach analogy doesn’t quite hold.

And that’s even if you can recruit enough people due to the much reported, cybersecurity skills shortage.

Stress is probably one of the words most used in cybersecurity teams the world over, when describing their day-to-day – and it’s hardly surprising.

Despite their wordy nomenclature, every report mentioned above has a beneficial role in canvassing the colorful endpoint security landscape.

Some, like the MITRE ATT&CK Evaluations, go as far as to pit products against known advanced adversary attacks.

Producing value is one thing, but keeping it safe is another: hence the need for appropriate endpoint security measures.

Most well-regarded independent analyst and lab test reports focus on endpoints, since they’re at the crossroads of every activity, including malign.

MITRE ATT&CK Evaluations Enterprise is the one for you then.

Put simply, a whaling cyberattack is one targeted at a high-profile, senior member of the corporate leadership team.

Or to hijack their email account in order to launch BEC attacks at subordinates impersonating the whale to get a smaller fish to make a big money transfer.

With AI, whaling attacks increase in scale and effectiveness, as sophisticated capabilities become democratized to more threat actors.

Taking out the whalersThere are several ways security teams can help to mitigate the risks of spearphishing and BEC attacks.

More generally, your organization may want to start limiting the kind of corporate information it shares publicly.

Often, threat actors research the individual they’re targeting in order to improve their success rates.

If IT doesn’t properly manage the accounts, credentials and privileges of its users and machines, security blind spots inevitably emerge.

How to enhance identity securityA considered, multi-layered approach to identity security can help mitigate the risk of serious compromise.

Revisit security training for all employees, from the CEO down, to ensure they know the importance of identity security, and can identify the latest phishing tactics.

Best practice identity security starts with a prevention-first mindset.

E02DD79A8CAED662969F 6D5D0792F2CB283116E8 66f3e097e4tnyHR .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

E8F4EA3857EF5FDFEC1A 2063D707609251F207DB main .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

F26CAE9E79871DF3A47F A61A755DC028C18451FC 7295be2b1fAzMZI .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

FF09608790077E1BA52C 03D9390E0805189ADAD7 20d188afdcpfLFq .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

A9747A3F58F8F408FECE FC48DB0A18A1CB6DACAE AppVs .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

It could feasibly be described as the largest open database of corporate information in the world: a veritable treasure trove of job titles, roles, responsibilities and internal relationships.

It’s also where recruiters post job listings, which may overshare technical details that can be leveraged later on in spearphishing attacks.

They might also share corporate email addresses in Git commit configurations.

Here are some hypothetical examples:An adversary finds LinkedIn information on a new starter in an IT role at company A, including their core role and responsibilities.

Update security awareness programs to ensure that all employees, from executives down, understand the importance of no…

Data exposure by top AI companies, the Akira ransomware haul, Operation Endgame against major malware families, and more of this month's cybersecurity newsNovember 2025 is almost behind us, and it's time for ESET Chief Security Evangelist Tony Anscombe to look at cybersecurity stories that raised the alarms, moved the needle or offered vital lessons over the past 30 or so days.

Here's some of what caught Tony's eye this month:many of the world's largest Ai companies inadvertently leak their secrets such as API keys, tokens, and sensitive credentials in their GitHub repositories, according to cloud security giant Wiz,the Akira ransomware group has netted $244 million from its malicious activ…

Doxxing (doxing) is what happens when a malicious third party deliberately exposes the personal information of someone else online.

Or query WHOIS databases that store the personal details of website/domain name registrants.

It would involve sending phishing messages to the victim in order to trick them into divulging logins or personal information, or installing infostealing malware on their machine/device.

Minimizing the doxxing threatThe best way to reduce your children’s exposure to doxxing is to minimize the amount of personal information their share online.

Never share their personal details, or even photos that could identify school and location.

The UK has announced a new Government Cyber Action Plan aimed at making online public services more secure and resilient, and has allocated £210 million (approximately $283 million) to implement it.

Setting up a Government Cyber Unit“Cyber attacks can take vital public services offline in minutes, disrupting lives and undermining confidence,” the UK Department for Science, Innovation and Technology (DSIT) said.

“This plan will go further than we have before, prioritising cyber resilience and ensuring we have strong central leadership driving cross-government response.

Cyber-attacks against public services are an obvious vector in hybrid warfare, where disrupting service delivery can undermi…

The Debian Project is asking for volunteers to step in after its Data Protection Team became inactive.

All three members of the team stepped down at the same time, leaving no dedicated group to handle privacy and data protection work.

Until new volunteers join, the responsibilities of the team sit with the Debian Project Leader, Andreas Tille.

The Data Protection Team was created in 2018, during a period when many open source projects were adjusting to new data protection rules in Europe.

Andreas Tille now receives data protection requests directly.

Suspected Russian attackers are targeting the hospitality sector with fake Booking.com emails and a fake “Blue Screen of Death” to deliver the DCRat malware.

The campaignThe attackers are sending out emails impersonating Booking.com:The fake Booking.com email (Source: Securonix)The “See Details” button/link in the fake reservation cancellation alert directs victims to a clone of the legitimate Booking.com site.

The command opens a decoy Booking.com admin page in the default browser, and secretly downloads a malicious project file (.proj) and compiles and executes it with Windows’ Microsoft Build Engine (MSBuild.exe).

Once the project file is executed, it tries to covertly cripple Windows De…

World Wide Technology (WWT) announced its AI Readiness Model for Operational Resilience (ARMOR), a vendor-agnostic solution, delivered by WWT, leveraging a jointly developed framework with NVIDIA.

Secure AI operations: Enables real-time monitoring and rapid response to threats, ensuring secure operation of AI platforms in interconnected systems.

Enables real-time monitoring and rapid response to threats, ensuring secure operation of AI platforms in interconnected systems.

ARMOR integrates with NVIDIA AI Enterprise for scalable enterprise AI operations, including NVIDIA NeMo Guardrails for safer, more reliable AI applications, and NVIDIA NIM microservices for secure, containerized AI deploym…

Exabeam announced it is the first to deliver a connected system of AI-driven security workflows to protect organizations from the risks of AI usage and AI agent activity.

This release extends the company’s user and entity behavior analytics (UEBA) to bring together AI agent behavior analytics, unified timeline-driven investigation of AI activity, and posture visibility for AI agent security.

The latest release advances this by placing AI agent behavior analytics at the center of how security teams detect and investigate AI-related activity.

“Exabeam is the first to apply UEBA to AI agents, and this release further extends that agent behavior analytics leadership.

“Executives need clear insi…

Hexnode has launched Hexnode XDR, its new extended detection and response platform, taking an important step toward making enterprise-level security more accessible for IT teams of all sizes.

Hexnode XDR bridges the divide by unifying endpoint data, deeper context, and powerful response tools.

Hexnode XDR is engineered to evolve into a fully advanced XDR platform that adapts to growing enterprise security demands.

Compatibility with external UEMs, allowing organizations to leverage Hexnode XDR without replacing existing tools.

Intelligent threat response: Automated threat remediation and technician assignment for faster containment.

Keysight Technologies introduced Keysight AI Software Integrity Builder, a new software solution designed to transform how AI-enabled systems are validated and maintained to ensure trustworthiness.

AI systems operate as complex, dynamic entities, yet their internal decision processes often remain opaque.

Core capabilities of Keysight AI Software Integrity Builder include:Dataset analysis : Analyzes data quality using statistical methods to uncover biases, gaps, and inconsistencies that may affect model performance.

While open-source tools and vendor solutions typically address only isolated aspects of AI testing, Keysight closes the gap between training and deployment.

With AI Software Inte…

System level risks can arise when AI agents interact over time, according to new research that examines how collective behavior forms inside multi agent systems.

The research was conducted by scientists at the Fraunhofer Institute for Open Communication Systems and focuses on interacting AI agents deployed across complex environments.

The taxonomy links these structures to recurring risk patterns found in research literature and simulations.

Repeating risk patterns across systemsThe paper identifies a set of recurring systemic risk patterns associated with interacting AI.

One focuses on interacting AI agents within a hierarchical smart grid.

European security and compliance teams spend a lot of time talking about regulation.

The gap, the report argues, shows up in areas like AI incident response, supply chain visibility, and compliance automation as organizations move toward 2026.

AI incident response remains underdevelopedOne of the most prominent gaps appears in AI-specific incident response.

When AI systems behave unexpectedly, security teams rely on model-aware detection and access to training data to investigate root causes.

European organizations report adoption rates between 28 and 32 percent for cross-border data mechanisms.

We don’t have many details:President Donald Trump suggested Saturday that the U.S. used cyberattacks or other technical capabilities to cut power off in Caracas during strikes on the Venezuelan capital that led to the capture of Venezuelan President Nicolás Maduro.

If true, it would mark one of the most public uses of U.S. cyber power against another nation in recent memory.

These operations are typically highly classified, and the U.S. is considered one of the most advanced nations in cyberspace operations globally.

Wired is reporting on Chinese darknet markets on Telegram.

The ecosystem of marketplaces for Chinese-speaking crypto scammers hosted on the messaging service Telegram have now grown to be bigger than ever before, according to a new analysis from the crypto tracing firm Elliptic.

The crypto romance and investment scams regrettably known as “pig butchering”—carried out largely from compounds in Southeast Asia staffed with thousands of human trafficking victims—have grown to become the world’s most lucrative form of cybercrime.

They pull in around $10 billion annually from US victims alone, according to the FBI.

By selling money-laundering services and other scam-related offerings to those ope…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

404 Media has the story:Unlike many of Flock’s cameras, which are designed to capture license plates as people drive by, Flock’s Condor cameras are pan-tilt-zoom (PTZ) cameras designed to record and track people, not vehicles.

In one case, we were able to watch a man rollerblade down Brookhaven, Georgia’s Peachtree Creek Greenway bike path.

The Flock camera zoomed in on him and tracked him as he rolled past.

Minutes later, he showed up on another exposed camera livestream further down the bike path.

The camera’s resolution was good enough that we were able to see that, when he stopped beneath one of the cameras, he was watching rollerblading videos on his phone.

LinkedIn Job ScamsInteresting article on the variety of LinkedIn job scams around the world:In India, tech jobs are used as bait because the industry employs millions of people and offers high-paying roles.

In Kenya, the recruitment industry is largely unorganized, so scamsters leverage fake personal referrals.

In Mexico, bad actors capitalize on the informal nature of the job economy by advertising fake formal roles that carry a promise of security.

These are scams involving fraudulent employers convincing prospective employees to send them money for various fees.

There is an entirely different set of scams involving fraudulent employees getting hired for remote jobs.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Many of these programs have long been operated by a mix of humans and machines, even if not previously using modern AI tools such as Large Language Models.

In 2023, a Colombian judge was the first publicly to use AI to help make a ruling.

Policymakers worldwide are already using AI in many aspects of lawmaking.

Examples from around the globe demonstrate how legislatures can use AI as tools for tapping into constituent feedback to drive policymaking.

In the hands of a society that wants to distribute power, AI can help to execute that.

New research:

Abstract: Coleoid cephalopods have the most elaborate camouflage system in the animal kingdom. This enables them to hide from or deceive both predators and prey. Most studies have focused on benthic species of octopus and cuttlefish, while studies on squid focused mainly on the chromatophore system for communication. Camouflage adaptations to the substrate while moving has been recently described in the semi-pelagic oval squid (Sepioteuthis lessoniana). Our current study focuses on the same squid’s complex camouflage to substrate in a stationary, motionless position. We observed disruptive, uniform, and mottled chromatic body patterns, and we identified a threshold of contrast…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

This is pretty scary:Urban VPN Proxy targets conversations across ten AI platforms: ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok (xAI), Meta AI.

For each platform, the extension includes a dedicated “executor” script designed to intercept and capture conversations.

The only way to stop the data collection is to uninstall the extension entirely.

[…]The data collection operates independently of the VPN functionality.

Whether the VPN is connected or not, the harvesting runs continuously in the background.

News:The Danish Defence Intelligence Service (DDIS) announced on Thursday that Moscow was behind a cyber-attack on a Danish water utility in 2024 and a series of distributed denial-of-service (DDoS) attacks on Danish websites in the lead-up to the municipal and regional council elections in November.

The first, it said, was carried out by the pro-Russian group known as Z-Pentest and the second by NoName057(16), which has links to the Russian state.

After twenty-six years, Microsoft is finally upgrading the last remaining instance of the encryption algorithm RC4 in Windows.

of the most visible holdouts in supporting RC4 has been Microsoft.

Eventually, Microsoft upgraded Active Directory to support the much more secure AES encryption standard.

But by default, Windows servers have continued to respond to RC4-based authentication requests and return an RC4-based response.

US Senator Ron Wyden (D-Ore.) in September called on the Federal Trade Commission to investigate Microsoft for “gross cybersecurity negligence,” citing the continued default support for RC4.

Friday Squid Blogging: Petting a SquidVideo from Reddit shows what could go wrong when you try to pet a—looks like a Humboldt—squid.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Blog moderation policy.

Posted on December 19, 2025 at 5:06 PM • 0 Comments

At least some of this is coming to light:Doublespeed, a startup backed by Andreessen Horowitz (a16z) that uses a phone farm to manage at least hundreds of AI-generated social media accounts and promote products has been hacked.

The hack reveals what products the AI-generated accounts are promoting, often without the required disclosure that these are advertisements, and allowed the hacker to take control of more than 1,000 smartphones that power the company.

The hacker, who asked for anonymity because he feared retaliation from the company, said he reported the vulnerability to Doublespeed on October 31.

At the time of writing, the hacker said he still has access to the company’s backend, i…

Your engagement this past year here has been tremendous and truly a salve on a handful of dark days.

The arrests came shortly after the FBI and the Dutch police seized dozens of servers and domains for the group.

In June, KrebsOnSecurity.com was hit by the largest DDoS attack that Google had ever mitigated at the time (we are a grateful guest of Google’s excellent Project Shield offering).

Another Aisuru attack on Cloudflare just days later practically doubled the size of the June attack against this website.

If you like the content we publish at KrebsOnSecurity.com, please consider making an exception for our domain in your ad blocker.

Democratic lawmakers have urged the SEC to investigate what they call “concerning ties to President Trump and his family” as potential conflicts of interest and foreign influence.

In October, President Trump pardoned Changpeng Zhao, the founder of the world’s largest cryptocurrency exchange Binance.

President Trump this term has fired most of the people involved in processing Freedom of Information Act (FOIA) requests for government agencies.

CONSUMER PROTECTION, PRIVACYAt the beginning of this year, President Trump ordered staffers at the Consumer Financial Protection Bureau (CFPB) to stop most work.

Nevertheless, it emerged in June that the Trump administration has built a central databas…

A decade ago, ending up at one of these parked domains came with a relatively small chance of being redirected to a malicious destination: In 2014, researchers found (PDF) that parked domains redirected users to malicious sites less than five percent of the time — regardless of whether the visitor clicked on any links at the parked page.

Infoblox found parked websites are benign if the visitor arrives at the site using a virtual private network (VPN), or else via a non-residential Internet address.

A defanged list of these typosquatting domains is available here (the dots in the listed domains have been replaced with commas).

“It was often a chain of redirects — one or two domains outside p…

Microsoft today pushed updates to fix at least 56 security flaws in its Windows operating systems and supported software.

This final Patch Tuesday of 2025 tackles one zero-day bug that is already being exploited, as well as two publicly disclosed vulnerabilities.

Despite releasing a lower-than-normal number of security updates these past few months, Microsoft patched a whopping 1,129 vulnerabilities in 2025, an 11.9% increase from 2024.

The zero-day flaw patched today is CVE-2025-62221, a privilege escalation vulnerability affecting Windows 10 and later editions.

For anyone seeking a more granular breakdown of the security updates Microsoft pushed today, check out the roundup at the SANS In…

A sprawling academic cheating network turbocharged by Google Ads that has generated nearly $25 million in revenue has curious ties to a Kremlin-connected oligarch whose Russian university builds drones for Russia’s war against Ukraine.

UK companies belonging to the group that have been shut down by Google Ads since Jan 2025 include:–Proglobal Solutions LTD (advertised nerdifyit[.

Currently active Google Ads accounts for the Nerdify brands include:-OK Marketing LTD (advertising geekly-hub[.

For a number of years, Lobov and Perkon co-produced a cross-cultural event in the U.K. called Russian Film Week.

While Synergy University promotes itself as Russia’s largest private educational institutio…

The phishing domains are being promoted by scam messages sent via Apple’s iMessage service or the functionally equivalent RCS messaging service built into Google phones.

The website scanning service urlscan.io shows thousands of these phishing domains have been deployed in just the past few days alone.

Pivoting off these T-Mobile phishing domains in urlscan.io reveals a similar scam targeting AT&T customers:Ford Merrill works in security research at SecAlliance, a CSIS Security Group company.

CAVEAT EMPTORMany SMS phishing or “smishing” domains are quickly flagged by browser makers as malicious.

“The fake e-commerce sites are tough because a lot of them can fly under the radar,” Merrill sai…

A prolific cybercriminal group that calls itself “Scattered LAPSUS$ Hunters” has dominated headlines this year by regularly stealing data from and publicly mass extorting dozens of major corporations.

Scattered LAPSUS$ Hunters (SLSH) is thought to be an amalgamation of three hacking groups — Scattered Spider, LAPSUS$ and ShinyHunters.

But last week, SLSH announced on its Telegram channel the release of their own ransomware-as-a-service operation called ShinySp1d3r.

The individual responsible for releasing the ShinySp1d3r ransomware offering is a core SLSH member who goes by the handle “Rey” and who is currently one of just three administrators of the SLSH Telegram channel.

Incredibly, Rey w…

UNBOXINGCensys’s Ashley said the phone home to China’s Tencent QQ instant messaging service was the first red flag with the Superbox devices she examined.

In July 2025, Google filed a “John Doe” lawsuit (PDF) against 25 unidentified defendants dubbed the “BadBox 2.0 Enterprise,” which Google described as a botnet of over ten million Android streaming devices that engaged in advertising fraud.

Several of the Android streaming devices flagged in Google’s lawsuit are still for sale on top U.S. retail sites.

Kilmer said Badbox 2.0 was used as a distribution platform for IPidea, a China-based entity that is now the world’s largest residential proxy network.

-Generic TV streaming devices advertis…

Sixteen months later, however, Mozilla is still promoting Onerep.

This week, Mozilla announced its partnership with Onerep will officially end next month.

In a statement published Tuesday, Mozilla said it will soon discontinue Monitor Plus, which offered data broker site scans and automated personal data removal from Onerep.

Mozilla said current Monitor Plus subscribers will retain full access through the wind-down period, which ends on Dec. 17, 2025.

Shelest released a lengthy statement wherein he acknowledged maintaining an ownership stake in Nuwber, a data broker he founded in 2015 — around the same time he launched Onerep.

An intermittent outage at Cloudflare on Tuesday briefly knocked many of the Internet’s top destinations offline.

Some affected Cloudflare customers were able to pivot away from the platform temporarily so that visitors could still access their websites.

However, some customers did manage to pivot their domains away from Cloudflare during the outage.

“Then you see through DNS changes that the target has eliminated Cloudflare from their web stack due to the outage.

But also look hard at the behavior inside your org.”Scott said organizations seeking security insights from the Cloudflare outage should ask themselves:1.

Microsoft this week pushed security updates to fix more than 60 vulnerabilities in its Windows operating systems and supported software, including at least one zero-day bug that is already being exploited.

Affected products this month include the Windows OS, Office, SharePoint, SQL Server, Visual Studio, GitHub Copilot, and Azure Monitor Agent.

Many of the more concerning bugs addressed by Microsoft this month affect Windows 10, an operating system that Microsoft officially ceased supporting with patches last month.

As that deadline rolled around, however, Microsoft began offering Windows 10 users an extra year of free updates, so long as they register their PC to an active Microsoft accoun…

More recently, Lighthouse has been used to spoof e-commerce websites, financial institutions and brokerage firms.

Google’s lawsuit alleges the purveyors of Lighthouse violated the company’s trademarks by including Google’s logos on countless phishing websites.

Ford Merrill works in security research at SecAlliance, a CSIS Security Group company, and he’s been tracking Chinese SMS phishing groups for several years.

Merrill said many Lighthouse customers are now using the phishing kit to erect fake e-commerce websites that are advertised on Google and Meta platforms.

But he said the Chinese mobile phishing market is so lucrative right now that it’s difficult to imagine a popular phishing serv…

The Washington Post recently reported that more than a half-dozen federal departments and agencies were backing a proposed ban on future sales of TP-Link devices in the United States.

“TP-Link vigorously disputes any allegation that its products present national security risks to the United States,” Ricca Silverio, a spokeswoman for TP-Link Systems, said in a statement.

Microsoft found the hacker groups were leveraging the compromised TP-Link systems to conduct “password spraying” attacks against Microsoft accounts.

Happily, TP-Link users spooked by the proposed ban may have an alternative to outright junking these devices, as many TP-Link routers also support open-source firmware options l…

Cloudflare responded by redacting Aisuru domain names from their top websites list.

One Aisuru botnet domain that sat prominently for days at #1 on the list was someone’s street address in Massachusetts followed by “.com”.

Other Aisuru domains mimicked those belonging to major cloud providers.

Sometime in the past 24 hours, Cloudflare appears to have begun hiding the malicious Aisuru domains entirely from the web version of that list.

However, downloading a spreadsheet of the current Top 200 domains from Cloudflare Radar shows an Aisuru domain still at the very top.

Police in India have arrested a former Coinbase customer service agent who is believed to have been bribed by cybercriminal gangs to access sensitive customer information.

"Thanks to the Hyderabad Police in India, an ex-Coinbase customer service agent was just arrested.

In interviews since the incident, Armstrong has described how cybercriminal gangs were offering US $250,000 bribes to customer service representatives to leak sensitive data.

"We started getting customer support agents get offered like 250 grand bribes to turn over customer information.

And then the attackers would call up our customers and say, hey, here's Coinbase support.

This Christmas special of The AI Fix podcast sets out to answer that question in the most sensible way possible: by consulting chatbots, Google’s festive killjoys, and the laws of relativistic physics.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast with computer security veteran Graham Cluley, joined this week by special guest Danny Palmer.

Smashing Security #448:The Kindle that got pwned [Your browser does not support the audio element]Host:Graham Cluley:@grahamcluley.com @[email protected] / grahamcluleyGuest:Danny Palmer:/ dannypalmerwriter‬Episode links:Sponsors:Vanta – Expand the scope of your security program with market-leading compliance automation… while saving time and money.

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podca…

The cruise line has updated its list of prohibited items, specifically banning smart glasses and similar wearable devices from public areas.

The ban means that you could find your expensive Google Glass, Meta/Ray-Ban Stories confiscated by the cruise's security team if you break the rules.

An obvious question is why are smart glasses subject to a ban onboard, but not other recording devices such as smartphones and regular cameras?

And, unfortunately, it's not always obvious that someone is wearing smart glasses.

Smart glasses are becoming increasingly sophisticated and harder to distinguish from regular glasses.

In episode 81 of The AI Fix, Graham discovers that deepfakes are already marking your kids’ homework, while Mark glimpses the future when he discovers AI agents that can communicate by reading each other’s minds.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive cont…

Regular readers of Hot for Security will have read plenty of articles about cybercriminals who have created malware, or malicious hackers who have used malware to infect the systems of victims.

But the news this week is that a court in Singapore has jailed a man not for launching an attack himself, but instead for teaching others exactly how to do it.

According to Singaporean authorities this is the country's first prosecution specifically targeted against somebody who had taught others how to use malware.

Prosecutors claim that Lee Rong Teng provided Cheoh with several versions of the spyware and asked him to learn how they functioned.

Cheoh’s alleged accomplice, Lee Rong Teng, is thought …

Analyst firm Gartner has issued a blunt warning to organizations: Agentic AI browsers introduce serious new security risks and should be blocked "for the foreseeable future." Read more in my article on the Fortra blog.

Plus, Graham chats with Rob Edmondson from CoreView about why misconfigurations and over-privileged accounts can make Microsoft 365 dangerously vulnerable.

All this, and more, in episode 447 of the “Smashing Security” podcast with Graham Cluley, and special guest Jenny Radcliffe.

Smashing Security listeners get $1000 off!

CoreView – Benchmark your Microsoft 365 tenant security against the Center for Internet Security (CIS) controls.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

A new report from the United States's Financial Crimes Enforcement Network (FinCEN) has shone a revealing light on the state of the criminal industry of ransomware. The report, which examines ransomware incidents from 2022 to 2024, reveals that attackers extorted more than $2.1 billion over the three-year period. Yes, that number is enormous - but it hides a more interesting story beneath it: that after peaking in 2023, ransomware payments actually started to decline. Read more in my article on the Fortra blog.

Remember when a notorious ransomware gang hit the Irish Health Service back in May 2021?

Four years on, and it seems victims who had their data exposed will finally receive compensation.

The attack against the Health Service Executive (HSE) began when the Russia-linked Conti ransomware group tricked a user into downloading a boobytrapped Microsoft Excel file.

The Health Service Executive (HSE) has now made an offer of €750 to victims whose personal data was compromised in what was declared the largest ever cyber attack against a health service computer system in Ireland.

According to media reports, a Cork-based solicitors firm representing more than 100 people affected by the data breach re…

A 22-year-old from Newport Beach, California has pleaded guilty to his role in a sophisticated criminal network that stole approximately US $263 million in cryptocurrency from victims.

Evan Tangeman is the ninth defendant to plead guilty in connection with what prosecutors have described as a highly-organised criminal enterprise, dubbed the "Social Engineering Enterprise" (SE Enterprise).

Some members of SE Enterprise specialised in hacking databases to identify wealthy cryptocurrency investors.

Evan Tangeman admitted to working as a money launderer for the group, helping convert US $3.5 million worth of stolen cryptocurrency into cash.

For all their supposed sophistication, the downfall of…

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow us:Follow the show on Bluesky, or subscribe for free in your favourite podcast app such as Apple Podcasts or Spotify, or visit our website for more information.

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

Grok, the AI chatbot developed by Elon Musk's xAI, has been found to exhibit more alarming behaviour - this time revealing the home addresses of ordinary people upon request.

And, as if that wasn't enough of a privacy violation, Grok has also been exposed as providing detailed instructions for stalking and surveillance of targeted individuals.

If Grok was not able to identify the exact person, it would often return lists of similarly named individuals with their addresses.

Grok was also not afraid of offering tips for encountering a world-famous pop star, providing tips for waiting near venue exits.

As AI becomes embedded in our daily lives, it is clear that stronger safeguards are not opti…

A new warning about the threat posed by Distributed Denial of Service (DDoS) attacks should make you sit up and listen. Read more in my article on the Fortra blog.

Особенно любопытна эта атака тем, что в этот раз злоумышленники потратили определенные усилия для маскировки своей активности под коммуникацию с известным сайтом и работу легитимного ПО.

Кроме того, зловред умеет делать скриншоты с экрана жертвы и собирать файлы в интересующих злоумышленников форматах (преимущественно разнообразные документы и архивы).

Файлы размером меньше 100 МБ вместе с остальной собранной злоумышленниками информацией отправляются на другой сервер коммуникации с названием ants-queen-dev.azurewebsites[.]net.

Как оставаться в безопасностиНаши защитные решения выявляют как используемый в этой атаке вредоносный код, так и коммуникацию с командными серверами злоумышленников.

…

Что нужно знать об этих изменениях и какие знания и привычки взять с собой в 2026 год?

Мы рекомендуем Kaspersky Premium — с ним вы получите и защиту от вредоносного ПО, и оповещения (если ваши личные данные засветились в каких-то публичных утечках), и менеджер паролей, и родительский контроль, и многое другое.

Как и в случае с фастфудом, телевизором, TikTok и другими легкодоступными благами, важно найти баланс между здоровым применением этих помощников и опасными привычками.

А где-то вам подключили дополнительную опцию, о которой вы и не знаете, и ее нужно отключить.

Предполагается, что нейросети помогут дому самостоятельно решать, что и когда делать, чтобы владельцу было удобнее, — без зар…

В основном Stealka распространяют на популярных ресурсах — вроде GitHub, SourceForge, Softpedia, sites.google.com и других — под видом кряков известных программ, читов и модов для игр.

Чем опасен стилер StealkaУ Stealka достаточно большой арсенал возможностей, но «лакомый кусок» для него — данные из браузеров на движках Chromium и Gecko.

Не менее интересны для хакеров куки-файлы и токены сессий, которые позволяют обойти двухфакторную аутентификацию и угнать аккаунты без ввода пароля.

В зоне риска — Discord, Telegram, Unigram, Pidgin, Tox и другие.. В служебных файлах мессенджеров хранятся данные об аккаунтах, идентификаторы устройств, токены авторизации и параметры шифрования переписки.

— S…

Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль».

Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых.

В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.

Сам файл, впрочем, не был персонализирован — это был достаточно размытый отчет в формате одной из российских систем проверки на плагиат.

Мы рекомендуем устанавливать надежные ИБ-решения не только на все устройства, с которых сотрудники выходят в Интернет, но и на почтовый шлюз…

Мы в «Лаборатории Касперского» изучили, какой путь проходят данные после фишинговой атаки: кому они достаются, как их сортируют, перепродают и используют на теневом рынке.

: реквизиты карт, данные от криптокошельков.

В таких архивах часто попадаются мусорные и устаревшие данные, и поэтому стоят они недорого: стартовая цена — $50.

Данными пользователей торгуют при этом не только в даркнете, но и в старом добром Telegram.

Несложно догадаться, что наиболее дорогой и востребованный товар на этом рынке — данные от банковских аккаунтов и криптокошельков.

Разумеется, сообщать облачный пароль нельзя никому — он нужен исключительно для того, чтобы войти в ваш аккаунт в Telegram.. Сделайте это в разделе Настройки → Конфиденциальность Telegram прямо сейчас.

После недавнего обновления в Telegram появилась возможность защитить вход в аккаунт не только облачным паролем, но и ключом доступа.

После недавнего обновления в Telegram появилась возможность защитить вход в аккаунт не только облачным паролем, но и ключом доступа.

Поэтому мы рекомендуем создать сложный и уникальный облачный пароль Telegram и хранить как его, так и ключ доступа для Telegram в Kaspersky Password Manager.

Поэтому мы рекомендуем создать сложный и уникальный облачный пароль Teleg…

Правоохранительные органы Южной Кореи арестовали четырех подозреваемых во взломе 120 000 IP-камер, установленных как в частных домах, так и в коммерческих помещениях — например, в комнатах караоке, студии пилатеса и гинекологической клинике.

Объясняем, что представляют собой IP-камеры и в чем состоят их уязвимости, а также подробно рассказываем об инциденте в Южной Корее и о том, как не стать жертвой злоумышленников, охотящихся за горячими видео.

Что случилось в Южной КорееВернемся к событиям, произошедшим этой осенью в Южной Корее.

Он взломал 63 000 IP-камер и создал, а затем продал 545 видео сексуального характера за 35 миллионов южнокорейских вон (чуть меньше 24 000 долларов).

Он взломал…

В этом посте попробуем определить, какие активы требуют первоочередного внимания, как их обнаружить и в какой форме проводить реагирование.

Физические и виртуальные серверы остаются бесхозными в крупных инфраструктурах после проектов по миграции или после слияния и поглощения компаний.

Важно также закрепить в политике способы учета создаваемых хранилищ и запрет на «бесхозные» данные, доступные без ограничений, паролей и шифрования.

Для внутренней разработки — обязательное использование сканеров и комплексных систем защиты, интегрированных с конвейером CI/CD и предотвращающих сборку ПО с устаревшими компонентами.

Подключенные к сети, но не управляемые и не обновляемые роутеры, межсетевые экр…

Недавно на новостных сайтах появилась информация о том, что некие злоумышленники распространяют инфостилер через бесплатные файлы 3D-моделей для ПО Blender.

Почему Blender и онлайн-маркетплейсы 3D-моделей могут быть источниками рискаBlender — это программное обеспечение для создания 3D-графики и анимации, которое используется множеством специалистов по визуализации в различных областях.

Среди прочих возможностей Blender есть и поддержка выполнения Python-скриптов, которые используются для автоматизации задач и расширения функциональности ПО.

Чем опасны рабочие инструменты, не контролируемые ИБПроблема не в Blender как таковом — злоумышленники неизбежно попробуют эксплуатировать возможности …

Теперь поделиться можно еще и чатом с ИИ-ассистентом, и ссылка на него будет вести на официальный сайт чат-бота.

При правильном вводе скрипт скачивает вредоносное ПО и использует указанный пароль для установки и запуска зловреда.

Инфостилер и бэкдорЕсли пользователь поддастся на уговоры, на его компьютере запустится распространенный инфостилер AMOS (Atomic macOS Stealer).

Использовать надежную защиту от вредоносного ПО на всех своих смартфонах, планшетах и компьютерах, включая компьютеры под управлением macOS и Linux.

Никогда не выполнять технические инструкции, о которых вы не просили и в которых разбираетесь не до конца.

Что нового в Kaspersky Embedded Systems Security для WindowsНаши эксперты значительно переработали кодовую базу решения, добавив ряд продвинутых механизмов детектирования и блокирования угроз.

Что нового в Kaspersky Embedded Systems Security для LinuxМы значительно доработали и новый KESS для Linux, но большинство нововведений в нем повышают эффективность уже реализованных защитных механизмов.

В нем мы планируем:Обеспечить полную совместимость Kaspersky Embedded Systems Security с сервисом Kaspersky Managed Detection and Response.

Добавить в Kaspersky Embedded Systems Security для Linux технологию защиты от BadUSB, которая уже работает в Windows-версии.

Обеспечить поддержку решением Kaspers…

3 декабря стало известно о скоординированном устранении критической уязвимости CVE-2025-55182 (CVSSv3 — 10), которая содержалась в React server components (RSC), а также во множестве производных проектов и фреймворков: Next.js, React Router RSC preview, Redwood SDK, Waku, RSC-плагинах Vite и Parcel.

Учитывая, что на базе React и Next.js построены десятки миллионов сайтов, включая Airbnb и Netflix, а уязвимые версии компонентов найдены примерно в 39% облачных инфраструктур, масштаб эксплуатации может быть очень серьезным.

Благодаря компонентам RSC, появившимся в React 18 в 2020 году, часть работы по сборке веб-страницы выполняется не в браузере, а на сервере.

Изначально React предназначен дл…

C октября этого года наши технологии фиксируют вредоносные рассылки файлов, в названии которых эксплуатируется тема годовых премий и бонусов.

Еще одной интересной особенностью данной вредоносной кампании является то, что в качестве полезной нагрузки выступает XLL-файл, что достаточно нестандартно.

Атакующие, конечно, меняют иконку, но в некоторых интерфейсах — в первую очередь в «проводнике Windows» — очевидно, что тип файла не соответствует видимому расширению, как показано, например, вот в этом посте.

Тип файла XLL служит для надстроек Microsoft Excel и, по сути, представляет собой DLL-библиотеку, которая запускается непосредственно программой для работы с электронными таблицами.

Часть ко…

Наверняка найдутся и желающие применить на практике новую атаку Whisper Leak.

Исследователи из Microsoft продолжили эту тему и проанализировали параметры поступления ответа от 30 разных ИИ-моделей в ответ на 11,8 тысяч запросов.

Сравнив задержку поступления пакетов от сервера, их размер и общее количество, исследователи смогли очень точно отделить «опасные» запросы от «обычных».

Как защититься от Whisper LeakОсновное бремя защиты от этой атаки лежит на провайдерах ИИ-моделей.

Если вы пользуетесь моделью и серверами, для которых Whisper Leak актуален, можно либо сменить провайдера на менее уязвимого, либо принять дополнительные меры предосторожности.

Как устроена автоматическая машина для тасования карт Deckmate 2Машина для автоматического тасования карт Deckmate 2 была запущена в производство в 2012 году.

В предыдущей модели устройства, Deckmate, внутренней камеры не было и, соответственно, не было возможности подглядеть последовательность карт в колоде.

Как исследователи смогли взломать устройство Deckmate 2Опытные читатели нашего блога уже наверняка заметили несколько уязвимостей в конструкции Deckmate 2, которыми воспользовались исследователи для создания proof-of-concept.

Это позволяло специалистам в реальном времени узнавать порядок карт в тасовке.

Как мафия использовала взломанные Deckmate 2 в реальных покерных играхДва года спус…

In this context, the importance of Data Loss Prevention (DLP) capability for data protection cannot be overstated.

Cisco Secure Access: Unified, AI-Powered Data Loss Prevention (DLP) for the Modern EnterpriseCisco Secure Access delivers the next generation of Data Loss Prevention (DLP) as a core component of our Security Service Edge (SSE).

Secure Access DLP also plays a vital role in enabling the safe use of generative Artificial Intelligence (AI) applications and model repositories.

The Endpoint DLP Advantage: Safeguarding Data Movement at the SourceIncorporating endpoint DLP into an organization’s data protection strategy brings immense value.

Recognizing this, Cisco Secure Access launch…

Cisco ISE: Live network visibility—but not always aligned with CMDB metadata or lifecycle information.

The Old Way Was LimitedPrevious integrations between Cisco ISE and ServiceNow attempted to close this gap by pushing CMDB attributes into ISE.

The Cisco ISE + ServiceNow Service Graph Connector finally closes the loop between visibility and control.

With Service Graph Connector for Cisco ISE, watch your network inventory come alive.

Ask a question and stay connected with Cisco Security on social media.

Cisco Identity Intelligence is now the first Cisco product to deliver a customer facing capability powered entirely by a Cisco built artificial intelligence model, Foundation-sec-1.1-8B-Instruct.

Strengthening Identity Security Through Deeper InsightCisco Identity Intelligence helps organizations understand and respond to identity related risk across their entire environment.

A key part of this experience is the weekly email digest that Cisco Identity Intelligence sends to administrators.

Why the Cisco Foundation Model MattersCisco Identity Intelligence selected the Cisco Foundation AI model because it offers clear advantages in quality, control, and long-term strategic alignment.

A Cisco-o…

According to our survey results, 94% of organizations are currently facing segmentation challenges, which range from technical to non-technical issues.

Challenges Inhibiting Segmentation ProjectsUnderstanding the challenges organizations face will ease the transition from partial to comprehensive segmentation implementations, allowing organizations to accelerate their progress through their segmentation journeys.

Currently, what are/ could be the biggest segmentation challenges you are/ could be experiencing at your organization?

Overcoming Segmentation Challenges Enables a Proactive Security StrategySegmentation remains a foundational element of enterprise security.

In the meantime, downlo…

Thanks to Duo, I was quickly given access to all the essential tools: Cisco XDR, Splunk, firewall dashboards, and more from the duo directory.

Detection: Cisco XDR flagged the suspicious behavior, visualizing the connections between one internal asset and several high-risk external hosts.

This raised immediate concerns about potential malware or command-and-control activity (see Cisco XDR investigation below).

In summary, my first SOC experience turned initial nerves into genuine confidence.

Ask a question and stay connected with Cisco Security on social media.

As a reminder, when a Windows client is seeking to talk to a domain controller it will make DNS queries for SRV records for names like _kerberos._tcp.dc._msdcs.DOMAINNAME or _ldap._tcp.dc._msdcs.DOMAINNAME.

These DNS requests enable the client to find nearby Kerberos or LDAP servers for their domain.

Finally, the Cisco Live network is designed to be a safe network for attendees to use.

A properly configured VPN client like Cisco Secure Client can support both a full tunnel VPN and “Start Before Login”.

Check out the other blogs by my colleagues in the Cisco Live Melbourne 2026 SOC.

Kerberoasting: An attacker with a valid ticket can request service tickets from the KDC which are encrypted with the service account password.

An attacker with a valid ticket can request service tickets from the KDC which are encrypted with the service account password.

Cisco XDR: Cross-signal correlation and incident management spanning Secure Firewall, Secure Access (DNS), Secure Network Analytics, and partner telemetry.

Cross-signal correlation and incident management spanning Secure Firewall, Secure Access (DNS), Secure Network Analytics, and partner telemetry.

Secure Network Analytics: NetFlow analytics to surface scanning, beaconing, and anomalous connection patterns at scale.

Building on the success of the 2nd annual Security Operations Centre (SOC) at Cisco Live Melbourne (Asia Pacific Japan) 2024, the executive team supported the first SOC for Cisco Live San Diego (Americas) and invited the team back for 20025.

The SOC at Cisco Live SOC was successfully deployed in just 12 hours over 1 ½ days, demonstrating extensive prior planning and specialized expertise.

The partnership with Endace, a highly skilled full-packet capture provider, whose experience in the 2025 SOC was critical and extended to their commitment for Cisco Live Melbourne.

For example, Ryan MacLennan created an AI model to find domain generated algorithms at the Cisco Live AMER Security SOC.

Ackno…

Joining the Security Operations Centre (SOC) team in Cisco Live Melbourne was a new experience for me as a Cisco Technical Marketing Engineer (TME).

As a Tier1 / Tier 2 analyst the first screen to look at is Cisco XDR, that will bring incidents from the different data sources including Splunk Core.

Day 1 at Cisco Live and guess what?

Distributed Deniel of Service (DDoS) activity was detected targeting Cisco TV devices connected to Cisco Live network.

Check out the other blogs by my colleagues in the Cisco Live APJC 2026 SOC.

In the Cisco Live Melbourne SOC, we use a combination of Endace full packet capture (PCAP), Splunk Enterprise Security, and Splunk SOAR to provide automated detections of cleartext credential leakage.

We resolve this using the coalesce function in Splunk’s eval command.

The coalece function will return the first non-null value from a list of possible values, just like the COALESCE function in SQL.

In our case, we use it like so:However, during Cisco Live we discovered a problem with this logic.

One answer is a Splunk macro.

One area of integration between CSF and Splunk that we worked on at Cisco Live Melbourne involved Enterprise Security Content Update (ESCU) detections in Splunk Enterprise Security (ES).

Splunk ES has around two dozen ESCU detections for Cisco Secure Firewall.

These can be accessed from ES by navigating to Security Content > Content Management and then searching for ‘Secure Firewall’.

All ESCU detections for Secure Firewall reference the same macro, ‘cisco_secure_firewall’.

We transitioned our firewall log export to syslog a few conferences ago, and in Melbourne we decided to test the ESCU detections with syslog.

Sometimes though we see exceptions, in this circumstance an asset connected to the Attendee Wi-Fi network at Cisco Live Melbourne 2025 exhibited a large spike in traffic on multiple occasions.

Upon investigation, the asset was found to be connecting to multiple confirmed malicious external IP addresses.

When the Incident was investigated, we found that the asset was communicating with numerous external IP addresses classified as malicious.

Investigating further, we saw the internal IP address communicating with a number of external IP addresses, all classed as malicious.

Cisco Security Social MediaLinkedInFacebookInstagramX

The Adrenaline of the Real World: Rapid Threat Containment on DisplayThe first thing that strikes you when you walk into the Cisco Live SOC is the energy.

The XDR & Splunk ES Synergy: The key highlight of the visibility demo was the seamless data exchange between XDR and Splunk ES.

Forging the Future: Empowering New and Tier One AnalystsPerhaps the most inspiring aspect of the SOC tours was the focus on people.

The Cisco Live Melbourne 2025 SOC tours weren’t just about the technology of today; they were about sharing our experiences, delivering on the EDUCATE component of our Mission.

Check out the other blogs by my colleagues in the Cisco Live APJC 2026 SOC.

Segmentation introduces critical control points, regulating who and what can access the network environment and its applications.

I consistently approach the segmentation journey with my customers by framing it as a circular cycle.

This cycle starts with visibility, progresses through identity context, policy selection, and policy enforcement, ultimately returning to enhanced visibility.

1: The segmentation cycleVisibilityThe segmentation cycle both starts and ends with robust visibility.

Policy AssignmentPolicy Assignment, often referred to as the Policy Decision Point (PDP) in NIST SP 800-207, represents the “what” in our segmentation cycle.

Phishing actors are exploiting complex routing scenarios and misconfigured spoof protections to effectively spoof organizations’ domains and deliver phishing emails that appear, superficially, to have been sent internally.

While these attacks share many characteristics with other credential phishing email campaigns, the attack vector abusing complex routing and improperly configured spoof protections distinguishes these campaigns.

The below hunting queries can also be found in the Microsoft Defender portal for customers who have Microsoft Defender XDR installed from the Content Hub, or accessed directly from GitHub.

ReferencesLearn moreFor the latest security research from the Microsoft Thr…

Microsoft Defender Experts Suite Get integrated security services that protect your organization and accelerate security outcomes in the new security offering from Microsoft.

The Defender Experts Suite can help you do the following:Defend against cyberthreatsMicrosoft Defender Experts for XDR delivers round-the-clock MXDR, natively integrated with Microsoft Defender.

When you first get started with the Microsoft Defender Experts Suite, Enhanced Designated Engineering guides you through deploying Defender workloads securely and helps ensure Defender Experts for XDR is configured correctly.

From January 1, 2026, through December 1, 2026, eligible customers can save up to 66% on the Microsoft …

But point solutions can only go so far.

In our new e-book, 3 reasons point solutions are holding you back, we share how a unified, AI-ready platform can transform your security operations to help keep your organization safe.

Download the 3 reasons point solutions are holding you back e-book and discover how a unified, AI-ready platform can help your team stay ahead of cyberthreats and prepare for the future.

Learn moreTo learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

An Access Fabric solution continuously decides who can access what, from where, and under what conditions—in real time.

Why a unified approach to access security is better than a fragmented oneLet’s use an everyday example to illustrate the difference between an access security approach that uses fragmented tools versus one that uses an Access Fabric solution.

This time you, your device, your applications, and your data are wrapped in the protection of an Access Fabric solution that connects identity, device, and network signals.

What makes an Access Fabric solution effectiveFor an Access Fabric solution to secure access in hybrid work environments effectively, it must be contextual, connec…

The React Server Components ecosystem is a collection of packages, frameworks, and bundlers that enable React 19 applications to run parts of their logic on the server rather than the browser.

To exploit CVE-2025-55182, an attacker sends a crafted input to a web application running React Server Components functions in the form of a POST request.

Microsoft Defender Vulnerability Management and Microsoft Defender for CloudMicrosoft Defender for Cloud rolled out support to surface CVE-2025-55182 with agentless scanning across containers and cloud virtual machines (VMs).

In parallel, we recommend that you upgrade affected React Server Components and Next.js packages immediately to patched versi…

The React Server Components ecosystem is a collection of packages, frameworks, and bundlers that enable React 19 applications to run parts of their logic on the server rather than the browser.

To exploit CVE-2025-55182, an attacker sends a crafted input to a web application running React Server Components functions in the form of a POST request.

Microsoft Defender Vulnerability Management and Microsoft Defender for CloudMicrosoft Defender for Cloud rolled out support to surface CVE-2025-55182 with agentless scanning across containers and cloud virtual machines (VMs).

In parallel, we recommend that you upgrade affected React Server Components and Next.js packages immediately to patched versi…

Today, we are proud to share that Microsoft has been recognized as an overall leader in the KuppingerCole Leadership Compass for Generative AI Defense.

The post Microsoft named an overall leader in KuppingerCole Leadership Compass for Generative AI Defense appeared first on Microsoft Security Blog.

This form of cyberattack involves operatives posing as legitimate remote hires, slipping past human resources checks and onboarding processes to gain trusted access.

With support from Microsoft Threat Intelligence, we quickly traced the activity to the North Korean remote IT workforce known as Jasper Sleet.

TACTICPiKVM devices—low-cost, hardware-based remote access tools—were utilized as egress channels.

Advanced detection tools, including Microsoft Defender for Identity and Microsoft Defender for Endpoint, were deployed to uncover lateral movement and credential misuse.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

This form of cyberattack involves operatives posing as legitimate remote hires, slipping past human resources checks and onboarding processes to gain trusted access.

With support from Microsoft Threat Intelligence, we quickly traced the activity to the North Korean remote IT workforce known as Jasper Sleet.

TACTICPiKVM devices—low-cost, hardware-based remote access tools—were utilized as egress channels.

Advanced detection tools, including Microsoft Defender for Identity and Microsoft Defender for Endpoint, were deployed to uncover lateral movement and credential misuse.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Our blog “Building human-centric security skills for AI” offers insights and guidance you can apply in your organization.

Find in AI Skills Navigator, our agentic learning space, AI and security training tailored to different roles.

—Jeana Jorgensen, Corporate Vice President, Microsoft LearningFostering a culture that prioritizes securityAs AI impacts everyone’s role, make security awareness and responsible AI practices shared priorities.

From awareness to actionIn the agentic AI era, people continue to be our most valuable resource.

It’s essential to empower them with AI and equip them with the skills they need to use AI responsibly and securely.

Our blog “Building human-centric security skills for AI” offers insights and guidance you can apply in your organization.

Find in AI Skills Navigator, our agentic learning space, AI and security training tailored to different roles.

—Jeana Jorgensen, Corporate Vice President, Microsoft LearningFostering a culture that prioritizes securityAs AI impacts everyone’s role, make security awareness and responsible AI practices shared priorities.

From awareness to actionIn the agentic AI era, people continue to be our most valuable resource.

It’s essential to empower them with AI and equip them with the skills they need to use AI responsibly and securely.

As email threats grow more sophisticated and layered security architectures become more common, organizations need clear, data-driven insights to evaluate how their security solutions perform together.

Microsoft’s commitment to transparency continues with the release of our second email security benchmarking report, informed by valuable customer and partner feedback.

The study compares environments protected exclusively by Microsoft Defender with those using a Secure Email Gateway (SEG) positioned in front of Defender, as well as environments where Integrated Cloud Email Security (ICES) solutions add a secondary layer of detection after Defender.

Secure Email Gateway and Integrated Cloud Em…

As email threats grow more sophisticated and layered security architectures become more common, organizations need clear, data-driven insights to evaluate how their security solutions perform together.

Microsoft’s commitment to transparency continues with the release of our second email security benchmarking report, informed by valuable customer and partner feedback.

The study compares environments protected exclusively by Microsoft Defender with those using a Secure Email Gateway (SEG) positioned in front of Defender, as well as environments where Integrated Cloud Email Security (ICES) solutions add a secondary layer of detection after Defender.

Secure Email Gateway and Integrated Cloud Em…

The Shai‑Hulud 2.0 supply chain attack represents one of the most significant cloud-native ecosystem compromises observed recently.

In defending against threats like Shai-Hulud 2.0, organizations benefit significantly from the layered protection from Microsoft Defender, which provides security coverage from code, to posture management, to runtime.

This blog provides a high-level overview of Shai‑Hulud 2.0, the attack mechanisms, potential attack propagation paths, customized hunting queries, and the actions Microsoft Defender is taking to enhance detection, attack-path analysis, credential scanning, and supply chain hardening.

Tactic Observed activity Microsoft Defender coverage Execution S…

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

Our first rust memory safety vulnerability...almost: We'll analyze a near-miss memory safety bug in unsafe Rust: how it happened, how it was mitigated, and steps we're taking to prevent recurrence.

Our First Rust Memory Safety Vulnerability...AlmostWe recently avoided shipping our very first Rust-based memory safety vulnerability: a linear buffer overflow in CrabbyAVIF.

Unsafe Review and TrainingOperating system development requires unsafe code, typically C, C++, or unsafe Rust (for example, for FFI and interacting with hardware), so simply banning unsafe code is not workable.

Dmytro Hrybenko for leading the effort to develop training for unsafe Rust and for providing extensive feedback on …

Survey shows Android users’ confidence in scam protectionsGoogle and YouGov3 surveyed 5,000 smartphone users across the U.S., India, and Brazil about their experiences.

The findings were clear: Android users reported receiving fewer scam texts and felt more confident that their device was keeping them safe.

Android users were 58% more likely than iOS users to say they had not received any scam texts in the week prior to the survey.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

What's worse, many plaintext HTTP connections today are entirely invisible to users, as HTTP sites may immediately redirect to HTTPS sites.

To address this risk, we launched the “Always Use Secure Connections” setting in 2022 as an opt-in option.

We now think the time has come to enable “Always Use Secure Connections” for all users by default.

For more than a decade, Google has published the HTTPS transparency report, which tracks the percentage of navigations in Chrome that use HTTPS.

Since HTTP navigations remain a regular occurrence for most Chrome users, a naive approach to warning on all HTTP navigations would be quite disruptive.

To help accelerate adoption of AI for cybersecurity workflows, we partnered with Airbus at DEF CON 33 to host the GenSec Capture the Flag (CTF), dedicated to human-AI collaboration in cybersecurity.

Our goal was to create a fun, interactive environment, where participants across various skill levels could explore how AI can accelerate their daily cybersecurity workflows.

An overwhelming 85% of all participants found the event useful for learning how AI can be applied to security workflows.

This positive feedback highlights that AI-centric CTFs can play a vital role in speeding up AI education and adoption in the security community.

We are committed to advancing the AI cybersecurity frontier…

This page appears when Google automatically detects requests coming from your computer network which appear to be in violation of the Terms of Service .

The block will expire shortly after those requests stop.

In the meantime, solving the above CAPTCHA will let you continue to use our services.This traffic may have been sent by malicious software, a browser plug-in, or a script that sends automated requests.

If you share your network connection, ask your administrator for help — a different computer using the same IP address may be responsible.

Learn more Sometimes you may be asked to solve the CAPTCHA if you are using advanced terms that robots are known to use, or sending requests very qu…

At Made by Google 2025, we announced that the new Google Pixel 10 phones will support C2PA Content Credentials in Pixel Camera and Google Photos.

Pixel Camera attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

Google Photos attaches Content Credentials to JPEG images that already have Content Credentials and are edited using AI or non-AI tools, and also to any images that are edited using AI tools.

Building a More Trus…

Today marks a watershed moment and new benchmark for open-source security and the future of consumer electronics.

Google is proud to announce that protected KVM (pKVM), the hypervisor that powers the Android Virtualization Framework, has officially achieved SESIP Level 5 certification.

This makes pKVM the first software security system designed for large-scale deployment in consumer electronics to meet this assurance bar.

With this level of security assurance, Android is now positioned to securely support the next generation of high-criticality isolated workloads.

Achieving Security Evaluation Standard for IoT Platforms (SESIP) Level 5 is a landmark because it incorporates AVA_VAN.5, the hi…

Today we're excited to announce OSS Rebuild, a new project to strengthen trust in open source package ecosystems by reproducing upstream artifacts.

Infrastructure definitions to allow organizations to easily run their own instances of OSS Rebuild to rebuild, generate, sign, and distribute provenance.

With an estimated value exceeding $12 trillion, open source software has never been more integral to the global economy.

For publishers and maintainers of open source packages, OSS Rebuild can...

If you're a developer, enterprise, or security researcher interested in OSS security, we invite you to follow along and get involved!

Android recently announced Advanced Protection, which extends Google’s Advanced Protection Program to a device-level security setting for Android users that need heightened security—such as journalists, elected officials, and public figures.

This is particularly useful for Advanced Protection users, since in 2023, plaintext HTTP was used as an exploitation vector during the Egyptian election.

JavaScript Optimizations and Security Advanced Protection reduces the attack surface of Chrome by disabling the higher-level optimizing Javascript compilers inside V8.

Javascript optimizers can be disabled outside of Advanced Protection Mode via the “Javascript optimization & security” Site Setting.

We…

Below we describe our prompt injection mitigation product strategy based on extensive research, development, and deployment of improved security mitigations.

A layered security approachGoogle has taken a layered security approach introducing security measures designed for each stage of the prompt lifecycle.

From there, a key protection against prompt injection and data exfiltration attacks occurs at the URL level.

Users are encouraged to become more familiar with our prompt injection defenses by reading the Help Center article.

Moving forwardOur comprehensive prompt injection security strategy strengthens the overall security framework for Gemini.