Информационная безопасность

В Telegram обнаружена критическая уязвимость нулевого дня

О находке сообщили в рамках проекта Trend Zero Day Initiative (ZDI). Уязвимость выявил исследователь Michael DePlante.

По предварительной оценке, баг получил 9,8 из 10 по шкале CVSS, что соответствует уровню критической опасности. По данным специалистов, уязвимость может затронуть безопасность аккаунтов пользователей.

Публичное раскрытие проблемы запланировано на 24 июля. До этого момента у команды Telegram есть время на выпуск исправления.

Telegram пока официально не комментировал ситуацию.

Павел, ждём фикс.

Поддержка браузера Firefox 115 для Windows 7, 8 и 8.1 продлена до августа текущего года.

Хорошая новость, не нашёл поиском в ранее опубликованном.

Если Windows 7 закрывает все потребности юзера, значит эта и есть самая лучшая ОС для данного юзера.

А создателям Firefox респект. Очень нужный софт поддерживают.

Месяц назад мы приобрели новую машину прямиком из салона: японец, но крупноузловая сборка в Китае. И в соответствии со всеми современными практиками в авто установлено передающее устройство на случай аварии. Только родной «СОС» настроен на Китайский рынок и его перепрошить нельзя. Или можно, но в салоне объявили «150 000 рублей за русификацию мультимедии и, возможно, GSM-модуля СОСа».

Соответственно, чтобы машина соответствовала требованиям Российского законодательства в части обязательной установки кнопки SOS («ЭРА‑ГЛОНАСС»), в автомобиль можно сказать варварским методом было установлено вышеназванное устройство. «Мастера» разобрали потолочный плафон‑светильник, срезали заводскую тряпичную оплетку и изоляцию с проводов, и простой СКРУТКОЙ врезались в линию. Потом замотали изолентой (даже не синей) и каким‑то тряпичным скотчем завершили композицию. В общем, комментировать — только портить.

Что самое интересное, СОС устанавливает соединение тремя проводами. Кроме логичных плюс и минус я в настоящее время не знаю для чего нужен третий. Есть предположения, что это салонный микрофон hands‑free, чтобы в случае необходимости обеспечить двухстороннюю связь с оператором. Ряд моих коллег высказывают мысль, что это может быть датчик подушек безопасности: они срабатывают и сигнал автоматом отправляется в экстренные службы. Потенциально возможно, если не одно НО: зачем в потолочный светильник выводить датчик подушек?

В любом случае будем разбирать этого красавца и смотреть как он устроен внутри. Заодно поймем, что это за таинственный третий провод (делайте ваши ставки, господа). Если у вас есть наработки по аналогичной теме или уже существующий разбор/обзор кнопки SOS («ЭРА‑ГЛОНАСС»), буду рад изучить и применить в текущем исследовании!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Столько получили исследователи за найденные уязвимости

Проверять безопасность наших сервисов и ресурсов помогают независимые эксперты — багхантеры на платформе BI.ZONE. Мы постоянно расширяем области тестирования и, конечно, увеличиваем награды. Вот немного цифр:

🔸 3 года работает программа
🔸 В 2025 году сделали её публичной — каждый может найти уязвимость и получить награду
🔸 340 отчётов об уязвимостях приняли
🔸 До 1 000 000 ₽ можно получить за нахождение критической уязвимости

🔸 Сколько заработали топ-3 исследователя:

1 место — 1 940 500 ₽
2 место — 1 898 000 ₽
3 место — 1 594 400 ₽

🔸 30+ сервисов и ресурсов Альфа-Банка открыты для тестирования. Присоединяйтесь к программе охоты за уязвимостями по ссылке и получайте вознаграждения.

Большинство ИИ-агентов работают так: сгенерировал — опубликовал. Что получилось — то и вышло.

Наш агент Фроня (Фронезис) устроен иначе. Прежде чем что-то опубликовать, он устраивает совет внутри себя — и только при согласии двух из трёх действует. Byzantine consensus: если один ошибается или галлюцинирует, остальные блокируют.

Но этого мало. Каждое решение запечатывается криптографической подписью до выполнения — не после. Это Leibniz Layer™, наш протокол верификации. Любое действие агента можно проверить по хэшу в любой момент.

Скриншот ниже — реальный пример: агент заблокировал свой собственный пост и рефлексирует по этому поводу.

Не побоимся этого слова — первый в мире агент который подписывает свои решения до действия и позволяет любому их проверить. leibniz.fronesislabs.com

Академия InfoWatch запустила курс «Внедрение и техническая поддержка Центра расследований InfoWatch».

Программа состоит из 40 академических часов, курс проводится дистанционно и включает работу с продуктами InfoWatch, которые входят в Центр расследований: Data Discovery, Vision, Activity Monitor, Prediction, Data Access Tracker и Device Control.

Пару лет назад мы с коллегами из CyberYozh решили создать курс по этичному хакингу. Все как положено: детальная программа, план, маркетинг, свет, аппаратура, даже футболки подготовили соответствующие! Однако на деле все оказалось намного сложнее, чем это кажется со стороны.

Первое и самое сложное — это съемки. Иногда, для того чтобы записать 5-тиминутное видео, у меня уходило по 4 часа. И я сейчас не говорю про человека‑соседа, решившего повесить полку именно в момент съемки. Это и забывчивость подготовленного текста, Эканья и Аканья, почесывания, сбой в ПО при презентации экрана и банальная усталость от сидения на табуретке (именно табуретке, так как спинка стула мешает в кадре). А так как режиссер требует все записывать «одним дублем», иногда приходилось раз 20 перезаписывать 10-ти минутное видео с самого начала.

Второе, бумажная бюрократия. Так как планировался большой проект, мы привлекли маркетологов и технологов. Но только те вместо того, чтобы помогать нам в работе, наоборот, делали жизнь тяжелее.

Технологи начали требовать от нас составления плана на каждое видео: какие цели мы ставим перед уроком, какими задачами мы их достигнем и чему в итоге научится студент, посмотрев видео‑урок (что делали сами технологи, кроме как указывать нам на это, мы так и не поняли). Более того, это нужно проговаривать в начале каждого видео, и в конце повторяться и подводить итог, чему же все‑таки научились студенты.

А маркетологи настаивали, чтобы я говорил, какая это актуальная профессия, что по ней много не закрытых вакансий и что такие специалисты зарабатывают неприлично МНОГО, поэтому они срочно должны записываться на наш курс.

Ну и меньшее из зол, это неудобство исполнения. С учетом того, что я записывался в квартире, это накладывало свои особенности взаимоотношений с родными. Одна из комнат была постоянно занята, так как был развернут хромакей 2×2 метра, дополнительный свет, камера, микрофон, а заниматься постоянной сборкой‑разборкой такой конструкции то еще занятие. Кроме того, семья и человек‑сосед должны находиться в тишине, чтобы не было шума на фоне, а с учетом наличия детей — это просто нереально.

В общем, с горем пополам мы записали пару пилотных уроков, но потом решили завершить начинание. Это очень большой и тяжелый труд, который требует много сил. И это я еще не говорю про само содержание курса, которое должно быть качественным, актуальным и конкурентноспособным. А с учетом планов маркетологов по выпуску 2–3 уроков в неделю, это было более чем призрачно.

Какие выводы я сделал для себя? Во‑первых, несмотря на такой опыт, я все еще люблю преподавать, только исключительно в оффлайн формате: при прямом взаимодействии и живым общением со студентами. Во‑вторых, вопреки популярному мнению, что блогеры ничего не делают и только снимают свои дурацкие видео, это очень большая и тяжелая работа: если делать качественно и вдумчиво, то, как я и сказал выше, процесс записи может занимать очень долгое время и требовать больших физических усилий.

Прилагаемое видео — один из демо видеоуроков, который мы записали и смонтировали. Понимаю, что не у всех есть возможность посмотреть в YouTube, поэтому я залил видео во 📺 ВКонтакте. Желаю приятного просмотра.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Зачем ограничивать связь?

Если это для борьбы с БПЛА, то можно же отследить странное перемещение сигнала от вражеского мобильного устройства даже без GPS данных от него, используя Location‑based services (LBS) + MLP + подключить в наше время к анализу ИИ. Сразу выборочно направлять данные о подозрительном объекте «куда следует» и блокировать. Чем больше станций — тем точнее, но почему‑ то наоборот «массово демонтируют оборудование провайдеров на опорах „Россетей“ — вредительство?»


Вот выдержка из гугла:

1. Как провайдер определяет скорость

Оператор не просто видит местоположение, он анализирует динамику изменения сетевых параметров:

• Частота хендоверов (Handover Rate): Это основной показатель. Если телефон переключается между базовыми станциями (Cell ID) каждые 30–60 секунд, алгоритмы сети понимают, что объект движется по трассе или в поезде. Зная расстояние между вышками, система вычисляет среднюю скорость.

• Доплеровский сдвиг (Doppler Shift): При быстром движении частота радиоволны меняется (эффект Доплера). Оборудование базовой станции измеряет это отклонение, что позволяет определить мгновенную скорость объекта относительно вышки.

• Изменение Timing Advance (TA): Параметр TA определяет задержку сигнала и расстояние до вышки (шагами по ~550 метров). Если значение TA быстро уменьшается или растет, оператор видит радиальную скорость сближения или удаления.

2. Как провайдер определяет высоту (Z-координату)

Это более сложная задача, но в современных сетях (LTE/5G) она решается так:

• Протокол LPP (LTE Positioning Protocol): Сеть может запросить у смартфона данные его внутренних датчиков. Если в телефоне есть барометр, он передаст данные о давлении в зашифрованном виде оператору, что даст точность высоты до 1–3 метров.

• MDT (Minimization of Drive Tests): Это функция, при которой смартфоны анонимно передают отчеты о качестве покрытия, включая GPS-координаты (в том числе высоту над уровнем моря), если навигация включена.

• UTDOA (Uplink Time Difference of Arrival): Несколько вышек фиксируют время прихода сигнала с точностью до наносекунд. Разница во времени позволяет построить 3D-модель и вычислить высоту (Z), даже если у телефона нет GPS или барометра. Это метод «обратной триангуляции».

• Анализ диаграммы направленности: Антенны на вышках имеют определенный наклон (Tilt). Анализируя, какой сектор и под каким углом принимает сигнал, система может предположить, находится ли абонент на земле или на верхних этажах небоскреба.

3. Где эти данные обрабатываются?

В архитектуре сети за это отвечают специальные узлы:

• GMLC (Gateway Mobile Location Centre): Шлюз, который собирает и выдает координаты внешним сервисам (например, экстренным службам 112).

• LMF (Location Management Function): В сетях 5G этот узел отвечает за сложные вычисления 3D-позиционирования в реальном времени.

Всепомнят захватывающий монолог Вигго Тарасова из фильма «Джон Уик», когда он рассказывал легендарную историю про «Бабу ягу» и уби**тво им трех человек... карандашом? Я думаю, 9 из 10 человек ответят утвердительно. А слышал ли кто‑нибудь из вас не менее захватывающую историю про открытие металлического сейфа... деревянной палочкой для суши? Я думаю тут таких не будет, поэтому исправляем ситуацию.

В рамках аппаратных исследований к нам на реверс‑инжиниринг в этот раз попал сейф EASY SAFE от китайской компании JIANGSU SHUAIMA SECURITY TECHNOLOGY с электронным замком. В соответствии с инструкцией на сейф можно установить 2 кода: пользовательский и дополнительный, каждый длиной от 3 до 8 символов. Для этого необходимо открыть сейф и нажать красную кнопку на внутренней части двери.

Кажется, безопасно, если не несколько НО!

Во‑первых, вышеназванная красная кнопка просто огроменная, что делает ее достаточно легкой целью.

Во‑вторых, наличие технического отверстия aka дырки аккурат напротив кнопки.

Следовательно, если владелец сейфа не прикрутил его к бетонной стене или иному недвижимому объекту, он подвергает себя большому риску.

И это только начало и, по сути, вершина айсберга «безопасности». В общем, не буду больше спойлерить. Остальные файндинги и полный разбор‑исследование данного аппарата можно будет почитать у меня на Хабре в скором будущем ;) Stay tuned!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

SRE vs ИБ: как не сломать продакшен, пока его защищаешь

Есть две команды, которые искренне хотят одного и того же — чтобы всё работало. Только вот «работало» они понимают немного по-разному. SRE хочет, чтобы сервис не падал. ИБ хочет, чтобы его не взломали. И в точке их встречи рождается… продуктивное напряжение. Об этом и поговорили Михаил Савин, Александр Глухих и Александр Трифанов с гостем подкаста Владимиром Кочетковым — руководителем AppSec Research из Positive Technologies. Получился разговор, в котором никто не делал вид, что всё под контролем.

Что на повестке

Зоны ответственности SRE и ИБ пересекаются там, где цена ошибки выше всего: в продакшене, в инцидентах и в CI/CD. В выпуске обсуждаем, почему автоматические сканеры закрывают не все проблемы, как приоритизировать уязвимости, не останавливая релизы, и кто в итоге отвечает за безопасность системы — особенно в тех самых «ничейных зонах».

Отдельно досталось теме ИИ: почему код, сгенерированный нейросетью, часто приходит с бонусными уязвимостями в комплекте — и что с этим делать.

Если вы когда-нибудь наблюдали конфликт между «нам нужно катить быстрее» и «нам нужно закрыть эту дыру» — этот выпуск про вас.

Слушайте и смотрите на площадках

• 📺 YouTube

• 💻 Rutube

• 🛫 На любимой платформе

И подписывайтесь на телеграм-канал Avito SREда

Ещё больше экспертизы собрали для вас на сайте: смотрите наши лонгриды, новости, плейлисты видео. А узнать, как стать частью команды AvitoTech, можно вот здесь.

Когда инсайдер становится угрозой бизнесу. Интервью с ИБ-юристом

Где грань между безопасностью и контролем за сотрудниками? Как компании защититься от внутреннего нарушителя? Что по этому поводу говорит существующая судебная практика?

На эти (и не только) вопросы в интервью РКБ ответил Илья @ilya_bashkirov Башкиров.

По ссылке:

• Когда наступает ответственность за использование инсайдерской информации и как она устанавливается?

• Распространение инсайдерской информации это всегда вина сотрудника? Или может быть вина организации, которая не выстроила процессы защиты?

• Говоря о DLP-системах и контроле, где лежит грань между обеспечением безопасности и вторжением в частную жизнь сотрудника, которую компания не может переступать?

• Может ли снимок экрана стать цифровым доказательством?

• Какие действия необходимо предпринять компании, если работодатель заподозрил инсайдера?

… и многое другое

Я отвечаю за процессы и репутацию (SERM). Раньше мы отдавали по 40–50 тыс. рублей в месяц за enterprise‑сервисы мониторинга. Но платить столько ради пары десятков упоминаний продукта в день — это забивать гвозди микроскопом.

Задача: прилетел негатив — мы моментально об этом узнали. Я спроектировал логику, а разработчик собрал инструмент. Архитектура простая, но на 100% закрывает боли.

1. Сбор данных
Свой парсер на Python. Где площадки отдают данные по API — берем напрямую. Остальное тянем через Selenium с ротацией прокси от банов.

2. Оценка сарказма
Классический текстовый анализ сыпался на фразах вроде «Отличный сервис, ждал ответа сутки, спасибо!». Подключили LLM по API. Принципиально не брали тяжелые флагманы — для задачи «ругают/хвалят» они избыточны и дороги. Взяли легковесную gpt-4o-mini. Она щелкает скрытый негатив идеально, а косты режутся в десятки раз.

3. Алерты
Если нейронка видит проблему (например, баг на чекауте) — скрипт через aiogram кидает пуш в рабочий Telegram со ссылкой на отзыв.

Итог: время реакции на негатив сократилось с 2 дней до 1 часа. Бюджет — около $5/мес на токены и копейки на VPS.

А как вы решаете задачу мониторинга своих продуктов? Платите за YouScan/Brand Analytics или собираете внутренние велосипеды?

Telegram наносит ответный удар: мессенджер в ответ на блокировку убивает оборудование РКН дудосом.

Что происходит

В последние дни пользователи Telegram в России столкнулись с серьёзными проблемами в работе мессенджера. Ситуация развивается на фоне активных блокировок нежелательного контента самим Telegram и последующих технических проблем с инфраструктурой.

Техническая сторона проблемы

По данным DTF, прокси-серверы Telegram начали генерировать миллиарды запросов в секунду к системам ТСПУ Роскомнадзора. Это происходит в ответ на попытки блокировки: когда РКН проверяет доступность мессенджера для последующей блокировки, прокси-серверы Telegram отвечают массовыми «мусорными» запросами, перегружая оборудование ведомства.

• Перегрузка инфраструктуры: оборудование интернет-провайдеров не справляется с обработкой такого объёма запросов

• Каскадные сбои: в некоторых регионах наблюдаются нестабильная работа сервиса

• Побочные эффекты: зафиксированы случаи, когда из-за сбоев начали работать ранее заблокированные платформы, а "белые списки" (перечни разрешённых ресурсов) перестали функционировать должным образом
  
  Важно: данная информация исходит из неофициальных источников и требует подтверждения.

Контекст: блокировки контента

Проблемы возникли на фоне того, что сам Telegram активизировал блокировку каналов с нежелательным контентом. Это могло спровоцировать изменения в работе протоколов мессенджера и, как следствие, повлиять на характер сетевого трафика.

Реакция властей

Депутаты Госдумы обратились к Роскомнадзору с требованием объяснить причины замедления работы Telegram в России. Парламентарии выразили обеспокоенность массовыми жалобами пользователей на сбои в работе мессенджера.

Интересно, что претензии к регулятору поступают именно после того, как Telegram начал самостоятельно блокировать контент — действие, которое ранее от платформы активно требовалось.

Что это значит для пользователей

• Возможны задержки в доставке сообщений

• Нестабильная работа при загрузке медиафайлов

• Региональные различия в качестве связи

• Непредсказуемость работы сервиса в ближайшее время

Кто победит в этой битве? Я ставлю на телеграмм! Паша умный малый.

С моей точки зрения, программно‑аппаратный хакинг — это понимание того, как устроен объект исследования на самом низком уровне. Плата, компоненты, соединения и защитные механизмы — это первое, что мы изучаем, получив в руки новую «игрушку» для исследований.

И одна из задач специалистов в этой области — реверс‑инжиниринг. Мы разбираем устройство не ради разборки, а для чтобы понять его архитектуру, логику работы и способы защиты. И одним из инструментов, который для этого используется, является рентгеновское просвечивание.

Главная задача рентгена — это помочь нам разобраться в том, как разведена плата, где расположены ключевые компоненты и как они соединены между собой.
Кроме того, с учетом развития этого направления и роста ИБ‑зрелости вендоров‑разработчиков IoT, многие устройства специально проектируются для того, чтобы затруднить исследование: с ловушками, скрытыми дорожками, экранами, защитными слоями и другими элементами, которые не видны снаружи. Особенно это актуально в случаях, когда устройство или его отдельные узлы намеренно залиты компаундом. В таких обстоятельствах обычный визуальный анализ почти бесполезен, и на помощь приходит рентген, который позволяет понять, что именно скрыто внутри, без разрушения объекта на первом этапе.

Для нашей команды это не экзотика и не разовая практика, а стандартный рабочий инструмент. Мы располагаем необходимым оборудованием для выполнения таких исследований и регулярно используем рентгеновское просвечивание как часть базового процесса анализа устройств. Это позволяет нам быстрее получать представление о внутренней архитектуре изделия, заранее выявлять потенциальные антитамперные механизмы и аккуратнее планировать дальнейшие этапы реверс‑инжиниринга.

Возвращаясь к фото на превью: сможете ли вы сказать, какие компоненты присутствуют на плате, их предназначение и, в принципе, что это за устройство?

🧠 Обязательно поделись с теми, кому это может быть полезно:
💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Я считаю.

Что вместо того, чтобы отключать везде Интернет, лучше бы запретили использование видеокамер, оснащённых не доверенным не отечественным ПО. А то уже появляются сведения. В принципе некоторые типа «российские оппозиционеры», на деле работающие на иностранные спецслужбы, ранее (ещё года 3 назад) уже заявляли, что могут смотреть камеры в Москве.

«Обёртка» для системы мониторинга системного журнала операционной системы с открытым исходным кодом.

Концепция заключается в адаптивности решения. Написана на «bash» с использованием лингвистической модели с китом.

Код

Попадая в подсеть контроллера домена, первое, что делает любой пентестер, это перебор учётных записей пользователей (Kerbrute атака). Существует много статей об этом типе эксплуатации, но в каждом источнике авторы используют заранее подготовленный словарь (Смиты, Джоны, Уайты...), который не слишком точно соответствует реальной жизни. Сегодня мы попытаемся заполнить этот пробел и создать универсальный рабочий словарь для атаки Kerbrute в российской среде AD.

Первое, что нам нужно сделать — понять, как администраторы создают учётные записи в домене, а точнее — каков шаблон имён пользователей. Лучшей практикой для корпоративных имён пользователей является сочетание фамилии человека и первой буквы его имени, например в моём случае — iglinkin@corporate.local или i.glinkin@corporate.local. Шаблон зависит от политики безопасности компании и может выглядеть так: ivanglinkin@corporate.local, glinkini@corporate.local, glinkin.i@corporate.local, glinkinivan@corporate.local, или даже просто фамилия — glinkin@corporate.local

Для более точного определения формата пентестеры изучают сайты организаций и посещаемых ими публичных мероприятий: там как раз и указан верный формат. Например, в Microsoft используют формат ИФамилия@microsoft.com: John Winn имеет почту jwinn@microsoft.com.

Как мы можем видеть, фамилия является основной частью корпоративного логина. Имя не так важно, так как используется только первая буква, поэтому нам даже не нужно знать настоящее имя — достаточно просто добавить букву перед или после фамилии. Следовательно, следующий самый сложный и одновременно важный этап — собрать данные о фамилиях.

Мониторя интернет, я нашёл интересный источник https://woords.su/full-name/russian-surnames: в нём содержится почти полный список русских фамилий, в том числе уже c окончаниями "а" для женской половины. Ну а дальше дело техники: создаем скрипт,
for p in {1..2234}; do curl -shttps://woords.su/surnames/russian/page-$p | grep "<tr><td>" | sed 's/<tr><td>/\n/g' | sed 's/<\/td><td>/\n/g' | cut -d "/" -f 5 | cut -d "\"" -f 1 | sed 's/surname-//g' >> surnames.txt; done
который парсит все фамилии и кладет в файлик surnames.txt.

Далее генерируем простой словарь с буквами. Его можно даже создать вручную, там всего-то будет 28 букв (минус Ë, Й, Ъ, Ы, Ь - так как с них имена не начинаются): a, b, v, g , d, e, zh, z, i, y, k, l, m, n, o, p, r, s, t, u, f, h, ts, ch, sh, shch, yu, ya.

Последний шаг — это добавить каждую букву перед каждой фамилией. Что может быть проще?
for name in $(cat one_letter.txt); do for surname in $(cat lastnames.txt); do echo $name$surname; done;done
Полный список username'ов будет состоять из чуть более 9 миллионов. Достаточно много, но, как показывает моя практика, они перебираются за 1.5 часа через kerberos_enumusers от метасплоита.

Используя этот универсальный метод, можно... в общем, можно сделать массу того, чего делать не стоит ибо большой брат придет за вами.
А для исследовательских целей велком ко мне на 📱 GitHub и скачивайте уже подготовленные словари для ваших текущих проектов.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

^ != <<

Знаете ли вы, что некоторые используют оператор '^' для возведения в степень? Хотя в ряде языков он действительно отвечает за возведение в степень, во многих популярных стеках разработки этот оператор выполняет операцию исключающего ИЛИ (XOR). Мы разберём, к каким последствиям приводит подобная путаница, и покажем реальный пример этой ошибки в механизме работы очереди внутри популярной библиотеки.

Разговоры вокруг отечественного связного 💬 Макс не унимаются с момента его официального выхода. Блогеры по всему миру "изучают" безопасность приложения, выискивая, куда он "ходит" и какую "секретную" информацию передает. В основном, все инфоповоды крутятся вокруг изучения манифеста приложения и его разрешений в системе, не углубляясь в изучение сетевых пакетов, исходники и декомпилляцию. А я как раз тот ленивый инфобезник, который еще ни разу не высказался относительно данного вопроса, поэтому исправляюсь.

В прошлую пятницу на весь 🇷🇺 российский интернет прогремела новость: все фото из ваших чатов в Макс может увидеть любой человек по ссылке.

Когда в личный чат или в папку «Избранное» в мессенджере загружается изображение, для него генерируется статичная гиперссылка. Ее можно найти в коде страницы в веб-версии Max. Эта ссылка открывается с других браузеров и устройств без авторизации в мессенджере - обнаружили пользователи. Более того, фото по ссылке останется в открытом доступе, даже если его удалить из переписки в Max.

На лицо классический IDOR. Но если мы проанализируем ссылки на фотографии, которые генерирует Макс, мы обнаружим, что изображения по ним действительно доступны без авторизации. Часть адреса у разных изображений совпадает, однако они содержат различающиеся подстроки длиной не менее 21 символа (минимум 16^21 комбинаций), а значит получить доступ к таким изображениям простым перебором адресов невозможно. Более того, EDR и WAF вас уже на 1000 запросе за несколько секунд обнаружат и отправят отдыхать минут на 5.
Ну а про хранение файлов "закон Яровой" никто не отменял.

А знаете, где еще применяется такая технология? В недавно (октябрь 2024 года) заблокированном мессенджере Discord. Все медиа файлы из приложения можно открыть в исходном качестве по прямой ссылке без регистрации и смс (именно поэтому его многие использовали как файлообменник, а платформа ограничивала размер передаваемого файла 8 мегабайтами). И, о новость, если потом данный файл удалить, он все равно остается доступным по прямой ссылке (см. прилагаемое видео).

Возвращаясь к Максу, не могу не обратить внимание, что его разработчиком является крупнейший IT-гигант Mail.ru. Я лично принимал участие в тестировании его на безопасность в период 2020-2021 годах и могу с уверенностью сказать, что там более чем секьюрно. Кроме того, опыт в обеспечении безопасности ВК, ОК и других массовых продуктов у них уже в генах.

Более того, у Макса есть Bug Bounty программа от Bi.Zone и за некоторые уязвимости там выплачивают до 10 миллионов рублей:

Получение доступа к приватной переписке определенных пользователей - 10 000 000 ₽
Получение доступа к местоположению определенных пользователей в реальном времени - 4 000 000 ₽
Получение доступа к телефонной книге определенных пользователей - 2 000 000 ₽

За год существования программы, было реально найдено 13 багов, за которые суммарно выплатили 873 тысячи. При указанной выборке я могу сделать вывод, что Макс достаточно безопасен, раз никто пока не смог сорвать джек-пот.

Поэтому, не верьте всему тому, что пишут в интернете: делите все минимум на 10. Ну и конечно, что попадает в интернет - остается в интернете, поэтому не забывайте про цифровую гигиену.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Сделать ИИ подотчетным? Теперь это реально

Пока статья набирает просмотры, выкатили DCL Evaluator - v1.1.0 с webhook API. Любой LLM pipeline получает криптографическое доказательство каждого решения за 3 строки кода. Tamper-evident. Offline-capable. 🔗 fronesislabs.com ⭐ GitHub