🆕 Еженедельный обзор киберновостей SecurityLab

Эта неделя отметилась серьёзными прорывами хакеров: от компрометации Call of Duty через Game Pass до критической уязвимости в sudo, которая дает злоумышленникам root-доступ к системам. Одновременно с этим мир стал свидетелем революционных научных открытий — от пересмотра закона Ома до создания искусственного "сердца звезды" на Земле — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Канада официально отказывается от камер Hikvision из соображений национальной безопасности.

Хакеры превратили популярную игру Call of Duty в поле для атак, взломав тысячи ПК через уязвимость в Game Pass.

За четыре месяца китайские хакеры с помощью трёх CVE и одного руткита обчистили крупнейшие системы половины Европы.

Армия из тысяч поддельных сайтов Apple атакует покупателей по всему миру.

Более ста американских компаний годами платили зарплату северокорейским шпионам, не подозревая об их истинной принадлежности.

🎯 В России

Роскомнадзор подвёл итоги: за полгода произошло 35 утечек данных, затронувших 39 миллионов записей.

Госдума готовит суровые меры: за передачу SIM-карты другому лицу теперь можно получить до трёх лет лишения свободы.

Иностранные мессенджеры и соцсети рискуют исчезнуть с российских экранов, если не выполнят требования властей.

Минцифры строит цифровую систему борьбы с мошенниками: теперь ваш голос станет частью большой игры против аферистов.

Россия ужесточает требования к микрочипам: чтобы стать "своим", придётся отдать 5 миллиардов рублей и 2 года на сертификацию.

👾 Цифровой апокалипсис

Критическая уязвимость в sudo предоставляет любому пользователю root-доступ к системе.

Google обнаружил активно эксплуатируемую уязвимость нулевого дня в Chrome — обновите браузер прямо сейчас.

Исследователи раскрыли, как Google годами создавал защиту, а хакеры взломали её всего за 16 часов.

Обнаружено 352 Android-приложения, которые воруют деньги пользователей прямо сейчас.

Эксперты предупреждают: если вы расплачивались телефоном за кофе, хакеры уже могут знать ваш PIN и номер карты.

⭐️Новости науки и технологий

Учёные создали искусственное "сердце звезды" на Земле: температура достигла 150 миллионов градусов и продержалась 43 секунды.

Физики совершили революцию в материаловедении: эпоха кремния подходит к концу, на смену приходит управляемая материя.

Столетний закон Ома оказался неточным: учёные объяснили, почему привычная формула тока не работает в асимметричных материалах.

Квантовая физика преподнесла очередной сюрприз: учёные доказали, что частицы могут двигаться без энергии.

В России успешно протестировали 50-кубитный квантовый компьютер, который уже решает практические задачи.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

👨‍🔬Мумбаи против Кремниевой долины — 4:0

Стартапы Кремниевой долины снова стали заложниками идеологии «бесконечного роста». Но на этот раз — не из-за пузырей или ИИ, а из-за человека. Один инженер из Индии успевал работать в четырёх стартапах одновременно, обманывая всех.

Пока одни видят в этом симптом токсичного трудоголизма и хаоса на рынке найма, другие считают происходящее предсказуемым. Спрос на эффективность, ориентированный исключительно на хард-скиллы, сделал мошенничество частью бизнес-модели. А удалёнка только развязала руки.

Главная ирония в том, что виноват не только инженер. Слепая вера в метрики и резюме без попытки понять мотивацию сотрудника ведёт к тому, что даже команды Y Combinator нанимают «призраков». Вопрос: кого на самом деле обманули — работодателя или саму систему?


#инсайдеры #удаленка #корпбез @SecLabNews

🔑Гейминг под контроль: кто и как будет рулить отраслью?

Российским разработчикам игр дали домашнее задание: к следующему совещанию представить предложения по стратегии всей индустрии. Один из ключевых пунктов — выбор госоргана, который будет отвечать за гейминг. Ранее АПРИОРИ уже предлагала свою версию стратегии: господдержка — только тем, кто работает на NAU Engine и предустанавливает VK-магазины. Вернутся ли к этим условиям — пока вопрос.

Ещё одна идея на столе — пускать в Россию только те зарубежные игры, что работают через российских издателей. Локализация? Безусловно. Но индустрия опасается, что зеркальные шаги не заставят себя ждать.

Всё идёт к созданию «дорожной карты» — то ли маршрута к росту, то ли кольцевой с односторонним движением.

#видеоигры #регулирование #локализация

@SecLabNews

📇 bitchat: офлайн-мессенджер, который не глушится

Когда сотовая сеть падает по аварии или приказу, коммуникация рушится первой. Разработчик jackjackbits предлагает иной маршрут: смартфоны образуют ячеистую цепь и сами передают сообщения, обходясь без вышек и провайдеров.

Связь держится на Bluetooth LE до 30 м, а каскад узлов увеличивает радиус. Бинарный протокол, адаптивное сжатие LZ4 и порог TTL = 7 ограничивают эфирную «болтовню». Ключи X25519 + AES-256-GCM шифруют, Ed25519 подписывает, фильтры Блума отсекают дубликаты, случайные идентификаторы и задержки скрывают метаданные.

Результат — автономный канал, устойчивый к обесточенным вышкам и DPI. Планируемые модули Wi-Fi Direct, LoRa и мосты Nostr расширят охват от квартиры до километров, не жертвуя шифрованием. Администраторам трафика придётся искать рычаги контроля уже вне привычной инфраструктуры.

#Bluetooth #локальнаяСеть #инфобез

@SecLabNews

🎭 Шесть нажатий Ctrl+C против всей системы защиты Linux

Механизмы шифрования, пароли на загрузчик и Secure Boot внезапно оказались бесполезны. Исследователь из ERNW Александр Мох показал, как с одним USB-накопителем и терпением можно получить контроль над системой — даже если она «максимально защищена». Виной тому — отладочная консоль, которая активируется при сбоях дешифровки root-раздела.

Ключевая проблема в том, что Secure Boot проверяет только ядро и модули, но не initramfs. Злоумышленник может вызвать шелл (например, на Ubuntu 25.04 — через ESC и шесть Ctrl+C), подключить внешний носитель с утилитами, изменить initramfs и внедрить вредоносные скрипты, которые выполнятся при следующей загрузке. Подписанные компоненты при этом остаются нетронутыми — система не видит подмены.

Решение — отключить отладочную оболочку через параметры ядра (panic=0, rd.shell=0), настроить пароль на сам процесс загрузки и зашифровать boot-раздел с помощью LUKS. Пока дистрибутивы не перейдут к единой подписанной сборке ядра и initramfs, уязвимость будет сохраняться.

#Linux #SecureBoot #initramfs

@SecLabNews

Остаётся ли в тайне ваш диалог с ИИ?

Большие языковые модели умеют многое — от помощи в аналитике до написания кода. Но за удобством скрываются риски: утечки данных, нарушение комплаенса, потеря интеллектуальной собственности.

🔐 На вебинаре 9 июля расскажем:

— Что происходит с вашими данными в ChatGPT, Claude, Perplexity, Gigachat и других.
— Как отличаются политики конфиденциальности вендоров.
— Что можно, а что нельзя отдавать внешним LLM.
— Как настроить корпоративные правила безопасного использования ИИ.
— Как защитить свои данные от попадания в обучающие датасеты.

🎯В финале — готовый шаблон политики + чеклист для компаний.
И всё это — на реальных кейсах.

👉 Присоединяйтесь: разберём, как использовать LLM с пользой и без риска.