惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

MyScale Blog
MyScale Blog
Microsoft Azure Blog
Microsoft Azure Blog
H
Help Net Security
N
News and Events Feed by Topic
Recent Announcements
Recent Announcements
D
Docker
M
MIT News - Artificial intelligence
L
LangChain Blog
I
InfoQ
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
P
Proofpoint News Feed
博客园_首页
MongoDB | Blog
MongoDB | Blog
美团技术团队
S
Schneier on Security
G
GRAHAM CLULEY
月光博客
月光博客
有赞技术团队
有赞技术团队
Vercel News
Vercel News
Scott Helme
Scott Helme
P
Privacy International News Feed
Last Week in AI
Last Week in AI
Recorded Future
Recorded Future
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
The Cloudflare Blog
Attack and Defense Labs
Attack and Defense Labs
Google Online Security Blog
Google Online Security Blog
Simon Willison's Weblog
Simon Willison's Weblog
量子位
S
Security @ Cisco Blogs
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
V
Visual Studio Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
NISL@THU
NISL@THU
N
Netflix TechBlog - Medium
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Spread Privacy
Spread Privacy
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
小众软件
小众软件
罗磊的独立博客
Security Archives - TechRepublic
Security Archives - TechRepublic
T
Threatpost
L
Lohrmann on Cybersecurity
www.infosecurity-magazine.com
www.infosecurity-magazine.com
S
Security Affairs
Cloudbric
Cloudbric
爱范儿
爱范儿
H
Heimdal Security Blog
PCI Perspectives
PCI Perspectives

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
(Не) безопасный дайджест: утечка у Booking.com, McKinsey против ИИ-агента и миллион «не туда»
SearchInform · 2026-05-04 · via Все публикации подряд на Хабре

Время на прочтение6 мин

Охват и читатели3.5K

Дайджест

По традиции рассказываем о самых ярких ИБ-инцидентах за последний месяц. В программе по итогам апреля: кража личных фотографий из крупной соцсети, хакерский налет на конфиденциальные данные путешественников и ИИ-агент, который раскрыл секреты консалтинга. Все подробности — под катом.

Глянул одним глазком

Что случилось: экс-сотрудник компании Meta* в Лондоне скачал более 30 000 изображений с личных страниц пользователей Facebook**.

Как это произошло: больше года назад в Meta обнаружили, что их инженер во время работы в компании получил доступ к личным изображениям пользователей Facebook. Сотрудник разработал программу, которая помогала обходить системы безопасности корпорации и добираться до фотографий пользователей.

Пострадавших пользователей Facebook уведомили об инциденте, подозреваемого немедленно уволили, а системы безопасности — модернизировали. Компания сама передала все данные о нарушении в отдел по борьбе с киберпреступностью Лондона. Сейчас стартовало уголовное расследование.

*Компания Meta Platforms признана в России экстремистской организацией и запрещена.

**Facebook принадлежит компании Meta Platforms, которая признана в России экстремистской организацией и запрещена.

Обслуживание в номер

Что случилось: хакеры взломали Booking.com – один из крупнейших сайтов бронирования жилья – и получили информацию о бронированиях из личных кабинетов пользователей.

Как это произошло: в компании зафиксировали, что неизвестные проникли в их внутренние системы и получили доступ к конфиденциальным данным путешественников.

Расследование показало, что взломщики могли просматривать информацию о бронировании, никнеймы и реальные имена пользователей, адреса электронной почты и физические адреса, а также номера телефонов, привязанные к брони жилья, и любую другую информацию.

Специалисты Booking.com отреагировали на инцидент и обновили PIN-коды для этих бронирований, а также сообщили пользователям об инциденте.

В компании не стали разглашать, сколько человек пострадало от взлома, но добавили, что злоумышленникам не удалось получить доступ к финансовой информации пользователей.

Такого доктор не прописывал

Что случилось: Гонконгская больница столкнулась с утечкой данных более чем 65 тысяч пациентов.

Как это произошло: в начале апреля внутренние системы мониторинга Управления здравоохранения Гонконга засекли взлом и утечку данных медицинских записей жителей Коулун-Ист – одного из крупнейших районов города.

Бюро по кибербезопасности полиции Гонконга провело расследование. Оказалось, за инцидентом стоял специалист по техническому обслуживанию, который работал на компанию-подрядчика Управления. Эта компания поддерживала систему, которая отвечала за работоспособность оборудования в операционных. Поэтому в ее инфраструктуре хранились данные, относящиеся к хирургическим процедурам: имена пациентов, номера их удостоверений личности и больничных карточек, а также подробности проведенных операций. Именно они оказались скомпрометированы.

Полиция изъяла у компании-подрядчика более 60 цифровых устройств, в том числе серверы и мобильные телефоны. Расследование показало, что утечка произошла из хранилищ, которые находились в ведении двух удаленных филиалов компании. Сотрудник подрядчика воспользовался доступом к ним, проник в систему, скачал конфиденциальные данные пациентов и слил их на сторонние ресурсы.

Злоумышленника арестовали, а подрядчику закрыли доступ к системам Управления здравоохранения Гонконга до завершения расследования. Управление по защите персональных данных предупредило пострадавших пациентов об утечке, а также создало специальную горячую линию для обработки запросов.

Агент под прикрытием

Что случилось: ИИ-агент за пару часов раскрыл все секреты McKinsey.

Как это произошло: команда белых хакеров CodeWallAI взломали корпоративную ИИ-платформу Lilli консалтингового гиганта McKinsey. С помощью атакующего ИИ-агента они провели глубокое тестирование на проникновение и обошли защитные фильтры умного ассистента консалтинговой фирмы.

Сначала ИИ-агент обнаружил в открытом доступе детализированную документацию о более чем 200 конечных точках, которые были подключены к платформе по программному интерфейсу (API). Подключение к 22 из них осуществлялось без авторизации, т.е. не предусматривало никакой проверки личности пользователя и была защищена даже паролем.

Далее агент проник в базу данных одной из этих незащищенных точек, и обнаружил, что там хранятся запросы пользователей к платформе Lilli. Хотя значения в ячейках были защищены, но имена полей подставлялись в SQL-запросы через JSON «как есть» — то есть в базе присутствовала классическая SQL-инъекция, которую штатный сканер не заметил. Из-за этой уязвимости имена полей возвращались в сообщениях об ошибках. За пятнадцать попыток исследовательский ИИ-агент восстановил структуру запроса и получил доступ к «живым» данным. Получается, что модель распознала слабое место, которое стандартные инструменты проверки даже не вычислили бы.

Агент пробрался еще глубже. С помощью промпт-инъекций (prompt injections) и манипуляций с механизмом RAG ИИ-ассистент обошел заложенные системные запреты. Оказалось, что модель обращалась к данным с избыточными правами. Более того, через уязвимости в плагинах платформы исследователи смогли реализовать SSRF-атаку (подделка запросов от лица сервера), получив прямой доступ к метаданным облачной инфраструктуры и ключам доступа.

В течение двух часов с момента запуска агента белым хакерам удалось получить полный доступ на чтение и запись ко всей производственной базе данных McKinsey — без паролей и без участия человека. За время атаки они собрали 46,5 млн сообщений в чате, 728 тыс. файлов (из них: 192 тыс. PDF-файлов, 93 тыс. электронных таблиц Excel, 93 тыс. презентаций PowerPoint, 58 тыс. документов Word), 57 тыс. учетных записей пользователей, 384 тыс. ИИ-помощников и 94 тыс. рабочих мест.

Поскольку атака была контролируемой, реального финансового урона McKinsey не понесла, а данные не утекли дальше в даркнет. Однако в рамках теста исследователи нанесли колоссальный «управляемый ущерб»: они продемонстрировали возможность выгружать стратегические документы, инсайдерскую аналитику и строго конфиденциальную информацию о клиентах McKinsey со всего мира.

Атака не привела к сбоям в работе каких-либо производственных сервисов. Результаты исследования передали группе безопасности McKinsey, и все проблемы устранили.

Дисклеймер

Данное исследование (контролируемую атаку) проводили в соответствии с принципами ответственного раскрытия информации и стандартной отраслевой методологией исследований в области безопасности. Все тестирование носило исключительно проверочный характер.

Просто рядом постою

Что случилось: сотрудник банка в Дели помогал кибермошенникам и открывал поддельные счета для кражи денег.

Как это произошло: инцидент произошел еще в октябре 2023 года. Тогда в отдел киберполиции города Дварка поступило заявление о несанкционированном списании 88 тыс. рупий (около 400 рублей) со счета в банке SBI. Перевод отследили до частной кредитной организации RBL, где и трудился подозреваемый менеджер по работе с клиентами.

Сотрудник за вознаграждение открывал по поддельным документам счета, которые потом использовали кибермошенники для кражи денег у жертв. Теперь подельника мошенников нашли и арестовали.

Ранее по этому делу уже задержали четырех человек. Преступники заманивали пострадавших предложениями о работе в соцсетях и сначала платили им небольшие суммы, а потом обманом вынуждали переводить все более крупные суммы обратно (о такой схеме «развода» мы подробно рассказывали в гайде по безопасности в соцсетях). После мошенники выводили деньги с подставных счетов – для этого они и вербовали сотрудников банков – и блокировали жертв. Некоторые жертвы из-за схемы потеряли миллионы рупий.

Расследование продолжается. Пока что Центральное бюро разбирается с масштабом схемы и устанавливает «заказчиков». Предполагается, что случай не единичный — сколько банковских служащих вовлечены и о каких оборотах идет речь, еще предстоит разобраться. В прошлом в (Не) безопасном дайджесте мы рассказывали о похожем преступлении – тогда в Индии арестовали двух человек, которые подкупали работников банков, чтобы создавать «липовые» счета и проводить «липовые» транзакции. Возможно, окажется, что это звенья одной цепи.

Художественный фильм «Украли»

Что случилось: британская нефтегазовая компания Zephyr Energy plc потеряла около 700 тыс. фунтов стерлингов (около 938 тыс. долларов) из-за кибератаки.

Как это произошло: инцидент случился в одном из американских подразделений компании. Во время перевода средств подрядчику кибермошенники смогли вмешаться в цепочку, подменить путь платежа и отправить его на подконтрольный счет. Точной схемы в Zephyr Energy раскрывать не стали, указав на «высокотехнологичность» преступления. Вероятнее всего произошла BEC-атака: в СМИ предполагают, что хакеры взломали почту адресата платежа и в последний момент изменили реквизиты для перевода, чтобы жертвы сами направили деньги на подставной счет. 

Проблему специалисты Zephyr Energy заметили не сразу, а после ее обнаружения обратились в полицию. С тех пор угрозу устранили, а компания отчиталась, что установила дополнительные меры защиты и запустила работу с банками и сторонними консультантами, чтобы вернуть украденные деньги. В компании добавили, что этот эпизод не повлиял на работу основных систем и на операционную деятельность.