
Всё самое интересное из мира кибербезопасности /** с моими комментариями
1) Скоро в WhatsApp появится функция, которую пользователи ждали годами: возможность создавать уникальные никнеймы вместо того, чтобы светить своим мобильным номером.

Новая система идентификации позволит общаться, не раскрывая свой мобильный ни на старте, ни в процессе диалога.
Нововведение ориентировано в первую очередь на приватность. Теперь, если кто-то начнёт разговор без предварительного обмена контактами, он увидит только ваш псевдоним, но не номер. Это серьёзно затруднит навязчивым собеседникам и мошенникам доступ к личной информации и каналам связи.
/** Ну что ж, ждём и для Андройда. Вообще, хорошо, что постепенно WhatsApp пытается догонять другие мессенджеры в т. ч. и в безопасности.
2) GigaChat будет интегрирован с операционной системой Astra Linux.

На конференции «Цифровая индустрия промышленной России» (ЦИПР) в Нижнем Новгороде Сбер и «Группа Астра» заключили меморандум о стратегическом сотрудничестве в сфере развития технологий искусственного интеллекта.
Ключевое направление сотрудничества — интеграция нейросетевой модели Сбера GigaChat для операционной системы Astra Linux. Это позволит разработать умных помощников, улучшить пользовательский опыт и расширить функциональность отечественного программного обеспечения для граждан и бизнеса в единой доверенной среде на базе российских операционной системы и нейросети.
/** У меня эта новость прошла все стадии принятия, только первой стадией был не гнев, а ирония. Ну неожиданно как-то, не привычно что ли. В целом, подобные партнёрства очень нужны. Мы, как страна, можем себе позволить какое угодно отставание от США и Китая по UX\UI, но вот по искусственному интеллекту и его использованию существенного отставания допустить нельзя!
3) На пленарной сессии той же конференции ЦИПР премьер-министр РФ Михаил Мишустин заявил, что российские IT-решения, которые созданы с нуля и не зависят от международных продуктов в открытом доступе, должны получить приоритет при государственных закупках.

Он подчеркнул, что при включении в реестр российского программного обеспечения должны отдельно маркироваться так называемые нативные приложения и решения, которые разработаны с нуля и не зависят ни от чего. «Я имею в виду, от международных продуктов, которые в том числе находятся в открытом доступе», — уточнил глава правительства. Такие решения, по его словам, должны быть приоритетными при госзакупках.
/** А вот эта новость как была на стадии иронии, так на ней и осталась ) Ну как это комментировать? Тогда и языки разработки надо тоже учитывать, чтобы они были "с какого-то нуля" отечественными... А то, что поддержка и развитие подобного ПО будет на порядки дороже, чем того, которое построено с использованием Open Source и, что самое главное - безопасность подобного ПО будет никакая? Ну да ладно. Я уверен, что слова Мишустина вырвали из контекста. Он очень умный и продвинутый с т. з. ИТ.
4) Минцифры поддержало идею установки на новые компьютеры и ноутбуки российской ОС: Astra Linux, «Альт» или Red OS.

Сначала российские ОС хотят ставить в довесок к Винде, но потом они могут вытеснить зарубежное ПО полностью, как потребовал Путин.
/** Какой хитрый план... Ведь сразу решается две проблемы: импортозамещение и демография. Представляете насколько чаще начнёт звучать "ты можешь приехать и поставить мне винду?" после того, как эта инициатива реализуется? Гениально.
5) Вышел первый релиз нового проекта OWASP по уязвимостям бизнесс логики.

Топ построен путем анализа уязвимостей 2023-2025 большой языковой моделью.
/** Собственно вот ТОП:

Всё, что выпускает OWASP надо самым внимательным образом изучать.
6) Meta* и Yandex использовали скрытую технологию отслеживания, связывающую действия пользователей в браузере с их аккаунтами в Android-приложениях.

Нативные приложения Facebook*, Instagram* и несколько приложений Яндекса (включая Карты и Браузер) прослушивали фиксированные порты localhost на устройствах Android для получения данных из веб-скриптов, встроенных на миллионы сайтов.
Эти JavaScript-скрипты — Meta* Pixel и Яндекс.Метрика — запускаются в мобильном браузере и устанавливают соединение с приложениями через сокеты localhost. Через них передаются метаданные, cookie и команды, включая идентификаторы устройств, такие как Android Advertising ID (AAID).
Это позволяет деанонимизировать пользователей, связывая их поведение в браузере с учётными записями.
/** Ужасно конечно. Как написано в самой статье, после её выхода и бурной реакции общественности уже 3 июня, и Meta* и Яндекс исправили свои скрипты и больше не занимаются подобным. К слову, эта практика у Яндекса работала аж с 2017 года.
Стоит констатировать факт - крупные компании (телеком, банки, интернет-платформы) знают о нас если не всё, то очень много. И будет очень хорошо, если все ограничится только таргетированием рекламы.
* Компания Meta (соцсети Facebook и Instagram) признана экстремистской и её деятельность запрещена в РФ.
7) Критическая дыра в Auth0 PHP SDK: достаточно куки, чтобы взломать сайт.

Если вы используете Auth0 PHP SDK для авторизации пользователей через соцсети или корпоративные учётки — стоит срочно проверить версию. Исследователи сообщили о критической уязвимости, которая позволяет атакующему выполнить произвольный код на сервере, просто отправив cookies. Уязвимость получила идентификатор CVE-2025-48951 и очень высокий балл по шкале CVSS — 9.3.
Вы под угрозой, если используете auth0/auth0-php версии от 8.0.0-BETA3 до 8.3.0 или сторонние обёртки на его базе:
auth0/symfony
auth0/laravel-auth0
auth0/wordpress
/** Обновляйтесь. Все патчи уже вышли.
8) Microsoft представляет бесплатную программу кибербезопасности ЕС для правительств.

Microsoft объявила о новой Европейской программе безопасности, которая обещает укрепить кибербезопасность европейских правительств.
Программа расширяет существующую Программу правительственной безопасности Microsoft, которая бесплатна для всех стран Европейского союза, включая государства-кандидаты, членов Европейской ассоциации свободной торговли (ЕАСТ), Великобританию, Монако и Ватикан.
Технологический гигант отметил, что программа в первую очередь направлена на предотвращение атак со стороны поддерживаемых государством субъектов в России, Иране, Китае и Северной Корее, которые активизировали свои операции против ЕС.
/** Вспомнился мем:

Я читал эту новость и улыбка не сходила с моего лица. Какие же Microsoft (американцы) заботливые. Всё бесплатно и сразу для всех европейских правительств! Чудо, просто чудо от создателей всего самого технологичного шпионского ПО в мире! Европа, соглашайся сразу, что тут думать?
Безопасной вам недели!
Подписывайтесь на мой Телеграм!
Предыдущая неделя <-- week Sec News