🚨 Утечка 300 млн аккаунтов: данные в дарквебе

Компания Proton сообщила о крупнейшей утечке — 300 миллионов логинов и паролей уже попали на дарквеб. Почти половина записей содержит реальные пароли.

🟢 Источник данных неизвестен — похоже, утечка собрана из множества взломов последних лет.

🈁 Proton запустила новый сервис Breach Observatory, который отслеживает реальные инциденты. Только в 2025 году зафиксировано 800+ утечек, а 70 % из них пришлись на малые компании.

⚠️ Что делать:

— Проверьте почту через любой сервис проверки утечек (Have I Been Pwned, Proton Breach Observatory);

— Срочно смените повторяющиеся пароли;

— Включите 2FA;

— Не переходите по ссылкам в письмах о «смене пароля» — возможен фишинг.

📊 Факт: 300 млн комбинаций уже торгуются в дарквебе — это топливо для атак и спама. Чем раньше защитите свои учётки, тем лучше.

🔗 Источник

🐸 Библиотека хакера

#cve_bulletin

📎 Сводка утечек и атак

🔜 Dentsu / Merkle — утечка данных

Dentsu сообщает о безопасности инцидента в сети своей американской дочерней компании Merkle: похищены данные сотрудников и часть клиентской информации, часть систем отключали для расследования.

🔜 Ribbon Communications — компрометация (telecom)

Поставщик телеком-решений Ribbon подтвердил взлом: злоумышленники имели доступ к сети почти год и получили файлы клиентов — в т.ч. правительственных и крупных операторов.

По оценке аналитиков, инцидент связан с актором с государственным ресурсообеспечением.

🐸 Библиотека хакера

#cve_bulletin

🚩 Whisper Leak: новая атака на AI-чаты

Microsoft обнаружила атаку, позволяющую определять темы разговоров с AI, даже если трафик зашифрован HTTPS.

Атакующий анализирует размеры пакетов и временные интервалы при стриминге ответов — классификатор определяет тему с точностью >98% для моделей Mistral, xAI, DeepSeek и OpenAI.

✅ OpenAI, Microsoft и Mistral уже внедрили защиту.

📎 Источник

🐸 Библиотека хакера

#cve_bulletin

🚶‍♂️ Свежие CVE — 9 ноября 2025

🎥 CVE-2025-0977 — use-after-free в Rust openssl crate (bpfman)

Критическая дыра в связке Rust + OpenSSL. Use-after-free при обработке SSL-объектов → потенциальный RCE. Затрагивает проекты с bpfman и старыми версиями openssl.

Фикс: обновить crate openssl и bpfman. Проверить зависимости в CI/CD.

🎥 CVE-2025-54399 / CVE-2025-54402 — командные инъекции в сетевом оборудовании

Цепочка уязвимостей: command injection + buffer overflow в прошивках. RCE с системными правами или DoS. Активной эксплуатации пока нет, но дело времени.

Фикс: обновить прошивки, закрыть админки извне, включить логи.

🐸 Библиотека хакера

#cve_bulletin

🚨 Fortinet FortiWeb взломан

Zero-day уязвимость CVE-2025-64446 УЖЕ эксплуатируется хакерами в реальных атаках.

🎥 Что происходит:

Path Traversal → чтение любых файлов системы → удалённое выполнение кода

⚠️ Если у вас FortiWeb — вы под ударом ПРЯМО СЕЙЧАС

🎥 Что делать:

— Накатить патч немедленно
— Закрыть админку от внешнего доступа
— Проверить логи на следы взлома

📎 Источник

🐸 Библиотека хакера

#cve_bulletin

🚨 WordPress плагин с бесплатными донатами

Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно

⚠️ Кто под ударом:

CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей

🔴 Почему это работает:

— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на /cp_contactformpp_ipncheck
— Система считает что деньги пришли

🎥Что под угрозой:

— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid

🎥 Что делать:

— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте

🔗 Обновить плагин
🔗 Детали уязвимости

🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#cve_bulletin

⚠️ OpenPLC ScadaBR — XSS, подтверждённая эксплуатация

CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.

Что важно знать:

➡️ Затрагиваемые версии:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)

➡️ Контекст: уязвимость эксплуатируется в среде ICS/OT — там, где каждая панель, насос или контроллер реально управляют физическими процессами.

➡️ Риски: XSS в SCADA — это не про всплывашку в браузере. Это про возможность подменить показания, внедрить вредоносный JS и получить точку входа в автоматизацию.

🔗 Читать подробнее

🐸 Библиотека хакера

#cve_bulletin

🔐 Главный инцидент начала декабря: React2Shell

В начале месяца индустрия столкнулась с одной из самых серьёзных уязвимостей года — React2Shell. Ошибка в серверных компонентах React (RSC) открывала возможность удалённого выполнения кода без аутентификации — фактически полный контроль над сервером приложения.

➕ Что затронуто:

Фреймворки и инструменты, использующие RSC:
• Next.js
• React Router
• Waku
• Vite RSC
• Parcel RSC
• кастомные RSC-решения

Уязвимые версии React: 19.0.0–19.2.0.
Степень угрозы: CVSS 10.0.

➕ Как реагировало сообщество:

— разработчики массово обновляли зависимости
— компании запускали сканирование продакшена
— вендоры публиковали технические рекомендации и патчи
— уязвимость включили в списки критических угроз, требующих немедленных мер

‼️ React2Shell стала ключевой темой безопасности, резко повлияв на процессы разработки и эксплуатацию современных фронтенд-фреймворков.

Почитать 🔜

🔗 Блог BI.ZONE
🔗 Блог React.dev

🐸 Библиотека хакера

#cve_bulletin