en
Feedback
T.Hunter

T.Hunter

Open in Telegram

Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #news #cve #article Номер заявления: 6780098298

Show more
Russia46 282News & Media14 690

📈 Analytical overview of Telegram channel T.Hunter

Channel T.Hunter (@tomhunter) in the Russian language segment is an active participant. Currently, the community unites 14 386 subscribers, ranking 14 690 in the News & Media category and 46 282 in the Russia region.

📊 Audience metrics and dynamics

Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 14 386 subscribers.

According to the latest data from 20 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by -57 over the last 30 days and by -2 over the last 24 hours, overall reach remains high.

  • Verification status: Not verified
  • Engagement rate (ER): The average audience engagement rate is 15.36%. Within the first 24 hours after publication, content typically collects 6.54% reactions from the total number of subscribers.
  • Post reach: On average, each post receives 2 210 views. Within the first day, a publication typically gains 941 views.
  • Reactions and interaction: The audience actively supports content: the average number of reactions per post is 17.
  • Thematic interests: Content is focused on key topics such as юзер, взлом, патч, расширение, clickfix.

📝 Description and content policy

The author describes the resource as a platform for expressing subjective opinions:
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #news #cve #article Номер заявления: 6780098298

Thanks to the high frequency of updates (latest data received on 21 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the News & Media category.

14 386
Subscribers
-224 hours
-217 days
-5730 days

Data loading in progress...

Similar Channels
SecurityLab.ru
82.8K
SecurityLab.ru
Пост Лукацкого
37.0K
Пост Лукацкого
Investigation & Forensic TOOLS
21.9K
Investigation & Forensic TOOLS
Нетипичный Безопасник (Мефодий Келевра)
9.9K
Нетипичный Безопасник (Мефодий Келевра)
Hacker News
8.5K
Hacker News
avatar
1
More channels
Tags Cloud
юзер38
взлом16
патч12
расширение12
clickfix11
cve11
браузер9
домен9
обход9
скрипт9
эксплойт9
инцидент8
api7
aws7
chrome7
группировка7
утечка7
apt6
апэтэшечки6
вариация6
Incoming and Outgoing Mentions
---
---
---
---
---
---
Attracting Subscribers
June '26
June '26
+31
in 2 channels
May '26
+96
in 6 channels
Get PRO
April '26
+108
in 6 channels
Get PRO
March '26
+109
in 5 channels
Get PRO
February '26
+143
in 7 channels
Get PRO
January '26
+188
in 6 channels
Get PRO
December '25
+131
in 6 channels
Get PRO
November '25
+177
in 9 channels
Get PRO
October '25
+137
in 12 channels
Get PRO
September '25
+135
in 6 channels
Get PRO
August '25
+134
in 10 channels
Get PRO
July '25
+211
in 12 channels
Get PRO
June '25
+170
in 8 channels
Get PRO
May '25
+136
in 12 channels
Get PRO
April '25
+174
in 12 channels
Get PRO
March '25
+149
in 20 channels
Get PRO
February '25
+165
in 6 channels
Get PRO
January '25
+155
in 12 channels
Get PRO
December '24
+236
in 8 channels
Get PRO
November '24
+296
in 8 channels
Get PRO
October '24
+334
in 10 channels
Get PRO
September '24
+271
in 12 channels
Get PRO
August '24
+363
in 19 channels
Get PRO
July '24
+185
in 11 channels
Get PRO
June '24
+236
in 14 channels
Get PRO
May '24
+294
in 16 channels
Get PRO
April '24
+276
in 19 channels
Get PRO
March '24
+414
in 37 channels
Get PRO
February '24
+479
in 20 channels
Get PRO
January '24
+505
in 22 channels
Get PRO
December '23
+341
in 19 channels
Get PRO
November '23
+210
in 10 channels
Get PRO
October '23
+324
in 13 channels
Get PRO
September '23
+360
in 0 channels
Get PRO
August '23
+355
in 0 channels
Get PRO
July '23
+388
in 0 channels
Get PRO
June '23
+275
in 0 channels
Get PRO
May '23
+336
in 0 channels
Get PRO
April '23
+219
in 0 channels
Get PRO
March '23
+282
in 0 channels
Get PRO
February '23
+136
in 0 channels
Get PRO
January '23
+400
in 0 channels
Get PRO
December '22
+265
in 0 channels
Get PRO
November '22
+217
in 0 channels
Get PRO
October '22
+475
in 0 channels
Get PRO
September '22
+579
in 0 channels
Get PRO
August '22
+384
in 0 channels
Get PRO
July '22
+466
in 0 channels
Get PRO
June '22
+324
in 0 channels
Get PRO
May '22
+512
in 0 channels
Get PRO
April '22
+853
in 0 channels
Get PRO
March '22
+1 266
in 0 channels
Get PRO
February '22
+448
in 0 channels
Get PRO
January '22
+758
in 0 channels
Get PRO
December '21
+702
in 0 channels
Get PRO
November '21
+1 750
in 0 channels
Get PRO
October '21
+1 672
in 0 channels
Get PRO
September '21
+758
in 0 channels
Get PRO
August '21
+124
in 0 channels
Get PRO
July '21
+97
in 0 channels
Get PRO
June '21
+59
in 0 channels
Get PRO
May '21
+92
in 0 channels
Get PRO
April '21
+8
in 0 channels
Get PRO
March '21
+22
in 0 channels
Get PRO
February '21
+109
in 0 channels
Get PRO
January '21
+493
in 0 channels
Date
Subscriber Growth
Mentions
Channels
21 June+1
20 June0
19 June+1
18 June0
17 June0
16 June0
15 June+1
14 June+3
13 June0
12 June+1
11 June+3
10 June+1
09 June+2
08 June+3
07 June+1
06 June+2
05 June+1
04 June+2
03 June+6
02 June+2
01 June+1
Channel Posts
T.Hunter
⚽ ЧМ-2026: фейковые сайты, стримы и трояны Старт чемпионата мира встретили волной мошенничества, и ФБР уже выпустило официаль
⚽ ЧМ-2026: фейковые сайты, стримы и трояны Старт чемпионата мира встретили волной мошенничества, и ФБР уже выпустило официальное предупреждение Масштаб: 🔻 Group-IB насчитала 4300+ поддельных доменов FIFA; группа GHOST STADIUM держит 300+ фишинговых страниц, копирующих вход в аккаунт FIFA 🔻 FortiGuard: 13 000+ доменов на тему ЧМ за пять месяцев, ~8,8% — вредоносные или подозрительные 🔻 «Бесплатные HD-стримы» гонят трафик через вредоносные рекламные сети: фейковые антивирусные тревоги, ложные «обновления» и подписочные ловушки 🔻 В пиратских стрим-приложениях прячут Android-банкеры — Kaspersky назвала семейства Massiv и Perseus 🛡 Что делать: билеты — только на fifa.com, если продавец просит крипту — это скам; смотреть у официальных вещателей и не ставить стрим-приложения из сторонних источников @tomhunter Наш канал в MAX

2
🤖 Эксплуатация ИИ: как алгоритмы превращаются в слабое звено ИИ — мощный инструмент, но не застрахован от ошибок, и злоумышл
🤖 Эксплуатация ИИ: как алгоритмы превращаются в слабое звено ИИ — мощный инструмент, но не застрахован от ошибок, и злоумышленники это знают. В 2026 году уязвимости в ИИ всё чаще становятся целью для атак ● Промпт-инъекция. Специально составленные запросы заставляют модель вести себя неожиданно — ИИ в поддержке может раскрыть конфиденциальные данные. Особенно опасно в чат-ботах с финансовыми запросами ● Отравление данных. Обученная на заражённых данных модель усваивает вредоносное поведение — пропускает подозрительные запросы как безопасные или хранит скрытые бэкдоры ● Истощение ресурсов (DoS). Тяжёлые запросы «подвешивают» модель и съедают её ресурсы. Опасно, если ИИ встроен в WAF или SIEM: вывести его из строя — значит открыть брешь в защите Наши пентестеры фиксируют: ИИ — не панацея, а элемент архитектуры, требующий аудита. Без контроля данных и мониторинга он становится не щитом, а дырой. Только комплексный подход спасает от атаки на уровне алгоритмов @tomhunter Наш канал в MAX
1 289
3
🚨 0-day в Oracle PeopleSoft #news Группировка ShinyHunters (UNC6240) использовала критическую RCE-уязвимость CVE-2026-35273
🚨 0-day в Oracle PeopleSoft #news Группировка ShinyHunters (UNC6240) использовала критическую RCE-уязвимость CVE-2026-35273 в Oracle PeopleSoft и скомпрометировала более 100 организаций (~300 уязвимых инстансов). 68% жертв — университеты Почему опасно: 🔻 CVSS 9.8. Дыра в компоненте Environment Management (PSEMHUB): захват сервера без авторизации, просто по сети 🔻 Атаки шли с 27 мая, а патч Oracle вышел только 10 июня — всё это время это был чистый 0-day 🔻 У University of Nottingham украли 40 ГБ данных студентов и выложили на лик-сайт после отказа платить Что делать: > Накатить патч для своей версии PeopleTools (8.61 / 8.62) > Закрыть PSEMHUB-эндпоинты от внешнего доступа > Идти в threat hunting даже после патча, так как атаки начались раньше, чем вышел бюллетень Мораль: ERP с торчащими наружу конечными точками давно перестали быть «внутренней» системой @tomhunter Наш канал в MAX
1 629
4
🔥 Оборотные штрафы за утечку ПДн: как избежать повторного нарушения? С 30 мая 2025 действует новая редакция ст. 13.11 КоАП з
🔥 Оборотные штрафы за утечку ПДн: как избежать повторного нарушения? С 30 мая 2025 действует новая редакция ст. 13.11 КоАП за нарушения 152-ФЗ. Размер штрафа зависит от масштаба утечки, категории данных и повторности За повторную утечку — 1–3% годовой выручки, от 20 млн (от 25 млн для спецкатегорий и биометрии) до 500 млн руб. Отдельно — до 3 млн руб. за неуведомление РКН в течение 24 часов. С декабря 2024 — также уголовная ответственность по ст. 272.1 УК РФ Что делать? ✅ Аудит обработки ПДн и договоров с обработчиками ✅ Мониторинг и логирование — без них не доказать отсутствие халатности ✅ Процесс уведомления РКН: 24ч на первичное, 72ч на итоговый отчёт ✅ Обучать сотрудников и обновлять политики Важно: ответственность несёт оператор, даже если слил подрядчик. Утечка бьёт и по бюджету, и по репутации «Регуляторика — не волокита, а защита от реальных рисков. Лучше вложиться в комплаенс, чем платить штрафы» — наш руководитель проектов по ИБ Щербаков Антон @tomhunter Наш канал в MAX
2 151
5
🛡 Как проверить, не стал ли ваш домен зоной распространения вредоносного ПО — практический гайд Домен внезапно появился в че
🛡 Как проверить, не стал ли ваш домен зоной распространения вредоносного ПО — практический гайд Домен внезапно появился в черных списках DNSBL? Или вы заметили трафик с поддоменов, которых не создавали? Возможно, ваш ресурс используют для распространения вредоносное ПО 🔍 Как проверить репутацию домена 🔹 Проверка в DNSBL dnsblcheck.org или mxtoolbox.com покажут, не занесён ли домен в черные списки за спам 🔹 Реестры Роскомнадзора eais.rkn.gov.ru отслеживает попадание домена в реестр запрещённых 🔹 Мониторинг поддоменов Sublist3r или Amass отслеживают новые поддомены. Чужой поддомен — сигнал о захвате 🔹 Логи веб-сервера и CDN Анализируйте логи на подозрительные запросы и IP ⚠️ Почему это важно? Распространение вредоносное ПО через домен угрожает репутации и грозит блокировкой, штрафами и потерей клиентов. По мнению аналитика ИБ Махматхаджиева Амира, мониторинг домена — часть базовой стратегии ИБ. Не ждите — защищайтесь заранее @tomhunter Наш канал в MAX
2 047
6
🛡️ Вебинар: противодействие шифрованию 9 июня (вторник) в 11:00 обсудим, какие средства помогают противостоять шифровальщика
🛡️ Вебинар: противодействие шифрованию 9 июня (вторник) в 11:00 обсудим, какие средства помогают противостоять шифровальщикам В программе: — обзор 5 решений «Лаборатории Касперского» — длительность 40 минут в формате живой дискуссии Приглашайте коллег и заказчиков, если тема актуальна 🔗 Ссылка для участия
2 472
7
🛡️ Вебинар: противодействие шифрованию 9 июня (вторник) в 11:00 обсудим, какие средства помогают противостоять шифровальщика
🛡️ Вебинар: противодействие шифрованию 9 июня (вторник) в 11:00 обсудим, какие средства помогают противостоять шифровальщикам В программе: — обзор 5 решений «Лаборатории Касперского» — длительность 40 минут в формате живой дискуссии Приглашайте коллег и заказчиков, если тема актуальна 🔗 Ссылка для участия
1
8
🔥 Почему шифровальщики в 2026 году всё чаще атакуют КИИ — экспертный взгляд С 2023 года злоумышленники сменили тактику: шифр
🔥 Почему шифровальщики в 2026 году всё чаще атакуют КИИ — экспертный взгляд С 2023 года злоумышленники сменили тактику: шифровальщики стали частью агрессивной стратегии — уничтожение инфраструктуры, утечки данных, остановка критичных процессов. Особенно уязвимы компании из зоны КИИ 🔍 Причины роста атак в 2026 году: • Высокая стоимость выкупа. КИИ не может позволить себе простой, поэтому выкуп, скорее всего, будет выплачен • Утечки данных. Шифровальщики не только шифруют данные, но и крадут их — это грозит штрафами по 152-ФЗ • Слабая защита на периметре. Многие КИИ используют устаревшие системы; в ход идут фишинг и уязвимое ПО Наш специалист Махматхаджиев Амир отмечает: «Путь атаки один: уязвимость → разведка → захват домена → шифрование и утечка» 🚀 Что делать? — Пентесты и аудиты периметра — MFA для критических сервисов — SIEM и EDR для реагирования — Обучение сотрудников @tomhunter Наш канал в MAX
2 196
9
#news Пятничные новости инфобеза. Microsoft выпустила пост по следам пустившегося во все тяжкие Nightmare-Eclipse. Сам пост н
#news Пятничные новости инфобеза. Microsoft выпустила пост по следам пустившегося во все тяжкие Nightmare-Eclipse. Сам пост непримечательный: раскрывайте уязвимости нам, иначе это криминал, понятненько? Но в сообществе внезапно открылся портал в ад. Багхантеры делятся историями взаимодействия с MSRC, которые проходили по удивительно схожему сценарию: найденную уязвимость помечали как out-of-scope или дубликат и фиксили задним числом — без CVE, признания и выплат. Угрозы тоже не оценили: наши исследования — это наши исследования, что хотим с ними, то и делаем. Не обошлось и без мемов про BB за три сотки на новый лад. В общем, коммьюнити бурлит, багхантеры взбунтовались. Подборка на скрине. Такими темпами обещанное Nightmare-Eclipse явление в июле пройдёт под дружное ликование — у угнетённых белошляпочников появился народный мститель проклятым корпорациям. С анимешной девочкой на аватарке. А как иначе? @tomhunter
2 613
10
#news В сети новое исследование фингерпринтинга браузером через анализ работы SSD. В лучших традициях надругательства учёного
#news В сети новое исследование фингерпринтинга браузером через анализ работы SSD. В лучших традициях надругательства учёного над журналистом пошли заголовки “У сайтов появился новый способ следить за посетителями”. На деле же всё далеко не так просто. Атака получила название FROST, fingerprinting remotely using OPFS-based SSD timing. Если кратко, это побочный канал утечки данных: браузер слушает большой OPFS-файл, нейронка анализирует задержку чтения и может определить, какие сайты посещает юзер и какие приложения у него открыты. Ключевой момент: нейронка, специально натасканная в лабораторных условиях на анализируемом массиве данных. А от лаборатории до реальных применений путь неблизкий; в контексте такой атаки — не факт, что проходимый. Зато заголовки гремят, юзеры поют панихиду приватности, и так до следующего кликбейта. Само исследование здесь (PDF). @tomhunter
2 191
11
#news На Gitea, опенсорсной платформе для хостинга ИТ-проектов, закрыли уязвимость, позволяющую злоумышленнику стянуть приват
#news На Gitea, опенсорсной платформе для хостинга ИТ-проектов, закрыли уязвимость, позволяющую злоумышленнику стянуть приватные образы. Без аккаунта, кредов или доступа в прошлом. Затронуты все версии до 1.26.2. Детали не раскрывают, чтобы дать время накатить патчи — известно, что на эндпоинте реестра не было надлежащей аутентификации. Уязвимость присутствовала около четырёх лет, и форки Gitea советуют считать уязвимыми, пока мейнтейнеры не подтвердят обратное. Forgejo уже сообщила, что у них CVE в наличии. По консервативным оценкам затронуты 30+ тысяч инстансов, был ли эксплойт, неизвестно. У исследователей это всё завёрнуто в “посмотрите, какую уязвимость нашёл наш автономный ИИ-агент для пентеста”, и отчёт читать строго тем, у кого глаза ещё не вытекают от LLM-спика, но хотя бы уязвимость в этом кейсе реальная. @tomhunter
2 031
12
#news CrowdStrike вместе с Google и друзьями нарушила работу С2-инфраструктуры Glassworm — источника атак на цепочку поставок
#news CrowdStrike вместе с Google и друзьями нарушила работу С2-инфраструктуры Glassworm — источника атак на цепочку поставок по разрабам и связанного ботнета. Экосистема наносит ответный удар. Glassworm — кодовое имя для операции по доставке червия на npm, PyPi, VS Code и других платформах, активной с начала 2025-го. Операторы залетели в заголовки в октябре, недавние атаки были в марте и конце апреля. Счастливчики получали на свои устройства инфостилер с RAT, и Glassworm прилично продержался за счёт устойчивой С2 c каналами связи на Solana, BitTorrent DHT, в календаре Google и обычными серверами. Crowdstrike утверждает, что ударили по всем четырём, С2 пала, и заражённые устройства теперь стучат по их безобидному айпишнику. В общем, от ежедневных атак на цепочку поставок устали и в Google и решили добавить в ленту немного позитива. @tomhunter
1 903
13
#news GitLab удалил аккаунт исследователя под ником Nightmare-Eclipse. 23 мая ему заблокировали аккаунт на GitHub и вчера опе
#news GitLab удалил аккаунт исследователя под ником Nightmare-Eclipse. 23 мая ему заблокировали аккаунт на GitHub и вчера оперативно снесли с GitLab, куда он мигрировал после бана. Ещё неплохо продержался. Борец с Microsoft успел опубликовать шесть эксплойтов и останавливаться не собирается. За это время он успел превратиться в героя для выгоревших багхантеров и прочих имевших сомнительное удовольствие взаимодействия с корпорациями. Дошло до сравнений с Мистером Роботом — народная любовь к Microsoft во всей красе. Некоторые спекулируют, что исследователь может быть уволенным из MS инсайдером — слишком уж хорошее знание архитектуры. Сам же Nightmare-Eclipse угрожает встряхнуть Microsoft в патчевый вторник 14 июля, так что поклонники ушедшего в отрыв исследователя могут помечать красный день в календаре. @tomhunter
1 891
14
#news Найджел Фараж, британский политик, обвинил Россию во взломе телефона. И непростом: коварные русские хакеры слили СМИ ин
#news Найджел Фараж, британский политик, обвинил Россию во взломе телефона. И непростом: коварные русские хакеры слили СМИ информацию о том, что Фараж получил £5 миллионов “в подарок” от криптомиллиардера. Увы в историю не верят и в самой UK. Никаких подтверждений и официальных заявлений от Фаража нет, и на фоне этого местный ИБ-регулятор NCSC глубоко обеспокоен: потенциальный премьер-министр заявляет об иностранном вмешательстве,такое нельзя игнорировать. Так что давайте нам пруфы, будем заседать и думать, как ответить России за взлом. А пруфов пока нет — только какие-то неназванные эксперты по контршпионажу винят во всём Москву. В общем, типичный политический цирк, только в этот раз неясно, прокатит ли трюк “в любой непонятной ситуации во всём обвиняй русских хакеров”. @tomhunter
2 028
15
#news Anthropic, судя по всему, планирует сделать открытым доступ к Mythos. Пункт с выбором модели появился в публичной верси
#news Anthropic, судя по всему, планирует сделать открытым доступ к Mythos. Пункт с выбором модели появился в публичной версии Claude Security и Claude Code — видимо, по ошибке, и его быстро убрали. На фоне этого эхо-камеры LLM-энтузиастов бурлят: неужто простым смертным дадут доступ к легендарной Mythos? Или к порезанной версии? А на каких уровнях подписки? И всё это спустя месяц после релиза "слишком опасной" модельки. Удивлённые юзеры приходят к выводу, что Mythos прикрутили крутые ограничения против абьюза, раз рискуют выпустить кремниевого вундеркинда на публику. На деле же окажется, что скептики были правы: никакого прорыва, ставившего под угрозу весь кибербез, не было, и так до следующей пиар-компании вокруг новой модели. Но что-то подсказывает, широкая публика подвох “Мальчик, который кричал ‘AGI’” так и не заметит. @tomhunter
2 036
16
#news На прошлой неделе клиенты THE.Hosting и компании начали жаловаться на масштабный сбой. На деле же в Нидерландах связанн
#news На прошлой неделе клиенты THE.Hosting и компании начали жаловаться на масштабный сбой. На деле же в Нидерландах связанные с ними серверы попросту изъяли и арестовали двух обслуживающих их человек. Судя по всему, рейды идут по всей Европе и в США. А разгадка проста: THE.Hosting якобы связана со Stark Industries, попавшей под санкции в прошлом году и отправившейся по волнам ребрендинга. В ЕС компанию обвиняют в предоставлении инфраструктуры киберпреступникам и под разное гибридное — отсюда и рейды с перехватами, арестами и прочей романтикой. Забавнее всего на фоне этого читать свидетельства клиентов, внезапно обнаруживших пропажу своей инфры. Тот неловкий момент, когда покупаешь хостинг, не интересуясь политикой — а она, как водится, очень интересуется тобой. Точнее, твоим хостером. @tomhunter.
2 047
17
#news На выходных не обошлось без, конечно же, ещё одной атаки на цепочку поставок. Инфостилер залетел в пакеты на npm, PyPi
#news На выходных не обошлось без, конечно же, ещё одной атаки на цепочку поставок. Инфостилер залетел в пакеты на npm, PyPi и Crates[.]io. Затронуты 34 пакета и 384 их версии. Несмотря на сравнительно небольшое число заражений, эффект может быть приличный: эта кампания под крипто- и ИИ-бро c прицелом на кошельки, DeFi с Solana и прочее блокчейновое. Из интересного, вредоносные .cursorrules и claude[.]md с инструкциями юникодом под слив кредов; метод, возможно, не самый эффективный, но как эксперимент интересно, особенно когда цель атаки — энтузиасты с LLM’кой в каждой щели. Список пакетов и теханализ здесь. Кто пристрастился к адреналину от ежедневных supply-chain атак, хорошие (?) новости, они всё ещё с нами — налетайте. @tomhunter
1 951
18
#news Европол перехватил First VPN, bulletproof-провайдера нынче всем известных услуг, но для киберпреступников рангом повыше
#news Европол перехватил First VPN, bulletproof-провайдера нынче всем известных услуг, но для киберпреступников рангом повыше простого любителя ютубчика. Операция масштабная, с захватом серверов и арестом админа на Украине. Расследование шло с 2021-го, 19 и 20 мая была его кульминация. Арестованы 33 сервера, домены, включая луковые, а также администратор — согласно анонсу, у него прошли маски-шоу и душещипательные беседы. Само собой, грозятся, что имел доступ к базе First VPN до перехвата, и данные 506 юзеров передали коллегам — привычный в таких операциях псиоп. А по мотивам выпустили мультик: качество моделек растёт, но эффект Зловещей Долины всё ещё с нами. Хотя бы ответственному за медиа стажёру весело. Оценить творчество LLM’ки Европола можно здесь — Дисней отдыхает. @tomhunter
4 139
19
#news HackerOne резко порезал выплаты по своей программе Internet Bug Bounty: в среднем в пять раз. Критические шли по $9,250
#news HackerOne резко порезал выплаты по своей программе Internet Bug Bounty: в среднем в пять раз. Критические шли по $9,250, стали $2,257. Больше всего досталось уязвимостям с низким рейтингом: выплата просела с $597 до $68. На прямые вопросы H1 не отвечает, но здесь и так всё понятно: ИИ-долгоносик поломал экономику багхантинга. LLM’ки привели к взрывному росту количества отчётов, желающих подзаработать на поиске уязвимостей привалило, а мейнтейнеры всё ещё разгребают репорты вручную. И как показывает практика, делать это уже не в состоянии. Так что H1, поставившая IBB на паузу, как бы намекает — что-то не так в багхантинговом королевстве. Мейнтейнеры хотят видеть ценные отчёты с серьёзными уязвимостями, а вот орду условных индусов с LLM’кой наперевес и амбициями на большие выплаты видеть не хотят. По итогам больше всех пострадают порядочные начинающие специалисты. Спасайте джунов, котаны. @tomhunter
2 210
20
#news Google вчера по ошибке опубликовала проверку концепции от ещё не исправленной уязвимости в Chromium. Она позволяет злоу
#news Google вчера по ошибке опубликовала проверку концепции от ещё не исправленной уязвимости в Chromium. Она позволяет злоумышленнику получить ограниченный доступ к браузеру через Browser Fetch. Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код эксплойта в системе отслеживания багов Chromium, он решил, что уязвимость наконец закрыли — проверил и изрядно удивился. Публикацию Google удалила, но осадочек-то остался — в виде проиндексированной страницы. Уязвимость в переписке разрабы называли серьёзной, оценили на S1 — второй уровень опасности. А дальше, так сказать, ошибочка вышла. @tomhunter
2 160
View all posts