SQL-инъекцию мы лечили 20 лет и вылечили. Prompt injection — фундаментально нерешаема. Это не я придумал. OWASP ставит её на первое место второй год подряд. Найдена в 73% продакшн AI-систем при аудитах.
Вы не за статистикой сюда пришли. Вы пришли за мясом. Ниже — 10 кейсов, которые не попали в типичный пересказ про Chevrolet за доллар. Тут пострашнее.
Когда чиновники из испанской Генеральной дирекции дорожного движения придумывали обязательные "умные" маячки V16, они явно представляли себе будущее в духе умного города: водитель попал в аварию, нажал кнопку, и вся инфраструктура мгновенно узнала о проблеме. Дорожные табло предупреждают других участников движения, навигаторы прокладывают объезд, службы спасения уже в пути. Красиво, да?
Недавно моё утро началось с такого вот прекрасного e-mail от Hetzner:
Уважаемый, м-р Джей Сандерс,
Привет! Меня зовут Андрей, я ведущий специалист кибербезопасности в Digital агентстве Фкор, а также её генеральный директор. Наша команда недавно столкнулась с серьезной проблемой. Как мы её прозвали в команде "зимняя уязвимость" реакта.
Читать полностью »
Всем привет! С вами исследовательская лаборатория BI.ZONE. Большую часть времени мы исследуем защищенность встраиваемых систем, а еще у нас бывают проекты по тестированию биометрических систем. В августе на конференции OFFZONE 2025 мы выступили с докладом о тестировании сканеров отпечатков пальцев. Доклад и презентацию к нему можно посмотреть по ссылке. А специально для тех, кто любит читать длинные тексты, весь этот интересный процесс мы описали в нашей новой статье.
Привет, Хабровчане!
Решил написать небольшую заметку о моем личном опыте взаимодействия с багбаунти программой Минцифры РФ. На самом деле у меня наберется много интересных историй так или иначе связанных с багбаунти, но некоторые из них являются особо примечательными. Об одной из них и пойдет речь в данной статье.
Для начала немного расскажу о себе. Опыт в ИБ у меня обширный и разнообразный. В данной сфере я уже чуть более 13 лет. Поработал на многих участках кибербеза, начиная от так называемого«папирсека» (специалист, отвечающий за подготовку всех необходимых документов по ИБЧитать полностью »
В октябре 2025 года Лувр пережил дерзкое ограбление. Размер ущерба составил €88 миллионов. На днях вскрылись шокирующие детали: треть залов без камер, охрана на устаревших датчиках и серверы на Windows Server 2003. Но ключевой уязвимостью оказался пароль от системы видеонаблюдения — LOUVRE, зафиксированный в официальном отчёте национального агентства штатных информационных систем.
Выходит, для взлома такого известного музея, сокровищницы мировой культуры, хватило одного-единственного слова. Ни хитроумных алгоритмов, ни дорогостоящего шпионского оборудования не понадобилось.
