«Нормально делай – нормально будет»: что такое Secure by Design
Всем привет! В этой статье наши эксперты – Паша Попов, руководитель направления инфраструктурной безопасности, и Леша Астахов, директор по продуктам WAF-класса с огромным опытом развития продуктов Application Security в Positive Technologies, – разбираются, что такое подход Secure by Design, является ли он волшебной таблеткой для разработчиков и ИБ-специалистов, в чем разница между Secure by Design, AppSec и DevSecOps, а также какое будущее ждет безопасную разработку.
Как могут взломать самолет?
Хабр, а вы боитесь летать? Сейчас каждый самолет представляет из себя комплексное решение из можества подсистем, которые обеспечивают стабильность и безопасность полета. Тенденции таковы, что транспортная отрасль активно интегрирует киберфизические системы, начиная от беспилотных систем в транспорте, заканчивая роевым интеллектом БПЛА. Однако из-за роста количества модулей, сложности архитектуры, множества технологий, растет и количество уязвимостей. Не все решения разрабатывались с учетом потенциальных атак, а последствия от них могут нести серьезный ущерб. К сожалению, инциденты уже были.
Уязвимость в Microsoft Copilot использует сбои в журналах аудита
Недавно обнаруженная уязвимость M365 Copilot позволяет пользователям получать доступ к информации о файлах без записи активности в журнал аудита. Эта проблема возникла случайно, а не является результатом сложной атаки.
Исследователь не смог сообщить об уязвимости сайта McDonald’s из-за отсутствия формы для связи
Исследователь безопасности под ником BobDaHacker рассказал, что он смог получить доступ к платформе McDonald's, предназначенной только для сотрудников и франчайзи. Он хотел сообщить об уязвимости компании, но не нашёл способа сделать это из-за отсутствия обратной связи.
Уязвимость в коде Microsoft NLWeb позволяла получать доступ к файлам на удалённом компьютере
В мае этого года, на конференции Build 2025, Microsoft представила проект NLWeb, призванный стать инструментом взаимодействия агентов искусственного интеллекта с веб-сайтами. Исследователи безопасности нашли в нём серьёзную уязвимость.
Система поиска уязвимостей с ИИ Google Big Sleep обнаружила 20 багов в опенсорсных проектах
Система поиска уязвимостей с искусственным интеллектом Google Big Sleep обнаружила 20 багов в проектах с открытым исходным кодом, включая аудио- и видеобиблиотеку FFmpeg и пакет для редактирования изображений ImageMagick.
Новости кибербезопасности за неделю с 4 по 10 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями.1) Shade BIOS: новый вектор атаки из BIOS, невидимый для антивирусов и ОС
Microsoft выплатила исследователям безопасности рекордные $17 млн за обнаружение уязвимостей
C июля 2024 года по июнь 2025 года Microsoft выплатила рекордные $17 млн 344 исследователям безопасности из 59 стран в рамках своей программы вознаграждений за обнаружение уязвимостей. Исследователи представили почти 1,5 тыс. отчётов об уязвимостях. Максимальная индивидуальная награда достигла $200 тыс.
Обнаружение уязвимостей ИИ агентов. Часть I: Введение в уязвимости
Этот вводная часть открывает серию статей о уязвимостях агентов ИИ, в которых изложены ключевые риски безопасности, например инъекция подсказок ввода и исполнение кода. Также заложены основы для будущих частей, где будут подробно рассмотрены недостатки исполнения кода, утечки данных и угрозы доступа к базам данных.От автора
ИИ-бот для найма сотрудников McDonald’s раскрыл исследователям данные миллионов соискателей
Cпециалисты по кибербезопасности Иэн Кэрролл и Сэм Карри сообщили, что нашли простые способы взлома бэкенда платформы чат-ботов с искусственным интеллектом на сайте McHire.com, который используют в McDonald's для обработки резюме. В итоге они получили данные миллионов соискателей.
