Новости информационной безопасности

🔸MCP с системным дефектом: исследователи заявили о риске захвата до 200 тыс. серверов 20 апреля. / КИБЕР МЕДИА /. Исследователи OX Security заявили о системной проблеме в архитектуре Model Context Protocol, созданного Anthropic для связи ИИ-приложений с внешними сервисами и инструментами. По их оценке, дефект затрагивает официальные MCP SDK для разных языков, может затронуть до 200 тыс. серверов и распространяется по цепочке зависимостей на пакеты с суммарно более чем 150 млн загрузок. Корень проблемы связан с использованием STDIO как локального транспорта для запуска MCP-сервера в виде подпроцесса. По версии исследователей, на практике этот механизм позволяет выполнить произвольную системную команду: если команда поднимает STDIO-сервер, приложение получает хендл, если нет - возвращается ошибка, но сама команда уже успевает выполниться. Это открывает путь к удаленному выполнению кода и полному захвату системы. OX выделяет четыре семейства атак. Первое - unauthenticated и authenticated command injection в публичных AI-фреймворках. Второе - обход защит через аргументы даже там, где разработчики разрешили только «безопасные» команды вроде python, npm и npx. Третье - prompt injection в AI-IDE и кодовых ассистентах, включая Windsurf, Cursor, Claude Code, Gemini-CLI и GitHub Copilot. Четвертое - отравление маркетплейсов MCP: исследователи утверждают, что смогли разместить тестовый вредоносный сервер в 9 из 11 таких каталогов. По данным OX, в рамках этой серии исследований уже выпущено как минимум 10 high и critical CVE для отдельных проектов и агентов, использующих MCP. Исследователи настаивают, что проблему можно было ослабить на уровне самого протокола, но Anthropic, по их словам, отказалась менять архитектуру и назвала такое поведение ожидаемым.

Как использовать ИИ в малом и среднем бизнесе ИИ и нейросети для малого и среднего бизнеса — не фантастика. Пока вы думаете, конкуренты автоматизируют рутину, обслуживают клиентов 24/7 и генерируют контент в 10 раз быстрее. Через год будет поздно — отрыв станет необратимым. Разбираю живые примеры: - автоматизация рутины и финансов; - чат-боты и лояльность; - аналитика решений; - маркетинг без команды. В посте: с каких задач начать, сервисы для России, где отдача максимальна. Не хотите отстать навсегда? Читайте в канале. Узнать больше #реклама 16+ О рекламодателе

За нарушения на объектах критической инфраструктуры введут новые штрафы 20 апреля. / ВЕДОМОСТИ /. Минцифры может ввести новые штрафы за нарушения при переходе на доверенные программно-аппаратные комплексы (ПАК) на объектах критической инфраструктуры (КИИ). Оно по поручению вице-премьера Дмитрия Григоренко готовит соответствующие поправки в Кодекс об административных правонарушениях (КоАП). «Ведомости» ознакомились с документом. Из него следует, что санкции будут действовать для ведомств, госкомпаний и организаций с госучастием, которые не перейдут на отечественные решения до 1 января 2030 г. Президент России Владимир Путин еще в 2022 г. подписал указ, согласно которому все значимые объекты КИИ госкомпаний и госорганизаций, включая органы власти, с 1 января 2025 г. не могут использовать программное обеспечение (ПО) и «железо» из недружественных стран. Штрафы за непереход на доверенные ПАКи законодательством в данный момент не предусмотрены. Сейчас каждый субъект КИИ фактически сам определяет, какие именно системы относятся к таким объектам. Исчерпывающей методологии мониторинга по переходу на доверенные ПАКи также не предусмотрено. Процедура определения комплексов проводится внутренней комиссией Минцифры, а отчет направляется в Федеральную службу по техническому и экспортному контролю (ФСТЭК).

«Одно лечим, другое калечим». Патч Windows остановил принудительные обновления, но отправил серверы в бесконечную перезагрузку 19 апреля. / securitylab.ru /. Администраторы Windows Server больше года ждали момента, когда Microsoft наконец закроет историю с самопроизвольным апгрейдом серверов до Windows Server 2025. Компания теперь пометила проблему как решенную, но сделала это в своем привычном стиле: вместе с апрельским накопительным пакетом KB5082063 пришла новая проблема, уже для контроллеров домена. Скандальная история началась еще в 2024 году. Часть систем на Windows Server 2019 и Windows Server 2022 неожиданно и без явного согласия администраторов перешла на Windows Server 2025. Откат при этом не выглядел простым и очевидным, что для серверной инфраструктуры само по себе означало худший сценарий. Microsoft тогда объяснила происходящее сторонними средствами управления патчами. По версии компании, пакет Windows Server 2025 публиковался как необязательный, а его метаданные следовало трактовать именно так, а не как рекомендуемые. Формально сбой затронул среды, где установкой патчей управляли внешние системы. Но такое объяснение убедило не всех. Часть администраторов и поставщиков ПО спорила с Microsoft еще тогда, а некоторые сообщали, что неожиданный переход пришел и на серверы без сторонних систем управления патчами. Официальная позиция Microsoft с тех пор не изменилась: корпорация по-прежнему объясняет автоматическую установку Windows Server 2025 тем, как отдельные продукты трактовали классификацию пакета. Теперь в документации Microsoft статус проблемы сменился на "решена". В записях о состоянии Windows Server 2025, Windows Server 2022 и Windows Server 2019 указано, что сбой с неожиданным апгрейдом закрыт 14 апреля 2026 года. Одновременно компания снова включила предложение перехода через Windows Update для организаций, которые сами хотят выполнить установку Windows Server 2025 поверх текущей версии. Там же Microsoft уточняет, что такой вариант в штатном сценарии должен предлагаться для Windows Server 2019 и Windows Server 2022 как необязательный.

Telegram превратил Login Widget в универсальный ключ. Вход, номер телефона, канал связи — всё в одной кнопке 19 апреля. / securitylab.ru /. Telegram показал обновлённый Login Widget для сайтов и сервисов. Через него можно не только войти с помощью аккаунта Telegram, но и отдельно запросить у пользователя номер телефона и разрешение писать ему в мессенджере. Павел Дуров описал новый инструмент как бесплатную связку из регистрации, входа, подтверждения номера и канала для дальнейшего общения. Для разработчиков здесь важнее всего не сама кнопка входа, а то, что Telegram теперь оформляет этот механизм как более современную систему авторизации на базе OpenID Connect. В официальной документации говорится о Telegram Login как о решении на базе OpenID Connect, с discovery через oauth.telegram.org, поддержкой authorization code flow, PKCE, а также выдачей Client ID и Client Secret через BotFather. По смыслу Telegram пытается закрыть сразу несколько шагов, которые обычно живут отдельно. Сервису не нужно сначала авторизовать человека, потом отдельно подтверждать номер и потом ещё искать способ связаться с ним после регистрации. Новый Login Widget позволяет собрать всё это в одной точке входа, если пользователь сам даст нужные разрешения. При этом сама идея не новая. Telegram запустил Login Widget ещё в 2018 году. Тогда виджет уже умел авторизовать пользователя на внешнем сайте, при первом входе запрашивал номер телефона, отправлял подтверждение через Telegram и позволял сайту попросить разрешение на сообщения от бота. При этом номер телефона владельцу сайта по умолчанию не раскрывался. Нынешнее обновление выглядит как развитие старой схемы, но уже в формате, который проще встроить в привычную веб-инфраструктуру. Старый вариант в документации Telegram по-прежнему описан как простой виджет для авторизации на сайте через бота и привязанный домен. Для бизнеса смысл тут вполне приземлённый. Telegram предлагает не просто логин через мессенджер, а способ сразу получить подтверждённый контакт и согласованный канал связи внутри того же приложения. Если инструмент начнут активно подключать, Telegram станет для части сервисов не только местом переписки, но и точкой входа для регистрации и дальнейшего общения с пользователем. Этот вывод уже следует из того, как сам Telegram описывает новый виджет и его функции.

ФНС остудила разговоры о массовом контроле переводов между гражданами 17 апреля. / anti-malware.ru /. Федеральная налоговая служба решила немного сбавить градус вокруг темы переводов между физлицами. Ведомство опровергло сообщения о том, что под новый налоговый контроль якобы могут попасть сразу 10 млн человек, и заявило, что такие оценки сейчас делать просто рано. В ФНС пояснили: ни форма, ни периодичность обмена данными с ЦБ ещё не утверждены, потому что соответствующее соглашение пока не подписано, а сами критерии всё ещё находятся в стадии проработки. По сути, налоговая говорит следующее: механизм ещё не готов, поэтому любые громкие цифры — пока скорее гадание, чем реальный прогноз. В ФНС отдельно подчеркнули, что у внешних экспертов нет необходимых административных данных по переводам между физлицами, а значит, и оценить масштаб будущего контроля объективно они не могут. При этом сама идея дополнительного контроля никуда не исчезла. Речь идёт о законопроекте, в рамках которого ФНС сможет получать от Банка России сведения о физлицах, на чьих счетах есть признаки предпринимательской деятельности или поступления, похожие на незадекларированный доход от других граждан. Среди признаков риска называется не только сумма переводов, но и системность, ритмичность поступлений, круг контрагентов и другие существенные факторы. Сумма 2,4 млн рублей в год действительно фигурирует в обсуждении, но не как единственный и автоматический повод для проверки. Это лишь один из ориентиров, на который могут смотреть налоговые органы при анализе подозрительной активности. Ранее именно вокруг этой цифры и начали появляться громкие публикации о миллионах россиян, которые якобы рискуют попасть в «зону внимания» ФНС.

Telegram выборочно ожил: часть Android-устройств в России начала работать без VPN 17 апреля. / КИБЕР МЕДИА /. В ночь на 17 апреля у части пользователей в России Telegram снова начал открываться без VPN и прокси. Эффект наблюдается не массово: стабильная работа отмечается в основном на Android, прежде всего на последних версиях приложения, включая бета-сборки. Для первого запуска иногда требуется несколько перезапусков клиента. Полного снятия ограничений это не подтверждает. Без обхода у многих по-прежнему работают только Android-устройства с активной подпиской Telegram Premium, тогда как на iPhone и ПК доступ в большинстве случаев не восстанавливается. Даже в пределах одного города и у одного оператора картина может различаться от устройства к устройству. Технически ситуация выглядит так, будто изменения произошли на стороне самого клиента. У части пользователей в настройках активной сессии отображается подключение из другой страны, чаще всего из США, хотя прокси и VPN они не включали. Эксперты также указывают на нетипичные замаскированные соединения в трафике, что больше похоже на новый механизм маршрутизации внутри приложения, чем на решение операторов или регулятора. При этом даже там, где Telegram запускается без обхода, работа остается нестабильной: возможны просадки скорости и проблемы с загрузкой медиа. Поэтому нынешняя «оттепель» пока выглядит не как полноценный возврат сервиса, а как выборочный обход сетевых ограничений на уровне Android-клиента.

Почему компании получают штрафы за ПДн?На вебинаре 17 марта специалисты F6 разберут реальные ошибки в работе с ПДн, практику проверок и шаги, которые помогут снизить риски без формального «аудита для галочки».Почему это важно?Штрафы чаще связаны не с кибератаками, а с неправильно выстроенными процессами обработки ПДн. При этом требования регулятора ужесточаются, а контроль становится системнее.Подключайтесь к вебинару, чтобы узнать:— какие ошибки чаще всего выявляются при проверках— как корректно выстроить процесс получения согласий— как снизить риски при работе со специальными и биометрическими ПДн— какие процессы должны быть формализованы внутри компанииЗарегистрироваться на вебинар →#рекламаО рекламодателе

🔹Хотели выключить свет, но не вышло. Как хакеры облажались при атаке на шведскую станцию 17 апреля. / securitylab.ru /. Шведские власти рассказали о кибератаке на одну из теплоэлектростанций страны, о которой раньше не сообщали публично. Инцидент произошёл ещё весной 2025 года, но подробности появились только сейчас. История привлекла внимание не только из-за выбранной цели, но и потому, что речь шла о попытке повлиять на объект, от которого зависит стабильная работа энергетики. По словам министра гражданской обороны Карла-Оскара Бохлина, злоумышленники пытались нарушить работу электростанции на западе Швеции. Название объекта власти не раскрыли. Атака не достигла цели, поскольку на предприятии сработали встроенные механизмы защиты, и серьёзных последствий удалось избежать. Шведская сторона утверждает, что делом занималась Служба безопасности, которая установила причастных к попытке вмешательства. По версии властей, за атакой стояла группа, связанная с иностранными разведывательными и силовыми структурами. Расследование по делу уже закрыто. Карл-Оскар Бохлин связал происшествие с более широкой тенденцией. По оценке правительства, за последние годы гибридные атаки против европейских компаний и инфраструктуры участились и стали опаснее. Если раньше подобные группы чаще ограничивались DDoS-атаками на сайты и сервисы, то теперь, как считают в Стокгольме, всё чаще появляются попытки нанести реальный ущерб предприятиям, включая энергетические объекты. На обвинения в свой адрес зарубежная дипломатическая миссия в Стокгольме ответила отказом признать причастность и назвала заявления шведской стороны бездоказательными.

Важность канала связи, который точно никуда не денется В мессенджере на платформе Projecto вы сможете одновременно обсуждать рабочие задачи, а в соседнем чате кидать мемы коллегам! Новый раздел «Чаты» хранит все переписки, сортирует их по последней активности и показывает непрочитанное – ничего не потеряется. Обменивайтесь сообщениями, файлами, заметками, записывайте голосовые с мобильных устройств, создавайте беседы с любым количеством участников и оставляйте реакции. А если чат связан с задачей, проектом и событием, то можно напрямую открыть его из чата. И еще раз напоминаем, что вся информация Projecto хранится на российских серверах, сервис включен в реестр ПО Минцифры и данные не передаются третьим лицам. Функция входит в стоимость подписки Projecto и не требует отдельного скачивания. Переходите и скачивайте! Узнать больше #реклама 16+ О рекламодателе