аутентификация

Уязвимость CVE-2026-29000 получила 10 баллов по шкале CVSS. В популярной Java-библиотеке аутентификации pac4j-jwt обнаружили критическую уязвимость, которая позволяет злоумышленнику выдавать себя за любого пользователя системы, включая администраторов. Проблема получила идентификатор...

Специалисты Google Cloud открыли всеобщий доступ к инструменту «судного дня». Mandiant опубликовала обширный набор радужных таблиц , предназначенных для расшифровки устаревшего протокола Net-NTLMv1. Эта инициатива призвана ускорить отказ от технологии, признанной небезопасной ещё в конце...

Эксперты CyberOK выявили ошибку в TrueConf Serve. Эксперт компании СайберОК Роман Малов обнаружил уязвимость в TrueConf Server — популярной платформе для видеоконференцсвязи. Проблема связана с некорректной обработкой ответов при аутентификации через LDAP: сервер по-разному реагирует на...

Контрольный выстрел в репутацию стартапа. Стартап Kontigo, поддерживаемый акселератором Y Combinator и привлекший в 2025 году 22 миллиона долларов инвестиций, вновь столкнулся с кибератакой и временно закрыл доступ к своей платформе. Об этом компания сообщила в официальном заявлении...

Вот, что нужно сделать прямо сейчас, чтобы не лишиться доступа к своей инфраструктуре. Microsoft объявила о планах отказаться от устаревшего алгоритма RC4 в системе аутентификации Windows. Компания готовит изменения, которые затронут инфраструктуру Kerberos и должны повысить устойчивость...

Организации, полагающиеся на скриптовые надстройки для логина в Entra ID, рискуют лишиться их работы после включения CSP. Microsoft ужесточает защиту входа в аккаунты Microsoft Entra ID: компания планирует полностью заблокировать выполнение сторонних скриптов на странице аутентификации...

Новый стандарт DBSC превращает браузер в криптокошелёк для сессий. В октябре 2025 года стартовал второй этап испытаний технологии Device Bound Session Credentials (DBSC) , направленной на защиту веб-сессий от кражи cookie и перехвата учётных данных. Новый этап продлится до начала февраля...

Сколько стоит невнимательность к интеграциям. Компания Drift раскрыла детали инцидента с интеграцией Salesforce. С 8 по 18 августа 2025 года неизвестный использовал OAuth-учётные данные и выгружал данные из клиентских инстансов Salesforce. По словам компании, основной целью было похищение...

Как миллисекунды ломают аутентификацию. GreyNoise зафиксировала резкий и нетипичный всплеск разведывательной активности против Microsoft Remote Desktop Web Access и RDP Web Client: одновременно работали 1971 уникальный IP-адрес, тогда как обычно компания видит лишь 3—5 таких источников в...

Новая схема Microsoft упрощает доступ и одновременно пугает специалистов по безопасности. Microsoft внедрила новый механизм под названием Nested App Authentication (NAA) — «вложенная аутентификация приложений», который постепенно становится важной частью облачной экосистемы компании. Идея...

Атака ToolShell поразила государственные структуры и банки сразу в пяти странах. В середине июля специалисты «Лаборатории Касперского» сообщили о массовой атаке на локальные серверы Microsoft SharePoint по всему миру. Цепочка эксплойтов, получившая имя ToolShell, позволяет злоумышленникам...

Разработчики рекомендуют изолировать системы от внешних сетей до установки патчей. В продукции Mitel обнаружена серьёзная уязвимость , способная полностью подорвать безопасность корпоративной IP-телефонии. Речь идёт о критической ошибке в системе управления Provisioning Manager, входящей в...

Многофакторка в деле. Один фактор — ты, второй — твоя наивность. Киберпреступники из группы PoisonSeed научились обходить защиту FIDO2 , не взламывая саму технологию, а хитро используя одну из её легальных функций — вход с другого устройства. Благодаря этому приёму злоумышленники добиваются...

Что же произойдёт с теми, кто не успеет эвакуировать свои данные? Компания Microsoft объявила о планах прекратить поддержку паролей в приложении Authenticator с 1 августа 2025 года. Этот шаг стал частью глобальной стратегии перехода от классических способов входа к более современным и...

Корпорация даёт нам время до конца августа, а дальше… пеняйте на себя. Microsoft анонсировала серьезные изменения в работе сервиса Authenticator. К августу 2025 года из приложения исчезнут функции хранения учетных данных и автоматического заполнения форм. Корпорация решила объединить все...

Отпразднуй, придумав «qW$7zT!» вместо «123456». Ко Всемирному дню пароля, который отмечается 1 мая, «Лаборатория Касперского», Почта Mail и СберЗдоровье напомнили о безопасных способах создания и хранения данных для входа в аккаунты. Согласно опросу «Лаборатории Касперского», подавляющее...

Не хотите, чтобы вас взломали? Просто выбросьте все гаджеты и начните жить в лесу. Пора признать: эпоха паролей подходит к концу. Не потому, что кто-то решил так сверху — а потому, что всё разваливается снизу. Современные хакеры не тратят время на сложные взломы и не пишут эпичные эксплойты —...

Хакеры SLOVENLY COMET кошмарят латиноамериканцев новым трюком. Несколько недель назад аргентинские пользователи начали сообщать специалистам по безопасности о странных случаях взлома аккаунтов Telegram. Необычность ситуации заключалась в том, что для захвата учетных записей не требовалось...

Исследователи GitHub раскрыли механизм обхода цифровых подписей в популярной библиотеке. В библиотеке ruby-saml, предназначенной для работы с протоколом Security Assertion Markup Language (SAML), обнаружены две уязвимости высокой степени опасности. Эти уязвимости уже позволили злоумышленникам...

Google делает ставку на QR-коды. Google планирует отказаться от SMS-кодов для подтверждения личности при входе в Gmail. В компании заявили , что традиционная двухфакторная аутентификация через SMS уязвима перед фишингом, атаками на оператора связи и мошенничеством. Вместо этого будет...

Лазейка, которую не заметили даже опытные специалисты. Компания Silverfort обнаружила уязвимость, позволяющую обойти защиту от устаревшего протокола NTLMv1, несмотря на активированные групповые политики в Active Directory . Исследование показало, что неправильно настроенные локальные...

Исследователи обнаружили серьезную уязвимость в чипах Infineon. Исследователи обнаружили серьезную уязвимость в популярных устройствах двухфакторной аутентификации YubiKey 5. Эта находка может поставить под угрозу безопасность множества пользователей, полагающихся на данные токены для защиты...

SP 800-63-4 знаменует новую эру стандартов цифровой идентификации. Национальный институт стандартов и технологий США ( NIST ) объявил о публикации второго проекта четвертой редакции руководства по цифровой идентификации (Special Publication 800-63) из четырех томов. Документ...

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации. Специалисты компании Salt Security , занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают...

Баг в системе аутентификации ставит под сомнение безопасность всей системы. Исследователь Иегуда Смирнов обнаружил серьезную уязвимость в системе аутентификации Windows Hello for Business (WHfB) от Microsoft . Его находка ставит под сомнение надежность биометрической защиты, которую...