В ESET сообщили об интересе хакеров к секс-игрушкам

В ESET сообщили об интересе хакеров к секс-игрушкам

В ESET сообщили об интересе хакеров к секс-игрушкам

Антивирусная компания ESET проанализировала утечки данных и составила тренды кибербезопасности на 2021 год. Помимо прочего, в отчёте специалистов упоминаются сливы информации через секс-игрушки.

«Умные» устройства подобного характера получили распространение на фоне самоизоляции, продиктованной пандемией новой коронавирусной инфекции COVID-19. А несовершенство защиты этих гаджетов привлекло внимание киберпреступников.

Специалисты ESET отметили, что сегодня на рынке постоянно появляются новые модели девайсов для интимных удовольствий. Большинство из них, как и следовало ожидать, не могут гарантировать безопасность и конфиденциальность данных пользователей.

Исследователи выявили ряд опасных уязвимостей, часть которых позволяла перехватывать информацию и управлять секс-игрушками удалённо. Успешная эксплуатация таких брешей позволила бы злоумышленникам получить доступ к фото, видео и другим личным данным пользователей.

Например, атакующие могут нацелиться на приложения, управляющие теми или иными функциями секс-девайсов. Та же брешь в Bluetooth Low Energy (BLE) в руках умелого хакера позволит перехватить локальную связь между софтом и устройством.

В ESET прогнозируют стремительный рост числа подобных атак, поскольку продажи интимных игрушек в последнее время стремительно растут.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Критическая брешь в Auth0 PHP SDK: достаточно куки, чтобы взломать сайт

Если вы используете Auth0 PHP SDK для авторизации пользователей через соцсети или корпоративные учётки — стоит срочно проверить версию. Исследователи сообщили о критической уязвимости, которая позволяет атакующему выполнить произвольный код на сервере, просто отправив cookies.

Уязвимость получила идентификатор CVE-2025-48951 и очень высокий балл по шкале CVSS — 9.3.

Это критическая проблема, без вариантов. Её корень — в небезопасной десериализации данных из куки, которую SDK обрабатывает ещё до авторизации.

Проще говоря: злоумышленник может сгенерировать особый cookie, подсунуть его серверу — и тот выполнит вредоносный код, даже если пользователь не вошёл в систему.

Кто под угрозой?

Если вы используете один из следующих пакетов:

  • auth0/auth0-php версии от 8.0.0-BETA3 до 8.3.0;
  • или сторонние обёртки на его базе:
    • auth0/symfony
    • auth0/laravel-auth0
    • auth0/wordpress

…значит, под угрозой ваш сайт, сервис или корпоративное веб-приложение.

Особенно опасно, если ваша система не изолирует куки или не проверяет их как следует. В этом случае возможен удалённый запуск кода (RCE) или компрометация данных.

Что делать?

Переходите на auth0/auth0-php v8.14.0 или новее. В этой версии уязвимость закрыли: SDK теперь проверяет и обрабатывает сериализованные данные из куки безопасным способом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru