В Geekbrains подтвердили утечку ста тысяч персональных данных

В Geekbrains подтвердили утечку ста тысяч персональных данных

В Geekbrains подтвердили утечку ста тысяч персональных данных

Имена, телефонные номера и адреса электронной почты пользователей Geekbrains попали в открытый доступ. Платформа утверждает, что данные банковских карт уцелели.

Накануне вечером дампы Geekbrains заметили в Telegram-каналах Infosecurity a Softline Company и DLBI. Позднее утечку подтвердили и в службе безопасности Geekbrains. 

Файл на 105 тыс. строк содержит имена, адреса пользователей и телефоны. Базу опубликовал источник, сливший в мае ПДн Сколково и “Delivery Club”. Он утверждает, что это лишь часть “утечки” — в полной базе 6 млн записей. 

DLBI пишет: 

«80 тысяч номеров телефонов и адресов уникальны, а проверка случайных записей из базы через функцию восстановления пароля подтверждает логины».

На достоверность базы указывает и объем тестовых записей, связанных с сервисом GeekBrains, добавляют в Infosecurity a Softline Company.

В GeekBrains утечку подтвердили:

«Служба безопасности GeekBrains обнаружила утечку данных о некоторых приобретенных курсах. Данные не затрагивают банковские реквизиты и сведения о картах пользователей».

Geekbrains вместе со Skillbox входит в экосистему VK. Сервис предлагает программы и курсы для будущих айтишников. Своей главной целью Geekbrains декларируют трудоустройство студентов. На сайте выкладывают вакансии и стажировки из сферы ИТ.

В конце февраля в открытом доступе появились данные пользователей «Яндекс.Еда» и Delivery Club, в конце мая стало известно об утечке ПДн курьеров.

«Яндекс.Еду» оштрафовали на 60 тыс. рублей, это возмутило не только общественность, но и хакерское сообщество. На этой неделе мы писали о планах Минцифры повысить штрафы за утечку ПДн до 1% от оборота и до 3%, если компания скроет факт “слива”. 

Накануне в Москве завершился крупнейший общенациональный Форум DLP+, посвященный противодействию внутренним угрозам корпоративной безопасности. На полях саммита представители Минцифры и Совета Федерации называли основной проблемой утечек — низкие штрафы за персданные. Эксперты по ИБ не согласны. По их мнению, проблема глубже — в отсутствии качественного защитного софта, денег на него и квалификации специалистов.

В 7-Zip нашли уязвимость: вредоносный XZ-архив может запустить код

В 7-Zip обнаружили опасную уязвимость CVE-2026-14266, которая позволяет атакующему выполнить произвольный код через специально подготовленный XZ-архив. Из-за переполнения буфера приложение может записать данные за пределами выделенной памяти.

Проблема связана с обработкой фрагментированных XZ-данных. Если эксплуатация сработает, злоумышленник получит возможность запускать код с правами текущего процесса 7-Zip.

Для атаки всё же нужно участие пользователя: жертву необходимо убедить открыть вредоносный архив или скачать его с подконтрольного сайта. Поэтому массового автоматического взлома по воздуху здесь нет, зато для фишинга схема подходит прекрасно.

Опасный файл можно замаскировать под обновление, резервную копию, пакет документов или обычный архив из мессенджера. Уязвимость получила 7 баллов из 10 по шкале CVSS.

Аутентификация и предварительный доступ к устройству атакующему не нужны. После успешной эксплуатации он сможет запустить вредонос, украсть доступные пользователю данные, изменить файлы или просто уронить систему.

О случаях применения CVE-2026-14266 в реальных атаках пока не сообщается. Но технические подробности уже опубликованы, а значит, желающие собрать рабочий эксплойт получили неплохую инструкцию к действию.

Разработчики исправили проблему в 7-Zip 26.0. Пользователям советуют обновиться как можно скорее и не открывать неожиданные XZ-архивы из писем, чатов и файловых обменников.

Архив с названием «документы_важное.xz» теперь лучше сначала проверить. Потому что внутри может лежать не документ, а очень инициативный чужой код.

RSS: Новости на портале Anti-Malware.ru