Kaspersky и Positive Technologies вошли в ТОП-10 компаний рунета

Олеся Афанасьева 27 Февраля 2023 - 17:00

...

Kaspersky и Positive Technologies вошли в ТОП-10 компаний рунета

Сразу два ИБ-бизнеса вошли в рейтинг самых дорогих компаний рунета по версии издания Forbes — “Лаборатория Касперского” и Positive Technologies. Возглавляет рейтинг Яндекс. Новички года — КГ Astra Linux и Аренадата Софтвер.

2022 год навсегда останется годом массового бегства из России западных компаний, принцип business as usual на этот раз не сработал, такой преамбулой издание Forbes начинает свой ежегодный рейтинг ТОП-30 самых дорогих компаний рунета.

За прошлый год российские интернет-компании пережили драматические события. Акции публичных компаний перестали торговаться за рубежом, многие разделили свой бизнес на иностранную и российскую части, у кого-то ушли акционеры, остановив всю активность внутри России, а кто-то, наоборот, за 2022 год значительно вырос.

К последним относится и рынок кибербезопасности. В этом году сразу две ИБ-компании вошли в первую десятку рейтинга.

На пятую строчку с восьмой переехала “Лаборатория Касперского”, на девятое место с 14-го — Positive Technologies.

Возглавляет рейтинг самых дорогих компаний рунета, как и год назад, Яндекс.

Весь год ИТ-гигант сражался с “обрушившимися на его голову несчастьями”, замечают журналисты. Речь о санкциях в отношении руководителей Яндекса и уходе основателя Аркадия Воложа. Добавим, новый 2023 год начался для компании тоже с проблем: скандалом вокруг слитого исходного кода. Подробно про уроки январской утечки кода Яндекса можно прочитать в материале Anti-Malware.ru.

На втором месте рейтинга — Wildberries (как и год назад), замыкает тройку Ozon (сместил Avito).

От информационных технологий в первой десятке самых дорогих компаний российского сегмента интернета также 1С (4-ое место), СКБ Контур (7-ое) и VK (8-ое).

Немного не хватило до ТОП-10 разработчику систем электронного документооборота компании “Тензор”. Напомним, в сентябре организация пережила массированные DDoS-атаки. В прошлом году “Тензор” занимал 23 место рейтинга.

Из новых технологических открытий года Forbes: группа компаний Astra Linux — 18 строчка и Аренадата Софтвер — 26 место.

Forbes считает рейтинг крупнейших интернет-компаний по выручке в интернете. При этом не учитываются магазины, торгующие через сайты, банковские услуги, даже если они существуют только в интернете, производители и поставщики “железа” и прочие компании, чей бизнес мог бы существовать без интернета.

Стоимость публичных компаний зафиксирована на 1 февраля 2023 года. Непубличные компании, с которыми были совершены сделки за прошедшие 12 месяцев, отражены в рейтинге по сумме сделки.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: