OAuth

21 апреля, 2026

Смена паролей, проверка логов и срочный аудит. Вот что нужно сделать прямо сейчас, если вы деплоите через Vercel

Всё началось с доверия к стороннему инструменту — и именно это доверие привело к катастрофе.

1 апреля, 2026

«Эй, кожаные, у вас дыра в защите». ChatGPT нашёл лазейку в корпоративной сети и воспользовался ей «по полной»

Случайный инцидент выявил фатальный просчёт в доверии к популярным сервисам.

9 марта, 2026

«Войти через Google» по-армянски. Как одна кнопка заменила хакерам взлом пароля перед выборами

Фишинговая рассылка проходила SPF, DKIM и DMARC, а вместо обычного входа через Google открывала окно согласия для опасного приложения с доступом к Gmail.

3 марта, 2026

Microsoft призывает не доверять ссылкам от Microsoft. Звучит как шутка, но госслужбам сейчас не смешно

Почему «замочек» в адресной строке больше ничего не гарантирует.

13 января, 2026

«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.

22 декабря, 2025

Хакеры обленились – теперь они просят вас самих впустить их в аккаунт (и вы соглашаетесь)

Атакующие научились угонять Microsoft 365 через настоящую страницу Microsoft — достаточно, чтобы вы ввели «одноразовый» код.

12 октября, 2025

Взлом авторизации XXI века: Burp против OAuth 2.0 / OIDC и JWT

Методичка для пентестеров — от PKCE и Device Flow до JWK и refresh-токенов.

27 августа, 2025

10 дней хакер хозяйничал в вашей компании. Salesforce не заметила, а вы сами разбирайтесь, что он успел украсть

Сколько стоит невнимательность к интеграциям.

29 мая, 2025

Вы доверили OneDrive один документ — а теперь он знает, где живёт ваша бабушка

Пока вы охраняли окно, хакеры вошли прямо через парадную дверь.

21 апреля, 2025

Фишинг с печатью Google — как злоумышленники смогли обмануть DKIM

Даже ИБ-специалисты сначала не поверили, что такое возможно.

17 марта, 2025

Обман через доверие: поддельные Adobe и DocuSign крадут данные Microsoft 365

Под маской известного бренда скрывается масштабная кампания по краже данных.

17 марта, 2025

OAuth-ловушка: разработчики массово теряют контроль над своими GitHub-репозиториями

Фишинговая кампания поразила более 12 000 проектов за считанные дни.

29 января, 2025

Снял номер, но остался за дверью: хакеры взломали популярную систему онлайн-бронирования

Как всего одна уязвимость поставила под угрозу отдых миллионов людей.

14 января, 2025

«Sign in with Google»: инструмент быстрой аутентификации раскрывает данные компаний-призраков

Как «неустранимая» уязвимость способна похоронить индустрию стартапов.

30 июля, 2024

OAuth и XSS: смертельный коктейль для безопасности веб-гигантов

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации.

2 мая, 2024

Потеря данных клиентов: сервис электронных подписей Dropbox Sign подвергся кибератаке

Сколько жертв затронуто и какие данные были украдены?

18 декабря, 2023

Группа Storm-0539 крадет Рождество и подарочные карты

Преступники решили добавить немного фишинга в праздничную атмосферу.

14 декабря, 2023

Фишинг и майнинг в OAuth-приложениях: Microsoft предупреждает о новой опасности

Безопасный протокол авторизации стал излюбленным инструментом группы Storm-1283 и не только.

16 ноября, 2023

Открытый код, закрытые секреты: Растущая проблема утечек конфиденциальных данных в разработке ПО

Почему специалисты пренебрегают основами безопасности и почему ситуация не меняется с годами?

25 октября, 2023

Войти через ВКонтакте: безопасно ли использовать соцсети для авторизации на других сайтах?

Тысячи платформ ставят под угрозу своих пользователей, неправильно проверяя токены.