Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- Публичным организациям советуют отказаться от ISS World Europe - EDRi призывает ЕС и госучреждения не участвовать в закрытой конференции ISS World Europe, связанной с массовым наблюдением и нарушениями прав человека.
- Хватит вставлять токены: как JetBrains меняет вход в плагины - JetBrains показывает новый шаблон авторизации для IDE-плагинов: OAuth2 с PKCE вместо ручного ввода долгоживущих токенов.
- Ритейл-трейдингу продают институциональное преимущество - Moomoo делает ставку не просто на криптоактивы, а на качество инструментов: исполнение, аналитику, AI, кошельки, стейкинг и токенизированные бумаги.
- Tubular/NewPipe ломается: задержка обновлений как сигнал - На F-Droid Forum жалуются на отставание Tubular и сбои каналов вокруг live-трансляций. Это повод для проверок, но не доказательство инцидента.
- Почему AI-агентам нужна новая модель разрешений - AI-агенты требуют специфической авторизации: OAuth и сервисные аккаунты не подходят для автономных решений с доступом к критичным системам.
- Закон о приватности в Вермонте вызвал протест защитников данных - EPIC и Consumer Reports призывают сенаторов Вермонта отклонить S. 71, считая, что законопроект ослабляет уже существующие меры защиты данных.
- Имя Bluetooth сорвало рейс United - Рейс United вернулся в Ньюарк из-за имени Bluetooth-колонки. Это не новая атака, а урок о видимых метках в контролируемых зонах.
- AgentStop: скрытая цена локальных AI-агентов - Локальные AI-агенты лучше защищают данные, но могут жечь батарею, греть ноутбук и застревать в дорогих циклах вывода.
- Android Studio Canary обновился: что проверить командам - Quail 2 Canary 4 вышел в Canary-канале. Это не бюллетень безопасности, а повод проверить сборку, тесты и выпуск APK.
- Black May и GitHub: сначала проверка, потом громкие выводы - SlowMist описала «Black May Serial Attacks» вокруг GitHub. Пока фактов мало: командам стоит проверить доступы, релизы и CI/CD без лишних заявлений.
- Кейс Boston Children’s: сигнал полезный, проверки сложные - OpenAI заявляет о помощи Boston Children’s в 40+ редких диагнозах. Главное — не хайп, а данные, контроль и аудит.
- Claude Opus 4.8 в Foundry: сначала проверьте процесс - Claude Opus 4.8 появился в Microsoft Foundry. Модель полезна для кода, агентов и документов, но внедрять ее стоит только через проверки.
- Claw Patrol: фаервол перед агентами в продакшене - Deno открыла Claw Patrol — alpha-шлюз для AI-агентов с доступом к реальным системам. Главная идея: контроль вне агента.
- Облачные интеграции: мелкая ошибка, реальный взлом - Избыточные роли, доступные секреты и машинные учётки складываются в цепочки атак на облачную автоматизацию.
- AI-агент Cloudflare сработал только после перестройки данных - Cloudflare показала: AI-интерфейс полезен лишь там, где данные уже управляемы, проверяемы и доступны по правилам.
- CVE-2018-25412: проверьте Delta Sql без паники - Delta Sql 1.8.2 получил критический CVE: загрузка PHP-файлов без аутентификации может привести к RCE. Что проверить в первую очередь.
- Модули CVE дошли до Metasploit: сначала проверьте доступ - Новые модули Metasploit упрощают проверку CVE. Это повод быстро оценить доступность, патчи и риск, а не объявлять всех взломанными.
- Elastic Stack 9.3.5: сначала патч, потом догадки - Elastic выпустила Elastic Stack 9.3.5 с исправлениями возможных уязвимостей. Это повод проверить версии, риски и план обновления.
- Длинный changelog F-Droid — сигнал для проверки безопасности - Обновление F-Droid Week 22 показывает не один громкий релиз, а сдвиг границ доверия: permissions, ML, sync, VPN и старые Android.
- Фальшивый ChatGPT в поиске: клик ведет к malware - Malwarebytes Labs предупреждает о поддельном сайте загрузки ChatGPT, который отдает разные вредоносные файлы для Windows и Mac.
- Google Pay ускоряет checkout в Android — и усложняет контроль - В Android-приложениях Google Pay получил динамические callbacks: доставка, налоги, итоговая сумма и авторизация меняются прямо в Pay sheet.
- JINX-0164 бьет по криптокомандам через найм - Фальшивые рекрутеры, macOS-вредонос и интерес к CI/CD: почему криптокомандам стоит проверить не почту, а путь к сборкам.
- Nimbus Manticore превращает поиск в фишинговый вход - Иранскую Nimbus Manticore связали с кампанией, где фишинг и SEO poisoning ведут к MiniFast и MiniJunk V2.
- node.js 26.2.0 вышел: проверьте рантайм до внедрения - Node.js 26.2.0 вышел в ветке Current. Это повод для проверок, но не для слепого выката в продакшен.