Дайджест кибербезопасности: утечки, уязвимости и угрозы ИИ

Очередная неделя в сфере кибербезопасности выдалась насыщенной: новости снова переполнены сообщениями о взломах, уязвимостях и ИИ.

Первая тревожная новость — очередной инцидент с LastPass. Хакеры проникли в сторонний инструмент, используемый компанией, и похитили данные клиентов. К счастью, пароли и хранилища не пострадали, однако могли утечь контактные данные и физические адреса пользователей. Если вы ищете надежную альтернативу этому менеджеру паролей, рекомендуем ознакомиться с нашими обзорами.

Ситуация с LastPass вызывает сожаление: компания не впервые сталкивается с проблемами безопасности, а в инструментах защиты доверие имеет первостепенное значение. Кстати, о доверии: если вы всё еще пользуетесь Google, возможно, пришло время перейти на поисковые системы, которые выдают точные ссылки, а не ошибочные ответы ИИ. Мы обновили руководство по ограничению отслеживания Google, чтобы вы могли частично вернуть свою приватность.

Также на этой нелеле мы детально разобрали, как персональные данные оказываются в даркнете — от механизмов продажи украденной информации до деятельности брокеров данных. Кроме того, мы обсудили, насколько сложно на самом деле добиться удаления своих данных из сети.

Владельцам старых устройств Apple стоит знать о «неисправимой» уязвимости, затрагивающей ряд моделей iPhone, iPad, а также Apple TV и Studio Display. К счастью, для реализации атаки хакеру потребуется физический доступ к устройству. Тем не менее, ситуация неприятная: по словам исследователей, единственный способ полностью решить проблему — обновить оборудование.

Наконец, мы затронули тему VPN. Хотя это отличный инструмент безопасности, многие используют его для обхода географических ограничений стриминговых сервисов. Мы выяснили, почему доступ к контенту может работать нестабильно и какие сервисы лучше всего совместимы с VPN.

Но это лишь малая часть событий. Главный урок этой недели: ИИ, несмотря на огромные инвестиции и обещания, стал мощным инструментом в руках мошенников, позволяя красть деньги в невиданных ранее масштабах. Об этом свидетельствует отчет ФБР о киберпреступности за 2025 год: ущерб от мошенничества с применением ИИ только в США составил более 900 миллионов долларов. Особенно тревожит рост числа атак на пожилых людей. Мы подготовили советы, которые помогут защитить ваших близких, но проблема вряд ли исчезнет в ближайшее время.

В интервью The Wall Street Journal заместитель директора отдела киберпреступности ФБР Майкл Махтингер пояснил, что ИИ позволяет создавать сообщения, которые выглядят настолько официально, что обмануть можно даже внимательного пользователя. Фишинговые письма и мошеннические сайты теперь генерируются мгновенно и в огромных количествах. Пока разработчики ИИ не внедрят защитные механизмы на уровне самих технологий, единственным выходом остается бдительность и обучение методам распознавания таких схем.

ИИ также облегчил таргетированный фишинг (spear-phishing). Раньше хакерам приходилось вручную просеивать огромные базы данных, теперь же этот процесс автоматизирован. Исследователи из Flare, анализируя профильные форумы, заметили появление новой модели «вредоносного ПО как услуга» (MaaS).

Теперь вместо продажи массивов данных хакеры предлагают точечные услуги: подбор учетных данных под конкретного человека или платформу. В сети даже появились отзывы клиентов и полноценная реклама таких «транзакций». Операторы вредоносного ПО фактически стали брокерами: достаточно предоставить имя, и они найдут все доступные данные — от телефонов до паролей. Эта эволюция была предсказуемой, но от того не менее пугающей.

В то же время компания Anthropic, позиционирующая свои модели как приватные, может вскоре начать запрашивать государственные удостоверения личности, сообщает TechCrunch. Мы уже отмечали, что обязательная верификация возраста часто становится «троянским конем» для массового наблюдения, особенно на фоне постоянных утечек документов.

Anthropic утверждает, что изучает возможность верификации для пользователей, чьи аккаунты были помечены как мошеннические. Однако компания тихо обновила политику конфиденциальности, разрешив сбор документов для подтверждения личности и возраста в тех штатах, где это требуется законом. Посмотрим, к чему приведет внедрение этой меры.

***

*Я занимаюсь технологической журналистикой почти 20 лет. Начинал как фрилансер в PCMag, позже был главным редактором Lifehacker, старшим редактором The New York Times и директором по спецпроектам в WIRED. Сейчас я возглавляю команду безопасности PCMag, где отвечаю за то, чтобы наши рекомендации основывались на лабораторных тестах и служили интересам читателей. Также я автор книги «Seen, Heard, and Paid: The New Work Rules for the Marginalized» — руководства по карьере и продуктивности для представителей маргинализированных групп.*