Search results for Bob Diachenko

45 лет тюрьмы за DROP TABLE и переход Карпатого в Anthropic

15-й выпуск IT-новостей от OpenIDE!Вредоносная версия плагина провисела в VS Code Marketplace 18 минут и этого хватило, чтобы слить конфиги Claude Code, ключи AWS и 3800 репозитори...

ChainBlok for Security Audit Smart Contracts

Web3 world is moving fast!, every single day, smart contract vulnerabilities, centralized architectures, and hidden upgrade mechanisms…Continue reading on Cubed »

Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать.Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно сто...

Your Rails app can be perfectly secure…

Your Rails app can be perfectly secure… and still get rooted in seconds.

I Reverse-Engineered 50 API Breaches. The Same Five Mistakes Keep Appearing.

Between December 22, 2025 and January 15, 2026, an attacker spent 24 consecutive days inside Navia Benefit Solutions' systems. They quietly and methodically pulled Social Security...

Identity Is the Real Attack Surface

'Double Check Your Keys': CZ Binance Tells Crypto Developers Following GitHub Security Incident

Binance cofounder Changpeng "CZ" Zhao sends warning to crypto developers after GitHub reported unauthorized access to its internal repositories.

Кейс: тест DLP, с которого ничего не началось

Слепая дружба: CEO доверял ему всё, а DLP вычислил бэкдор на рабочем столе или как «неприкасаемый» сисадмин устроил себе клондайк из паролей и малвари. Привет! Я — Катя DLPшка. Не...

Stop Leaking API Keys: Managing Secrets in Kamal 2

I see developers make a mistake that can ruin their entire month. They are building a new Rails…

Бэкдор вместо тестового

В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разб...

Атаки через подрядчиков, дефицит кадров и квест с импортозамещением: главные вызовы ИБ в 2026 году

Привет, Хабр! На связи Кирилл Морданов, PR-менеджер Своего Банка.Наша DevRel-команда регулярно вытаскивает на свет интересные кейсы и инсайды от технических специалистов СВОЙ Тех,...

Inside a Real Production Server Breach

Just a normal day. 23rd May, 2026. Wake up in the morning, pick up my friend from his house, head to the gym. Somewhere between sets, he casually mentions: "One of my client's...

38% of MCP servers have no auth -- inside the OWASP MCP Top 10

I installed 14 MCP servers last month. Then I read the CVE list. I've been running MCP servers in production since late 2025 -- connecting Claude to my accounting tools, project...

Злоумышленник публикует .bash_history: смотреть без регистрации и СМС

Команда Supply Chain Security экспертного центра безопасности (PT ESC) отправила отчет администрации реестра npm о занятной маленькой кампании против Apple, среди них:• apple-infra...

[Boost]

How I Built an LLM Honeypot to Trap Prompt Injection Attacks R...

Copy.Fail (CVE-2026-31431) — больше чем LPE

Свежая CVE-2026-31431 только набирает обороты, и тут я хочу показать, почему это не совсем обычная LPE. Copy Fail как примитив Process Injection через Page CacheОригинальный PoC мо...

Как был взломан “самый надежный” бот в мессенджере MAX? Эксплойт бота Отложка

Три месяца назад я предупреждал о дыре в боте для MAX. Тогда я обнаружил эксплойт в известном боте для мессенджера, и хотел достучаться до разработчиков бота. Теперь нашлась новая...

В Windows нашёлся бэкдор для «вскрытия» дисков, зашифрованных BitLocker — доступ к данным можно получить без ввода парол...

Исследователь в области кибербезопасности, выступающий под псевдонимом Chaotic Eclipse (или Nightmare Eclipse), демонстративно опубликовал рабочие схемы эксплуатации уязвимостей ну...

Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить

Представьте типичный сценарий в средней IT-компании. Команда разработки два месяца писала новый модуль для личного кабинета. Дедлайн горит, бизнес ждет запуска. За неделю до релиза...

[Перевод] Как Cursor с Claude Opus снёс продакшен базу данных за 9 секунд

30 часов хронологии того, как агент Cursor, Railway API и индустрия, которая продаёт безопасность быстрее, чем её реализует, положили малый бизнес, обслуживающий прокатные компании...

Anti-corruption Layer на C#: три шва на проекте миграции с Rails

Anti-corruption layer в учебниках выглядит как одна аккуратная коробка между чужой системой и вашей: всё чужое остаётся снаружи, внутрь проходит только то, что уже переведено на яз...

Developer laptops are the credential store attackers are picking through in 2026

After 12 months of supply-chain campaigns harvesting credentials from developer machines, CISOs and IT leaders are reopening a question many

Scaling Ruby's defenses with AI

Originally appeared on RubyGems Blog.On April 23rd, we submitted a vulnerability report to the Nokogiri maintainers. It was the first one our team has filed using AI-assisted scann...

BB Day 14: Command Injection Bug Bounty 2026 — Find OS Injection in Web Apps & APIs That Pay

📰 Originally published on SecurityElites — the canonical, fully-updated version of this article. DAY 14 🎯 BUG BOUNTY COURSE FREE Part of the 60-Day Bug Bounty Master...