безопасность

Каждый раз, когда ты проходишь верификацию на бирже или в банке, ты отдаёшь: паспорт, селфи, адрес, выписки, биометрию. Всё это хранится у подрядчиков, дублируется в тестах и бэкапах.

Фактически создаётся гигантская база «всего и сразу». И вопрос не в том, утечёт ли она, а когда.

Парадокс: чем строже регуляторика, тем больше твои данные копят и тем дороже они в даркнете.
Может быть, пора обсуждать не «где проходить KYC», а как его менять — на ZK-доказательства и selective disclosure?

Почему «собирать всё» ≠ «защищать»

1. Централизация рисков.Один KYC-вендор обслуживает десятки банков/бирж. Взломишь облако — получишь миллионы записей разом.
2. Человеческий фактор и аутсорс.Фото/видео, распознавание, ливнес — всё крутится через цепочку подрядчиков и саппортов. Самое слабое звено не у тебя в банке.
3. Повторное хранение.Один и тот же набор PII копируется: фронт-система → антифрод → «даталейк» → бэкапы → тестовые стенды с прод-данными.

( Читать дальше )

1️⃣ Сбербанк $SBER тестирует оплату по отпечатку ладони — биометрическую альтернативу оплате улыбкой.

Эта технология позволит банку самостоятельно собирать данные, не передавая их государству.
Для внедрения не нужны новые устройства — подойдут терминалы, которые уже принимают оплату по лицу.

2️⃣ ВТБ$VTBR запустил новый уровень защиты от мошенников — клиенты смогут сами запретить исходящие переводы.

Это поможет пожилым людям, подросткам и другим уязвимым группам избежать потери денег.
Блокировать можно переводы по СБП, по картам или реквизитам, а снять запрет — только в офисе банка.

3️⃣ СПБ Биржа $SPBE запустила срочный рынок и торги расчетными фьючерсами на индексы Бразилии, Индии, Китая, Саудовской Аравии, на индекс биткоина и на собственные акции.
Торги идут ежедневно с 10:00 до 00:00 мск с маркетмейкерами, поставки базового актива нет — только расчеты.
До 30 ноября комиссии на срочном рынке обнулены.
Фьючерс на индекс биткоина доступен только квалифицированным инвесторам.

( Читать дальше )

Давно хотел заняться проверкой ботов для раздевания, а также сервисов, на которых предлагается раздеть человека в минимальные сроки по доступной цене. Всего я протестировал больше 50 разнообразных предложений, среди которых выделил лучшие в соотношении стоимости, качества, скорости проведения обработки, удобстве использования, возможности получения скидок и так далее.

Я хочу рассказать вам о 10 лучших предложениях, при использовании которых можно не переживать о получении отличного результата в раздевании по фото, а также о безопасности и конфиденциальности пользователя. Я составил рейтинг лучших предложений, среди которых каждый сможет найти тот вариант, который будет соответствовать его требованиям и предпочтениям и предоставит возможность получить действительно реалистичное и детализированное фото.

Если вы не хотите изучать весь рейтинг ботов для раздевания девушек, то просто обратите внимание на следующие предложения:

1. Раздеватор– отличный бот, способный раздеть человека за несколько секунд с сохранением всех особенностей его фигуры. Преимуществом работы является простое управление, отлично оформленное функциональное меню и отсутствие зависаний.                        

( Читать дальше )

С первого сентября в России заработал долгожданный сервис «второй руки», который призван оградить, особенно доверчивых и не очень финансово грамотных граждан, от мошенников, пытающихся завладеть их денежными средствами.

Объективно, Россию (да и не только её) захлестнула волна кибер мошенничества, и с каждым годом, ущерб от деятельности мошенников только растет. Одна из причин проблемы в том, что доверчивые граждане сами переводят свои денежные средства злоумышленникам (зачастую, в тайне от родственников). Запретить переводы полностью — это, значит ограничить финансовую свободу действий (а мы все очень бесимся когда банки нам так делают).

Но соломоново решение, кажется, было найдено. ЦБ продавил возможность для граждан, назначать лицо, которое будет подтверждать/отклонять его переводы. Это может быть, например, родственник, друг, или просто знакомый, которому человек доверяет согласование на перевод денежных средств.

При этом, опасности для денежных средств, со стороны уполномоченного, тоже нет, поскольку его функции заключаются только в согласовании/отклонении операции по переводу денежных средств и не имеет никаких других возможностей или доступов к средствам, или данными «подопечного».

( Читать дальше )

Продажа криптовалюты за фиат всё чаще приводит к запросам по 115-ФЗ. Рассказываем, как действовать при блокировке и снизить дальнейшие риски.

Почему криптовалюта под особым контролем

Федеральный закон № 115-ФЗ был принят в начале двухтысячных как ключевой инструмент борьбы с отмыванием доходов и финансированием терроризма. Его основное требование сводится к тому, чтобы банки тщательно отслеживали клиентские операции и реагировали на всё, что может показаться им необычным или вызывающим сомнения.

На уровне замысла закон выглядит внушительно: он должен защищать финансовую систему от преступных потоков денег. Однако в реальности его действие давно вышло за рамки борьбы с теневыми схемами и стало частью повседневности для тысяч добросовестных клиентов. Многие из них неожиданно сталкиваются с замороженными картами и требованием пояснить происхождение собственных переводов.

Особое место в этой картине занимает криптовалюта. Её правовой статус в России остаётся неопределённым: прямого запрета нет, но и полноценного признания тоже. Для банков такая неопределённость равнозначна повышенному риску. Любой перевод от частного лица после сделки на бирже или через p2p-платформу автоматически вызывает подозрение. Системы мониторинга не способны различить, был ли это обмен биткоина с соседом или перевод от сомнительного посредника.

( Читать дальше )

Крупнейшая американская криптобиржа Coinbase(третья в мире по объёму торгов) столкнулась с новой волной атак, связанных не столько с уязвимостями кода, сколько с человеческим фактором.

🚨 Что произошло

• Северокорейские IT-специалисты пытались устроиться в Coinbase под видом удалённых сотрудников, чтобы получить доступ к её внутренним системам.

• По словам CEO Брайана Армстронга, теперь все сотрудники будут проходить очное обучение в США.

• Те, кто имеет доступ к критически важным сервисам, обязаны иметь гражданство США и пройти процедуру идентификации, включая снятие отпечатков пальцев.

Армстронг:

«КНДР крайне заинтересована в краже криптовалюты. Каждый квартал у них выпускаются сотни специалистов, задача которых — взламывать и воровать».

---

🕵️‍♂️ Предыстория

• В июне четыре северокорейских разработчика внедрились в несколько криптокомпаний как фрилансеры и похитили в сумме $900 000.

• Ранее Coinbase сообщала о возможной утечке данных (<1% пользователей). Потери оцениваются до $400 млн. Более серьёзный риск — это утечка адресов и балансов клиентов.

( Читать дальше )

Вчера Сбер выкатил видео загадочное, с анонсом:


Сегодня секрет раскрыли:



( Читать дальше )

В России прогнозируют удвоение IT-рынка к 2032 году — все больше компаний вынуждены пользоваться продуктами IT-инфраструктуры, тем более что создаются еще и новые направления в данной сфере. Российские компании пользуются отличными возможностями импортозамещения, которые позволяют занимать часть рынка, которую ранее удерживали иностранные представители.Какие же компании будут лидерами этой отрасли в долгосрочной перспективе — “Сбер”, “Яндекс”, “ВК” или новые представители? 👇

📈 Сбер — активное развитие нейросетей и экосистемы

( Читать дальше )

Что произошло

Core-разработчик Ethereum Зак Коул лишился части средств из-за вредоносного AI-расширения для Cursor.
Плагин contractshark.solidity-lang выглядел как полноценный инструмент:
— аккуратная иконка,
— хорошее описание,
— более 54 000 установок.

Однако в коде был встроен функционал, считывающий .env-файл и отправляющий приватный ключ на сервер атакующего. Это дало злоумышленнику доступ к горячему кошельку разработчика на три дня.

Потери оказались незначительными — «пара сотен долларов» в ETH, так как горячие кошельки использовались для тестов, а основные активы хранились на холодных.

---

Рост активности крипто-дрейнеров

• В сентябре 2024 года поддельный WalletConnect в Google Play 5 месяцев воровал активы, похитив более $70 000.

• Мошенники часто маскируют вредоносные расширения под полезные утилиты и используют typosquatting (похожие названия) для кражи ключей.

---

Как снизить риски (по данным Cyvers Security)

• Проверяйте издателей и репутацию расширений.

( Читать дальше )

🚨 Один клик — и минус $3 млн. Взлом через фишинговую транзакцию

Недавняя ситуация с потерей $3 млн в USDT снова напомнила, как важно быть внимательным при подписании транзакций в криптовалютных сетях. Жертва просто подписала зловредную транзакцию, не проверив адрес контракта, и потеряла крупную сумму.

---

📉 Что произошло?

1. Неверный адрес — атака была организована через подмену адреса. Похожие символы в начале и в конце адреса замаскировали его под настоящий, но в середине была ошибка, которую трудно было заметить.

2. Отсутствие проверки — пользователь не проверил адрес целиком перед подписанием транзакции.

3. Мгновенные потери — как только транзакция была подписана, деньги ушли.

---

🧠 Фишинг — это не баг, а манипуляция с пользователем

Фишинг — это не ошибка в коде смарт-контракта, а психологическая атака. Подготовка таких атак включает:

• Подсовывание схожих адресов

• Отправка фейковых токенов

• Убеждение пользователя дать разрешение на списание активов

( Читать дальше )