Traffic Cardinal
написал 29.12.2026
Traffic Cardinal
написал 29.12.2026
Принято считать, что чем трастовее ресурс, тем он безопаснее. В целом эта логика ясна, ведь траст — это не какая-то конкретная метрика, как если бы речь шла про FB-акк* «глазами» антифрод-алгоритма, а коллективный опыт пользования этим самым ресурсом. И если коллективный опыт свидетельствует о том, что ресурс безопаснее прочих — всего скорее, это недалеко от истины.
Однако «недалеко от истины» не равно истина. А истина в том, что безопасных ресурсов не существует. Абсолютно все что угодно может быть взломано, и рано или поздно будет взломано (еще, конечно, есть вероятность того, что проект закроется раньше, чем его взломают, но «это уже другое»). И вот взлом чего-то трастового, как правило, гораздо больнее для юзеров, ведь они расслабляются, работая с «надежным» ресурсом.
Именно поэтому мы собрали несколько историй, наглядно иллюстрирующих этот тейк. К слову, на удивление все эти истории не стали особенно громкими, хотя каждая по сути своей является локальной катастрофой. Как так вышло, что взломы были, а шумихи нет — оставляем на откуп вашей фантазии. Мы же перейдем к самим историям.
Весь WhatsApp* за 2 часа
В целом о том, что WhatsApp* — дырявый, как носки привокзального бомжа (пардон, но только такое сравнение просится), не в курсе только ленивый. Этот «мессенджер» уже давно стал излюбленной точкой входа среди школоты: ведь огромное количество уязвимостей породило еще большее количество эксплойтов. Однако эксплойт — это, как ни крути, взлом. Даже если «школьник» ничего не понял и просто нажал на кнопку — это полноценный взлом. Просто тут взламывал автор эксплойта, а не его юзер.
В этой истории фактически даже взлома-то и не было. Самый популярный в мире мессенджер (увы, это реально так) технически просто оставил свою базу данных общедоступной. И неважно, какие настройки приватности выставляют себе пользователи — всю инфу об их профилях может получить любой желающий. Случайность ли это? По мнению автора, нет. Всего скорее, это сделано специально, для лавирования в случае подачи исков о нарушении приватности. Впрочем, не суть.
Суть же в том, что WhatsApp* не дает возможности скрыть свой профиль от тех, у кого уже есть привязанный к WA номер. Если этот номер есть в телефонной книге «ищущего» — он всегда вас найдет и увидит о вас всю инфу. Так вот, номер вовсе не обязательно «знать» заранее — его можно просто сгенерировать. Ведь телефонные номера — это не что-то суперсложное для генерации. И обычно даже у самого допотопного сайта есть защита в виде ограничения на количество проверок. Но не у WhatsApp*!
В случае с WhatsApp* ограничений нет — нет даже базовой защиты в виде ухода на cooldown раз в N минут. Вы можете обращаться к WhatsApp* столько, сколько вам нужно — хоть миллиарды, хоть квинтиллионы. Лишь бы железо выдержало (технически у серверов WhatsApp* тоже есть свои пороги быстродействия, но это формальности). И если в 2017-м об этом лишь предупреждали, то в ноябре 2025-го реализовали. И собрали 3,5 млрд профилей за 2 часа… А ведь это даже не взлом.
«Тайный Санта»
Еще одна история, где трастовость создает проблемы, — это «Тайный Санта». И да, это не конкретный ресурс и не бренд, но тем лучше для иллюстрации сабжа. Ведь это позволяет продемонстрировать целый пул ситуаций, а не какой-то один конкретный косяк. Так, например, в случае с «Тайным Сантой» есть следующие схемы:
Отправка в один конец — здесь все просто, вы отправляете подарок, а вам — нет. А так как Санта тайный, то и предъявлять некому. Звучит как сюр, на который никто не клюнет? Да, но нет — это реальность.
Подделка ресурса — здесь «урон» уже вариативней, начиная от сбора личных данных и заканчивая «ручной жеребьевкой». В общем, возможный урон ограничен лишь фантазией создателя поддельного сайта.
Пробив личных данных — в частности места жительства и мобильного телефона. Правда, такие атаки обычно персонализированы, иначе смысла от них немного. Но персонализация не отменяет фактора рандомности.
Распространение вредоноса — и здесь речь не только о вирусах, но и о железе. Причем необязательно о гаджетах: никто не мешает злоумышленнику подарить вам условный рюкзак с GPS-трекером. Хотя обычно все же речь о гаджетах, ведь их заряжают, что сильно расширяет возможности.
И все это лишь верхушка айсберга. На самом деле при должной фантазии подобные ивенты позволяют провернуть и не такое.
Взлом через антивирус
Конечно, называться Microsoft Defender — та еще ересь, но что ж поделать, если этот мусор настолько глубоко зашит в «Винду», что проще с нуля перейти на Пингвина, чем удалить его. И ладно бы оно просто мешало работе нормальных антивирусов, замедляло систему и регулярно сжирало трафик — к этому большинство юзеров давно привыкло. Им даже в кайф терпеть бездумное сжигание мощностей, меряясь при этом друг с другом железом — так что пусть страдают.
Но вот чтобы «антивирус» стал точкой входа — такого история еще не знала. Были фейки, были отдельные (но быстро убранные) уязвимости, были даже взломы серверов с угоном баз данных. Но «Микрософт» были бы не «Микрософт», если бы не умудрились создать «антвирус», через который хакеры проникают в «Винду». Причем это все еще не пофиксили с июля 2025 года. И удалить Microsoft Defender вы не можете — каеф, да?
Хакаем даже на парковке
Казалось бы, если бы не приколы с запретами альтернатив, то идея мессенджера MAX не так уж и плоха. Во всяком случае автор не видит ничего плохого в том, чтобы у вашей бабули была прила, где она сможет присылать вам свои поздравления с каждым днем календаря, не опасаясь при этом, что Лариса Долина украдет у нее квартиру. А что до приватности — ну никто не мешает завести под MAX отдельный телефон. И пусть товарищи майоры сидят да бдят — как будто бы норм, да?
А вот и нет! Ибо сама по себе концепция — это огромная дыра в безопасности. Ведь если есть супер-пупер-защищенный мессенджер, где каждое сообщение читают чекисты, то и о безопасности переживать нечего. Да только не переживать о безопасности — это все равно что самому прийти к мошенникам и попросить их забрать ваши деньги. Дело не в различных статьях про угон баз данных всех 47 млн юзеров MAX — автор сильно сомневается, что там есть 47 млн юзеров.
Дело в самом факте пренебрежения безопасностью. Даже если предположить, что товарищи Майоры оперативно всех найдут и накажут, разве от этого в моменте вам будет легче? Как будто бы нет. А уже если кибергопники успеют воспользоваться украденным, то ждать возврата можно до конца жизни, но так и не дождаться. И да, MAX не то чтобы сильно трастовая штука. Во всяком случае сегодня и среди большинства наших читателей. Но речь ведь и не о конкретном мессенджере.
Речь о потенциальных рисках любой веры в то, что та или иная платформа безопасна. И неважно, MAX это, Telegram (к нему вопросов не меньше) или вообще не мессенджер, а что-то другое. Если вам пытаются впарить что-либо как что-то супер-пупер-защищенное — вам всегда вешают лапшу на уши. И даже если такое позиционирование абсолютно справедливо, чрезмерный траст сам по себе опасен. Ведь рано или поздно взламывают все.
Пип
Да-да — это не очепятка (и «очепятка» — тоже). Хотя те, кто внимательно читает наши статьи про создание ботов, наверняка уже поняли, о чем речь. Ну и, разумеется, о чем речь, поняли и кодеры. В общем, пип — это pip. Она же система управления пакетами в Python. И вот о том, что вся эта модульность Python — не плюс, а минус, для сведущих в теме кибербеза людей было очевидно всегда. Но большинство считало очевидные риски «чрезмерной тревожностью». Или еще чем-то…
И вот, настал декабрь 2025 года. Эксперты в области безопасности подводят итоги последних 12 месяцев и видят, что зараженных вредоносной нагрузкой публичных библиотек стало на 514 штуки больше. В прошлом году, к слову, тоже цифра была немалой — 333 штуки. Казалось бы, что такое 333 или даже 514? Это же совсем ничего в масштабах интернета. Да только на самом деле все немного серьезнее, чем может показаться далеким от всей этой темы людям.
Дело в том, что 514 библиотек — это в мире Python то же самое, как 514 моделей смартфонов в нашем мире. Не штук, а моделей — от разных брендов, с разными функциями. А теперь попробуйте прикинуть, сколько компаний или людей может быть взломано в такой ситуации. Не получается? Вот и с pip то же самое. Когда кодер вместо разработки своего софта пишет «pip install shoto tam» — это, конечно, удобно, да только если это «шото там» убрать, сломается вся программа.
И это еще полбеды — никто ведь не знает, что злоумышленники уже успели сделать с софтом и железом тех, кто использовал зараженные библиотеки. Вполне возможно, что проще все сжечь (вместе с дата-центром, для надежности) и создать заново на новом железе, ведь в противном случае гарантия того, что кибергопники не напомнят о себе спустя время, снижается до нуля. Только пойди потом докажи, что это не твой код, а хакеры 5 лет назад через библиотеку добавили своих «пасхалок» в твою прогу.
А ведь 514 — это лишь то, что удалось найти. А сколько не нашли? А сколько копий таких библиотек будет интегрировано в коды пишущихся программ, пока их заблочат в репозитории (pip — это ведь не сайт, где можно просто админа попросить забанить). А сколько копий копий находится в сторонних репозиториях? Проще уж отказаться от Python и всего, что на нем написано, нежели пытаться как-то это все исправить. Правда, после компиляции пойди еще пойми, что оно было написано на Python.
И все это стало возможным лишь потому, что у системы управления пакетами pip слишком большой траст, а модульность, которую она дает, слишком удобна для разработчиков. Хотя винить только разрабов неправильно, ведь запрос на удобство обычно обусловливается спешкой со стороны бизнеса. Разрабы же (если они, кнш, разрабы, а не кнопатели) обычно готовы годами доводить свой код до ума — просто потому, что им это в кайф. Но когда нужно сдать к конкретной дате, появляется pip. Или ее аналоги.
Подводя итоги
Как видите, траст — это далеко не всегда про безопасность. Однако это не значит, что нужно доверять непроверенным ресурсам — отнюдь. Просто не стоит питать иллюзий, что что-то, чем вы пользовались годами без каких-либо проблем, не создаст вам проблем в будущем. Мы не просто так назвали рубрику «Киберпаранойя» — ведь более-менее обезопаситься могут лишь те, кто осознает опасность.
* Meta признана экстремистской и запрещена на территории РФ.
