СМИ сообщили, что ознакомились с «Реестром социально значимых сервисов», рекомендованным Минцифры. В «белый список» ресурсов, которые будут работать во время отключения мобильного интернета, якобы планируют включить 57 наименований сервисов, включая «Фонбет» и «Пикабу». В Минцифры не подтверждают эту информацию.

Напомним, что на прошлой неделе Министерство цифрового развития, связи и массовых коммуникаций перечислило наиболее востребованные и социально значимые российские сервисы и сайты, которые будут доступны российским пользователям в периоды ограничений работы мобильного интернета по причине безопасности.

Также в Минцифры рассказали, что операторы связи уже разработали специальное техническое решение, позволяющее не блокировать такие ресурсы, и уже обеспечивают доступ к этим сервисам в пилотном режиме.

Тогда в Telegram-канале Минцифры был опубликован список интернет-сервисов, которые останутся доступными во время ограничений. Отмечалось, что список будет пополняться, но в настоящее время в него входят:

  • сервисы «Вконтакте», «Одноклассники», Mail.ru и национальный мессенджер Max;
  • сервисы Госуслуг;
  • сервисы «Яндекса»;
  • маркетплейсы Ozon и Wildberries;
  • Avito;
  • «Дзен»;
  • Rutube;
  • официальный сайт платежной системы «Мир»;
  • сайты Правительства и Администрации Президента России;
  • федеральная платформа дистанционного электронного голосования (ДЭГ);
  • операторы связи «Билайн», «Мегафон», «МТС», «Ростелеком» и «T2».

При этом СМИ, со ссылкой на собственные источники, писали, что позже в «белый список» Минцифры могут включить около 80 компаний, входящих в Ассоциацию компаний интернет-торговли (АКИТ, включает Ozon, Wildberries, «М.Видео», «Ситилинк», Lamoda, «Сбермаркет», «Детский мир» и так далее). Также, по информации СМИ, в список вошли:

  • сервисы Сбербанка, Альфа-банка, Т-банка, Газпромбанка и Национальной системы платежных карт (НСПК);
  • «Кинопоиск»;
  • онлайн-карты 2GIS;
  • сайт магазина «Магнит».

Как теперь пишет издание «Коммерсант», журналистам которого удалось ознакомиться с «Реестром социально значимых сервисов», в настоящее время список ресурсов включает 57 наименований сервисов, которые должны войти в перечень:

  • «Яндекс», «ВКонтакте», ОК, Mail.ru, Ozon, Wildberries, «Дзен», «Госуслуги», Avito.
  • Т-Банк, Сбербанк, ВТБ, Альфа-банк, «Банки.ру».
  • Rutube, 2GIS, «Ростелеком», «МегаФон», «Вымпелком», МТС и Т2.
  • РЖД, Gismeteo, ритейлер DNS, «Почта России».
  • НСПК, ЮниКредит Банк, ГПБ-банк, Совкомбанк, Московский кредитный банк, банк «ФК Открытие», Росбанк, Промсвязьбанк, Райффайзенбанк, Россельхозбанк.
  • Сайты правительства, АП и ФНС, ресурсы дистанционного электронного голосования, ПОС и «Госвеб».
  • X5 Retail Group, «Магнит», «Кинопоиск» и «Иви», платформа HH.ru.
  • «Комсомольская правда», «РИА Новости», «Лента.ру», РБК и Pikabu.
  • ru, «Аптека.ру», букмекер «Фонбет», сервис продажи авто «Дром», DRIVE2, IXBT, сайт «Лемана ПРО».

Однако в Минцифры не подтвердили эту информацию. В Telegram-канале ведомства появилось новое сообщение, согласно которому, включать в «белые списки» сайт букмекерской компании «Фонбет» не планируется.

«Мы не подтверждаем распространившуюся в СМИ информацию о новом перечне сайтов и сервисов, которые будут доступны в режиме ограничений работы мобильного интернета — так называемом белом списке.

По данным ряда изданий, в перечень якобы включен такой сайт, как “Фонбет”. Это не соответствует действительности, сайт букмекерской компании включать не планируют.

Сейчас перечень интернет-ресурсов, которые на втором этапе войдут в список платформ, доступных в периоды ограничений работы мобильного интернета, еще формируется. В обновленный список также будут включены СМИ, банки, аптеки.

На первом этапе в список уже вошли популярные интернет-ресурсы, которыми ежедневно пользуются миллионы россиян. Перечень цифровых платформ будет пополняться на основе рейтинга наиболее популярных интернет-ресурсов России», — заявили представители Минцифры.

Кроме того, в в пресс-службе ведомства уточнили, что перечень ресурсов будет расширен в несколько этапов, и в него войдут сайт МЧС, портаы Государственной думы, Совета Федерации и Генеральной прокуратуры.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии
    Новости

    Критическая уязвимость в Chrome принесла специалисту 43 000 долларов

    40 минут назад
    Комментарии
    205

    Компания Google устранила критическую уязвимость типа use-after-free в браузере Chrome, которая могла привести к выполнению кода. Обнаруживший ее ИБ-специалист получил вознаграждение по программе bug bounty в размере 43 000 долларов США.

    На этой неделе вышло обновление Chrome, которое исправило сразу две проблемы, обнаруженные внешними исследователями.

    Критическая ошибка в компоненте Serviceworker, за которую была выплачена упомянутая награда, получила идентификатор CVE-2025-10200 и была найдена независимым багхантером Лубеном Янгом (Looben Yang).

    Проблема описывается как use-after-free, и такие типы уязвимостей возникают, когда программа пытается получить доступ к уже освобожденной памяти. Эксплуатация таких ошибок, как правило, ведет к помещению в освобожденную память вредоносного кода, что потенциально позволяет добиться выполнения произвольного кода и полной компрометации системы.

    Также в браузере исправили уязвимость CVE-2025-10201, обнаруженную Саханом Фернандо (Sahan Fernando) и анонимным исследователем. Эта проблема была связана с некорректной имплементацией в Mojo, и за нее Google выплатила специалистам вознаграждение в размере 30 000 долларов США.

    Хотя разработчики браузера не сообщают об эксплуатации этих уязвимостей в реальных атаках, пользователям рекомендуется обновить свои браузеры как можно скорее. Патчи вошли в Chrome версии 140.0.7339.127/.128 для Windows, версии 140.0.7339.132/.133 для macOS и 140.0.7339.127 для Linux.

    Хотя полученные исследователями суммы были весьма существенными, напомним, что в прошлом месяце багхантер под ником Micky получил рекордное вознаграждение от Google. Специалист обнаружил баг в Chrome, который позволял обойти песочницу браузера, и заработал 250 000 долларов США по программе bug bounty.

    Новости

    Атака GhostAction привела к раскрытию 3325 секретов

    2 часа назад
    Комментарии
    236

    Обнаружена еще одна атака на цепочку поставок, получившая название GhostAction. Вредоносная кампания была нацелена на GitHub и привела к компрометации 3325 секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS.

    Атаку обнаружили исследователи из компании GitGuardian, которые сообщают, что первые признаки компрометации одного из затронутых проектов — FastUUID — были замечены 2 сентября 2025 года.

    Злоумышленники использовали взломанные аккаунты мейнтейнеров для выполнения коммитов, добавляющих вредоносный файл workflow GitHub Actions, который срабатывал автоматически при пуше или ручном запуске. После срабатывания он извлекал секреты из среды GitHub Actions проекта, а после выгружал их на внешний домен, который контролировали атакующие, через curl POST-запрос.

    В случае с уже упомянутым FastUUID, хакеры также похитили PyPI-токен проекта, однако никаких вредоносных релизов пакетов не последовало, а затем атака была обнаружена и устранена.

    Более тщательное расследование инцидента показало, что охват атаки оказался гораздо шире и не ограничивался одним только FastUUID.

    По данным исследователей, стоящие за GhostAction злоумышленники внедрили аналогичные коммиты как минимум в 817 репозиториев, и все они отправляли секреты на один и тот же эндпоинт — bold-dhawan[.]45-139-104-115[.]plesk[.]page.

    Отмечается, что атакующие провели энумерацию имен секретов из легитимных workflow, а затем жестко закодировали их в собственные workflow для кражи различных типов данных.

    Как только специалисты выявили полный масштаб этой кампании, были созданы GitHub Issues в 573 затронутых репозиториях, а также о происходящем были уведомлены ИБ-команды GitHub, npm и PyPI. Вскоре после обнаружения упомянутый эндпоинт злоумышленников перестал отвечать.

    По оценкам экспертов, в рамках кампании GhostAction было похищено примерно 3325 секретов, включая токены PyPI, npm, DockerHub, GitHub, API-токены Cloudflare, ключи доступа AWS и учетные данные БД.

    Отчет компании гласит, что из 817 затронутых репозиториев 100 отменили вредоносные изменения; исследователи создали GitHub Issues в 573 затронутых репозиториях, и остальные проекты были удалены или отключены.

    При этом отмечается, что как минимум 9 неназванных пакетов npm и 15 пакетов из PyPI были напрямую затронуты утечкой, и в любой момент могут выпустить вредоносные или троянизированные версии, если их мейнтейнеры не отзовут украденные секреты.

    Хотя GhostAction имеет некоторое сходство с другой крупной атакой на цепочку поставок —s1ngularity, произошедшей в конце августа, специалисты GitGuardian полагают, что связи между этими кампаниями нет.