18 апреля на ВТБ Арене в Москве прошёл один из крупнейших бизнес-форумов года — АМОКОНФ. Более 60 000 участников собрались, чтобы услышать ведущих спикеров, обсудить тренды в продажах и автоматизации, и найти инструменты для масштабирования своего бизнеса. Пассворк выступил партнёром форума— не просто как участник, а как компания, которая помогает бизнесу расти безопасно в условиях растущей сложности инфраструктуры.
О конференции: масштаб и формат
АМОКОНФ — ежегодный бизнес-форум от amoCRM, который собирает предпринимателей, топ-менеджеров и экспертов в области управления, продаж и технологий. Программа конференции развивалась вокруг девиза «Трафик. Заявки. Продажи» — от практических кейсов внедрения ИИ до стратегий масштабирования.
Формат конференции — микс практических выступлений, реальных кейсов и демонстраций новых инструментов. Каждый спикер делился конкретными примерами того, как внедрять технологии и масштабировать бизнес без потери контроля.
Главные тренды конференции
Центральной темой АМОКОНФ стал искусственный интеллект как инструмент упрощения рутины и масштабирования. Спикеры обсуждали ключевые вызовы:
Автоматизация процессов — как внедрить ИИ и не потерять контроль над качеством и безопасностью.
Масштабирование команд — как растить компанию, не увеличивая административную нагрузку.
Управление данными — как работать с растущим объёмом информации и сохранять её безопасность.
Интеграция инструментов — как соединить CRM, платёжные системы, аналитику и другие сервисы в единую экосистему.
Каждый из этих вызовов прямо связан с одной проблемой: когда компания внедряет новые инструменты, количество критических доступов растёт экспоненциально. Каждый сервис требует своего ключа, токена или пароля. Без централизованного управления это становится уязвимостью.
Почему Пассворк на АМОКОНФ
Когда компания внедряет ИИ-агентов, CRM, платёжные системы и облачные сервисы, управление доступами становится критичным. Большинство компаний решают эту задачу хаотично — пароли в заметках и мессенджерах без контроля и аудита.
Пассворк предлагает другой подход: централизованное управление всеми доступами с полным контролем, аудитом и историей действий.
Каждый новый инструмент — это новый доступ. Вместо разрозненных паролей и ключей используйте централизованное управление. Пассворк даёт полный контроль и видимость всех критических доступов. Попробуйте бесплатно
Роль Пассворка в экосистеме цифровой трансформации
Пассворк — единственный менеджер паролей, сертифицированный ФСТЭК России. Это означает, что решение прошло проверку на соответствие государственным стандартам безопасности и может использоваться даже в госкомпаниях и критичных инфраструктурах.
Для компаний, которые масштабируют бизнес с помощью ИИ и интеграций, Пассворк решает ключевые задачи:
Централизованное управление доступами — все пароли, API-ключи, токены и сертификаты в одном месте
Полный контроль и аудит — администратор видит все действия, все изменения, всю историю
Интеграция с инфраструктурой — поддержка AD/LDAP, SSO, SIEM и других систем
Быстрое развёртывание — решение работает как на собственных серверах, так и в облаке
Это критично для компаний, которые быстро масштабируются и внедряют новые инструменты.
Итоги: безопасность как часть трансформации
АМОКОНФ показала, что бизнес активно внедряет ИИ и автоматизацию в повседневные процессы. Но каждый новый инструмент требует не только удобства, но и безопасности.
Компании, которые сейчас инвестируют в управление доступами, получают два конкретных преимущества:
Скорость внедрения — когда доступы управляются централизованно, добавить новый сервис можно за часы.
Снижение рисков — полный контроль над доступами и возможность быстро отозвать права в случае инцидента.
Участие Пассворка в АМОКОНФ — это возможность поддерживать профессиональное сообщество и обсуждать с бизнесом практические вопросы безопасности в условиях цифровой трансформации. Мы помогаем компаниям не просто внедрять новые технологии, а делать это безопасно.
Если ваша компания внедряет новые инструменты и интеграции, управление доступами — это первый шаг к безопасной инфраструктуре. Пассворк централизует все пароли, API-ключи и токены в одной системе с полным аудитом. Попробуйте бесплатно
Пассворк стал партнёром АМОКОНФ: безопасность в центре цифровизации
18 апреля Пассворк выступил партнёром АМОКОНФ — крупнейшего бизнес-форума с 60 000 участников. На конференции обсуждали ИИ, автоматизацию и безопасность при масштабировании. Большинство компаний решают эту задачу хаотично — мы рассказываем, как делать это правильно.
30 апреля 2026 года Пассворк получил сертификат соответствия ФСТЭК России № 5063 по 4-му уровню доверия — наивысшему из применяемых для коммерческих средств защиты информации. Сертификат подтверждает, что наш продукт соответствует самым строгим требованиям российского регулятора и может применяться в критически важных государственных и корпоративных системах.
Сертификация ФСТЭК — результат многомесячной работы команды разработки, службы безопасности и внешних аудиторов. Архитектура продукта, криптографические алгоритмы, механизмы управления доступом и журналирования прошли все этапы детальной проверки на соответствие требованиям приказа ФСТЭК России № 76 от 2 июня 2020 года.
Пассворк успешно прошёл все сертификационные испытания и на сегодняшний день является первым и единственным менеджером паролей в России с сертификатом ФСТЭК.
Область применения сертификата
Сертификат ФСТЭК и включение в реестр сертифицированных СЗИ снимает регуляторные ограничения для использования Пассворка в следующих типах систем:
Государственные информационные системы (ГИС) — до 1 класса защищённости включительно.
Информационные системы персональных данных (ИСПДн) — до 1 уровня защищённости включительно.
Значимые объекты критической информационной инфраструктуры (КИИ) — до 1 категории включительно.
Автоматизированные системы управления технологическими процессами (АСУ ТП) — до 1 класса защищённости включительно.
Четвёртый уровень доверия — максимальный из применяемых для коммерческих продуктов и является наивысшей степенью подтверждения соответствия требованиям безопасности.
Почему это важно для наших клиентов
Сертификат решает разные задачи в зависимости от специфики организации. Для регулируемых отраслей это обязательное требование, для других компаний — независимое подтверждение максимальной защищённости.
Для регулируемых отраслей
В регулируемых отраслях каждое средство защиты информации должно иметь соответствующие лицензии и сертификаты. Без них продукт не пройдёт аттестацию, не будет принят службой безопасности и не выдержит проверки регулятора.
Сертификат ФСТЭК по 4-му уровню доверия:
Подтверждает допуск к системам высокого класса защищённости. Пассворк может применяться в ГИС 1 класса, ИСПДн 1 уровня, КИИ 1 категории — там, где требования к защите информации максимальны.
Гарантирует соответствие требованиям безопасности. Архитектура продукта, алгоритмы шифрования, механизмы аутентификации и аудита прошли экспертизу ФСТЭК России.
Упрощает аттестацию информационной системы. Наличие сертификата снижает риски при прохождении аттестации и вероятность замечаний со стороны регулятора.
Наличие сертификата ФСТЭК позволяет использовать Пассворк в информационных системах любого класса защищённости.
Для коммерческих организаций
Для организаций, не подпадающих под обязательные требования регуляторов, сертификат ФСТЭК остаётся важным индикатором качества и надёжности решения:
Независимая проверка безопасности — Пассворк прошёл оценку по самым строгим стандартам безопасности в России.
Снижение рисков при выборе решения — наличие сертификата упрощает процесс согласования с внутренней службой безопасности и минимизирует вероятность технических замечаний.
Готовность к ужесточению требований — если организация в будущем попадёт под регулирование или изменит профиль деятельности, замена решения не потребуется.
Защита от репутационных потерь — использование сертифицированного решения снижает риски в случае инцидентов безопасности и упрощает коммуникацию с партнёрами и клиентами.
Сертификат ФСТЭК — это объективное подтверждение того, что продукт спроектирован и реализован с учётом максимальных требований к защите информации.
Сертификаты и лицензии Пассворка
Пассворк имеет полный комплект разрешительной документации. Мы последовательно проходим все необходимые процедуры, чтобы наш продукт соответствовал требованиям российского законодательства:
Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) — получена в июне 2024 года.
Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) — получена в июне 2024 года.
Лицензия ФСБ России на работу с криптографическими технологиями — подтверждает право использовать и распространять криптографические средства защиты информации.
Сертификат ФСТЭК России № 5063 по 4-му уровню доверия — Пассворк внесён в Государственный реестр сертифицированных средств защиты информации.
Включение в Единый реестр российского ПО Минцифры России — Пассворк официально включён в реестр Минцифры (реестровая запись №6147) и может участвовать в государственных закупках.
Этот комплект документов закрывает все регуляторные требования для работы в системах любого класса защищённости: государственном секторе, банковской сфере, телекоммуникациях, энергетике и других регулируемых отраслях.
Что проверяет ФСТЭК при сертификации
Сертификация ФСТЭК — это комплексная проверка продукта на соответствие требованиям безопасности информации. Проверка охватывает все критически важные аспекты архитектуры и функциональности решения:
Технические меры защиты. Проверяется способность продукта предотвращать несанкционированный доступ к данным, наличие функций контроля целостности, механизмы идентификации и аутентификации пользователей.
Документация и процессы разработки. ФСТЭК проверяет не только код, но и процессы: как организована разработка, тестирование, обработка инцидентов безопасности, обновление продукта.
Соответствие нормативным требованиям. Продукт проверяется на соответствие руководящим документам ФСТЭК, включая требования к средствам контроля доступа, регистрации событий и защиты информации от несанкционированного доступа.
Архитектура и криптография. Проверяется архитектура и шифрование данных, генерация ключей на стороне клиента, использование сертифицированных криптографических библиотек. ФСТЭК контролирует, что данные и ключи шифрования никогда не покидают инфраструктуру организации.
Управление доступом и аудит. Проверяется реализация ролевой модели, интеграция с Active Directory, LDAP и SSO. ФСТЭК контролирует полноту журнала аудита: каждое действие пользователя фиксируется с детализацией — кто, когда и к каким данным получил доступ.
Сертификация ФСТЭК подтверждает — безопасность Пассворка обеспечивается не только на уровне технологий, но и на уровне процессов: от разработки до эксплуатации и обновления продукта.
От сертификации к практике
Пассворк — российский продукт и средство защиты информации. Сертификат и лицензии ФСТЭК, ФСБ России, включение в реестр Минцифры закрывают все регуляторные требования для работы в системах любого класса защищённости.
Сертификация ФСТЭК — важный шаг, но далеко не финальный. Мы продолжаем развивать наш продукт: расширяем список интеграций с корпоративными системами, добавляем новые механизмы контроля доступа, углубляем возможности аудита и отчётности.
«Получение сертификата ФСТЭК — это подтверждение готовности Пассворка работать в самых требовательных системах. Мы стали первым российским менеджером паролей, который может использоваться в инфраструктурах первой категории значимости. Это важный шаг в развитии российского рынка средств защиты информации и реального импортозамещения в сфере безопасности», — Андрей Пьянков, генеральный директор ООО «Пассворк»
Если вашей организации требуется сертифицированное средство защиты информации — Пассворк решает эту задачу. Мы готовы провести демонстрацию продукта, ответить на технические вопросы и помочь с пилотным внедрением.
Пассворк готов к работе в самых требовательных системах. Ролевая модель доступа, шифрование на стороне клиента по принципу нулевого знания и полный аудит действий пользователей. Протестируйте Пассворк бесплатно
Пассворк — единственный менеджер паролей, сертифицированный ФСТЭК России
30 апреля 2026 года Пассворк получил сертификат ФСТЭК России № 5063 по 4-му уровню доверия — наивысшему для коммерческих средств защиты информации. Пассворк стал первым российским менеджером паролей, который может применяться в ГИС, ИСПДн, КИИ и АСУ ТП 1 класса защищённости.
Апрель 2026 года запомнится массовыми взломами через элементарные ошибки: AI-агенты сливают корпоративные секреты, инфостилеры крадут пароли из браузеров, хакеры эксплуатируют легитимную инфраструктуру Apple для фишинга, а атаки через цепочку поставок компрометируют сотни компаний одновременно.
Общий знаменатель всех инцидентов: широкие права доступа без сегментации, отсутствие верификации обновлений через независимый канал, слабые пароли, хранение токенов аутентификации у подрядчиков, игнорирование базовых практик безопасной разработки.
Мы собрали самые значимые инциденты месяца с разбором того, что пошло не так и как этого можно было избежать.
Главная угроза апреля
Атаки через цепочку поставок стали основным вектором компрометации в апреле. Злоумышленники компрометируют доверенных подрядчиков и через них получают доступ к инфраструктуре жертв. Взлом аналитического сервиса Anodot открыл доступ к данным Vimeo и Rockstar Games, скомпрометированный AI-инструмент Context.ai привёл к утечке на $2 млн в Vercel, а «обновление для 1С» от имени интегратора уничтожило инфраструктуру организации за две недели.
Взлом Vercel на $2 млн: как AI-ассистент слил продуктовые ключи
В апреле 2026 года Vercel подтвердили серьёзный инцидент безопасности. Злоумышленники получили несанкционированный доступ к внутренним системам компании через скомпрометированный AI-инструмент Context.ai, который использовал один из сотрудников.
«Наше расследование показало, что инцидент произошёл из-за небольшого стороннего AI-инструмента, чьё OAuth-приложение для Google Workspace стало объектом масштабной компрометации, потенциально затронувшей сотни его пользователей в различных организациях» — официальное заявление Vercel
Vercel — облачная платформа для хостинга и развёртывания веб-приложений, созданная разработчиками фреймворка Next.js. Компания обслуживает тысячи компаний по всему миру, предоставляя инфраструктуру для автоматического развёртывания сайтов с глобальной CDN.
Механика атаки
Атака развивалась по классической схеме каскадной компрометации. Сотрудник Vercel подключил AI Office Suite от Context.ai к своему корпоративному аккаунту Google Workspace, предоставив приложению полные права: доступ к почте, диску и другим корпоративным данным. Когда Context.ai была взломана, злоумышленники получили контроль над OAuth-токеном этого сотрудника и через него — доступ к внутренним системам Vercel.
Через скомпрометированный аккаунт хакеры получили доступ к переменным окружения, которые не были помечены как «sensitive». Vercel подчёркивает, что секретные переменные хранятся в зашифрованном виде и, по имеющимся данным, не были скомпрометированы. Однако несекретные переменные могли содержать конфигурационные данные, внутренние URL и другую информацию, полезную для дальнейшей атаки.
Масштаб и последствия
Группировка ShinyHunters взяла на себя ответственность за атаку, выставив украденные данные на продажу за $2 млн. Vercel описала злоумышленников как «высокоорганизованных», отметив их «операционную скорость и детальное понимание систем Vercel».
Компания сообщила, что скомпрометирована ограниченная группа клиентов, с которыми связались напрямую, рекомендовав немедленно ротировать учётные данные. Vercel продолжает расследование с привлечением Mandiant (подразделение Google Cloud по кибербезопасности) и других специалистов, а также уведомила правоохранительные органы.
Цепочка компрометации
Расследование Hudson Rock выявило, что корни атаки уходят ещё глубже. В феврале 2026 года устройство сотрудника Context.ai было скомпрометировано инфостилером Lumma Stealer — вредоносом, извлекающим сохранённые пароли, токены и cookies из браузеров. Вероятно, именно через эту компрометацию злоумышленники получили первоначальный доступ к инфраструктуре Context.ai, а затем использовали OAuth-токены клиентов сервиса для атак на их компании.
«Vercel не является клиентом Context, но как минимум один сотрудник Vercel зарегистрировался в AI Office Suite, используя корпоративный аккаунт, и предоставил права "Allow All"», — сообщение Context.ai.
Что пошло не так
Инцидент демонстрирует несколько критических проблем в управлении доступом:
Широкие права для AI-инструментов. OAuth-токен с правами «Allow All» дал AI-ассистенту полный доступ к корпоративному Google Workspace, включая почту с потенциально чувствительными данными.
Отсутствие контроля подключаемых приложений. Сотрудник самостоятельно подключил стороннее приложение к корпоративному аккаунту без согласования с отделом безопасности.
Каскадная компрометация. Взлом одного звена (Context.ai) автоматически скомпрометировал всех, кто предоставил сервису широкие права доступа.
Инфостилер как точка входа. Заражение Context.ai инфостилером Lumma в феврале стало первым звеном в цепи, приведшей к взлому Vercel в апреле.
Выводы для бизнеса
Инцидент с Vercel показывает, как AI-инструменты становятся новым вектором атак на корпоративную инфраструктуру. Сотрудники подключают «умных помощников» для повышения продуктивности, не осознавая, что предоставляют им доступ к критичным корпоративным данным. Когда такой инструмент компрометируется, злоумышленники автоматически получают доступ ко всем подключённым аккаунтам.
Утечка данных Vimeo: последствия взлома Anodot
Группировка ShinyHunters взломала аналитический сервис Anodot, специализирующийся на обнаружении аномалий в данных. Через скомпрометированного подрядчика злоумышленники получили доступ к данным десятков крупных клиентов, включая видеоплатформу Vimeo.
«Мы установили, что в результате взлома Anodot злоумышленник получил доступ к определённым данным пользователей и клиентов Vimeo. Наши предварительные данные показывают, что скомпрометированные базы данных в основном содержат технические данные, названия видео и метаданные, а в некоторых случаях — адреса электронной почты клиентов», — официальное заявление Vimeo (27 апреля, 2026)
Механизм атаки оказался классическим для современных каскадных взломов: хакеры украли токены аутентификации Anodot и использовали их для доступа к облачным средам клиентов — преимущественно к экземплярам Snowflake и BigQuery. Получив легитимные учётные данные подрядчика, злоумышленники обошли большинство защитных механизмов, поскольку системы воспринимали их действия как авторизованный доступ.
Угрозы и требования
ShinyHunters не ограничились кражей данных. Группировка потребовала выкуп от Vimeo, угрожая опубликовать украденную информацию к 30 апреля 2026 года. Помимо угроз публикации, злоумышленники предупредили, что платформа должна ожидать «ряд неприятных цифровых проблем» — вероятно, намекая на DDoS-атаки или другие деструктивные действия.
Хакеры утверждают, что располагают данными из облачных хранилищ Snowflake и BigQuery компании. Хотя Vimeo подчеркнула, что видеоконтент пользователей, действующие учётные данные для входа и данные платёжных карт не были скомпрометированы, утечка имейл-адресов и метаданных создаёт серьёзные риски для целевого фишинга.
Помимо Vimeo, в сети появились упоминания о компрометации данных Rockstar Games из облака Snowflake.
«Мы можем подтвердить, что ограниченный объём несущественной корпоративной информации был получен в результате утечки данных у стороннего поставщика», — официальное сообщение Rockstar Games
Что пошло не так
Инцидент демонстрирует классические проблемы безопасности цепочки поставок:
Широкие права доступа подрядчика. Anodot имела токены для доступа к облачным хранилищам клиентов (Snowflake, BigQuery) без достаточной сегментации и ограничения привилегий.
Отсутствие мониторинга доступа подрядчиков. Компании не отслеживали, какие данные и когда запрашивает Anodot, что позволило злоумышленникам незаметно извлекать информацию.
Хранение токенов аутентификации. Компрометация Anodot автоматически скомпрометировала всех клиентов, чьи токены хранились в системах подрядчика.
Недостаточная сегментация данных. Один токен давал доступ к множеству баз данных без дополнительной аутентификации или ограничений.
Выводы для бизнеса
Взлом Anodot — классический пример эффекта домино в кибербезопасности. Компрометация одного подрядчика автоматически ставит под удар десятки его клиентов. Даже если ваша инфраструктура идеально защищена, слабое звено может находиться у стороннего поставщика.
Практические рекомендации
Регулярно проверяйте, какие сторонние сервисы имеют доступ к вашим данным, и ограничивайте их привилегии минимально необходимыми
Используйте уникальные пароли для каждого сервиса — утечка из одного не должна открывать доступ к другим
Внедрите мониторинг доступа подрядчиков — отслеживайте, какие данные и когда запрашиваются
Применяйте сегментацию данных — один токен не должен давать доступ ко всей инфраструктуре
Регулярно ротируйте токены доступа сторонних сервисов
В апреле пользователи Apple начали получать подозрительные уведомления безопасности, которые выглядели абсолютно легитимно. Причина: хакеры научились эксплуатировать систему уведомлений Apple, отправляя фишинговые письма с официального адреса appleid@id.apple.com, которые проходят все проверки подлинности и обходят спам-фильтры.
Письма выглядят как стандартные уведомления безопасности Apple о том, что информация в учётной записи была обновлена. Однако внутри сообщения скрывается фишинговая приманка: пользователю сообщают, что он якобы купил iPhone за $899 через PayPal, и предлагают позвонить по указанному номеру для отмены транзакции.
Механика атаки
Атака эксплуатирует автоматическую систему уведомлений Apple.
Шаг 1: Подготовка. Злоумышленник регистрирует новый аккаунт Apple и в поля «Имя» и «Фамилия» вместо реального имени вписывает фишинговый текст. Имя — 889 USD IPhone Purchase Via, фамилия — Pay-Pal to Cancel [номер телефона].
Шаг 2: Триггер уведомления. Злоумышленник изменяет адрес доставки в настройках своего аккаунта. Apple автоматически отправляет уведомление безопасности на имейл, привязанный к этому аккаунту.
Шаг 3: Внедрение фишинга. Apple формирует уведомление по шаблону: «Уважаемый [Имя][Фамилия], следующие изменения были внесены в вашу учётную запись...»
Шаг 4: Массовая рассылка. Злоумышленник настраивает переадресацию или использует список рассылки, чтобы это письмо было отправлено тысячам жертв. Поскольку письмо реально отправлено серверами Apple, оно проходит все проверки подлинности.
При звонке по указанному номеру мошенники убеждают жертву, что её аккаунт скомпрометирован, и требуют установить ПО для удалённого доступа или предоставить финансовую информацию.
Что пошло не так
Уязвимость в системе уведомлений Apple. Компания не предусмотрела, что поля имени и фамилии могут быть использованы для внедрения произвольного текста в автоматические уведомления.
Отсутствие валидации пользовательского ввода. Apple не проверяет содержимое полей имени на наличие подозрительных паттернов (номера телефонов, финансовые суммы).
Пользователи не проверяют информацию через официальные каналы. Вместо звонка по номеру из письма люди должны проверять транзакции через официальное приложение или сайт Apple.
Реакция Apple
На момент публикации (5 мая 2026 года) Apple не предоставила официального комментария по поводу этого инцидента и не подтвердила, что уязвимость в системе уведомлений была устранена. Эксплуатация механизма отправки фишинговых писем через легитимную инфраструктуру Apple остаётся возможной.
Источники: BleepingComputer
Пассворк защищает от социальной инженерии. Даже если сотрудник поверит фишинговому письму, злоумышленник не получит доступ к корпоративным системам — все пароли хранятся в зашифрованном хранилище с многофакторной аутентификацией. Протестируйте бесплатно в своей инфраструктуре
Атака на цепочку поставок: взлом Bitwarden CLI через npm
22 апреля 2026 года в npm-репозиторий был загружен вредоносный пакет @bitwarden/cli версии 2026.4.0, выдающий себя за официальный инструмент командной строки менеджера паролей Bitwarden. Пакет был скачан 334 раза до момента обнаружения — у легитимной версии свыше 250 000 скачиваний в месяц.
«Команда безопасности Bitwarden выявила и локализовала вредоносный пакет, который был распространён через канал доставки npm для @bitwarden/cli@2026.4.0 с 17:57 до 19:30 (по восточному времени) 22 апреля 2026 года и связан с более широким инцидентом в цепочке поставок Checkmarx», — официальное заявление Bitwarden
Атака является частью масштабной кампании, активной с сентября 2025 года и резко эскалировавшей в 2026-м. Злоумышленники компрометируют npm-пакеты, Docker Hub образы, GitHub Actions и расширения VS Code.
Вредоносный код получил кодовое имя «Shai-Hulud: The Third Coming» — строка встроена непосредственно в пакет, что указывает на связь с предыдущими волнами атак под этим названием.
Почему это важно
Shai-Hulud — это самораспространяющийся червь, который превращает каждую заражённую машину разработчика в точку дальнейшего распространения. Если у скомпрометированного разработчика есть права на публикацию npm-пакетов, вредонос автоматически внедряет себя во все доступные ему пакеты и публикует заражённые версии.
Что пошло не так
Отсутствие код-ревью при публикации: npm не проверяет содержимое пакетов перед публикацией. Злоумышленник смог загрузить вредоносный код под легитимным именем @bitwarden/cli.
Широкие права npm-токенов: Разработчики часто используют долгоживущие токены с избыточными правами на публикацию, что позволяет вредоносу распространяться автоматически.
Доверие к CI/CD окружению: GitHub Actions workflows часто имеют доступ ко всем секретам проекта без сегментации, что делает их привлекательной целью.
Статус инцидента
На момент публикации (5 мая 2026 года) вредоносная версия @bitwarden/cli@2026.4.0 удалена из npm-репозитория. Bitwarden подтвердила, что их официальная инфраструктура не была скомпрометирована — атака затронула только npm-пакет, опубликованный злоумышленниками под легитимным именем.
Централизованное управление паролями и секретами — не опция, а требование. Пассворк обеспечивает хранение API-ключей, токенов и паролей в зашифрованном виде с детальной ролевой моделью доступа и журналом аудита. Протеструйте бесплатно и проверьте, как Пассворк решает задачу защиты корпоративных секретов.
Zero Click атака на Windows: кража паролей без вашего участия
Microsoft подтвердила активную эксплуатацию уязвимости CVE-2026-32202 в Windows Shell, позволяющей злоумышленникам похищать NTLM-хэши учётных данных пользователей без каких-либо действий со стороны жертвы. Агентство CISA включило уязвимость в каталог Known Exploited Vulnerabilities и установило крайний срок установки патча — 12 мая 2026 года.
Атака относится к типу zero-click — жертве не нужно открывать файл, кликать на ссылку или запускать макрос. Достаточно, чтобы специально сформированный LNK-файл (ярлык Windows) попал на диск — система автоматически обработает его и отправит хэш пароля злоумышленнику.
Механика атаки
Уязвимость CVE-2026-32202 — следствие неполного исправления предыдущей уязвимости CVE-2026-21510, которую Microsoft закрыла в феврале 2026 года после атак APT28 (Fancy Bear) на европейские оборонные организации.
Шаг 1: Злоумышленник отправляет ZIP-архив с вредоносным LNK-файлом через имейл, Teams или SharePoint. Архив обходит проверку Mark-of-the-Web.
Шаг 2: Когда LNK-файл попадает на диск, Windows Shell автоматически разбирает его. Внутри LNK злоумышленник размещает UNC-путь на свой сервер.
Шаг 3: Windows автоматически устанавливает SMB-соединение и отправляет Net-NTLMv2 хеш текущего пользователя — без ведома пользователя и запроса на подтверждение.
Шаг 4: Злоумышленник перехватывает хеш и либо взламывает пароль офлайн, либо перенаправляет аутентификацию на другой сервер в корпоративной сети.
Что пошло не так
Неполное исправление: Microsoft закрыла предыдущую уязвимость, но не устранила корневую причину — автоматическую аутентификацию по UNC-путям в LNK-файлах.
Устаревший протокол NTLM: Протокол 1990-х годов, передающий хеши паролей по сети.
Отсутствие подписи SMB: Большинство организаций не включают обязательную подпись SMB, что позволяет NTLM Relay.
Плоская сеть: Отсутствие сегментации позволяет латеральное движение по всей инфраструктуре.
Статус
Microsoft выпустила апрельский патч с исправлением уязвимости. Уязвимость затрагивала Windows 10, 11 и Server 2019/2022/2025.
Атака через подрядчика: как «обновление 1С» уничтожило инфраструктуру за две недели
Команда Solar 4RAYS опубликовала обзор инцидента с участием ранее неизвестной группировки вымогателей, атаковавшей спортивную организацию через скомпрометированного подрядчика — крупного интегратора ПО. От имени подрядчика злоумышленники прислали «обновление для 1С», которое оказалось бэкдором. За две недели хакеры получили полный контроль над инфраструктурой и развернули шифровальщик HardBit v4.2.
Инцидент расследовала команда Solar 4RAYS. Поскольку информации о географическом происхождении группировки нет, эксперты присвоили ей кодовое имя NGC8211 по собственной таксономии. Это первая зафиксированная атака данной группировки.
Почему это важно
Атака демонстрирует классический сценарий компрометации через цепочку поставок: злоумышленники используют доверенные отношения с подрядчиками вместо прямого взлома. Поскольку вредонос пришёл от легитимного интегратора, системы безопасности не заблокировали его, а сотрудники установили без подозрений.
Шаг 2: От имени подрядчика отправили «обновление для 1С». Поскольку письмо пришло с легитимного адреса интегратора, сотрудники установили файл без проверок. Бэкдор обеспечил постоянный удалённый доступ.
Шаг 3: Две недели хакеры изучали инфраструктуру: картировали сеть, собирали учётные данные, повышали привилегии. Критичную роль сыграли слабые RDP-пароли — злоумышленники провели атаку перебором (брутфорс) на службу удалённого рабочего стола и получили доступ к серверам. Отсутствие сегментации сети позволило свободно перемещаться между системами.
Шаг 4: Развернули шифровальщик HardBit v4.2 с защитой паролем и режимом Wiper (безвозвратное уничтожение файлов). Зашифровали критичные данные и потребовали выкуп.
Итог
Атака показывает, что доверие к подрядчикам без верификации — критичная уязвимость. Злоумышленники эксплуатируют организационные процессы: отсутствие проверки обновлений, слабые RDP-пароли и отсутствие сегментации. Защита требует верификации файлов через независимый канал, усиления парольной политики (16+ символов, MFA), сегментации инфраструктуры и детального аудита действий подрядчиков.
Исследование: 53% уязвимостей российских компаний — критические
Компания ScanFactory представила аналитический отчёт по результатам оценки защищённости внешнего периметра 125 российских организаций. Исследование охватило период с 2022 по 2025 год и включило анализ 246 коммерческих проектов из 18 отраслей экономики: от финансов и ритейла до промышленности и госсектора.
Ключевые выводы
Сформирован топ-94 критических уязвимостей, наиболее характерных для атак на российские организации. Этот список отражает реальную тактику злоумышленников и может использоваться для приоритизации мер защиты.
53% всех обнаруженных уязвимостей относятся к критическому и высокому уровням риска. Эти уязвимости позволяют реализовать недопустимые события безопасности: полную компрометацию инфраструктуры, утечку конфиденциальных данных, отказ в обслуживании критически важных систем.
Более 70% уязвимостей — типовые ошибки со стороны ИТ-разработки и эксплуатации:
Небезопасная конфигурация систем и сервисов
Отсутствие валидации и санитизации входных данных
Использование устаревших компонентов с публично известными уязвимостями
Игнорирование обновлений безопасности и патчей
Нарушение принципов безопасной разработки (Secure Development Lifecycle)
Полученные результаты подтверждают: основной источник риска — не сложные атаки, а системные ошибки в процессах информационной безопасности. Распространение атакующего ИИ усиливает эти риски и упрощает их эксплуатацию.
Почему это критично
Результаты исследования разрушают миф о том, что успешные атаки требуют сложных технических навыков или эксплуатации zero-day уязвимостей. Реальность иная: большинство взломов происходит через базовые, давно известные и легко устранимые проблемы.
Компании систематически игнорируют:
Своевременное применение патчей безопасности — уязвимости остаются открытыми месяцами, даже когда производитель уже выпустил исправление
Базовые практики безопасной разработки — код не проходит security-ревью, отсутствует статический и динамический анализ
Регулярный аудит внешнего периметра — компании не знают, какие сервисы и системы доступны из интернета
Это создаёт огромную поверхность атаки. Злоумышленники используют автоматизированное сканирование для массового поиска «низко висящих фруктов» — систем с типовыми уязвимостями, которые можно взломать за минуты.
Новая угроза: атакующий ИИ
Распространение инструментов на базе искусственного интеллекта радикально меняет ландшафт угроз. Атакующий ИИ делает эксплуатацию типовых уязвимостей быстрее, дешевле и доступнее даже для злоумышленников с низкой квалификацией. Компании, которые не устраняют известные уязвимости, становятся лёгкой мишенью для массовых автоматизированных атак нового поколения.
Итог
Более половины уязвимостей в российских компаниях — критические, но при этом типовые и предотвратимые. Проблема в игнорировании базовых практик: своевременного патчинга, безопасной разработки, регулярного аудита. Компании, которые не устраняют известные уязвимости, становятся лёгкой мишенью. В условиях распространения атакующего ИИ цена такого игнорирования будет только расти.
Апрель 2026 года подтвердил: большинство критических инцидентов происходит из-за элементарных ошибок в управлении доступом. Компании тратят миллионы на дорогие системы защиты, игнорируя базовую парольную гигиену.
Три главных вывода:
Пароли в браузерах — первая цель инфостилеров. Встроенные менеджеры паролей браузеров хранят данные в локальной базе, защищённой только системной аутентификацией. Инфостилеры извлекают их автоматически при заражении устройства. Именно через Lumma Stealer, укравший пароли из браузера сотрудника Context.ai, началась цепочка, приведшая к взлому Vercel на $2 млн.
Уникальные пароли предотвращают эффект домино. Взлом одного сервиса не должен открывать доступ ко всем остальным. Компрометация Anodot автоматически скомпрометировала десятки клиентов, чьи токены хранились в системах подрядчика. Если бы каждый сервис использовал уникальные учётные данные, масштаб утечки был бы минимальным.
Верификация подрядчиков критична. Отсутствие проверки обновлений через независимый канал превращает доверенных партнёров в точку входа. «Обновление для 1С» от легитимного интегратора уничтожило инфраструктуру спортивной организации за две недели.
Приоритетные меры: откажитесь от хранения паролей в браузерах — используйте корпоративный менеджер паролей. Внедрите политику уникальных паролей для каждого сервиса — компрометация одного не должна открывать доступ ко всем. Верифицируйте обновления от подрядчиков через независимый канал связи — доверие без проверки критично уязвимо.
Пассворк закрывает все три проблемы: хранит пароли в зашифрованном виде, генерирует уникальные пароли для каждого сервиса, интегрируется с Active Directory и даёт ИТ-отделу полный контроль над доступом. Протестируйте бесплатно коробочную версию на ваших серверах или облачную версию с запуском за 5 минут.
Главные киберугрозы апреля 2026: базовые ошибки и миллионы потерь
Взлом Vercel на $2 млн через AI-ассистента, утечка данных Vimeo и Rockstar Games через скомпрометированного подрядчика Anodot, фишинг с официального домена Apple — рассмотрим механику атак через цепочку поставок и покажем, как базовые ошибки в управлении доступом приводят к критическим инцидентам.
Российский рынок кибербезопасности развивается втрое быстрее мирового — чем активнее компании развивают цифровую инфраструктуру, тем острее потребность в её защите.
Именно поэтому аналитические инструменты, которые помогают ориентироваться в отечественном ИБ-рынке, становятся всё более востребованными. ComNews ответил на этот запрос аналитической картой, а Пассворк стал одним из её стратегических партнёров.
Что такое карта импортозамещения от ComNews
В апреле 2026 года ComNews опубликовали второй выпуск аналитической карты и онлайн-страницы «Возможности импортозамещения программного обеспечения в ключевых сферах ИБ». На ней представлены продукты более 40 российских вендоров — структурированный каталог для тех, кто принимает решения о переходе на отечественный стек.
Аудитория проекта — ИТ-директоры, CISO, архитекторы безопасности и руководители компаний, которые принимают решения о переходе на отечественные решения и построении защищённой инфраструктуры.
Для каждого продукта на карте указаны:
Наличие в Реестре российского программного обеспечения Минцифры России
Действующие лицензии и сертификаты ФСТЭК и ФСБ России
Перечень зарубежных аналогов со схожей функциональностью
Такая структура позволяет быстро подобрать замену ушедшим вендорам — не теряя в функциональности и не снижая уровень защиты.
По итогам 2025 года российский рынок кибербезопасности вырос с 16,5 млрд рублей в 2010 году до 374 млрд рублей в 2025. Для сравнения: мировой рынок информационной безопасности (ИБ) за тот же период рос медленнее — темпы роста в 2025 году составили 12,2%. К 2030 году Центр стратегических разработок (ЦСР) прогнозирует рост российского рынка до 968 млрд рублей со среднегодовым темпом прироста около 21%.
При этом задача импортозамещения ещё не закрыта. Доля иностранных решений в совокупных затратах российских компаний на ИБ снизилась до 7%. Однако в установленной базе средств защиты иностранные продукты по ряду классов ПО продолжают занимать 10–20%, а в сегменте сетевой безопасности эта доля доходит до 40–50% (данные консалтинговой компании Б1, исследование «Рынок информационной безопасности России»).
Более того, по оценкам Usergate, более 50% компаний продолжают использовать иностранные решения в сфере ИБ, в том числе приобретая их через серые схемы (CNews, 2026). Это означает, что переход продолжается, и инструменты для навигации по отечественному рынку становятся всё более востребованными.
Пассворк — стратегический партнёр проекта
Пассворк выступил стратегическим партнёром проекта и принял участие в формировании экспертной оценки: мы поделились видением текущего состояния отрасли, ключевых трендов рынка информационной безопасности и планами развития продукта.
«Одним из ключевых трендов стало формирование полного стека отечественных решений, что отражает движение к киберсуверенитету. Одновременно отрасль смещает фокус с формального комплаенса на практическую безопасность и кибериспытания. Аудитория отраслевых мероприятий выросла до 200 тысяч человек, а число исследователей на багбаунти-платформах увеличилось в 10 раз с 2022 года», — Илья Гарах, технический директор ООО «Пассворк»
Как Пассворк решает задачу импортозамещения
Переход с зарубежного решения на российский менеджер паролей нередко воспринимается как сложный процесс. Пассворк снимает это опасение: продукт встраивается в существующую инфраструктуру и не требует перестройки процессов.
Данные остаются внутри периметра. Локальное развёртывание на серверах компании — без зависимости от внешних облаков и зарубежных сервисов.
Соответствие требованиям регуляторов. Архитектура нулевого знания, лицензии ФСБ и ФСТЭК. Продукт включён в реестр отечественного ПО Минцифры и сертифицирован ФСТЭК России по 4-му уровню доверия.
Интеграция в текущую инфраструктуру. Поддержка Active Directory, LDAP, SSO, SIEM и API — не создаёт отдельный контур, а встраивается в существующую систему.
Контроль в реальном времени. Централизованное хранение паролей и секретов, ролевая модель, детальный журнал аудита, мгновенный отзыв доступов при увольнении сотрудников.
Снижение человеческого фактора. Устраняет хаотичное хранение паролей — один из основных векторов атак на корпоративную инфраструктуру.
Заключение
Аналитическая карта ComNews показывает, что рынок информационной безопасности в России перешёл к системному импортозамещению. У компаний появился инструмент, который позволяет быстро ориентироваться в отечественных решениях, сравнивать их и принимать обоснованные решения без потери функциональности и уровня защиты.
«Полный переход на российские продукты в ближайшие 3–5 лет — это вопрос выживания бизнеса. Использование нелицензионного софта, особенно в критической информационной инфраструктуре (КИИ) и АСУ ТП, может привести к остановке производства. Перспективы перехода позитивные: отечественные вендоры уже предлагают зрелые альтернативы в большинстве сегментов, и отказ от серых схем произойдёт естественным путем по мере усложнения интеграции и роста доверия к российским разработкам», — Илья Гарах, технический директор ООО «Пассворк»
Участие Пассворка в проекте — это вклад в формирование прозрачного и зрелого рынка, где выбор строится на реальных возможностях продукта и его интеграции в инфраструктуру.
Переход на российское решение не должен быть сложным. Пассворк встраивается в существующую инфраструктуру, соответствует требованиям регуляторов и даёт полный контроль над корпоративными доступами с первого дня. Протестируйте бесплатно
Пассворк на карте ComNews по импортозамещению ПО в сфере ИБ 2026
Более 40 российских решений в карте импортозамещения ПО, роль Пассворка в переходе на отечественное решение. Изучаем карту импортозамещения ИБ от ComNews.
Территория безопасности — ежегодный новаторский форум в сфере информационной безопасности, организованный группой ComNews. Пассворк выступил партнёром форума и принял участие в мероприятии, которое объединило четыре тематические конференции и технологическую выставку отечественных ИБ-решений.
Аудитория форума — люди, которые принимают решения и несут за них ответственность: ИТ-директоры, архитекторы безопасности, CISO, представители государственных органов, топ-менеджеры крупных компаний, производители ПО и оборудования, интеграторы.
1000+ участников и более 90+ спикеров — практики, исследователи уязвимостей, специалисты по расследованию инцидентов.
Структура программы
Четыре конференционных трека выстроены по PDCA-модели (цикл Деминга-Шухарта) — последовательно, от стратегии к практике:
ПРО планирование: тактическая карта CISO: от чекапа к стратегии
ПРО действие: как избежать слепых зон и предотвратить инциденты
ПРО контроль: все инструменты и процессы под контролем CISO
ПРО улучшения: как прокачивать себя и свою команду
Участники обсудили текущие тенденции, реальные кейсы и конкретные шаги по укреплению защиты.
Доклад Пассворка: секреты без слепых зон
На форуме выступил технический директор Пассворка Илья Гарах с докладом «Секреты без слепых зон: как взять под контроль корпоративные пароли, доступы и аудит».
В докладе разобрали практические подходы к тому, как выстроить прозрачную и аудируемую систему управления учётными данными:
Где возникают слепые зоны — точки в инфраструктуре, где учётные данные хранятся вне контроля
Почему хаотичное хранение паролей остаётся одной из главных точек входа для атак — и как это исправить системно
Как выстроить прозрачную, аудируемую систему управления доступами — без потери удобства для команды
Как Пассворк решает задачу
Пассворк помогает компаниям и государственным организациям централизовать хранение паролей и секретов, внедрить ролевую модель доступа и настроить детальный аудит действий пользователей.
Такой подход снижает риски человеческого фактора, повышает прозрачность доступа к критичным системам и упрощает соответствие требованиям регуляторов — в том числе в контурах КИИ.
Архитектура построена на принципе нулевого знания (zero knowledge): сервер хранит данные исключительно в зашифрованном виде. Ключи шифрования генерируются на стороне клиента и никогда не передаются на сервер — расшифровать данные не может никто, включая администраторов.
Реальный уровень защиты верифицируют независимые исследователи на платформе Standoff Bug Bounty — в условиях, приближённых к реальным атакам.
Живой диалог
На выставке в рамках форума собрались ключевые игроки российского ИБ-рынка. У стендов обсуждались конкретные архитектурные решения, сценарии внедрения, интеграции. Именно такой формат даёт то, чего не даёт ни один аналитический отчёт: прямой срез того, что реально происходит в индустрии.
«Такие мероприятия важны не только как площадка для демонстрации продуктов — они показывают, как меняется мышление рынка. В этом году заметно вырос запрос на системные решения: компании хотят не закрыть отдельную уязвимость, а выстроить управляемую среду. Именно в этом направлении развивается Пассворк, и этот разговор с рынком для нас очень ценен», — Илья Гарах, технический директор ООО «Пассворк»
Для Пассворка участие в форуме — это возможность услышать рынок напрямую и стать частью диалога, который формирует направление развития отрасли.
Пассворк закрывает слепые зоны в управлении доступами — ролевая модель, аудит действий и централизованное хранение секретов. Протестируйте бесплатно
Март 2026 года стал насыщенным периодом для специалистов по информационной безопасности. Первые реальные оборотные штрафы за утечки персональных данных. Критическая уязвимость в мессенджере с CVSS 9.8. Вирус-шифровальщик, переведший крупный европейский порт на бумажный документооборот. Новые требования ФСТЭК и КИИ, вступившие в силу.
Рассмотрим ключевые инциденты месяца, новые законодательные требования и конкретные шаги по защите корпоративных доступов.
Главные угрозы марта: мессенджеры и IoT
Общий тренд месяца — хакеры всё реже атакуют напрямую. Вместо этого они ищут слабые звенья: мессенджеры сотрудников, инструменты разработки, подключённые IoT-устройства, цепочку поставок и посредников с менее зрелой защитой. Три инцидента марта наглядно показывают, как это работает.
0-day в Telegram: почему мессенджеры — худшее место для паролей
В конце марта специалист по информационной безопасности Майкл Деплант (проект Zero Day Initiative) зарегистрировал уязвимость ZDI-CAN-30207 в Telegram с оценкой CVSS 9.8, которая впоследствии была скорректирована до CVSS 7.0.
Уязвимость передана вендору по процедуре ответственного раскрытия: Telegram официально уведомлён 26 марта 2026 года и получил срок до 24 июля 2026 года на выпуск исправления. Если к дедлайну патч не выйдет — технические детали будут опубликованы в открытом доступе вне зависимости от позиции компании. Это стандартная практика ZDI: она создаёт давление на вендора и защищает пользователей от бесконечного замалчивания проблемы.
Telegram существование уязвимости отрицает:
«Уязвимости не существует. Исследователь ошибочно утверждает, что стикер Telegram может служить вектором атаки, полностью игнорируя тот факт, что все стикеры, загружаемые в Telegram, проходят валидацию на серверах компании, прежде чем приложение их воспроизводит»
Независимо от исхода, сам факт регистрации критической уязвимости в мессенджере, встроенном в рабочую инфраструктуру тысяч компаний, — повод пересмотреть, что именно там хранится.
Речь о zero-click-уязвимости: ошибке, позволяющей выполнить вредоносный код на устройстве жертвы без каких-либо её действий — устройство автоматически обрабатывает входящие данные (сообщение, файл, стикер). Пользователь ничего не нажимает. Код уже выполняется.
Для бизнеса это означает следующее. Мессенджеры давно стали частью рабочей инфраструктуры: сотрудники обсуждают проекты, пересылают документы и (что критично) делятся паролями, SSH-ключами и токенами доступа. Компрометация одного аккаунта через подобную уязвимость открывает атакующим путь ко всей внутренней инфраструктуре.
Пароль, отправленный в чат год назад, по-прежнему там — в истории переписки, на серверах, в бэкапах устройств.Уязвимость в приложении открывает доступ ко всем данным сразу.
Атака на CI/CD через Trivy
В марте 2026 года группировка TeamPCP провела масштабную атаку на цепочку поставок, отправной точкой которой стал популярный сканер уязвимостей Trivy от Aqua Security. Атака оказалась каскадной: скомпрометировав один инструмент, злоумышленники последовательно проникли в экосистему смежных проектов. Инцидент получил идентификатор CVE-2026-33634 с оценкой 9,4 балла по шкале CVSS.
Как это работало
1. Trivy — точка входа 19 марта TeamPCP воспользовалась некорректно настроенным GitHub Actions workflow в репозитории Trivy. Злоумышленники похитили CI/CD-секреты, удалили доверенные теги и подменили бинарные файлы начиная с версии v0.69.4. В скомпрометированные артефакты был встроен инфостилер, собирающий переменные окружения, облачные токены и SSH-ключи прямо в процессе сборки.
2. Checkmarx — расширение плацдарма 23 марта, используя уже похищенные CI/CD-секреты, TeamPCP скомпрометировала GitHub Actions двух репозиториев Checkmarx: ast-github-action и kics-github-action. Любой репозиторий, вызывавший эти воркфлоу в период атаки, незаметно для себя выполнял вредоносный код и передавал секреты, переменные окружения и токены.
3. LiteLLM — удар по AI-инфраструктуре 24 марта атака достигла LiteLLM — популярного LLM API-прокси с ~97 млн загрузок. Злоумышленники скомпрометировали GitHub-аккаунт сооснователя проекта Криша Дхолакиа и опубликовали отравленные PyPI-пакеты версий 1.82.7 и 1.82.8.
Почему это важно
Атака наглядно демонстрирует принцип домино в цепочке поставок: инструменты безопасности — Trivy и Checkmarx — сами стали вектором атаки. Доверие к CI/CD-инфраструктуре оказалось использовано против тех, кто на неё полагался.
Атака на Axios NPM и взлом Еврокомиссии
Последние дни марта принесли ещё два крупных инцидента, которые показывают: цепочки поставок и облачная инфраструктура по-прежнему остаются наиболее уязвимыми точками.
Axios NPM: 100 миллионов загрузок в неделю и троян в зависимостях
31 марта злоумышленники опубликовали две вредоносные версии пакета axios (1.14.1 и 0.30.4) в реестре npm. Axios — один из самых популярных HTTP-клиентов для JavaScript, его скачивают около 100 миллионов раз в неделю. Google Threat Intelligence Group связала атаку с северокорейской хакерской группировкой UNC1069.
Сотни тысяч похищенных секретов потенциально могут находиться в обороте в результате этих недавних атак. В краткосрочной перспективе это способно привести к новым атакам на цепочки поставок, компрометации SaaS-сред с последующим ущербом для клиентов, атакам с использованием программ-вымогателей, вымогательству и краже криптовалюты. — Google Threat Intelligence Group
Схема атаки была многоступенчатой. Злоумышленники похитили npm-токен аккаунта jasonaayman, управлявшего репозиторием axios, и опубликовали отравленные версии напрямую через npm CLI, минуя GitHub. В package.json был добавлен вредоносный пакет plain-crypto-js как зависимость — исходный код при этом не изменился, что позволило обойти diff-анализ. При установке пакета через хук postinstall автоматически запускался дроппер SILKBELL, который разворачивал бэкдор WAVESHAPER.V2.
Бэкдор работал на Windows, macOS и Linux: собирал данные о файловой системе, запущенных процессах и похищал учётные данные для дальнейшего распространения по экосистеме. Вредоносный код оставался в реестре 2 часа 54 минуты до удаления командой npm.
Инцидент получил идентификатор CVE-2025-27152. Атака наглядно показывает, как один скомпрометированный токен открывает путь к миллионам проектов: разработчики, установившие обновление через npm install, автоматически получали бэкдор — без каких-либо подозрительных изменений в коде.
Еврокомиссия: 350 ГБ данных и атака через AWS
В конце марта группировка ShinyHunters взломала облачную инфраструктуру Еврокомиссии, получив доступ к AWS-аккаунтам, обслуживающим веб-платформу Europa.eu. Комиссия официально подтвердила инцидент.
Анализ опубликованного набора данных на сегодняшний день подтвердил наличие персональных данных, включая имена, фамилии, имена пользователей и адреса электронной почты — преимущественно с сайтов Европейской комиссии, однако потенциально затрагивающих пользователей из множества структур Евросоюза. — СERT-EU
По заявлению группировки, им удалось скопировать более 350 ГБ данных — дампы почтовых серверов, базы данных, конфиденциальные документы и контракты — прежде чем доступ был заблокирован. Внутренние системы Комиссии атака не затронула. ShinyHunters опубликовали на своём даркнет-ресурсе архив объёмом свыше 90 ГБ в качестве доказательства.
Примечательно, что это уже второй инцидент в Комиссии за два месяца: в феврале была взломана платформа управления мобильными устройствами сотрудников. Два инцидента подряд в структуре, которая одновременно разрабатывает новое киберзаконодательство ЕС, — показательный сигнал для всех, кто считает облачную инфраструктуру надёжно защищённой по умолчанию.
IoT-уязвимости и шифровальщики
Параллельно произошли ещё два примечательных инцидента:
Уязвимость в ZenCount
В отечественных видеосчётчиках посетителей ZenCount обнаружена критическая уязвимость, предоставляющая удалённый доступ к данным камер. Проблема оставалась незакрытой более 160 дней. Для ритейла и коммерческой недвижимости это прямой риск слежки и утечки видеоинформации.
Атака на порт Виго
Вирус-вымогатель парализовал ИТ-инфраструктуру одного из крупнейших портов Испании. Руководство было вынуждено отключить серверы и перейти на бумажный документооборот. Наглядная иллюстрация последствий, когда шифровальщик добирается до критически важных систем.
Новые регуляторные требования
Государство перешло от предупреждений к конкретным действиям. Для бизнеса это означает, что ИБ-инциденты теперь несут и репутационные, и прямые финансовые последствия.
Первые оборотные штрафы за утечки
Арбитражные суды начали выносить решения по новым частям статьи 13.11 КоАП РФ. За масштабные утечки баз данных компаниям грозят многомиллионные, а в ряде случаев оборотные штрафы. Суды сохраняют право снижать размер санкций для микропредприятий, однако прецеденты уже созданы.
Утечка клиентской базы из-за скомпрометированного пароля администратора может обойтись бизнесу в существенную долю годовой выручки. Это меняет экономику ИБ: стоимость инцидента теперь измеряется не только часами простоя.
Поправки в ФЗ-187 (КИИ)
С 1 марта вступили в силу поправки: субъектом критической информационной инфраструктуры может быть только российское юридическое лицо под контролем граждан РФ. Формируются новые реестры доверенного программного обеспечения. Для значимых объектов КИИ ориентир по завершению перехода — 1 января 2028 года с возможностью продления до 2030 года.
Приказ ФСТЭК №117
Новый приказ заменил Приказ №17, действовавший с 2013 года. Сфера действия расширена: требования теперь распространяются не только на государственные информационные системы, но и на все информационные системы госорганов, унитарных предприятий и муниципальных образований. Ужесточены требования к инфраструктуре, виртуализации, аутентификации, мониторингу угроз и работе с подрядчиками.
Для операторов ГИС это означает необходимость пересмотра моделей угроз и архитектуры защиты — не в перспективе, а сейчас.
Законопроект о регулировании ИИ
Минцифры вынесло на обсуждение проект закона, обязывающего модели искусственного интеллекта проходить проверки безопасности в ФСБ и ФСТЭК. Для разработчиков ИИ-решений это означает, что уйдёт больше ресурсов на соблюдение новых требований регуляторов.
Как защитить корпоративные доступы
Большинство инцидентов марта объединяет одно: точкой входа стали скомпрометированные учётные данные. Токен в переменной окружения и пароль в истории чата. Вот конкретные шаги, которые снижают этот риск.
1. Уберите пароли из небезопасных ресурсов
Украденный токен, перехваченный пароль, скомпрометированная учётная запись подрядчика — всё это ключи, которые открывают хакерам двери во внутреннюю инфраструктуру.
Корпоративный менеджер паролей позволяет безопасно передавать доступы внутри команды и контролировать, кто и как работает с учётными данными в компании.
2. Внедрите ролевую модель доступа
Стажёр не должен иметь права администратора. Уволенный сотрудник должен терять все доступы в ту же минуту, когда его учётная запись блокируется. Менеджер паролей, интегрированный с Active Directory и LDAP, позволяет автоматизировать выдачу и отзыв прав на основе ролей (RBAC) — без ручных операций и человеческого фактора.
3. Переходите на локальное развёртывание
Развёртывание ИБ-решений на собственных серверах гарантирует, что зашифрованные данные не покинут контролируемый периметр. Для субъектов КИИ это фактическая необходимость для соответствия обновлённому законодательству.
4. Контролируйте доступы подрядчиков
Атаки через цепочку поставок показывают: злоумышленники часто проникают в сеть через менее защищённых партнёров. Выдавайте внешним специалистам только временные доступы к конкретным системам. Логируйте все действия.
5. Проведите аудит текущих доступов
Проверьте: кто имеет доступ к критическим системам, нет ли забытых учётных записей бывших сотрудников, хранятся ли где-то пароли в открытом виде — в таблицах, мессенджерах, конфигурационных файлах. Журнал аудита в корпоративном менеджере паролей показывает полную историю: кто, когда и к чему обращался.
Выводы
Март 2026 года обозначил несколько устойчивых тенденций. Штрафы за утечки перешли из теории в практику — прецеденты созданы. Регуляторные требования ужесточились сразу по нескольким направлениям: КИИ, ГИС, ИИ. Векторы атак расширились: под ударом оказались мессенджеры, инструменты DevOps и IoT-устройства.
Сложность угроз растёт, но причина большинства инцидентов остаётся прежней: неконтролируемые учётные данные. Понимание того, кто имеет доступ, к чему и на каких условиях, — это основа, без которой любые технические меры защиты работают вполсилы.
Пассворк разворачивается на серверах компании, интегрируется с Active Directory и LDAP и даёт ИТ-отделу полный контроль над учётными данными. Протестируйте бесплатно в своей инфраструктуре
ИБ-итоги марта 2026 для бизнеса: утечки, уязвимости и оборотные штрафы
Первые оборотные штрафы за утечки. Zero-click уязвимость в Telegram. Каскадная атака через Trivy. Шифровальщик в европейском порту. Новые требования ФСТЭК и КИИ. В статье — разбор ключевых инцидентов, изменений в законодательстве и конкретных шагов по защите корпоративных доступов.
ТБ Форум традиционно собирает экспертов, представителей бизнеса и госсектора, чтобы обсудить, как безопасно разрабатывать и эксплуатировать ПО, как переходить на отечественные решения и выстраивать защиту критической информационной инфраструктуры в энергетике, транспорте, промышленности и других стратегических отраслях.
Основные разделы программы
Программа охватывала три ключевых направления информационной безопасности и цифровизации:
Защита информации и кибербезопасность. Планы регуляторов, вопросы сертификации средств ИБ, разработка безопасного ПО, защита от угроз и практические кейсы внедрения СЗИ.
Цифровая трансформация предприятий и органов власти. Обсуждались стратегии внедрения цифровых технологий, импортозамещение, развитие цифровых команд и практики цифровизации.
Безопасность и защита крупных и распределённых объектов. Проекты по комплексной безопасности объектов, включая физическую и инженерную защиту, системы наблюдения и интеграцию решений.
Участники конференции
В рамках форума встретились эксперты со стороны бизнеса, государства и ИТ-индустрии:
ИТ-директоры, архитекторы и специалисты по информационной безопасности
Представители госорганов и профильных регуляторов в сфере безопасности
Руководители служб безопасности и топ-менеджеры крупных компаний
Интеграторы и разработчики решений в области кибер- и физической безопасности
Представители проектных офисов и команд цифровой трансформации из России и СНГ
Роль Пассворка в защите инфраструктуры
Для Пассворка участие в таких мероприятиях — возможность быть частью профессионального диалога.
«Для нас важно участвовать в формировании зрелой культуры информационной безопасности в стране. Конференции такого уровня позволяют открыто обсуждать практические кейсы, реальные угрозы и рабочие подходы к защите КИИ», — Андрей Пьянков, генеральный директор ООО «Пассворк»
Решения Пассворка помогают компаниям и государственным организациям выстроить базовую, но критически важную защиту, централизовать хранение паролей и секретов, внедрить ролевую модель доступа, настроить детальный аудит действий пользователей. Такой подход снижает риски человеческого фактора, повышает прозрачность доступа к критичным системам и помогает соответствовать требованиям регуляторов.
Благодаря таким мероприятиям как ТБ Форум мы можем обсудить реальные задачи бизнеса с ИТ-директорами и ИБ-специалистами: узнать о новых вызовах и собрать обратную связь. Этот опыт напрямую влияет на развитие Пассворка. Мы видим, какие функции востребованы в корпоративной среде прямо сейчас, и добавляем их в продукт — будь то новые интеграции, поддержка отечественных ОС или усиленная защита в закрытых контурах.
Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.
Провели двустороннее тестирование менеджера паролей Пассворк и СУБД Platform V Pangolin DB от российского разработчика СберТех. По результатам испытаний подписали сертификат совместимости, подтверждающий корректную и стабильную работу решений в единой инфраструктуре.
Platform V Pangolin DB — реляционная СУБД на базе PostgreSQL с повышенной безопасностью для для высоконагруженных систем. Решение содержит важные доработки, позволяющие использовать его в масштабах корпораций. Более ста тысячи инсталляций Platform V Pangolin DB работают в составе приложений и сервисов различного уровня критичности в ряде крупнейших компаний России. Продукт полностью соответствует всем требованиям регуляторов в области безопасности и сертифицирован по 4-му уровню доверия ФСТЭК России.
СберТех — одна из крупнейших российских ИТ-компаний, разработчик инфраструктурного ПО. Более 14 лет создает надёжные решения корпоративного уровня, которые уже обеспечили цифровую трансформацию и технологическую независимость Сбера. В 2021 году СберТех вывел на рынок своё флагманское решение — цифровую платформу Platform V. Платформа объединяет более 90 продуктов, позволяющих компаниям из разных отраслей экономики оптимизировать разработку, повысить эффективность бизнеса, реализовать программы импортозамещения.
Сегодня продукты Platform V и уникальная экспертиза команды СберТеха, в том числе в сфере AI, помогают клиентам достичь технологического лидерства. Разработчик оказывает компаниям всестороннюю поддержку при построении ИТ-систем: помогает спланировать изменения в инфраструктуре и определить их ценность для бизнеса, а также консультирует на каждом этапе — от архитектурного проектирования до сопровождения пилота и внедрения.
Пассворк и Platform V Pangolin DB внесены в Единый реестр российского ПО. Их совместное использование помогает российским компаниям обеспечить технологическую независимость и построить надёжную ИТ-инфраструктуру, отвечающую нормативным требованиям.
Крупному бизнесу, госсектору и субъектам критической информационной инфраструктуры миграция на совместимые российские решения позволяет снизить влияние внешних факторов на работу систем, минимизировать риски конфликтов на уровне интеграции, избежать дополнительных затрат на тестирование и укрепить позиции на внутреннем рынке.
Готовы проверить Пассворк на реальных задачах?Протестируйте бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.
СберТех и Пассворк обеспечат защиту критичных данных российского бизнеса
Провели двустороннее тестирование и подписали сертификат совместимости, подтверждающий корректную и стабильную работу менеджера паролей Пассворк и СУБД Platform V Pangolin DB в единой инфраструктуре.
Пассворк стал победителем премии ComNews Awards 2025 в категории «Лучшее решение для работы с паролями в компании». Эксперты оценили архитектуру безопасности, технологическую зрелость и удобство работы для ИТ-команд.
Премия ComNews Awards
Профессиональная премия ComNews Awards ежегодно отмечает компании и продукты, которые внесли значимый вклад в развитие ИТ, телеком- и цифровых технологий. Жюри оценивало технологическую зрелость, инновационность и влияние решений на рынок. По итогам оценки Пассворк признан лучшим российским менеджером паролей.
Критерии оценки
Особое внимание уделялось тому, насколько решение помогает компаниям выстраивать эффективные процессы управления доступами и повышать уровень информационной безопасности. Эксперты выделили ключевые преимущества Пассворка:
высокий уровень безопасности и архитектуры, в основе которой фундаментальная безопасность
удобный и гибкий интерфейс для командной работы
развитая ролевая модель доступа и аудит
полнофункциональный API и инструменты для DevOps
комплексный подход к управлению паролями и секретами
«Пассворк создаётся для компаний, которым критична безопасность: мы усиливаем архитектуру, развиваем гибкие механизмы управления доступами и делаем работу с паролями и секретами максимально удобной и прозрачной. Признание ComNews Awards — результат большой работы нашей команды и показатель доверия рынка», — Андрей Пьянков, генеральный директор ООО «Пассворк»
Признанная надёжность
Профессиональная награда подтверждает, что наш подход к безопасности и управлению секретами соответствует самым высоким требованиям рынка, а заложенные в платформу принципы безопасности выдерживают оценку независимых экспертов.
Мы постоянно улучшаем Пассворк: укрепляем архитектуру, расширяем функциональность и остаёмся отраслевым стандартом в управлении корпоративными паролями и секретами.
Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.
Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty — крупнейшей российской багбаунти-платформе. Теперь безопасность Пассворка проверяют более 30 000 независимых экспертов. Это важный этап нашей стратегии безопасности: мы выявляем и устраняем потенциальные уязвимости до того, как они станут проблемой.
Безопасность как фундамент
Согласно исследованию Positive Technologies, 36% успешных кибератак на российские компании осуществляются через эксплуатацию уязвимостей в веб-приложениях. Для системы управления паролями это критический риск: её компрометация может открыть злоумышленникам доступ ко всей корпоративной инфраструктуре.
Для организаций Пассворк — первый рубеж защиты корпоративных секретов. Именно поэтому мы рассматриваем безопасность не как отдельную функцию, а как фундамент продукта. Все архитектурные решения строятся вокруг принципов надёжной защиты.
«Киберугрозы постоянно эволюционируют. Просто реагировать на инциденты — уже недостаточно. Запуская Bug Bounty, мы действуем на опережение. Это наш способ подтвердить, что доверие, которое клиенты оказывают Пассворку, абсолютно оправданно», — Андрей Пьянков, генеральный директор ООО «Пассворк»
Запуская Bug Bounty мы продолжаем следовать нашей стратегии, направленной на проактивное выявление и устранение потенциальных уязвимостей с привлечением независимого экспертного сообщества.
Почему Standoff Bug Bounty
Мы выбрали Standoff Bug Bounty как крупнейшую площадку по поиску уязвимостей в России. Платформа объединяет более 30 000 исследователей безопасности, предоставляет удобную инфраструктуру для работы и обеспечивает прозрачное взаимодействие с багхантерами.
Positive Technologies — один из лидеров в области результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI). Количество акционеров превышает 220 тысяч.
Сотрудничество с Positive Technologies даёт нам доступ к крупнейшему сообществу исследователей безопасности, отработанные процессы обработки уязвимостей и полный контроль на всех этапах. Это гарантия того, что мы получим качественную экспертизу и сможем оперативно реагировать на найденные угрозы.
Что мы тестируем
В рамках программы специалисты исследуют фронтенд и бэкенд веб‑приложения Пассворка:
Удалённое исполнение кода (RCE): возможность заставить сервер выполнять произвольный код или команды.
Инъекции (SQL и аналоги): внедрение вредоносного кода в запросы к базам данных (SQL, NoSQL, ORM, LDAP) для чтения, изменения данных или обхода аутентификации.
Подделка запросов на стороне сервера (SSRF): принуждение сервера обращаться к произвольным (включая внутренним) ресурсам для получения секретов или обхода периметра.
Раскрытие и манипуляции чувствительными данными (IDOR): доступ к объектам через изменяемые идентификаторы без проверки прав, позволяющий читать или редактировать чужие записи.
Захват аккаунта: получение контроля над учётной записью через уязвимости входа или восстановления, кражу токенов и сессий, обход двухфакторной аутентификации.
Локальное и удалённое включение файлов (LFI/RFI): включение локальных или удалённых файлов через параметры путей.
Межсайтовый скриптинг (XSS) с высоким импактом: внедрение и исполнение вредоносного JavaScript (особенно Stored XSS в админ-панели) для кражи токенов и подмены действий пользователя.
Обход ролевой модели доступа к сейфам и паролям: нарушение ACL, позволяющее просматривать, редактировать или экспортировать пароли в чужих сейфах вопреки политикам.
Горизонтальное или вертикальное повышение привилегий: получение прав другого пользователя или администратора через манипуляцию параметрами, скрытыми полями и маршрутами.
Обход ключевых механизмов безопасности продукта: логические или технические способы обойти 2FA, ограничения экспорта и подтверждения критических действий.
Непрерывный процесс
Программа Bug Bounty — это не разовое мероприятие, а постоянная практика. Каждый отчёт будет тщательно анализироваться командой безопасности Пассворка. Найденные уязвимости будут оперативно устраняться, а выводы — интегрироваться в процессы разработки.
Мы регулярно проводим аудит безопасности и тестируем Пассворк силами внутренних и внешних экспертов.Для наших клиентов это еще один повод быть уверенными в том, что выбирая Пассворк, вы выбираете безопасность, подтвержденную не только сертификатами, но и тысячами независимых экспертов.
Готовы проверить Пассворк на реальных задачах?Протестируйте бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.
Анастасия Лебедева
Илья Шелыгин
Илья Шелыгин
