Category: Habr

Компания Meta Platforms* согласилась выплатить примерно $25 миллионов для урегулирования иска, поданного президентом США Дональдом Трампом, как сообщает The Wall Street Journal. Трамп инициировал судебный процесс в 2021 году после блокировки своих аккаунтов в социальных сетях.

Meta* закрыла аккаунты Трампа на Facebook** после событий 6 января 2021 года, когда его сторонники атаковали Капитолий. Сначала аккаунты были временно приостановлены, однако затем Meta* объявила о запрете на использование платформы Трампом на срок не менее двух лет. В компании пришли к выводу, что его публикации от 6 января «являлись провокацией насилия и угрожали общественной безопасности». Twitter, который сейчас принадлежит его стороннику Илону Маску, также приостановил аккаунт Трампа.

Дональд Трамп подал иски против Facebook** и Twitter, утверждая, что эти платформы нарушили его право на свободу слова, защищенное Первой поправкой Конституции, и обвинил их в «незаконной, неконституционной цензуре». Трамп также требовал от суда отменить раздел 230 Закона о благопристойности в коммуникациях, который освобождает социальные сети от ответственности за контент, размещаемый на их площадках, и восстановить его аккаунты на YouTube.

Кроме того, Трамп просил суды запретить Twitter, Facebook** и YouTube практиковать «цензуру, редакционное воздействие или предварительные ограничения» в отношении публикаций президентов.

В итоге Meta* согласилась на мирное урегулирование иска, хотя аккаунт Трампа на Facebook** был восстановлен еще в 2023 году.

Согласно данным The Wall Street Journal, из суммы выплат $22 миллиона будут направлены в Фонд президентской библиотеки Трампа, а остаток покроет судебные расходы и будет передан другим истцам по делу. Трамп уже подписал соглашение.

Издание также сообщает, что рассмотрение иска, которое не двигалось с 2023 года, возобновилось после визита генерального директора Meta* Марка Цукерберга в резиденцию Трампа Mar-a-Lago в ноябре. Это может свидетельствовать о том, что компания пытается наладить отношения с Трампом, который критикует её политику в отношении политического контента и угрожает её руководителю заключением под стражу.

В январе Meta* завершила свои инициативы по разнообразию, равенству и инклюзивности (DEI), отменив программу фактчекинга и ослабив ограничения на обсуждение спорных тем, таких как иммиграция. Компания также назначила на высокие должности двух республиканцев: Джоэла Каплана и Дану Уайта.

Ранее Meta* пожертвовала миллион долларов в инаугурационный фонд Дональда Трампа, а её генеральный директор Марк Цукерберг присутствовал на инаугурационных мероприятиях.

_{Meta Platforms*, а также принадлежащие ей социальные сети Facebook** и Instagram**:
*признана экстремистской организацией, её деятельность в России запрещена
**запрещены в России}

Платформе был присвоен регистрационный номер 26114. 27 января 2025 года было принято решение о внесении IVA One в реестр российского программного обеспечения, что открывает новые горизонты для его применения в разных секторах, включая государственные учреждения и предприятия критической инфраструктуры.

IVA One представляет собой комплексную платформу для корпоративных коммуникаций, которая объединяет все нужные инструменты для сотрудников в одном интерфейсе: корпоративный мессенджер, аудио- и видеозвонки, вебинары, электронную почту, календарь, адресную книгу, систему распознавания речи и нейросетевой онлайн-переводчик, а также сервисы для автоматизации бизнес-процессов.

IVA One нацелена на решение одной из основных проблем, с которыми сталкиваются современные предприятия: необходимость постоянного переключения между множеством приложений, что ухудшает продуктивность и увеличивает временные затраты на общение. Платформа минимизирует время на переключение между сервисами, объединяя их в одном интерфейсе и снижая количество необходимых переходов. Основным принципом работы IVA One является удобство использования — «два клика для решения любой задачи».

Платформа предлагает широкий спектр возможностей для безопасности и контроля данных. IVA ID служит единым «окном» для доступа пользователей ко всем приложениям и одновременно является мощным инструментом для администрирования и повышения информационной безопасности. Это решение позволяет управлять правами доступа сотрудников, устанавливать различные уровни разрешений в зависимости от роли, а также интегрироваться с внешними системами через открытый API, что делает платформу надежным выбором для компаний с серьезными требованиями к безопасности. Платформа предлагает гибкие настройки прав доступа, что обеспечивает высокий уровень защиты корпоративной информации. Кроме того, предусмотрены возможности хранения данных на собственных серверах компании, что гарантирует полную безопасность.

В планах компании на ближайшее будущее — расширение функционала платформы с применением технологий искусственного интеллекта, внедрение нового инструмента для управления задачами, файлового менеджера, а также расширение интеграционных возможностей с другими корпоративными системами.

Онлайн-сервис по продаже книг Bookshop.org расширяет свою деятельность, выходя на рынок электронных книг, чтобы составить конкуренцию Amazon, сообщает The Verge. Компания собирается запустить платформу для чтения, которая будет доступна как в формате веб-сайта, так и через приложения для iOS и Android.

Bookshop.org будет действовать по той же модели, что и в сегменте бумажных книг: покупатели смогут выбрать нужное произведение и оформить покупку, после чего финансирование распределится между сервисом и тем магазином, где была приобретена книга.

По информации издания, приложение от Bookshop.org напоминает Kindle от Amazon, предлагая пользователям библиотеку обложек и систему рекомендаций. Также платформа предоставляет возможность делиться цитатами из электронных книг в социальных сетях, что позволяет другим пользователям переходить по ссылке и приобретать книгу. Основатель и CEO Bookshop.org Энди Хантер отметил, что такой функции у конкурентов не встречается.

В настоящее время Amazon контролирует 75% рынка электронных книг в США. Хантер обвиняет компанию в том, что это затормаживает развитие рынка. По его словам, более десяти лет назад Amazon заключила соглашения с рядом издательств, когда те были обеспокоены угрозами пиратства, пообещав внедрить защиту DRM и таким образом завоевала рынок.

Кроме того, Amazon подписывает специальные контракты с издателями, требуя, чтобы в версиях электронных книг на других платформах не было контента, отсутствующего на Amazon. Это приводит к тому, что версии книг на Amazon становятся наиболее полными. Хантер, ранее управлявший проектом Electric Literature, говорит, что подобные условия поставили его компанию в трудное положение. Он считает, что данная ситуация остановила рост продаж электронных книг на уровне 20% от общего числа продаж в течение длительного времени.

Хантер также отметил, что Bookshop.org заключил партнерства с пятью крупнейшими издательствами в США и множеством независимых. На старте пользователям будет доступно около миллиона электронных книг, по его словам. Он добавил, что компании потребовалось время для внедрения защиты от пиратства, но теперь эта технология успешно функционирует на платформе.

Исследователь из Wiz Research, известный под псевдонимом Nagli, подробно разобрался в действиях, проводившихся в рамках пентеста для сетевых ресурсов DeepSeek. В результате был выявлен доступ к открытой аналитической базе данных ClickHouse в IT-инфраструктуре китайской компании, которая, вероятно, содержала тестовую информацию.

В процессе исследования команда использовала инструменты DNS Discovery для анализа корневого домена deepseek[.]com, запрашивая общедоступные DNS-наборы и сопоставляя известные поддомены. Затем они активно применяли обширные словарные списки, содержащие сотни тысяч доменных имен, чтобы выявить дополнительные допустимые поддомены, такие как admin.deepseek[.]com, с помощью инструмента Puredns.

Также исследователи использовали иные подходы, например, перестановку (добавляя dev-admin.deepseek[.]com) для составления списка всех допустимых поддоменов, которые имеют DNS-записи. Допустимый поддомен, с точки зрения исследователей, – это запись DNS, связанная с IP-адресом или другим активом.

После этого у аналитиков оказался набор поддоменов, которые имели активные DNS-записи, и они сосредоточились на тех элементах, которые могли функционировать как сетевые узлы или предоставлять какие-либо услуги (например, HTTP-сервер или сетевые компоненты, как базы данных). Для этого были использованы методы сканирования портов и HTTP-зондирования, с помощью которых эксперты проверяли внешние влиянья на DNS-имена, используя инструмент httpx. Он предоставлял список DNS-имен, публично доступных и обслуживающих веб-сервера на портах 80 и 443.

Крайне важно отметить, что не все публичные уязвимости доступны через HTTP или даже стандартные порты, поскольку множество команд разработчиков располагаются на своих серверах, и каждая компания имеет свою уникальную структуру разработки. Поэтому крайне важно проверять открытые порты (1-65 535) на наличие дополнительных сервисов.

В случае DeepSeek исследователи использовали инструменты Masscan или Naabu для составления списка открытых портов, который затем анализировался через httpx для определения доступных веб-серверов.

По результатам анализа эксперты составили перечень публичных HTTP-серверов DeepSeek. Большинство из них выглядели легитимно, включая чат-бот, API Docs и веб-сервер статуса. Однако их внимание привлекли два ресурса: http://oauth2callback.deepseek.com и http://dev.deepseek.com.

Редко удается увидеть, чтобы такие порты обслуживали предполагаемые HTTP-серверы для общественных ресурсов, так как они чаще предназначены для разработки и тестирования.

Кроме того, эксперты использовали другой инструмент, pdnuclei, который проверяет наличие немедленных ошибок конфигурации в HTTP и сети на обнаруженных серверах. Эти ошибки могут включать в себя использование учетных данных по умолчанию, доступ без аутентификации к порталам, CVE и многое другое. Данный процесс построен так, чтобы минимизировать ложные срабатывания, не нарушая законные операции целей.

При исследовании хостов было установлено, что активы функционируют на ClickHouse – внутренней системой управления базами данных, предназначенной для хранения больших объемов аналитической информации и выполнения запросов. После выполнения Nuclei для проверки аутентификации и настроек выяснили, что база данных доступна для широкой аудитории пользователей Интернета.

На этом этапе выявление уязвимости стало достаточно простым, так как исследователи получили доступ к HTTP API, позволяющему производить прямые запросы к базе данных MySQL.

Эксперты также обнаружили значительное количество утекающих данных, особенно из таблицы log_stream, которая содержала более миллиона строк журналов, включая историю чатов, ключи API DeepSeek, информацию об инфраструктуре и данные для эксплуатации.

«После начальной разведки общедоступной инфраструктуры DeepSeek мы обнаружили открытую базу данных ClickHouse, не требующую аутентификации. Это позволяло любому получить доступ к журналам, содержащим реальные сообщения, внутренние секреты и служебные данные, а также потенциально повысить привилегии на сервере. Как только мы выявили уязвимость, мгновенно уведомили команду DeepSeek, и она оперативно ограничила доступ к БД и удалила её из сети», — поделились информацией в Wiz Research.