Астрономы нашли атмосферу там, где все должно было давно выгореть.

Пострадавшие связывают взломы с уязвимостью в почтовом сервере Zimbra.

Как код на Go помогает хакерам подменять временные метки и скрывать следы взлома.

Пока заказчик схемы остаётся в бегах, исполнителю придётся отвечать за «режиссуру» финансовых махинаций.

Новая система ARTEMIS показала, что автономный пентест уже близок к «производственному» уровню.

Незаметные цифровые следы могут рассказать о вас больше, чем любой пост в соцсетях.

Эксперты описали сетевые признаки хакерского инструмента.

Несколько дней подряд нуждающиеся в помощи слышали лишь бесконечные гудки.

Вебинар Positive Technologies состоится 16 декабря в 14:00.

Побег, фальшивый паспорт и экстрадиция в США закончились для До Квона сроком в 15 лет после признания вины.

Как читать отчеты кибербезопасников и не сойти с ума.

Microsoft добавила предупреждение в PowerShell 5.1, чтобы веб-скрипты не запускались “тихо”.

Полиция Сеула выяснила, что главный подозреваемый по утечке Coupang проработал всего два года — и теперь вопросы задают уже самой компании.

Неизвестный AutoUpdater.exe под видом обновления Notepad++ выполнял разведку Windows.

Одна статичная строка в DLL превращает «токены доступа» Gladinet в универсальный пропуск для атакующих.

Как отметил модератор дискуссии «Как подготовить компанию к разрушительной кибератаке» на SOC Forum 2025 (рис.

Причём это касается не только технического персонала, но и подразделений, которые не имеют никакого отношения к ИТ и ИБ службе.

Впрочем, вопрос о том, платить или не платить вымогателям, однозначного ответа не имеет.

Он предостерёг от попыток скрыть инцидент, в том числе от регуляторов, которые, к слову, также могут помочь.

Традиционным для завершения дискуссии стал вопрос о том, чего стоит ждать и к чему готовиться в будущем.

Теперь аналогичную функциональность для управления PKI-инфраструктурой в Linux-среде с полноценным Autoenrollment (автоматической выдачей) сертификатов предлагает и российская разработка: корпоративный центр сертификации SafeTech CA в связке с доменом ALD Pro.

Windows-серверы мигрируют на Astra Linux, Active Directory заменяется на ALD Pro.

Таким образом, ручное управление сертификатами не только трудоёмко и неэффективно, но и обходится компании слишком дорого — и для бюджета, и для безопасности.

Интерфейс командной строки: предоставляет набор утилит командной строки (getcert) для управления и диагностики.

ВыводыКомплексное решение на базе SafeTech CA и ALD Pro закрывает главный пробел Linu…

Разница не в людях — все мы одинаково открываем почту и кликаем по ссылкам, — а в масштабе катастрофы.

Что такое кибергигиена и почему она критична для госслужащих и компанийКибербезопасность — это когда организация защищает свои системы, данные и процессы от взлома, блокировки и утечек.

Поэтому нарушение правил кибергигиены одним сотрудником может отразиться не только на его ведомстве, но и на смежных структурах, госсервисах и гражданах.

Правило простое: если вы не в офисе и не дома — сначала VPN, потом работа.

Резервная копия, которая не восстанавливается, — это не резервная копия, а иллюзия безопасности.

Управление очередью файлов на поведенческий анализ, настройки приоритета источников и файлов на поведенческий анализ.

Настройка проверки, предварительной фильтрации, файлов в песочницеДобавлен ряд опций, позволяющий гибко настроить порядок проверки в зависимости от выявленных PT Sandbox свойств файлов.

Антивирусные средства проверки в PT Sandbox 5.27Правила в формате YARAДополнились средства проверки и возможность пользовательской загрузки правил в формате YARA.

Системные требования PT Sandbox 5.27Для корректной и стабильной работы PT Sandbox важно учитывать системные требования, которые зависят от планируемой нагрузки, объёма хранилища и уровня производительности.

Вердикты анализа в PT San…

Значимых результатов удаётся добиться тогда, когда обучение ориентировано не на всех сразу, а на конкретные группы риска.

Ошибки компаний в обученииНи одна платформа сама по себе не повышает уровень безопасности, если обучение выстроено формально и не отражает реальной работы сотрудников.

Система менеджмента информационной безопасности (ISO / IEC 27001:2022) также требует, чтобы организации обеспечивали «осведомлённость и обучение персонала по мерам безопасности» и регулярно проверяли эффективность этих программ.

Hoxhunt делает упор на персонализацию и игровой подход: пользователи получают баллы и достижения, а обучение строится «по возрастанию» сложности.

Но вне зависимости от региона обща…

Как подчеркнул модератор дискуссии «От кликбейта до утечки данных: как манипулируют нашим вниманием и безопасностью» (рис.

Но чем новости хуже, тем повышается тревожность, что, в свою очередь, приводит к выбросу кортизола — «гормона стресса».

По этой причине люди воспринимают негативную информацию как ценную и достоверную, что не всегда соответствует реальности.

Эта волна ажиотажного спроса охватила не только Японию, но и другие страны, и Россия не стала исключением.

И в целом, как отметил основатель CURATOR Александр Лямин в интервью Anti-Malware.ru, DDoS-атаки весьма широко применяются в конкурентной борьбе.

Экосистемы кибербезопасности — это следующий эволюционный шаг после набора точечных решений.

Юрий Драченин пояснил, что экосистемы должны отвечать на 3 фундаментальных вопроса кибербезопасности: усложняющийся ИТ-ландшафт у заказчика, стоимость владения, совместимость и надёжность систем.

Речь идёт о снижении нагрузки на инфраструктуру и, что критически важно, об экономии времени и усилий специалистов безопасности.

Этот показатель, как правило, убедительнее любых других и служит веским аргументом как для руководства, принимающего решение, так и для линейных специалистов, которые будут использовать систему.

Именно такие конкретные и понятные примеры, показывающие практическую выгоду от совмес…

Threat Intelligence (TI): основные понятияСуществуют различные трактовки понятия Threat Intelligence (TI) или Cyber Threat Intelligence (CTI).

Как развивается мировой рынок Threat IntelligenceДля оценки объёма мирового рынка Threat Intelligence можно обратиться к исследованию The Business Research Company.

Обзор отечественных платформ и сервисов Threat IntelligenceЗа последние пару лет сегмент решений Threat Intelligence в России значительно вырос, и спрос на подобные продукты продолжает расти.

Kaspersky Threat Intelligence Portal объединил множество сервисов: Kaspersky Threat Lookup, Kaspersky Threat Analysis, Kaspersky Threat Infrastructure Tracking, Kaspersky Threat Data Feeds, Kaspersky…

В отношениях бизнеса и ИБ наметились заметные подвижки в лучшую сторону.

Плюс ко всему, он не решает проблему, связанную с недостаточной зрелостью бизнеса и неготовностью нести дополнительные расходы и ответственность за провалы в обеспечении безопасности.

Так что неслучайно, что тема организации диалога ИБ и бизнеса поднялась на SOC Forum.

Так, синергия информационной и экономической безопасности стала требованием бизнеса, и нормальная работа соответствующих служб просто невозможна без систем, которые находятся в ведении каждой из них.

Директор защиты информации и ИТ-инфраструктуры «Норильского никеля» Алексей Мартынцев назвал построение коммуникаций ИБ и бизнеса сложной задачей.

При этом остаётся важным определить, где проходят реальные пределы рыночного потенциала и в каких точках ожидания участников оказываются необоснованными.

Сектор привлекает молодёжь, создаёт точки роста для смежных отраслей и оказывает давление на бизнес: компании, не инвестирующие в цифровизацию, рискуют потерять конкурентоспособность даже в традиционных сегментах.

Многие организации продолжают приобретать продукты «про запас», а в ряде случаев поддержка зарубежных решений осуществляется уже собственными силами.

Стоимость ИТ-специалистов и ПО — другая история, которая во многом структурна и напрямую не связана с общей инфляцией.

Необходимо строить консервативные бизнес-планы, хеджировать ри…

Ответ кроется в стратегической автоматизации и смене парадигмы: рассматривать инфраструктуру не как обузу, а как гибкий код и платформу для инноваций.

Максим Чудновский разделил ИТ на два направления: ИТ как сервис и как бизнес.

ИИ-ассистенты будут повсеместно: уже есть проекты, где искусственный интеллект ведёт общение с клиентами, но он же будет применяться и в инфраструктуре, и в разработке.

Будущее отрасли эксперты видят в переходе к платформенным и, в перспективе, автономным системам, где ИИ станет незаменимым ассистентом.

Однако в обозримом будущем критически важной останется роль человека — как для стратегического управления, так и для глубокого понимания бизнес-процессов.

Глобальное количество успешных кибератак на промышленные предприятия в 2023–2024 годах выросло на 16,2 %, а в России — на ошеломляющие 350 %.

Именно здесь машинное обучение раскрывает свой потенциал, выявляя трудноуловимые аномалии и коррелируя разрозненные события в единую картину атаки, как это будет показано в следующем разделе.

Как это обнаружила ML-модель?

Как это обнаружила ML-модель?

Как это обнаружила ML-модель?

Композиционный анализ решает 3 задачи обеспечения безопасности ПО с открытым кодом:Формирование SBOM (Software Bill of Materials).

Тенденции мирового рынка инструментов SCAАналитические обзоры мирового рынка Software Composition Analysis, проводимые различными исследовательскими агентствами, свидетельствуют о планомерном росте данного сегмента.

Прогноз роста рынка SCA (источник: verifiedmarketreports.com)В отчёте Market Research Intellect объём мирового рынка SCA в 2024 году оценён в 1,2 млрд долларов.

Обзор российских SCA-решенийВ 2022 году к моменту предыдущего обзора инструментов SCA на рынке был представлен всего один продукт отечественной разработки.

Рассмотрим вкратце лидеров мирового…

На Tab Active5 и везде всё нормально, но Tab Active3 в России зависает на стадии скачивания политик и всё, при этом в Казахстане всё работает тоже без приключений.

Это история о том, как решали кейс из мобильной B2B жизни и о сетевых проблемах для бизнеса.

И вот странно, что на компьютере он и через обычный мой прокси грузится, а для смартфона нужна локальная точка входа.

Как и описал выше, история с Tab Active3 показала важность долгосрочной поддержки обновлениями.

Кто вообще задумывается о таких вещах, но бизнес интересуют ещё и такие вещи как устойчивость к spoofing и физически атакам, также как и степень защиты биометрических сенсоров.

Я не буду использовать функционал, позволяющий делиться паролями из хранилища, поэтому эту часть не затрагиваю.

Еще я не сравнивал разные сервисы, в базе они одинаковые, просто остановился на Passbolt.

Другие менеджеры паролей тоже можно развернуть на виртуальной машине в облаке, но у них будет другой процесс установки — надо смотреть документацию.

Машина бесплатная, но с ограничением: поменять конфигурацию я не смогу, но в моем сценарии этого и не нужно делать.

Что в итогеЯ установил и настроил собственный безопасный менеджер паролей на виртуальной машине в облаке, у меня это заняло полчаса на все.

Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов.

Наиболее опытный эксперт в SOC.

ЗаключениеМы рассмотрели пару историй, связанных с выявлением компрометации узлов как в корпоративных, так и в промышленных сетях.

События должны пересылаться в SIEM как с серверов и рабочих станций, так и с сетевого оборудования и прикладного ПО.

Вступительный тест покажетЕсли подобные истории хочется разбирать не только из чужих кейсов, но и в тренажёре, обратите внимание на курс «Аналитик SOC» от OTUS.

В этот раз событие стало особенным: на Standoff защитники получили возможность работать с системой класса SOAR – R-Vision SOAR.

R-Vision SOAR стал надёжным союзником защитников и показал, как автоматизация ускоряет процессы обнаружения угроз и реагирования на них.

В R-Vision SOAR она настраивается гибко — можно добавлять собственные поля, блоки и вкладки, менять порядок отображения информации и привязывать автоматические действия.

Самыми популярными действиями на R-Vision SOAR стали:блокировка IPудаление файла (по пути)остановка процессовблокировка учётных записейОбратная связь от обеих команд была крайне позитивной.

ВыводR-Vision SOAR на Standoff 16 помог участникам действовать на шаг впер…

Оба были законопослушными сотрудниками, которые в какой-то момент просто решили воспользоваться сторонними сервисами для упрощения рабочих процессов, а в итоге оказали компании медвежью услугу.

В момент установки и настройки в систему были загружены типовые рабочие документы компании и по похожему контенту она нашла совпадения.

Жаль, что DLP не читает гороскопы.

Таким образом DLP не просто заметила выгрузку, а точно установила, что утек именно код компании, а не личный проект.

Вот как это работает: агент DLP на рабочем месте отслеживает, какие процессы запущены у пользователя.

В 2025 году фишинг превратился из примитивного мошенничества в отдельную индустрию, которая по уровню организации не уступает легальному бизнесу.

В 2025 году ransomware присутствует в 44% всех взломов, это рост с 32% за предыдущий год.

Как устроен фишинг в 2025Не письмами единыКонечно фродеры уже давно не ограничиваются одними письмами.

Как фишинг маскируетсяВот, бывало у вас например такое, что в Steam к вам добавляется в друзья какой-то очень-дружелюбный китаец?

Теперь атаки производятся не только с подменой номера телефона/почты, но в том числе и с подменой голоса,Про развитие дипфэйков в этой связи и говорить не приходится.

В СНГ на Бейсике вакансий больше чем на Руби, а вакансий у Паскальщиков не сильно меньше чем у шарпистов.

Типикал легаси...Ruby - уб*йца всех языковПомните как все писали, что руби заменит все языки и станет топ 1?

Вы знали, что на хахару вакансий Visual Basic больше чем на руби?

Этот язык живет даже в СНГ, но на западе он прям активныйПочему языки живы на западе, но мертвы в СНГРынок меньше, значит нишевые технологии быстрее теряют кадровую базу.

Рынок это в том числе и сколько бизнеса вообще может платить за поддержку легаси (банки, страховые, промышленность, госсектор, большие сети).

Правило: не использовать strcpy/strcat/sprintf/gets и прочие небезопасные С‑функции, предпочтение отдавать std::string/std::vector и snprintf со строгими пределами.

- Адрес возврата (4 байта) — адрес в памяти, куда процессор должен вернуться после завершения выполнения функции или подпрограммы.

UB — это и переполнение знаковых целых чисел, и разыменование нулевых указателей, и доступ за границы массива, и использование неинициализированных переменных.

Злоумышленник пишет простой код клиентского приложения, который так же будет открывать множество TCP-соединений и не закрывать их.

Устойчивого кода и надежных бэкапов!

Иначе можно просто прыгнуть в другую сторону: потерять время, ресурсы, деньги и не достигнуть результата.

Для них важно, чтобы новые изменения не несли уязвимостей и не ставили под угрозу бизнес.

Если между ними нет согласия и совместной работы, бизнес буквально «не поедет», как в басне Крылова.

Точно так же и в каждом проекте: нет единой формулы для уравнивания интересов разработки, безопасности и эксплуатации.

ЗаключениеКонечно, как я уже говорил, что идеальной формулы для решения задачи трех тел — нет.

В этой статье я напомню, что представляет собой фрод, расскажу, с какими схемами мы сталкиваемся и что можно сделать, чтобы обезопасить себя и бизнес.

Таким образом, тематика защиты информации и бизнеса от мошеннических действий не только очевидна, но и год от года не теряет актуальности.

Как и в любой другой ситуации с человеческим фактором, важную роль играет регулярная тренировка бдительности и внимания, а также взращивание минимального скепсиса.

Если пришло голосовое сообщение или звонок — связываемся по номеру, который известен, или по любому другому каналу коммуникации.

В отличие от CEO-фрода, защититься в этом случае очень просто: не подбирать и не подключать флешки ни к корпоративны…

В октябре выпуск автомобилей в Великобритании просел на 24% в годовом сравнении именно вследствие простоя JLR; это беспрецедентный по масштабу последствий киберинцидент.

Европа в 2025 году тоже активно обсуждала контроль над коммуникациями, хотя и в другом ключе.

Великобритания в 2025 году приняла ряд норм (в рамках масштабного Online Safety Act), обязывающих социальные платформы жестче проверять возраст пользователей.

США в 2025 году ввели ряд запретов и ограничений на экспорт передовых ИИ-технологий и вычислительных чипов для них в ряд стран (в первую очередь в Китай и другие потенциально недружественные государства, включая и Россию).

В любом случае можно прогнозировать, что 2026 год при…

Если в статье матерщина отмечается после упоминания группы, как это и произошло в переписке, то в книге об этом говорится после.

[67] С таким подходом «аномалии» можно увидеть и в форме облаков, и в кругах на воде, и в узорах на ковре.

И это напрягло тех, кто никаких аномалий не вставлял, потому они и не стали отвечать.

[73] И только если статью не принимают и не отклоняют более полутора недель, стоит предполагать какой-то сбой.

Он отмечает, что проверил знают ли иные нейросети о том, что писал ему ChatGPT и оказалось, что и Grok, и DeepSeek знакомы и с «вайбологией» и с личностью «Бо».

Основы HTTP для кибербезопасностиВ этой статье я хочу разобрать ключевые основы сетевых технологий, которые считаю базой для работы в сфере кибербезопасности более подробно и с примерами.

По умолчанию: 80 для HTTP, 443 для HTTPS.

Получив IP, клиент устанавливает TCP-соединение с сервером (порт 80 для HTTP или 443 для HTTPS): три шага SYN -> SYN-ACK -> ACK .

Поток HTTPSСхема перехода с HTTP на HTTPS и TLS-рукопожатияЕсли вбить http:// для сайта, который на самом деле ожидает HTTPS, браузер сначала делает обычный HTTP-запрос на порт 80.

Методы запросовСамые часто встречающиеся:Метод Что делает На что смотреть при тесте GET Получить ресурс.

По данным SECURITM и итогам обсуждений с экспертами отрасли, рынок вошёл в стадию переосмысления как инструментов ИБ, так и самой роли информационной безопасности в компании.

При этом спрос на компетентных специалистов и зрелые процессы безопасности растёт быстрее, чем бюджет на ИБ.

Автоматизация безопасности: ИБ превратилась в «цифровое производство»Бизнес давно автоматизировал ERP, CRM и WMS-процессы, настала очередь автоматизации ИБ.

Кому ИБ нужна сильнее всехФинансовый сектор остаётся крупнейшим потребителем ИБ, но за последние годы структура спроса изменилась.

И это логично: атаки усложняются быстрее, чем растут бюджеты, а инфраструктуры становятся слишком большими для ручного контроля.

Мерч «Хакера» отлично подойдет для подарка и хорошо смотрится как на конференциях, так и в обычной жизни.

Футболки «Хакера»От зашифрованных в коде посланий до стильного минимализма и яркого киберпанка — все принты уникальны и созданы с учетом пожеланий нашего комьюнити.

В футболках «Хакера» можно ходить на стендапы и конференции, гулять по городу, залипать в код до утра или носить под худи в холодные зимние деньки.

Бейсболки «Хакера» будут уместны в любой ситуации: четыре модели с объемной вышивкой созданы специально для тех, кто ценит качество и минимализм.

Бейсболки «Хакера» — это:качество — плотная ткань, комфортная посадка, прочный регулятор на кнопке;вышивка — объемная вышивка, которая…

Уязвимость нулевого дня в популярном сервисе для самостоятельного хостинга Git-репозиториев Gogs позволяет злоумышленникам удаленно выполнять произвольный код, что привело к взлому сотен серверов по всему миру.

Дело в том, что версии Gogs, в которых исправлена уязвимость CVE-2024-55947, теперь проверяют пути файлов, чтобы предотвратить directory traversal.

Эксперты из компании Wiz обнаружили новую уязвимость еще в июле 2025, когда изучали малварь на Gogs-сервере одного из своих клиентов.

Дальнейший анализ показал, что в сети можно найти более 1400 публично доступных серверов Gogs, а свыше 700 из них демонстрируют признаки компрометации.

Все взломанные инстансы, обнаруженные в ходе расследов…

Исследователи из компании Varonis обнаружили новую PhaaS-платформу Spiderman, которая нацелена на пользователей банков и криптосервисов в Европе.

Злоумышленники используют сервис для создания копий легитимных сайтов, чтобы воровать учетные данные, 2ФА-коды и информацию о банковских картах.

По словам экспертов, платформа ориентирована на финансовые организации в пяти европейских странах и такие крупные банки, как Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank и Commerzbank.

Также Spiderman может создавать фишинговые страницы для финтех-сервисов, таких как шведская Klarna и PayPal.

Исследователи отмечают, что все фишинг-киты основаны на том, что жертва сама кликнет по ссылке и …

Кро­ме того, есть спе­циали­зиро­ван­ные решения для логов и трас­сиров­ки, так­же при­веду неболь­шой спи­сок.

В репози­тори­ях рос­сий­ско­го дис­три­бути­ва РЕД ОС дос­тупно решение Graylog, и это, на мой взгляд, хорошая и мощ­ная сис­тема цен­тра­лизо­ван­ного сбо­ра, ана­лиза и хра­нения логов.

MongoDB — база дан­ных, которая исполь­зует­ся в Graylog для хра­нения кон­фигура­цион­ных дан­ных и метадан­ных.

Средс­тва сбо­ра логов на кли­ентах:В Linux: стан­дар­тный демон auditd для ауди­та событий безопас­ности и rsyslog для пересыл­ки сис­темных логов.

Итак, в нашей опыт­ной инфраструк­туре необ­ходимо уста­новить сер­вер сбо­ра событий монито­рин­га Graylog и орга­низо­вать отправ­ку …

В спецификации протокола PCIe IDE обнаружили сразу три уязвимости.

Проблемы затрагивают PCIe Base Specification Revision 5.0 и более поздние версии в механизме протокола, представленном в Engineering Change Notice (ECN) для IDE.

По словам специалистов, в зависимости от имплементации уязвимости могут приводить к утечкам данных, повышению привилегий или отказу в обслуживании на затронутых компонентах PCIe.

PCIe IDE, который появился в PCIe 6.0, предназначен для защиты передачи данных посредством шифрования и проверки целостности.

— отсутствие проверки целостности на принимающем порту позволяет изменить порядок передачи PCIe-трафика, из-за чего получатель обработает устаревшие данные.

Компания выпустила исправления для Chrome в версиях для Windows (версия 143.0.7499.109), macOS (143.0.7499.110) и Linux (143.0.7499.109).

Обновления уже должны быть доступны для всех пользователей, хотя Google предупреждает, что полное развертывание патчей может занять несколько дней.

Любопытно, что в настоящее время новая 0-day не имеет даже CVE-идентификатора.

С начала 2025 года Google устранила в Chrome уже семь 0-day, и «безымянная» проблема стала восьмой.

Для сравнения: в 2024 году Google исправила 10 0-day в своем браузере, часть из которых была продемонстрирована на соревнованиях Pwn2Own, а остальные тоже эксплуатировались в реальных атаках.

В Госдуме всерьез обсуждают перспективу блокировки всех сервисов Google в России.

Поводом для таких обсуждений стали свежие поправки в закон «О персональных данных», которые Госдума приняла в первом чтении 10 декабря 2025 года.

Связано это с тем, что Google по-прежнему хранит все персональные данные на территории за пределами Российской Федерации — Европа, может быть, Соединенные Штаты.

И [сервисы Google] это великолепный инструмент для мониторинга состояния экономики в Российской Федерации.

Хотя бизнес привык к решениям Google и десятилетиями выстраивал свои системы в связке с сервисами компании, Свинцов уверяет, что российские ИТ-решения «ничем не уступают западным».

В этом месяце компания Gartner выпустила отчет под названием «Кибербезопасность пока должна заблокировать ИИ-браузеры».

Если же бэкенд будет признан небезопасным, в Gartner советуют просто блокировать установку и использование ИИ-браузеров для всех сотрудников.

Также авторы отчета считают, что сотрудники «могут поддаться соблазну использовать ИИ-браузеры для автоматизации определенных задач, которые обязательны, повторяются и не особенно интересны».

«Форма может быть заполнена неправильно, и в итоге будет заказан не тот канцелярский товар, забронированы билеты не на тот рейс и так далее», — пишут авторы.

В целом аналитики заключают, что пока ИИ-браузеры слишком опасны для использования без …

Мировой суд в Каменске-Уральском Свердловской области вынес первое решение по новой статье 13.53 КоАП, которая предусматривает ответственность за умышленный поиск экстремистских материалов в интернете.

Двадцатилетнему медбрату Сергею Глухих назначили штраф в размере 3000 рублей за просмотр «графического изображения шеврона националистического батальона “Азов”» (признан в России террористической организацией и запрещен).

10 декабря 2025 года мировой суд в Каменске-Уральском Свердловской области вынес решение: Сергею Глухих был назначен штраф в размере 3000 рублей.

Вызванный в качестве свидетеля работник ФСБ также отметил, что обвиняемый ранее появлялся в поле зрения спецслужбы, но не стал ут…

Моя пре­дыду­щая статья выз­вала инте­рес, и мно­гие захоте­ли уви­деть пол­ный и все­объ­емлю­щий обзор уяз­вимос­тей, опи­сан­ных в OWASP AI Testing Guide v1.

Рас­смот­рим все четыре катего­рии: уяз­вимос­ти при­ложе­ний (APP), моделей (MOD), инфраструк­туры (INF) и дан­ных (DAT).

При­готовь­ся, матери­ал объ­емный, но я пос­тарал­ся сде­лать его мак­сималь­но струк­туриро­ван­ным и полез­ным как для нович­ков, так и для опыт­ных спе­циалис­тов по безопас­ности.

OWASP AI Testing Guide — это пер­вый в сво­ем роде фрей­мворк, который сис­темати­зиру­ет и стан­дарти­зиру­ет под­ходы к тес­тирова­нию безопас­ности сис­тем на осно­ве искусс­твен­ного интеллек­та.

Он приз­нает, что ИИ‑сис­темы …

Также он получает полный контроль над девайсом через VNC и доступ к SMS, логам звонков, контактам, может записывать аудио и даже стирать данные.

По данным исследователей, DroidLock нацелен на испаноязычных пользователей и распространяется через вредоносные сайты, которые маскируются под легитимные приложения.

Эксперты уточняют, что DroidLock не шифрует данные — он просто угрожает их удалить, если хакеры не получат выкуп.

Отдельно отмечается, что DroidLock способен похитить даже графический ключ (с помощью еще одного оверлея, который загружается из ресурсов вредоносного APK).

Исследователи уже передали все данные о новой угрозе специалистам Android Security, поэтому защита Play Protect уже у…

Национальная полиция Испании сообщила об аресте 19-летнего подозреваемого, которого обвиняют в краже и попытке продажи 64 млн записей, полученных в результате взломов девяти компаний.

Подростку были предъявлены обвинения в причастности к киберпреступлениям, несанкционированном доступе и разглашении личных данных, а также в нарушении неприкосновенности частной жизни.

«Киберпреступник получил доступ к девяти различным компаниям, откуда похитил миллионы записей с личными данными, которые затем продавал в интернете», — объясняют правоохранители.

Расследование началось в июне 2025 года, после того как властям стало известно о взломах нескольких неназванных компаний.

В итоге подозреваемого обнару…

Исследователи из компании Securonix обнаружили кампанию JS#SMUGGLER — злоумышленники взламывают легитимные сайты и используют их для распространения трояна NetSupport RAT.

Пока исследователям не удалось связать атаки JS#SMUGGLER с какой-либо конкретной APT-группировкой или страной.

Скрипт, загруженный на первой стадии атаки, на лету формирует URL, с которого загружается HTA-пейлоад, и запускает его через mshta.exe.

Основная задача расшифрованного PowerShell-пейлоада — загрузить и развернуть на машине жертвы NetSupport RAT, передавая атакующим полный контроль над скомпрометированным хостом.

Эта группа с конца 2024 года активно использует легитимные сайты, зараженные JavaScript-инжектами, для…

И это хорошо, потому что имен­но в этот момент и люди, и про­цес­сы, и тех­нологии име­ют шанс вырас­ти.

Сло­во «взлом» кра­сиво зву­чит в телег­рам‑чатах и на тусов­ках комь­юни­ти, но в деловой реаль­нос­ти оно опас­но и неточ­но.

Это по­куп­ка информа­ции: ком­пания пла­тит за вос­про­изво­димый и задоку­мен­тирован­ный ответ на воп­рос «где у нас бре­ши и что с этим делать».

CISO получа­ет инс­тру­мент: не «мы дума­ем, что безопас­но», а «вот кон­крет­ная цепоч­ка, ее мож­но вос­про­извести, и вот сколь­ко она сто­ит в день­гах».

Для биз­неса — это чес­тный ответ на пря­мой воп­рос: «Сколь­ко сто­ит взло­мать нашу ком­панию?».

React2Shell (CVE-2025-55182) — критическая уязвимость в популярной JavaScript-библиотеке React компании Meta (деятельность компании признана экстремистской и запрещена в России).

При этом в Sysdig пишут, что паттерн зашифрованного загрузчика в EtherRAT совпадает с паттерном малвари BeaverTail, которая применяется в кампании Contagious Interview, связанной с КНДР.

Также в отчете отмечается крайне агрессивная персистентность EtherRAT в Linux-системах.

Вредонос использует сразу пять механизмов для закрепления в зараженной системе:задачи в cron;инъекция в bashrc;XDG autostart;systemd user service;инъекция в profile.

В своем отчете Sysdig приводит короткий список индикаторов компрометации, связа…

Cybersecurity researchers are calling attention to a new campaign that's leveraging GitHub-hosted Python repositories to distribute a previously undocumented JavaScript-based Remote Access Trojan (RAT) dubbed PyStoreRAT.

PyStoreRAT has been described as a "modular, multi-stage" implant that can execute EXE, DLL, PowerShell, MSI, Python, JavaScript, and HTA modules.

The malware also deploys an information stealer known as Rhadamanthys as a follow-on payload.

Attack chains involve distributing the malware through Python or JavaScript loader stubs embedded in GitHub repositories masquerading as OSINT tools, DeFi bots, GPT wrappers, and security-themed utilities that are designed to appeal to a…

Cybersecurity researchers have documented four new phishing kits named BlackForce, GhostFrame, InboxPrime AI, and Spiderman that are capable of facilitating credential theft at scale.

BlackForce, first detected in August 2025, is designed to steal credentials and perform Man-in-the-Browser (MitB) attacks to capture one-time passwords (OTPs) and bypass multi-factor authentication (MFA).

When the attacker attempts to log in with the stolen credentials on the legitimate website, an MFA prompt is triggered.

GhostFrame Fuels 1M+ Stealth Phishing AttacksAnother nascent phishing kit that has gained traction since its discovery in September 2025 is GhostFrame.

InboxPrime AI Phishing Kit Automates E…

The GenAI browser threat modelThe GenAI‑in‑the‑browser threat model must be approached differently from traditional web browsing due to several key factors.

GenAI browser extensions and assistants often require broad permissions to read and modify page content.

Managing GenAI browser extensionsGenAI‑powered browser extensions and side panels are a tricky risk category.

Identity, accounts, and session hygieneIdentity and session handling are central to GenAI browser security because they determine which data belongs to which account.

Visibility, telemetry, and analyticsUltimately, a working GenAI security program relies on accurate visibility into how employees are using browser-based GenAI …

The React team has released fixes for two new types of flaws in React Server Components (RSC) that, if successfully exploited, could result in denial-of-service (DoS) or source code exposure.

The team said the issues were found by the security community while attempting to exploit the patches released for CVE-2025-55182 (CVSS score: 10.0), a critical bug in RSC that has since been weaponized in the wild.

Users are advised to update to versions 19.0.3, 19.1.4, and 19.2.3 as soon as possible, particularly in light of active exploration of CVE-2025-55182.

"When a critical vulnerability is disclosed, researchers scrutinize adjacent code paths looking for variant exploit techniques to test wheth…

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has urged federal agencies to patch the recent React2Shell vulnerability by December 12, 2025, amid reports of widespread exploitation.

The critical vulnerability, tracked as CVE-2025-55182 (CVSS score: 10.0), affects the React Server Components (RSC) Flight protocol.

It also affects other frameworks, including Next.js, Waku, Vite, React Router, and RedwoodSDK.

According to the latest data from The Shadowserver Foundation, there are more than 137,200 internet-exposed IP addresses running vulnerable code as of December 11, 2025.

Of these, over 88,900 instances are located in the U.S., followed by Germany (10,900), France (5,500…

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a high-severity security flaw impacting OSGeo GeoServer to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation in the wild.

The vulnerability in question is CVE-2025-58360 (CVSS score: 8.2), an unauthenticated XML External Entity (XXE) flaw that affects all versions prior to and including 2.25.5, and from versions 2.26.0 through 2.26.1.

"OSGeo GeoServer contains an improper restriction of XML external entity reference vulnerability that occurs when the application accepts XML input through a specific endpoint /geoserver/wms operation GetMap and could allow an attacker t…

This week's cyber stories show how fast the online world can turn risky.

And researchers keep uncovering just how much of our digital life is still wide open.

The new Threatsday Bulletin brings it all together—big hacks, quiet exploits, bold arrests, and smart discoveries that explain where cyber threats are headed next.

Every alert, patch, or policy shift connects to a bigger story about how fragile digital trust has become.

Read on for this week's full rundown of breaches, discoveries, and decisions shaping the digital world.

Cybersecurity researchers have disclosed details of a new fully-featured Windows backdoor called NANOREMOTE that uses the Google Drive API for command-and-control (C2) purposes.

According to a report from Elastic Security Labs, the malware shares code similarities with another implant codenamed FINALDRAFT (aka Squidoor) that employs Microsoft Graph API for C2.

"One of the malware's primary features is centered around shipping data back and forth from the victim endpoint using the Google Drive API," Daniel Stepanic, principal security researcher at Elastic Security Labs, said.

Written in C++, NANOREMOTE is equipped to perform reconnaissance, execute files and commands, and transfer files to …

RPA impacts Identity and Access Management (IAM) by managing bot identities, enforcing least-privilege access and ensuring auditability across all accounts.

Robotic Process Automation (RPA) uses bots to automate repetitive tasks that are traditionally performed by human users.

Implement PAMBots that perform repetitive, administrative tasks often require privileged access, making Privileged Access Management (PAM) essential.

PAM solutions should enforce JIT access, ensuring bots receive privileged access only when needed and for a limited time.

Secure the future of automation with IAMAutomation continues to transform how enterprises operate, largely driven by the rise of NHIs like RPA bots.

Artifacts uploaded to the VirusTotal platform show that the threat actor has trained its sights on Oman and Morocco, indicating an expansion in operational scope beyond the Palestinian Authority, Jordan, Iraq, Saudi Arabia, and Egypt.

It's primarily driven by espionage and intelligence collection, targeting government entities in the Middle East to meet its strategic objectives.

AshTag is a modular .NET backdoor that's designed to facilitate persistence and remote command execution, while masquerading as a legitimate VisualServer utility to fly under the radar.

"Ashen Lepus remains a persistent espionage actor, demonstrating a clear intent to continue its operations throughout the recent re…

A high-severity unpatched security vulnerability in Gogs has come under active exploitation, with more than 700 compromised instances accessible over the internet, according to new findings from Wiz.

The company said it accidentally discovered the zero-day flaw in July 2025 while investigating a malware infection on a customer's machine.

"Improper symbolic link handling in the PutContents API in Gogs allows local execution of code," according to a description of the vulnerability in CVE.org.

Additionally, the Gogs API allows file modification outside of the regular Git protocol.

The issue at hand is that a threat actor with basic read permissions via a PAT can use GitHub's API code search t…

Google on Wednesday shipped security updates for its Chrome browser to address three security flaws, including one it said has come under active exploitation in the wild.

Unlike other disclosures, Google has opted to keep information about the CVE identifier, the affected component, and the nature of the flaw under wraps.

"Google is aware that an exploit for 466192044 exists in the wild," the company noted, adding that more details are "under coordination."

With the latest update, Google has addressed eight zero-day flaws in Chrome that have been either actively exploited or demonstrated as a proof-of-concept (PoC) since the start of the year.

To make sure the latest updates are installed, …

Huntress is warning of a new actively exploited vulnerability in Gladinet's CentreStack and Triofox products stemming from the use of hard-coded cryptographic keys that have affected nine organizations so far.

"Threat actors can potentially abuse this as a way to access the web.config file, opening the door for deserialization and remote code execution," security researcher Bryan Masters said.

The use of hard-coded cryptographic keys could allow threat actors to decrypt or forge access tickets, enabling them to access sensitive files like web.config that can be exploited to achieve ViewState deserialization and remote code execution, the cybersecurity company added.

]205 and attempt to chai…

This includes a Linux backdoor called PeerBlight, a reverse proxy tunnel named CowTunnel, and a Go-based post-exploitation implant referred to as ZinFoq.

As of December 8, 2025, these efforts have been aimed at a wide range of sectors, but prominently the construction and entertainment industries.

]41:8443"), allowing it to upload/download/delete files, spawn a reverse shell, modify file permissions, run arbitrary binaries, and update itself.

"Upon joining the DHT network, the backdoor registers itself with a node ID beginning with the hardcoded prefix LOLlolLOL," the researchers explained.

"When the backdoor receives DHT responses containing node lists, it scans for other nodes whose IDs s…

New research has uncovered exploitation primitives in the .NET Framework that could be leveraged against enterprise-grade applications to achieve remote code execution.

"It is usually abusable through SOAP clients, especially if they are dynamically created from the attacker-controlled WSDL," Bazydlo said.

As a result, .NET Framework HTTP client proxies can be manipulated into using file system handlers and achieve arbitrary file write by passing as URL something like "file://" into a SOAP client proxy, ultimately leading to code execution.

"It is possible to make SOAP proxies write SOAP requests into files rather than sending them over HTTP," Bazydlo said.

"In many cases, this leads to rem…

Being seen as reliable is good for ‘business’ and ransomware groups care about 'brand reputation' just as much as their victimsBlack Hat Europe 2025 opened with a presentation by Max Smeets of Virtual Rotes titled ‘Inside the Ransomware Machine’.

At their height, between 2022-2024, the group had 194 affiliates, of which 110 had managed to get a cyberattack to the point of negotiation, with 80 of the affiliates succeeding in getting paid by the ransomware group.

Reputation is everythingA key message delivered by Max was regarding reputation, both of the victim and the ransomware group.

The victim company needs to uphold their reputation with their customers and any hint of a data breach can …

Which brings to mind Schrödinger’s cat, the famous thought experiment where a cat in a sealed box is simultaneously alive and dead – until you look inside.

But now I’m going to pick holes in the analogy a little whilst hoping to underscore the key message.

Therefore, the quantum breach analogy doesn’t quite hold.

And that’s even if you can recruit enough people due to the much reported, cybersecurity skills shortage.

Stress is probably one of the words most used in cybersecurity teams the world over, when describing their day-to-day – and it’s hardly surprising.

Despite their wordy nomenclature, every report mentioned above has a beneficial role in canvassing the colorful endpoint security landscape.

Some, like the MITRE ATT&CK Evaluations, go as far as to pit products against known advanced adversary attacks.

Producing value is one thing, but keeping it safe is another: hence the need for appropriate endpoint security measures.

Most well-regarded independent analyst and lab test reports focus on endpoints, since they’re at the crossroads of every activity, including malign.

MITRE ATT&CK Evaluations Enterprise is the one for you then.

Put simply, a whaling cyberattack is one targeted at a high-profile, senior member of the corporate leadership team.

Or to hijack their email account in order to launch BEC attacks at subordinates impersonating the whale to get a smaller fish to make a big money transfer.

With AI, whaling attacks increase in scale and effectiveness, as sophisticated capabilities become democratized to more threat actors.

Taking out the whalersThere are several ways security teams can help to mitigate the risks of spearphishing and BEC attacks.

More generally, your organization may want to start limiting the kind of corporate information it shares publicly.

Often, threat actors research the individual they’re targeting in order to improve their success rates.

If IT doesn’t properly manage the accounts, credentials and privileges of its users and machines, security blind spots inevitably emerge.

How to enhance identity securityA considered, multi-layered approach to identity security can help mitigate the risk of serious compromise.

Revisit security training for all employees, from the CEO down, to ensure they know the importance of identity security, and can identify the latest phishing tactics.

Best practice identity security starts with a prevention-first mindset.

E02DD79A8CAED662969F 6D5D0792F2CB283116E8 66f3e097e4tnyHR .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

E8F4EA3857EF5FDFEC1A 2063D707609251F207DB main .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

F26CAE9E79871DF3A47F A61A755DC028C18451FC 7295be2b1fAzMZI .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

FF09608790077E1BA52C 03D9390E0805189ADAD7 20d188afdcpfLFq .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

A9747A3F58F8F408FECE FC48DB0A18A1CB6DACAE AppVs .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

It could feasibly be described as the largest open database of corporate information in the world: a veritable treasure trove of job titles, roles, responsibilities and internal relationships.

It’s also where recruiters post job listings, which may overshare technical details that can be leveraged later on in spearphishing attacks.

They might also share corporate email addresses in Git commit configurations.

Here are some hypothetical examples:An adversary finds LinkedIn information on a new starter in an IT role at company A, including their core role and responsibilities.

Update security awareness programs to ensure that all employees, from executives down, understand the importance of no…

Data exposure by top AI companies, the Akira ransomware haul, Operation Endgame against major malware families, and more of this month's cybersecurity newsNovember 2025 is almost behind us, and it's time for ESET Chief Security Evangelist Tony Anscombe to look at cybersecurity stories that raised the alarms, moved the needle or offered vital lessons over the past 30 or so days.

Here's some of what caught Tony's eye this month:many of the world's largest Ai companies inadvertently leak their secrets such as API keys, tokens, and sensitive credentials in their GitHub repositories, according to cloud security giant Wiz,the Akira ransomware group has netted $244 million from its malicious activ…

Doxxing (doxing) is what happens when a malicious third party deliberately exposes the personal information of someone else online.

Or query WHOIS databases that store the personal details of website/domain name registrants.

It would involve sending phishing messages to the victim in order to trick them into divulging logins or personal information, or installing infostealing malware on their machine/device.

Minimizing the doxxing threatThe best way to reduce your children’s exposure to doxxing is to minimize the amount of personal information their share online.

Never share their personal details, or even photos that could identify school and location.

If you’re a social media content creator, it may be time to revisit those account security best practices.

They ideally also want to target influencers who have built long-term trust with their audience, through months or years of providing advice online.

When it comes to the targeting of influencers, attacks begin with the social media account itself – whether it’s X (formerly Twitter), YouTube, TikTok, Instagram or another platform.

Highly targeted phishing attacks designed to trick the individual into handing over their logins.

The bottom line is identity theft-related security risks for followers, trashed reputation for brands and influencers, and potentially direct losses for content c…

So what’s this got to do with cybersecurity – and a solution known as Managed Detection and Response (MDR)?

That’s why Managed Detection and Response (MDR) services are often cited as the predominant way organisations will protect themselves.

Earlier this year, Gartner forecast that up to 50% of all organisations will have adopted MDR by the end of 2025.

IT generalists – and even security managers – wear many hats.

MDR offers the same level of protection – without the overhead – making it accessible to SMEs and large enterprises alike.

Short for “Open Source Intelligence”, OSINT refers to the gathering and analysis of publicly available data to produce actionable insights.

Basically, if you’re trying to make sense of public data, you’re already in OSINT territory.

OSINT Framework and OSINTCombine: these tools organize hundreds of free resources by category (web search, social media platforms, government sites, etc.

Social media tools: platforms like Namechk and Sherlock check whether a username exists across dozens of sites and are, therefore, useful for building digital profiles.

Parting thoughtsKnowing how to use OSINT tools is one thing; knowing how to investigate responsibly is another.

Internally named dns_cheat_v2 by its developers – and codenamed EdgeStepper by us – bioset is PlushDaemon’s adversary-in-the-middle tool, which forwards DNS traffic from machines in a targeted network to a malicious DNS node.

Alternatively, we have also observed that some servers are both the DNS node and the hijacking node; in those cases, the DNS node replies to DNS queries with its own IP address.

Illustration of the final stage of the update hijackingFigure 5 shows the hijacking node serving LittleDaemon.

We observed that IP address from 2021 to 2022 as the source of the malicious update: the hijacking node.

ConclusionWe analyzed the EdgeStepper network implant that enables PlushDaemon’…

In October, researchers warned that two AI companion apps (Chattee Chat and GiMe Chat) had unwittingly exposed highly sensitive user information.

The information shared by victims in romantic conversations with their AI companion is ripe for blackmail.

As per the above example, revenue generation rather than cybersecurity is the priority for AI app developers.

How to keep your family safeWhether you’re using an AI companion app yourself or are concerned about your children doing so, the advice is the same.

It goes without saying that you shouldn’t allow any AI companion apps whose age verification and content moderation policies do not offer sufficient protections for your children.

6 password manager security concernsWith access to the credentials stored in your password manager, threat actors could hijack your accounts to commit identity fraud, or sell access/passwords to others.

Another option is by exploiting vulnerabilities in the password manager software, or tricking users with phishing pages, as detailed below.

Such are the riches on offer that some have gone to the trouble of developing malware to steal credentials from victims’ password managers.

Fake password manager appsSometimes, cybercriminals play on the popularity of password managers in an attempt to harvest passwords and spread malware via fake apps.

Password managers remain a key part of cybersecurit…

ImmuniWeb has unveiled a major update to its ImmuniWeb AI Platform, based on ongoing research as well as valuable feedback from customers and partners in over 50 countries.

This cumulative Q4 update builds on the Q3 update announced in early October.

Most Q4 improvements focus on security testing for AI-specific vulnerabilities and weaknesses in web and mobile applications, as well as enhanced testing and reporting for regulatory and compliance purposes.

“Being mindful of these challenges, we are delighted to present major updates of our award-winning ImmuniWeb AI Platform to even better accommodate our customers and partners.

The updates are specifically designed to streamline regulatory c…

Swissbit is expanding its portfolio of multi-application security keys with the launch of the iShield Key 2, introducing a new variant featuring HID Seos, one of the most widely used credential technologies for physical access control.

Following the addition of MIFARE DESFire EV3, Swissbit now supports another major global standard, offering customers a single token that unifies phishing-resistant digital authentication and secure physical access.

HID Seos is deployed in numerous access systems used across enterprises, airports, healthcare environments, and government facilities.

The HID compatible iShield Key 2 provides secure, phishing-resistant authentication while supporting these diver…

Firewalla announced Firewalla Orange, a portable multi-gigabit cybersecurity firewall and Wi-Fi 7 router designed to reset expectations for how networks should be protected.

Firewalla Orange delivers more than 2 gigabits of packet processing performance and brings enterprise grade zero trust security to both stationary and mobile environments in a form factor small enough to fit in a jacket pocket.

Firewalla Orange challenges the idea that serious network protection must stay bolted to a desk or rack.

When connected to public Wi-Fi in hotels, airports, co-working spaces, short-term rentals, or client sites, Firewalla Orange instantly builds a private Zero Trust network perimeter around all …

Privacy laws have expanded around the world, and security leaders now work within a crowded field of requirements.

The researchers from the Beacom College of Computer and Cyber Sciences at Dakota State University conducted a long range analysis of global privacy laws and the harms they aim to prevent.

A rise in privacy lawsThe review shows how quickly privacy rules have multiplied.

The EU and US have since created the Data Privacy Framework for certified firms, but many organizations continue to use SCCs based on their business needs.

A need for measurable improvementThe researchers conclude that privacy laws have strengthened protections, but the link between compliance and reduced harm re…

People expect privacy policies to explain what happens to their data.

In a new study, researchers reviewed privacy policies for LLMs and traced how they changed.

Policies keep getting longerResearchers looked at privacy policies from 11 providers and tracked 74 versions over several years.

Beyond the main policies, providers publish extra documents such as model training notices or regional supplements.

Privacy policies written at a level few users can manageLength is not the only challenge.

Ransomware keeps shifting into new territory, pulling in victims from sectors and regions that once saw fewer attacks.

Their aim was to map where ransomware is spreading, which organizations sit in higher risk clusters and how security posture shapes exposure.

Growth trends show ransomware moving into new regionsThe report finds that ransomware has become a global issue with incidents growing in markets that historically saw lower volumes.

Threat groups continue to move toward regions with less mature defensive baselines or slower adoption of strong controls.

Public sector risk stands out in multiple findingsPublic sector organizations receive significant attention in the report.

Mobile networks carry a great deal of the world’s digital activity, which makes operators a frequent target for attacks.

In many countries mobile networks are the main or only way people reach financial services, public portals, or health systems.

This creates friction and drains time from security teams.

Mobile operators face many overlapping layers of reguation that affect cybersecurity (Source: Frontier Economics)In some markets, different agencies oversee different parts of the same incident.

These tasks disrupt planned work inside security teams and make it harder to focus on detection or response.

Here’s a look at the most interesting products from the past week, featuring releases from Apptega, Backslash Security, BigID, Black Kite, Bugcrowd, NinjaOne, Nudge Security, and Veza.

With this enhancement, Apptega enables partners and in-house security and compliance teams to maintain auditable policies with minimal manual effort.

New Black Kite module offers product-level insight into software supply chain vulnerabilitiesBlack Kite released its new Product Analysis module, which allows security teams to evaluate the risks of third-party software products at a granular level.

NinjaOne rolls out secure, compliant remote access for IT teamsNinjaOne announced NinjaOne Remote, a remote access…

Thales is introducing the first foundational capabilities of its AI Security Fabric to protect the core and edge of enterprises’ AI ecosystems.

“As AI reshapes business operations, organizations require security solutions tailored to the specific risks posed by Agentic AI and Gen AI applications,” said Sebastien Cano, SVP of Thales’ Cyber Security Products Business.

“Thales AI Security Fabric offers enterprises specialized tools to secure AI applications while minimizing operational complexity.

Supported by decades of security expertise, Thales enables businesses to confidently scale their AI adoption, safeguarding sensitive data, applications, and user interactions,” Canoadded.

Thales plan…

The latest updates focus on strengthening API discovery capabilities, improving threat detection, and optimizing network connectivity.

“With these new capabilities, we give organizations unified visibility and control over APIs, whether supported by F5 BIG-IP, F5 NGINX, or Distributed Cloud Services, or within air-gapped environments.

API discovery for BIG-IP, enables out-of-band visibility across BIG-IP TMOS systems (v15.1+).

API discovery for NGINX and additional proxies/gateways—including NGINX OSS, NGINX Plus, Kong, and Apigee, is available in early access, and allows customers to unify inventory and analysis across heterogeneous environments.

Enhanced API testing and threat detectionOn…

Black Duck announced the launch of Black Duck Signal, a transformative agentic AI solution engineered to secure software at the speed of AI-powered development.

Signal combines Black Duck’s 20 years of software security expertise and intellectual property with LLM-powered software analysis to autonomously detect and remediate vulnerabilities in business-critical applications.

Unlike generic AI tools, Signal combines advanced, multi-model LLM technology with human-labeled application security intelligence from the Black Duck KnowledgeBase™ to deliver accurate, context-aware insights in real time—eliminating noise, hallucinations, and false positives.

Its agentic architecture enables both dev…

CloudCasa announced the latest enhancements to its CloudCasa platform, adding support for accessing backup storage using SMB (Server Message Block) file-sharing protocol and support for user-selectable compression of backup data.

CloudCasa’s new SMB support was developed in response to customer demands for more flexible access to storage.

With full support for both NFS and SMB, CloudCasa now delivers the flexibility in storage options desired by customers with diverse remote office and edge environments.

Maximize storage investments: CloudCasa enables organizations to use their existing storage for backups, optimize storage utilization, and carefully manage resource consumption in resource-…

Bugcrowd has launched new platform functionality, Bugcrowd AI Triage Assistant and Bugcrowd AI Analytics, to bring speed and intelligence and insights to the process of building security resilience.

AI Triage Assistant and AI Analytics are central to that mission,” said Braden Russell, CPO, Bugcrowd.

“It’s not about replacing human intuition, but augmenting it with powerful AI insights.

Together, these innovations enable security teams to move from complex analysis to decisive action in seconds rather than hours.

“Security teams today face unprecedented challenges in managing the growing complexity of modern attack surfaces,” said Dr. David Brumley, Chief AI and Science Officer at Bugcrowd.

Autoswagger: Open-source tool to expose hidden API authorization flawsAutoswagger is a free, open-source tool that scans OpenAPI-documented APIs for broken authorization vulnerabilities.

Chekov: Open-source static code analysis toolCheckov is an open-source tool designed to help teams secure their cloud infrastructure and code.

Falco: Open-source cloud-native runtime security tool for LinuxFalco is an open-source runtime security tool for Linux systems, built for cloud-native environments.

Rayhunter: EFF releases open-source tool to detect cellular spyingThe Electronic Frontier Foundation (EFF) has released Rayhunter, a new open-source tool designed to detect cell site simulators (CSS).

Vul…

The second contained artificial variants, which were machine-generated changes to those vulnerabilities.

Authentic cases showed stronger performanceOut of 15 authentic cases, 8 received at least one working patch.

The authentic cases often needed small edits in a tight section of code.

This explains why the results on authentic cases were stronger and why several models often agreed on the same repair.

Model outcomes on artificial variantsThe results looked very different for the 41 artificial variants.

AIs Exploiting Smart ContractsI have long maintained that smart contracts are a dumb idea: that a human process is actually a security feature.

Here’s some interesting research on training AIs to automatically exploit smart contracts:AI models are increasingly good at cyber tasks, as we’ve written about before.

In a recent MATS and Anthropic Fellows project, our scholars investigated this question by evaluating AI agents’ ability to exploit smart contracts on Smart CONtracts Exploitation benchmark (SCONE-bench)­a new benchmark they built comprising 405 contracts that were actually exploited between 2020 and 2025.

Going beyond retrospective analysis, we evaluated both Sonnet 4.5 and GPT-5 in…

The FBI is warning of AI-assisted fake kidnapping scams:Criminal actors typically will contact their victims through text message claiming they have kidnapped their loved one and demand a ransom be paid for their release.

Oftentimes, the criminal actor will express significant claims of violence towards the loved one if the ransom is not paid immediately.

The criminal actor will then send what appears to be a genuine photo or video of the victim’s loved one, which upon close inspection often reveals inaccuracies when compared to confirmed photos of the loved one.

Examples of these inaccuracies include missing tattoos or scars and inaccurate body proportions.

Criminal actors will sometimes p…

There’s a public health imperative to quickly expand the adoption of autonomous vehicles.

The answer is critical for determining how autonomous vehicles may shape motor vehicle safety and public health, and for developing sound policies to govern their deployment.

In this paper, we calculate the number of miles of driving that would be needed to provide clear statistical evidence of autonomous vehicle safety.

And yet, the possibility remains that it will not be possible to establish with certainty the safety of autonomous vehicles.

One problem, of course, is that we treat death by human driver differently than we do death by autonomous computer driver.

Here’s a fun paper: “The Naibbe cipher: a substitution cipher that encrypts Latin and Italian as Voynich Manuscript-like ciphertext“:Abstract: In this article, I investigate the hypothesis that the Voynich Manuscript (MS 408, Yale University Beinecke Library) is compatible with being a ciphertext by attempting to develop a historically plausible cipher that can replicate the manuscript’s unusual properties.

The resulting cipher­a verbose homophonic substitution cipher I call the Naibbe cipher­can be done entirely by hand with 15th-century materials, and when it encrypts a wide range of Latin and Italian plaintexts, the resulting ciphertexts remain fully decipherable and also reliably reprod…

Friday Squid Blogging: Vampire Squid GenomeThe vampire squid (Vampyroteuthis infernalis) has the largest cephalopod genome ever sequenced: more than 11 billion base pairs.

That’s more than twice as large as the biggest squid genomes.

It’s technically not a squid: “The vampire squid is a fascinating twig tenaciously hanging onto the cephalopod family tree.

It’s neither a squid nor an octopus (nor a vampire), but rather the last, lone remnant of an ancient lineage whose other members have long since vanished.”As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Posted on December 5, 2025 at 5:06 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Social media companies made the same sorts of promises 20 years ago: instant communication enabling individual connection at massive scale.

We legitimately fear artificial voices and manufactured reality drowning out real people on the internet: on social media, in chat rooms, everywhere we might try to connect with others.

They could extract the funding needed to mitigate these harms to support public services—strengthening job training programs and public employment, public schools, public health services, even public media and technology.

Millions quickly signed up for a free service where the only source of monetization was the extraction of their attention and personal data.

They were …

Banning VPNsThis is crazy.

Lawmakers in several US states are contemplating banning VPNs, because…think of the children!

As of this writing, Wisconsin lawmakers are escalating their war on privacy by targeting VPNs in the name of “protecting children” in A.B.

It’s an age verification bill that requires all websites distributing material that could conceivably be deemed “sexual content” to both implement an age verification system and also to block the access of users connected via VPN.

Posted on December 1, 2025 at 7:59 AM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Across 25 frontier proprietary and open-weight models, curated poetic prompts yielded high attack-success rates (ASR), with some providers exceeding 90%.

Mapping prompts to MLCommons and EU CoP risk taxonomies shows that poetic attacks transfer across CBRN, manipulation, cyber-offence, and loss-of-control domains.

Sadly, the paper does not give examples of these poetic prompts.

They claim this is for security purposes, I decision I disagree with.

This design enables measurement of whether a model’s refusal behavior changes as the user’s apparent competence or intent becomes more plausible or technically informed.

Now, decades later and in failing health in Paris, Wan recalled something that had happened one day in the late 1980s, when he was still living in Beijing.

He was usually the one to invite officials to dine, so as to curry favor with the show of hospitality.

Over the meal, the officials told Wan that the Ministry of State Security was going to send agents to work undercover at his company in positions dealing with international relations.

“You have a lot of international business, which raises security issues for you.

There are situations that you don’t understand,” Wan recalled the officials telling him.

That avatar answered 8,600 questions from voters on a 17-day continuous YouTube livestream and garnered the attention of campaign innovators worldwide.

His new party, Team Mirai, is also an AI-enabled civic technology shop, producing software aimed at making governance better and more participatory.

While it seems clear that the courts are realizing efficiency benefits from leveraging AI, there is a postscript to the courts’ AI implementation project over the past five-plus years: the litigators are using these tools, too.

Switzerland has recently released the world’s most powerful and fully realized public AI model.

AI technology is not without its costs and risks, and we are not here to m…

The International Association of Cryptologic Research—the academic cryptography association that’s been putting conferences like Crypto (back when “crypto” meant “cryptography”) and Eurocrypt since the 1980s—had to nullify an online election when trustee Moti Yung lost his decryption key.

For this election and in accordance with the bylaws of the IACR, the three members of the IACR 2025 Election Committee acted as independent trustees, each holding a portion of the cryptographic key material required to jointly decrypt the results.

This aspect of Helios’ design ensures that no two trustees could collude to determine the outcome of an election or the contents of individual votes on their own…

Microsoft today pushed updates to fix at least 56 security flaws in its Windows operating systems and supported software.

This final Patch Tuesday of 2025 tackles one zero-day bug that is already being exploited, as well as two publicly disclosed vulnerabilities.

Despite releasing a lower-than-normal number of security updates these past few months, Microsoft patched a whopping 1,129 vulnerabilities in 2025, an 11.9% increase from 2024.

The zero-day flaw patched today is CVE-2025-62221, a privilege escalation vulnerability affecting Windows 10 and later editions.

For anyone seeking a more granular breakdown of the security updates Microsoft pushed today, check out the roundup at the SANS In…

A sprawling academic cheating network turbocharged by Google Ads that has generated nearly $25 million in revenue has curious ties to a Kremlin-connected oligarch whose Russian university builds drones for Russia’s war against Ukraine.

UK companies belonging to the group that have been shut down by Google Ads since Jan 2025 include:–Proglobal Solutions LTD (advertised nerdifyit[.

Currently active Google Ads accounts for the Nerdify brands include:-OK Marketing LTD (advertising geekly-hub[.

For a number of years, Lobov and Perkon co-produced a cross-cultural event in the U.K. called Russian Film Week.

While Synergy University promotes itself as Russia’s largest private educational institutio…

The phishing domains are being promoted by scam messages sent via Apple’s iMessage service or the functionally equivalent RCS messaging service built into Google phones.

The website scanning service urlscan.io shows thousands of these phishing domains have been deployed in just the past few days alone.

Pivoting off these T-Mobile phishing domains in urlscan.io reveals a similar scam targeting AT&T customers:Ford Merrill works in security research at SecAlliance, a CSIS Security Group company.

CAVEAT EMPTORMany SMS phishing or “smishing” domains are quickly flagged by browser makers as malicious.

“The fake e-commerce sites are tough because a lot of them can fly under the radar,” Merrill sai…

A prolific cybercriminal group that calls itself “Scattered LAPSUS$ Hunters” has dominated headlines this year by regularly stealing data from and publicly mass extorting dozens of major corporations.

Scattered LAPSUS$ Hunters (SLSH) is thought to be an amalgamation of three hacking groups — Scattered Spider, LAPSUS$ and ShinyHunters.

But last week, SLSH announced on its Telegram channel the release of their own ransomware-as-a-service operation called ShinySp1d3r.

The individual responsible for releasing the ShinySp1d3r ransomware offering is a core SLSH member who goes by the handle “Rey” and who is currently one of just three administrators of the SLSH Telegram channel.

Incredibly, Rey w…

UNBOXINGCensys’s Ashley said the phone home to China’s Tencent QQ instant messaging service was the first red flag with the Superbox devices she examined.

In July 2025, Google filed a “John Doe” lawsuit (PDF) against 25 unidentified defendants dubbed the “BadBox 2.0 Enterprise,” which Google described as a botnet of over ten million Android streaming devices that engaged in advertising fraud.

Several of the Android streaming devices flagged in Google’s lawsuit are still for sale on top U.S. retail sites.

Kilmer said Badbox 2.0 was used as a distribution platform for IPidea, a China-based entity that is now the world’s largest residential proxy network.

-Generic TV streaming devices advertis…

Sixteen months later, however, Mozilla is still promoting Onerep.

This week, Mozilla announced its partnership with Onerep will officially end next month.

In a statement published Tuesday, Mozilla said it will soon discontinue Monitor Plus, which offered data broker site scans and automated personal data removal from Onerep.

Mozilla said current Monitor Plus subscribers will retain full access through the wind-down period, which ends on Dec. 17, 2025.

Shelest released a lengthy statement wherein he acknowledged maintaining an ownership stake in Nuwber, a data broker he founded in 2015 — around the same time he launched Onerep.

An intermittent outage at Cloudflare on Tuesday briefly knocked many of the Internet’s top destinations offline.

Some affected Cloudflare customers were able to pivot away from the platform temporarily so that visitors could still access their websites.

However, some customers did manage to pivot their domains away from Cloudflare during the outage.

“Then you see through DNS changes that the target has eliminated Cloudflare from their web stack due to the outage.

But also look hard at the behavior inside your org.”Scott said organizations seeking security insights from the Cloudflare outage should ask themselves:1.

Microsoft this week pushed security updates to fix more than 60 vulnerabilities in its Windows operating systems and supported software, including at least one zero-day bug that is already being exploited.

Affected products this month include the Windows OS, Office, SharePoint, SQL Server, Visual Studio, GitHub Copilot, and Azure Monitor Agent.

Many of the more concerning bugs addressed by Microsoft this month affect Windows 10, an operating system that Microsoft officially ceased supporting with patches last month.

As that deadline rolled around, however, Microsoft began offering Windows 10 users an extra year of free updates, so long as they register their PC to an active Microsoft accoun…

More recently, Lighthouse has been used to spoof e-commerce websites, financial institutions and brokerage firms.

Google’s lawsuit alleges the purveyors of Lighthouse violated the company’s trademarks by including Google’s logos on countless phishing websites.

Ford Merrill works in security research at SecAlliance, a CSIS Security Group company, and he’s been tracking Chinese SMS phishing groups for several years.

Merrill said many Lighthouse customers are now using the phishing kit to erect fake e-commerce websites that are advertised on Google and Meta platforms.

But he said the Chinese mobile phishing market is so lucrative right now that it’s difficult to imagine a popular phishing serv…

The Washington Post recently reported that more than a half-dozen federal departments and agencies were backing a proposed ban on future sales of TP-Link devices in the United States.

“TP-Link vigorously disputes any allegation that its products present national security risks to the United States,” Ricca Silverio, a spokeswoman for TP-Link Systems, said in a statement.

Microsoft found the hacker groups were leveraging the compromised TP-Link systems to conduct “password spraying” attacks against Microsoft accounts.

Happily, TP-Link users spooked by the proposed ban may have an alternative to outright junking these devices, as many TP-Link routers also support open-source firmware options l…

Cloudflare responded by redacting Aisuru domain names from their top websites list.

One Aisuru botnet domain that sat prominently for days at #1 on the list was someone’s street address in Massachusetts followed by “.com”.

Other Aisuru domains mimicked those belonging to major cloud providers.

Sometime in the past 24 hours, Cloudflare appears to have begun hiding the malicious Aisuru domains entirely from the web version of that list.

However, downloading a spreadsheet of the current Top 200 domains from Cloudflare Radar shows an Aisuru domain still at the very top.

The 2012 indictment targeting the Jabber Zeus crew named MrICQ as “John Doe #3,” and said this person handled incoming notifications of newly compromised victims.

Two sources familiar with the Jabber Zeus investigation said Rybtsov was arrested in Italy, although the exact date and circumstances of his arrest remain unclear.

Further searching on this address in Constella finds the same apartment building was shared by a business registered to Vyacheslav “Tank” Penchukov, the leader of the Jabber Zeus crew in Ukraine.

Nevertheless, the pilfered Jabber Zeus group chats provided the basis for dozens of stories published here about small businesses fighting their banks in court over six- and se…

Experts say the Aisuru botmasters recently updated their malware so that compromised devices can more easily be rented to so-called “residential proxy” providers.

From a website’s perspective, the IP traffic of a residential proxy network user appears to originate from the rented residential IP address, not from the proxy service customer.

“I just checked, and in the last 90 days we’ve seen 250 million unique residential proxy IPs,” Kilmer said.

Brundage says that by almost any measurement, the world’s largest residential proxy service is IPidea, a China-based proxy network.

That 2022 story named Yunhe Wang from Beijing as the apparent owner and/or manager of the 911S5 proxy service.

Financial regulators in Canada this week levied $176 million in fines against Cryptomus, a digital payments platform that supports dozens of Russian cryptocurrency exchanges and websites hawking cybercrime services.

On October 16, the Financial Transactions and Reports Analysis Center of Canada (FINTRAC) imposed a $176,960,190 penalty on Xeltox Enterprises Ltd., more commonly known as the cryptocurrency payments platform Cryptomus.

Sanders found at least 56 cryptocurrency exchanges were using Cryptomus to process transactions, including financial entities with names like casher[.

Their inquiry found that the street address for Cryptomus parent Xeltox Enterprises was listed as the home of at…

Cybercriminals are abusing a widespread lack of authentication in the customer service platform Zendesk to flood targeted email inboxes with menacing messages that come from hundreds of Zendesk corporate customers simultaneously.

Zendesk is an automated help desk service designed to make it simple for people to contact companies for customer support issues.

Earlier this week, KrebsOnSecurity started receiving thousands of ticket creation notification messages through Zendesk in rapid succession, each bearing the name of different Zendesk customers, such as CapCom, CompTIA, Discord, GMAC, NordVPN, The Washington Post, and Tinder.

In the example below, replying to any of the junk customer sup…

Plus, Graham chats with Rob Edmondson from CoreView about why misconfigurations and over-privileged accounts can make Microsoft 365 dangerously vulnerable.

All this, and more, in episode 447 of the “Smashing Security” podcast with Graham Cluley, and special guest Jenny Radcliffe.

Smashing Security listeners get $1000 off!

CoreView – Benchmark your Microsoft 365 tenant security against the Center for Internet Security (CIS) controls.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

A new report from the United States's Financial Crimes Enforcement Network (FinCEN) has shone a revealing light on the state of the criminal industry of ransomware. The report, which examines ransomware incidents from 2022 to 2024, reveals that attackers extorted more than $2.1 billion over the three-year period. Yes, that number is enormous - but it hides a more interesting story beneath it: that after peaking in 2023, ransomware payments actually started to decline. Read more in my article on the Fortra blog.

Remember when a notorious ransomware gang hit the Irish Health Service back in May 2021?

Four years on, and it seems victims who had their data exposed will finally receive compensation.

The attack against the Health Service Executive (HSE) began when the Russia-linked Conti ransomware group tricked a user into downloading a boobytrapped Microsoft Excel file.

The Health Service Executive (HSE) has now made an offer of €750 to victims whose personal data was compromised in what was declared the largest ever cyber attack against a health service computer system in Ireland.

According to media reports, a Cork-based solicitors firm representing more than 100 people affected by the data breach re…

A 22-year-old from Newport Beach, California has pleaded guilty to his role in a sophisticated criminal network that stole approximately US $263 million in cryptocurrency from victims.

Evan Tangeman is the ninth defendant to plead guilty in connection with what prosecutors have described as a highly-organised criminal enterprise, dubbed the "Social Engineering Enterprise" (SE Enterprise).

Some members of SE Enterprise specialised in hacking databases to identify wealthy cryptocurrency investors.

Evan Tangeman admitted to working as a money launderer for the group, helping convert US $3.5 million worth of stolen cryptocurrency into cash.

For all their supposed sophistication, the downfall of…

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow us:Follow the show on Bluesky, or subscribe for free in your favourite podcast app such as Apple Podcasts or Spotify, or visit our website for more information.

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

Grok, the AI chatbot developed by Elon Musk's xAI, has been found to exhibit more alarming behaviour - this time revealing the home addresses of ordinary people upon request.

And, as if that wasn't enough of a privacy violation, Grok has also been exposed as providing detailed instructions for stalking and surveillance of targeted individuals.

If Grok was not able to identify the exact person, it would often return lists of similarly named individuals with their addresses.

Grok was also not afraid of offering tips for encountering a world-famous pop star, providing tips for waiting near venue exits.

As AI becomes embedded in our daily lives, it is clear that stronger safeguards are not opti…

A new warning about the threat posed by Distributed Denial of Service (DDoS) attacks should make you sit up and listen. Read more in my article on the Fortra blog.

All this and more is discussed in episode 446 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Rik Ferguson.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

The FBI has recently issued a public service announcement that warns that since January 2025 there have been more than 5,100 complaints of account takeover fraud, and total reported losses in excess of US $262 million. Read more in my article on the Fortra blog.

In episode 79 of The AI Fix, Gemini 3 roasts the competition, scares Nvidia, and can’t remember what year it is.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

In a statement published on 27 November, Asahi shared details of a nearly two-month forensic investigation into the security incident.

The company reported that around 1.52 million customers who had previously contacted the company's customer-service centres may have had their personal information accessed during the attack.

Asahi states that it is continuing to reinforce its cybersecurity systems in the wake of the attack, and improve its resilience.

For millions of customers and employees, the consequences may take far longer to resolve than the beer shortages that made headlines.

For the millions of affected individuals, the immediate concern shifts from beer shortages to the potential f…

CISA, the US Cybersecurity and Infrastructure Security Agency, has issued a new warning that cybercriminals and state-backed hacking groups are using spyware to compromise smartphones belonging to users of popular encrypted messaging apps such as Signal, WhatsApp, and Telegram.

CISA says that it has seen evidence that hackers targeting the users of encrypted messaging apps are focusing on "high-value" targets such as those working in politics, the government, and the military.

"CISA is aware of multiple cyber threat actors actively leveraging commercial spyware to target users of mobile messaging applications," the agency said in its advisory.

The vulnerability was patched by Samsung in Apr…

All this and more is discussed in episode 445 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Dan Raywood.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Shadow AI - the use of artificial intelligence tools by employees without a company's approval and oversight - is becoming a significant cybersecurity risk. Read more in my article on the Fortra blog.

Правоохранительные органы Южной Кореи арестовали четырех подозреваемых во взломе 120 000 IP-камер, установленных как в частных домах, так и в коммерческих помещениях — например, в комнатах караоке, студии пилатеса и гинекологической клинике.

Объясняем, что представляют собой IP-камеры и в чем состоят их уязвимости, а также подробно рассказываем об инциденте в Южной Корее и о том, как не стать жертвой злоумышленников, охотящихся за горячими видео.

Что случилось в Южной КорееВернемся к событиям, произошедшим этой осенью в Южной Корее.

Он взломал 63 000 IP-камер и создал, а затем продал 545 видео сексуального характера за 35 миллионов южнокорейских вон (чуть меньше 24 000 долларов).

Он взломал…

В этом посте попробуем определить, какие активы требуют первоочередного внимания, как их обнаружить и в какой форме проводить реагирование.

Физические и виртуальные серверы остаются бесхозными в крупных инфраструктурах после проектов по миграции или после слияния и поглощения компаний.

Важно также закрепить в политике способы учета создаваемых хранилищ и запрет на «бесхозные» данные, доступные без ограничений, паролей и шифрования.

Для внутренней разработки — обязательное использование сканеров и комплексных систем защиты, интегрированных с конвейером CI/CD и предотвращающих сборку ПО с устаревшими компонентами.

Подключенные к сети, но не управляемые и не обновляемые роутеры, межсетевые экр…

Недавно на новостных сайтах появилась информация о том, что некие злоумышленники распространяют инфостилер через бесплатные файлы 3D-моделей для ПО Blender.

Почему Blender и онлайн-маркетплейсы 3D-моделей могут быть источниками рискаBlender — это программное обеспечение для создания 3D-графики и анимации, которое используется множеством специалистов по визуализации в различных областях.

Среди прочих возможностей Blender есть и поддержка выполнения Python-скриптов, которые используются для автоматизации задач и расширения функциональности ПО.

Чем опасны рабочие инструменты, не контролируемые ИБПроблема не в Blender как таковом — злоумышленники неизбежно попробуют эксплуатировать возможности …

Теперь поделиться можно еще и чатом с ИИ-ассистентом, и ссылка на него будет вести на официальный сайт чат-бота.

При правильном вводе скрипт скачивает вредоносное ПО и использует указанный пароль для установки и запуска зловреда.

Инфостилер и бэкдорЕсли пользователь поддастся на уговоры, на его компьютере запустится распространенный инфостилер AMOS (Atomic macOS Stealer).

Использовать надежную защиту от вредоносного ПО на всех своих смартфонах, планшетах и компьютерах, включая компьютеры под управлением macOS и Linux.

Никогда не выполнять технические инструкции, о которых вы не просили и в которых разбираетесь не до конца.

Что нового в Kaspersky Embedded Systems Security для WindowsНаши эксперты значительно переработали кодовую базу решения, добавив ряд продвинутых механизмов детектирования и блокирования угроз.

Что нового в Kaspersky Embedded Systems Security для LinuxМы значительно доработали и новый KESS для Linux, но большинство нововведений в нем повышают эффективность уже реализованных защитных механизмов.

В нем мы планируем:Обеспечить полную совместимость Kaspersky Embedded Systems Security с сервисом Kaspersky Managed Detection and Response.

Добавить в Kaspersky Embedded Systems Security для Linux технологию защиты от BadUSB, которая уже работает в Windows-версии.

Обеспечить поддержку решением Kaspers…

3 декабря стало известно о скоординированном устранении критической уязвимости CVE-2025-55182 (CVSSv3 — 10), которая содержалась в React server components (RSC), а также во множестве производных проектов и фреймворков: Next.js, React Router RSC preview, Redwood SDK, Waku, RSC-плагинах Vite и Parcel.

Учитывая, что на базе React и Next.js построены десятки миллионов сайтов, включая Airbnb и Netflix, а уязвимые версии компонентов найдены примерно в 39% облачных инфраструктур, масштаб эксплуатации может быть очень серьезным.

Благодаря компонентам RSC, появившимся в React 18 в 2020 году, часть работы по сборке веб-страницы выполняется не в браузере, а на сервере.

Изначально React предназначен дл…

C октября этого года наши технологии фиксируют вредоносные рассылки файлов, в названии которых эксплуатируется тема годовых премий и бонусов.

Еще одной интересной особенностью данной вредоносной кампании является то, что в качестве полезной нагрузки выступает XLL-файл, что достаточно нестандартно.

Атакующие, конечно, меняют иконку, но в некоторых интерфейсах — в первую очередь в «проводнике Windows» — очевидно, что тип файла не соответствует видимому расширению, как показано, например, вот в этом посте.

Тип файла XLL служит для надстроек Microsoft Excel и, по сути, представляет собой DLL-библиотеку, которая запускается непосредственно программой для работы с электронными таблицами.

Часть ко…

Наверняка найдутся и желающие применить на практике новую атаку Whisper Leak.

Исследователи из Microsoft продолжили эту тему и проанализировали параметры поступления ответа от 30 разных ИИ-моделей в ответ на 11,8 тысяч запросов.

Сравнив задержку поступления пакетов от сервера, их размер и общее количество, исследователи смогли очень точно отделить «опасные» запросы от «обычных».

Как защититься от Whisper LeakОсновное бремя защиты от этой атаки лежит на провайдерах ИИ-моделей.

Если вы пользуетесь моделью и серверами, для которых Whisper Leak актуален, можно либо сменить провайдера на менее уязвимого, либо принять дополнительные меры предосторожности.

Как устроена автоматическая машина для тасования карт Deckmate 2Машина для автоматического тасования карт Deckmate 2 была запущена в производство в 2012 году.

В предыдущей модели устройства, Deckmate, внутренней камеры не было и, соответственно, не было возможности подглядеть последовательность карт в колоде.

Как исследователи смогли взломать устройство Deckmate 2Опытные читатели нашего блога уже наверняка заметили несколько уязвимостей в конструкции Deckmate 2, которыми воспользовались исследователи для создания proof-of-concept.

Это позволяло специалистам в реальном времени узнавать порядок карт в тасовке.

Как мафия использовала взломанные Deckmate 2 в реальных покерных играхДва года спус…

Видеорегистраторы, популярные в одних странах и полностью запрещенные в других, обычно воспринимаются как страховка на случай ДТП и спорных ситуаций на дорогах.

По Wi-Fi к устройству может подключаться смартфон водителя, чтобы через мобильное приложение провести настройки, скачать видео на телефон и так далее.

Как выяснилось, многие регистраторы допускают обход аутентификации и к ним можно подключиться с чужого устройства, а затем скачать сохраненные данные.

Просто они заказывают компоненты и ПО у одного и того же разработчика.

Но массовый взлом видеорегистраторов может привести к значительно более агрессивному сбору данных и злоупотреблению ими в преступных и мошеннических схемах.

Рассказываем о том, как она работает и как защититься от злоумышленников.

Что делать, если ваш аккаунт на «Госуслугах» взломалиИзучите, как восстановить доступ к «Госуслугам», на официальном сайте и установите по-настоящему надежный пароль.

Перейдите в Профиль → Уведомления .

Также изучите разделы Профиль → Согласия , Профиль → Разрешения и доверенности , Профиль → Сим-карты — нет ли там чего-то нового и неожиданного?

Мы рекомендуем пользоваться одноразовыми кодами из приложения-аутентификатора, а не из SMS.

В октябре Microsoft завершила поддержку Exchange Server 2019, так что единственным поддерживаемым on-premise-решением в 2026 году остается Exchange Server Subscription Edition (Exchange SE).

Миграция с версий EOLИ Microsoft, и CISA рекомендуют переход на Exchange SE, чтобы своевременно получать обновления безопасности.

Срочные обновленияДля срочных уязвимостей и ошибок рекомендации по временным мерам обычно публикуются в блоге Exchange и на странице Emergency Mitigation.

Самый свежий CIS Benchmark создан для Exchange 2019, но он полностью применим к Exchange SE, поскольку по доступным настройкам текущая версия SE не отличается от Exchange Server 2019 CU15.

Подробные рекомендации по оптималь…

Рассказываем подробнее о том, как работает данная атака, почему она особенно опасна для пользователей — и как от нее защититься.

Во-первых, они явно рассчитывают, что значительное число пользователей будет попадать на созданные ими фейковые страницы через простой поиск в Google.

Дело в том, что чаще всего поддельные сайты имеют адреса, совпадающие с целевыми поисковыми запросами — или близкие к ним.

Поддельные сайты, изготовленные с помощью ИИ-конструктора LovableНесмотря на различие в содержимом, участвующие в данной вредоносной кампании поддельные веб-сайты имеют ряд общих черт.

В данном случае злоумышленники не только не стали создавать собственный троян, но даже не купили на черном рынк…

В дни распродаж стоит позаботиться о подарках не только себе, но и своим питомцам — чтобы те не грустили и не голодали, когда вы уходите из дома, и не терялись на прогулках.

Бывают устройства как для влажного, так и для сухого корма.

Они предназначены в основном для кошек, но могут использоваться и для собак мелких пород.

Навороченные поилки могут фиксировать каждый визит питомца к воде, отслеживать и передавать в приложение частоту и продолжительность питья.

Коллекция мерча Kaspersky Pets для питомцев и их владельцевЛюбому питомцу нужно уютное место для отдыха — например, мягкая велюровая лежанка от «Лаборатории Касперского», подходящая для кошек и собак мелких и средних пород.

Segmentation introduces critical control points, regulating who and what can access the network environment and its applications.

I consistently approach the segmentation journey with my customers by framing it as a circular cycle.

This cycle starts with visibility, progresses through identity context, policy selection, and policy enforcement, ultimately returning to enhanced visibility.

1: The segmentation cycleVisibilityThe segmentation cycle both starts and ends with robust visibility.

Policy AssignmentPolicy Assignment, often referred to as the Policy Decision Point (PDP) in NIST SP 800-207, represents the “what” in our segmentation cycle.

The survey results also revealed interesting insights into why segmentation remains a foundational concept.

The evolution of segmentation and the development of different segmentation approaches make the concept ideal for implementing a proactive approach to enterprise cybersecurity today.

And now, augmenting macro-segmentation with micro-segmentation implementations allows security teams to split environments into separate networks AND isolate specific workloads based on behavior or identity.

Data split by those who have fully implemented both macro- and micro-segmentation (315), and those who have not fully implemented both (608).

Data split by those who have fully implemented both macro-…

The GovWare Security Operations Centre is a collaborative initiative with Cisco for GovWare Conference and Exhibition 2025 — GovWare 2025 Security Operations CentreFollowing the successful Security Operations Centre (SOC) deployments at RSAC 2025, Black Hat Asia, and Cisco Live San Diego 2025, the Cisco ASEAN executive team approved the inaugural SOC for GovWare.

The SOC was founded on three primary missions:To Protect — Ensure the security of the GovWare 2025 network by defending against all forms of threats and attacks, originating from both internal and external sources.

— Ensure the security of the GovWare 2025 network by defending against all forms of threats and attacks, originating f…

During my recent work protecting GovWare 2025, I discovered that integrating Splunk Enterprise and Splunk Attack Analyzer (SAA) with Endace created a powerful threat hunting workflow that bridged the gap between security analytics and network forensics.

We leveraged Splunk Attack Analyzer’s robust API to connect to Endace, an advanced network recording tool that provides packet-level visibility into network activity.

This cross-referencing revealed two IP addresses associated with the suspicious domain, with one particularly standing out: 103.235.46[.]102.

This context transformed our investigation from a routine suspicious domain check into a potential active threat scenario.

Leveraging En…

Cisco XDR served as the Tier-1 & 2 detection and response platform for the GovWare SOC, playing a pivotal role throughout the operations.

During the GovWare SOC operation, Cisco XDR detected a total of 39 incidents.

The extracted files are sent to Cisco Secure Malware Analytics (SMA) via Splunk Attack Analyzer, which is integrated with Cisco XDR.

Investigate in XDR Analytics: We observed that it also triggered an Internal Port Scanner alert in XDR Analytics.

Final ThoughtsAs an automated and intelligent security detection and response platform, Cisco XDR played a critical role in the GovWare SOC operations.

This is where the real power emerges: combining ES with Splunk SOAR enabled us to fully automate and track the entire incident response process inside of ES, transforming a manual process into a seamless end-to-end orchestration.

Before we dive into what we did, we should note that Splunk ES was upgraded from 8.1 to 8.2.3 and paired with Splunk SOAR.

With Splunk ES and SOAR paired, the workflow between products is seamless for SOC analysts and easier for SOAR admins to orchestrate incident automation from ES.

The second block was an ES API block to “update finding or investigation” block, one of 45 ES API actions to interact with Splunk ES as part of pairing with SOAR.

With this we were abl…

This form of cyberattack involves operatives posing as legitimate remote hires, slipping past human resources checks and onboarding processes to gain trusted access.

With support from Microsoft Threat Intelligence, we quickly traced the activity to the North Korean remote IT workforce known as Jasper Sleet.

TACTICPiKVM devices—low-cost, hardware-based remote access tools—were utilized as egress channels.

Advanced detection tools, including Microsoft Defender for Identity and Microsoft Defender for Endpoint, were deployed to uncover lateral movement and credential misuse.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

This form of cyberattack involves operatives posing as legitimate remote hires, slipping past human resources checks and onboarding processes to gain trusted access.

With support from Microsoft Threat Intelligence, we quickly traced the activity to the North Korean remote IT workforce known as Jasper Sleet.

TACTICPiKVM devices—low-cost, hardware-based remote access tools—were utilized as egress channels.

Advanced detection tools, including Microsoft Defender for Identity and Microsoft Defender for Endpoint, were deployed to uncover lateral movement and credential misuse.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Our blog “Building human-centric security skills for AI” offers insights and guidance you can apply in your organization.

Find in AI Skills Navigator, our agentic learning space, AI and security training tailored to different roles.

—Jeana Jorgensen, Corporate Vice President, Microsoft LearningFostering a culture that prioritizes securityAs AI impacts everyone’s role, make security awareness and responsible AI practices shared priorities.

From awareness to actionIn the agentic AI era, people continue to be our most valuable resource.

It’s essential to empower them with AI and equip them with the skills they need to use AI responsibly and securely.

Our blog “Building human-centric security skills for AI” offers insights and guidance you can apply in your organization.

Find in AI Skills Navigator, our agentic learning space, AI and security training tailored to different roles.

—Jeana Jorgensen, Corporate Vice President, Microsoft LearningFostering a culture that prioritizes securityAs AI impacts everyone’s role, make security awareness and responsible AI practices shared priorities.

From awareness to actionIn the agentic AI era, people continue to be our most valuable resource.

It’s essential to empower them with AI and equip them with the skills they need to use AI responsibly and securely.

As email threats grow more sophisticated and layered security architectures become more common, organizations need clear, data-driven insights to evaluate how their security solutions perform together.

Microsoft’s commitment to transparency continues with the release of our second email security benchmarking report, informed by valuable customer and partner feedback.

The study compares environments protected exclusively by Microsoft Defender with those using a Secure Email Gateway (SEG) positioned in front of Defender, as well as environments where Integrated Cloud Email Security (ICES) solutions add a secondary layer of detection after Defender.

Secure Email Gateway and Integrated Cloud Em…

As email threats grow more sophisticated and layered security architectures become more common, organizations need clear, data-driven insights to evaluate how their security solutions perform together.

Microsoft’s commitment to transparency continues with the release of our second email security benchmarking report, informed by valuable customer and partner feedback.

The study compares environments protected exclusively by Microsoft Defender with those using a Secure Email Gateway (SEG) positioned in front of Defender, as well as environments where Integrated Cloud Email Security (ICES) solutions add a secondary layer of detection after Defender.

Secure Email Gateway and Integrated Cloud Em…

The Shai‑Hulud 2.0 supply chain attack represents one of the most significant cloud-native ecosystem compromises observed recently.

In defending against threats like Shai-Hulud 2.0, organizations benefit significantly from the layered protection from Microsoft Defender, which provides security coverage from code, to posture management, to runtime.

This blog provides a high-level overview of Shai‑Hulud 2.0, the attack mechanisms, potential attack propagation paths, customized hunting queries, and the actions Microsoft Defender is taking to enhance detection, attack-path analysis, credential scanning, and supply chain hardening.

Tactic Observed activity Microsoft Defender coverage Execution S…

The Shai‑Hulud 2.0 supply chain attack represents one of the most significant cloud-native ecosystem compromises observed recently.

In defending against threats like Shai-Hulud 2.0, organizations benefit significantly from the layered protection from Microsoft Defender, which provides security coverage from code, to posture management, to runtime.

This blog provides a high-level overview of Shai‑Hulud 2.0, the attack mechanisms, potential attack propagation paths, customized hunting queries, and the actions Microsoft Defender is taking to enhance detection, attack-path analysis, credential scanning, and supply chain hardening.

Tactic Observed activity Microsoft Defender coverage Execution S…

In this article, John Lambert, Chief Technology Officer, Corporate Vice President and Security Fellow at Microsoft dives into the future of cyber defense.

It’s easy to see why some security professionals out there see the physics of defense as being against them.

It’s also important to work on cyber defense together with organizations that you otherwise view as your competitors.

By rewriting the physics of defense, we can reclaim the advantage and redefine what it means to be secure.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Cyber insurance plays a critical role, helping you recover faster while reinforcing trust across your organization and with your partners.

Faster response, seamless reimbursementWe’ve built Microsoft Incident Response with both technical strength and ease of use.

This helps streamline onboarding and supports reimbursements for covered incidents under eligible cyber insurance policies.

Microsoft Incident Response Strengthen your security with an end-to-end portfolio of proactive and reactive cybersecurity incident response services.

Learn moreTo learn more about how our teams are working together, and how our collaboration with cyber insurance providers like Beazley can help you strengthen y…

We’re honored to share that Microsoft has been named a Leader in the 2025 Gartner® Magic Quadrant™ for Email Security.

We believe this recognition highlights the value of Microsoft Defender for Office 365’s innovative capabilities in addressing today’s complex email security challenges.

2025 Gartner® Magic Quadrant™ for Email Security.

Learn moreYou can learn more by reading the full 2025 Gartner® Magic Quadrant™ for Email Security report.

Gartner, Magic Quadrant for Email Security, 1 December 2025, By Max Taggett, Nikul Patel

Use network segmentation on your internal networks and enforce traffic patterns to prevent unexpected or unwanted network traffic.

Implement DNS security extensions, DNS filtering and blocking, monitor and log DNS traffic, and configure DNS servers securely to help minimize these risks.

Using fingerprinting as a primary key in correlating user traffic allows for easy identification of questionable activity.

Learn more with Microsoft SecurityTo learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

For cybersecurity leaders and human resources professionals, the challenge is clear: To secure the future, we must future-proof our cybersecurity talent, developing teams that are not only technically adept but also agile, innovative, and perpetually learning.

The most effective security teams are beginning to look radically different.

These aren’t traditional hires, but they bring exactly the cognitive diversity needed to spot AI vulnerabilities that purely technical teams might miss.

Retention in a competitive marketRetaining top cybersecurity talent is especially challenging in a market where demand far outstrips supply.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecuri…

For cybersecurity leaders and human resources professionals, the challenge is clear: To secure the future, we must future-proof our cybersecurity talent, developing teams that are not only technically adept but also agile, innovative, and perpetually learning.

The most effective security teams are beginning to look radically different.

These aren’t traditional hires, but they bring exactly the cognitive diversity needed to spot AI vulnerabilities that purely technical teams might miss.

Retention in a competitive marketRetaining top cybersecurity talent is especially challenging in a market where demand far outstrips supply.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecuri…

This blog shares our journey and insights from building autonomous AI agents for MDR operations and explores how the shift to a GenAI-powered SOC redefines collaboration between humans and AI.

The post Charting the future of SOC: Human and AI collaboration for better security appeared first on Microsoft Security Blog.

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

Our first rust memory safety vulnerability...almost: We'll analyze a near-miss memory safety bug in unsafe Rust: how it happened, how it was mitigated, and steps we're taking to prevent recurrence.

Our First Rust Memory Safety Vulnerability...AlmostWe recently avoided shipping our very first Rust-based memory safety vulnerability: a linear buffer overflow in CrabbyAVIF.

Unsafe Review and TrainingOperating system development requires unsafe code, typically C, C++, or unsafe Rust (for example, for FFI and interacting with hardware), so simply banning unsafe code is not workable.

Dmytro Hrybenko for leading the effort to develop training for unsafe Rust and for providing extensive feedback on …

Survey shows Android users’ confidence in scam protectionsGoogle and YouGov3 surveyed 5,000 smartphone users across the U.S., India, and Brazil about their experiences.

The findings were clear: Android users reported receiving fewer scam texts and felt more confident that their device was keeping them safe.

Android users were 58% more likely than iOS users to say they had not received any scam texts in the week prior to the survey.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

What's worse, many plaintext HTTP connections today are entirely invisible to users, as HTTP sites may immediately redirect to HTTPS sites.

To address this risk, we launched the “Always Use Secure Connections” setting in 2022 as an opt-in option.

We now think the time has come to enable “Always Use Secure Connections” for all users by default.

For more than a decade, Google has published the HTTPS transparency report, which tracks the percentage of navigations in Chrome that use HTTPS.

Since HTTP navigations remain a regular occurrence for most Chrome users, a naive approach to warning on all HTTP navigations would be quite disruptive.

To help accelerate adoption of AI for cybersecurity workflows, we partnered with Airbus at DEF CON 33 to host the GenSec Capture the Flag (CTF), dedicated to human-AI collaboration in cybersecurity.

Our goal was to create a fun, interactive environment, where participants across various skill levels could explore how AI can accelerate their daily cybersecurity workflows.

An overwhelming 85% of all participants found the event useful for learning how AI can be applied to security workflows.

This positive feedback highlights that AI-centric CTFs can play a vital role in speeding up AI education and adoption in the security community.

We are committed to advancing the AI cybersecurity frontier…

This page appears when Google automatically detects requests coming from your computer network which appear to be in violation of the Terms of Service .

The block will expire shortly after those requests stop.

In the meantime, solving the above CAPTCHA will let you continue to use our services.This traffic may have been sent by malicious software, a browser plug-in, or a script that sends automated requests.

If you share your network connection, ask your administrator for help — a different computer using the same IP address may be responsible.

Learn more Sometimes you may be asked to solve the CAPTCHA if you are using advanced terms that robots are known to use, or sending requests very qu…

At Made by Google 2025, we announced that the new Google Pixel 10 phones will support C2PA Content Credentials in Pixel Camera and Google Photos.

Pixel Camera attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

Google Photos attaches Content Credentials to JPEG images that already have Content Credentials and are edited using AI or non-AI tools, and also to any images that are edited using AI tools.

Building a More Trus…

Today marks a watershed moment and new benchmark for open-source security and the future of consumer electronics.

Google is proud to announce that protected KVM (pKVM), the hypervisor that powers the Android Virtualization Framework, has officially achieved SESIP Level 5 certification.

This makes pKVM the first software security system designed for large-scale deployment in consumer electronics to meet this assurance bar.

With this level of security assurance, Android is now positioned to securely support the next generation of high-criticality isolated workloads.

Achieving Security Evaluation Standard for IoT Platforms (SESIP) Level 5 is a landmark because it incorporates AVA_VAN.5, the hi…

Today we're excited to announce OSS Rebuild, a new project to strengthen trust in open source package ecosystems by reproducing upstream artifacts.

Infrastructure definitions to allow organizations to easily run their own instances of OSS Rebuild to rebuild, generate, sign, and distribute provenance.

With an estimated value exceeding $12 trillion, open source software has never been more integral to the global economy.

For publishers and maintainers of open source packages, OSS Rebuild can...

If you're a developer, enterprise, or security researcher interested in OSS security, we invite you to follow along and get involved!

Android recently announced Advanced Protection, which extends Google’s Advanced Protection Program to a device-level security setting for Android users that need heightened security—such as journalists, elected officials, and public figures.

This is particularly useful for Advanced Protection users, since in 2023, plaintext HTTP was used as an exploitation vector during the Egyptian election.

JavaScript Optimizations and Security Advanced Protection reduces the attack surface of Chrome by disabling the higher-level optimizing Javascript compilers inside V8.

Javascript optimizers can be disabled outside of Advanced Protection Mode via the “Javascript optimization & security” Site Setting.

We…

Below we describe our prompt injection mitigation product strategy based on extensive research, development, and deployment of improved security mitigations.

A layered security approachGoogle has taken a layered security approach introducing security measures designed for each stage of the prompt lifecycle.

From there, a key protection against prompt injection and data exfiltration attacks occurs at the URL level.

Users are encouraged to become more familiar with our prompt injection defenses by reading the Help Center article.

Moving forwardOur comprehensive prompt injection security strategy strengthens the overall security framework for Gemini.