פגיעות קריטית ב־Nginx UI
פגיעות חמורה (CVE-2026-33032) באינטגרציית MCP AI של Nginx UI מאפשרת לתוקפים לא מאומתים להשתלט על השרת באופן מלא.
לפי הדיווחים, יותר מ־2,600 מופעים חשופים לאינטרנט, מה שמגדיל משמעותית את פוטנציאל הניצול.
החולשה תוקנה בגרסה 2.3.4 על ידי Pluto Security.
המלצה לעדכן בהקדם מערכות רלוונטיות ולוודא שהממשק אינו חשוף ישירות לאינטרנט.
https://t.me/CyberUpdatesIL/2272
#NginxUI #ServerSecurity #CriticalVulnerability
פגיעות חמורה (CVE-2026-33032) באינטגרציית MCP AI של Nginx UI מאפשרת לתוקפים לא מאומתים להשתלט על השרת באופן מלא.
לפי הדיווחים, יותר מ־2,600 מופעים חשופים לאינטרנט, מה שמגדיל משמעותית את פוטנציאל הניצול.
החולשה תוקנה בגרסה 2.3.4 על ידי Pluto Security.
המלצה לעדכן בהקדם מערכות רלוונטיות ולוודא שהממשק אינו חשוף ישירות לאינטרנט.
https://t.me/CyberUpdatesIL/2272
#NginxUI #ServerSecurity #CriticalVulnerability
❤2
ועכשיו OpenAI מפרסמת את GPT-5.4-Cyber, גרסה ייעודית של מודל החדש המותאם במיוחד למשימות הגנה, ימים לאחר השקת Mythos של Anthropic.
המטרה המרכזית ככה אני רוצה להאמין היא יכולות באיתור ותיקון חולשות בתשתיות דיגיטליות. במסגרת המהלך, OpenAI מרחיבה את תוכנית ה-TAC (Trusted Access for Cyber) לאלפי מומחים וצוותי אבטחה.
סוכן האבטחה המבוסס על המודל, Codex Security, הצליח לזהות ולתקן מעל 3,000 חולשות קריטיות וגבוהות באפליקציות שונות.
למרות הפוטנציאל ההגנתי, OpenAI מתייחסת בכובד ראש לאתגר ה-Dual-Use. החשש הוא שתוקפים יבצעו מניפולציה (Inversion) למודל כדי לאתר חולשות לפני שיופץ להן פאץ'. כדי למנוע זאת, החברה נוקטת בגישת פריסה הדרגתית ומבוקרת, תוך חיזוק ה-Guardrails מפני התקפות Prompt Injection ו-Jailbreak ככל שהיכולות האוטונומיות של המודל מתפתחות.
החזון הוא להעביר את עולם מביקורות תקופתיות ורשימות באגים סטטיות להגנה אקטיבית ודינמית המוטמעת ישירות בתהליכי הפיתוח ובכך להעניק למגנים יתרון טכנולוגי במרוץ החימוש עם AI
https://t.me/CyberUpdatesIL/2273
#CyberSecurity #AI #OpenAI #GPT5 #DefensiveCyber
המטרה המרכזית ככה אני רוצה להאמין היא יכולות באיתור ותיקון חולשות בתשתיות דיגיטליות. במסגרת המהלך, OpenAI מרחיבה את תוכנית ה-TAC (Trusted Access for Cyber) לאלפי מומחים וצוותי אבטחה.
סוכן האבטחה המבוסס על המודל, Codex Security, הצליח לזהות ולתקן מעל 3,000 חולשות קריטיות וגבוהות באפליקציות שונות.
למרות הפוטנציאל ההגנתי, OpenAI מתייחסת בכובד ראש לאתגר ה-Dual-Use. החשש הוא שתוקפים יבצעו מניפולציה (Inversion) למודל כדי לאתר חולשות לפני שיופץ להן פאץ'. כדי למנוע זאת, החברה נוקטת בגישת פריסה הדרגתית ומבוקרת, תוך חיזוק ה-Guardrails מפני התקפות Prompt Injection ו-Jailbreak ככל שהיכולות האוטונומיות של המודל מתפתחות.
החזון הוא להעביר את עולם מביקורות תקופתיות ורשימות באגים סטטיות להגנה אקטיבית ודינמית המוטמעת ישירות בתהליכי הפיתוח ובכך להעניק למגנים יתרון טכנולוגי במרוץ החימוש עם AI
https://t.me/CyberUpdatesIL/2273
#CyberSecurity #AI #OpenAI #GPT5 #DefensiveCyber
🔥3❤1
🌐 מבצע PowerOFF הבינלאומי הוביל לפירוק תשתיות DDoS להשכרה ב־20+ מדינות, עם החרמת עשרות דומיינים, זיהוי מעל 75,000 משתמשים, מעצרים ותפיסת מאגרי מידע של מיליונים.
🏥 כמעט שנתיים אחרי מתקפת Qilin על שירותי הבריאות בלונדון, עדיין נרשמים שיבושים בבדיקות פתולוגיה ועיכובים, לצד חשש מתמשך לחשיפת מידע רפואי.
☁️ פגיעות ב־AWS אפשרה גישה אנונימית ל־S3 ללא רישום ב־CloudTrail מתוך סביבות פרטיות שתוקנה, אך דורשת בדיקות לוגים ועדכון הגדרות.
🏛️ מחוז קלינטון בארה״ב סיכל חדירה סייברית בזמן, ניתק מערכות באופן יזום והחזיר שירותים קריטיים לפעילות תחת ניטור מוגבר.
🛠️ גירסת GitLab 18.11 מציגה Agentic AI לניהול אבטחה, CI ושרשרת אספקה כחלק ממעבר לאוטומציה מתקדמת ב־DevSecOps.
https://t.me/CyberUpdatesIL/2274
#CyberSecurity #Infosec #DataLeak #DDoS #CloudSecurity #AI #CyberUpdatesIL
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1🔥1
פגיעות קריטית ב־protobuf.js
פגיעות חמורה מאפשרת הרצת קוד מרחוק (RCE) באמצעות יצירת פונקציות דינמיות לא בטוחות מתוך סכימות (schemas) בספרייה.
החולשה משפיעה על גרסאות ישנות ועלולה לאפשר לתוקפים להריץ קוד JavaScript זדוני בתהליכים המשתמשים בספרייה.
הפגיעות תוקנה בגרסאות 8.0.1 ו־7.5.5.
https://t.me/CyberUpdatesIL/2275
#RemoteCodeExec #JavaScriptFlaw #SupplyChainSecurity
פגיעות חמורה מאפשרת הרצת קוד מרחוק (RCE) באמצעות יצירת פונקציות דינמיות לא בטוחות מתוך סכימות (schemas) בספרייה.
החולשה משפיעה על גרסאות ישנות ועלולה לאפשר לתוקפים להריץ קוד JavaScript זדוני בתהליכים המשתמשים בספרייה.
הפגיעות תוקנה בגרסאות 8.0.1 ו־7.5.5.
https://t.me/CyberUpdatesIL/2275
#RemoteCodeExec #JavaScriptFlaw #SupplyChainSecurity
עדכוני סייבר - אשר תמם
🏃♂️מחדל Strava2.0, כך נחשף מיקומה של נושאת המטוסים הצרפתית, פרשיית "StravaLeaks" החדשה של עיתון Le Monde מוכיחה שוב ששעון חכם אחד על פרק ידו של חייל עשוי להיות מסוכן יותר ממרגל בשטח. עיתונאים הצליחו לעקוב אחר תנועותיה של נושאת המטוסים "שארל דה גול" פשוט…
זוכרים את זה 👆
אז עכשיו כרטיס ברכה ב-5 אירו יכול לחשוף מיקום של ספינת מלחמה בשווי חצי מיליארד
העיתונאי יוסט ורווארט חשף פרצת אבטחת מביכה בצי ההולנדי ששלח כרטיס ברכה תמים לכאורה לפריגטה HNLMS Evertsen בעת ששהתה במשימת נאט"ו בים התיכון.
בתוך הכרטיס הוחבא משדר Bluetooth, בעוד שחבילות המיועדות לצוות עוברות בדיקות קפדניות ושיקוף רנטגן, התברר כי כרטיסי ברכה, עוקפים את מערך האבטחה הזה וכתוצאת מזה תנועת הספינה, שליוותה את נושאת המטוסים הצרפתית "שארל דה גול", נוטרה בזמן אמת במשך 24 שעות
כתגובה הצי ההולנדי הטיל איסור גורף ומיידי על משלוח כרטיסי ברכה אלקטרוניים לספינות😵
https://t.me/CyberUpdatesIL/2276
#CyberSecurity #OPSEC #DataBreach #MilitaryTech #HNLMS_Evertsen #Privacy
אז עכשיו כרטיס ברכה ב-5 אירו יכול לחשוף מיקום של ספינת מלחמה בשווי חצי מיליארד
העיתונאי יוסט ורווארט חשף פרצת אבטחת מביכה בצי ההולנדי ששלח כרטיס ברכה תמים לכאורה לפריגטה HNLMS Evertsen בעת ששהתה במשימת נאט"ו בים התיכון.
בתוך הכרטיס הוחבא משדר Bluetooth, בעוד שחבילות המיועדות לצוות עוברות בדיקות קפדניות ושיקוף רנטגן, התברר כי כרטיסי ברכה, עוקפים את מערך האבטחה הזה וכתוצאת מזה תנועת הספינה, שליוותה את נושאת המטוסים הצרפתית "שארל דה גול", נוטרה בזמן אמת במשך 24 שעות
כתגובה הצי ההולנדי הטיל איסור גורף ומיידי על משלוח כרטיסי ברכה אלקטרוניים לספינות
https://t.me/CyberUpdatesIL/2276
#CyberSecurity #OPSEC #DataBreach #MilitaryTech #HNLMS_Evertsen #Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6🔥3🤬1
עדכוני סייבר מרכינים ראש🇮🇱
ביום הזיכרון לחללי מערכות ישראל ולנפגעי פעולות האיבה, אנו עוצרים לרגע את השגרה וזוכרים את אלו שנתנו את חייהם למען המדינה.
יהי זכרם ברוך 🕯️
ביום הזיכרון לחללי מערכות ישראל ולנפגעי פעולות האיבה, אנו עוצרים לרגע את השגרה וזוכרים את אלו שנתנו את חייהם למען המדינה.
יהי זכרם ברוך 🕯️
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13
למכירה 6.6 מיליון רשומות של נוסעי 'אל על'
תוקף מציע למכירה קובץ CSV (בנפח 1GB) שלטענתו מכיל נתונים של מיליוני נוסעי חברת אל על ב- 2,000$ כולל דוגמיות (Proof).
תג המחיר הנמוך לכמות כזו של רשומות מחשיד מאוד וסבירות גבוהה שהמידע ממוחזר או סוג של הונאה .
https://t.me/CyberUpdatesIL/2278
#סייבר #דלף_מידע #אל_על #ThreatIntel #DataBreach #DarkWeb
תוקף מציע למכירה קובץ CSV (בנפח 1GB) שלטענתו מכיל נתונים של מיליוני נוסעי חברת אל על ב- 2,000$ כולל דוגמיות (Proof).
תג המחיר הנמוך לכמות כזו של רשומות מחשיד מאוד וסבירות גבוהה שהמידע ממוחזר או סוג של הונאה .
https://t.me/CyberUpdatesIL/2278
#סייבר #דלף_מידע #אל_על #ThreatIntel #DataBreach #DarkWeb
😁3
סיפור מעניין קרה לאתר של Seiko USA, האם מדובר ה-Defacement, או פריצה אמיתית ?
התוקפים השתלטו על דף ה-Press Lounge באתר והטמיעו בו הודעת סחיטה, תוך שהם טוענים כי הצליחו לחדור למערכת הניהול של Shopify של החברה וגנבו נתוני לקוחות הכוללים שמות, אימיילים, מספרי טלפון ומידע מפורט על הזמנות.
התוקפים הציבו ל-Seiko דדליין של 72 שעות ליצירת קשר, לפני שיפרסמו את המידע, כמובן שההודעה הוסרה מאוחר יותר על ידי צוותי החברה וזהות התוקפים נותרה עלומה.
האם מדובר בפריצה אמיתית לבסיס הנתונים או ב-Defacement בלבד שנועד ליצור מצג שווא של גניבת מידע ומדוע שום קבוצה לא לקחה אחריות ?
https://t.me/CyberUpdatesIL/2279
#DataBreach #EcommerceHack #USA #Seiko #CyberSecurity #Shopify
התוקפים השתלטו על דף ה-Press Lounge באתר והטמיעו בו הודעת סחיטה, תוך שהם טוענים כי הצליחו לחדור למערכת הניהול של Shopify של החברה וגנבו נתוני לקוחות הכוללים שמות, אימיילים, מספרי טלפון ומידע מפורט על הזמנות.
התוקפים הציבו ל-Seiko דדליין של 72 שעות ליצירת קשר, לפני שיפרסמו את המידע, כמובן שההודעה הוסרה מאוחר יותר על ידי צוותי החברה וזהות התוקפים נותרה עלומה.
האם מדובר בפריצה אמיתית לבסיס הנתונים או ב-Defacement בלבד שנועד ליצור מצג שווא של גניבת מידע ומדוע שום קבוצה לא לקחה אחריות ?
https://t.me/CyberUpdatesIL/2279
#DataBreach #EcommerceHack #USA #Seiko #CyberSecurity #Shopify
🔥1
רשות הגנת הפרטיות באיטליה קונסת את Poste Italiane ו-Postepay ב-12.5 מיליון אירו על מעקב פולשני במסווה של מניעת הונאות.
הרגולטור האיטלקי (Garante) החליט אתמול לקנוס את חברת הדואר של איטליה ואת אפליקציית התשלומים שלה בגין הפרות GDPR חמורות.
האפליקציות הפיננסיות שלהם לאנדרואיד (BancoPosta ו-Postepay) התנו את השימוש בשירות במתן הרשאות לניטור אקטיבי של המכשיר.
הניטור כלל סריקה של כל האפליקציות המותקנות והרצות ברקע, יחד עם איסוף דפוסי התנהגות (Behavioral patterns).
משתמשים שסירבו למסור את ההרשאות הללו ננעלו מחוץ לחשבון הבנק שלהם לאחר שלושה ניסיונות התחברות.
בגדול זה תנו לנו לסרוק לכם את הטלפון, או שאין לכם גישה לכסף וניסו לתרץ את המעקב כדרישה טכנית לזיהוי נוזקות ומניעת הונאות, אך הרגולטור פסק כי מדובר בגישת סריקה גורפת שאינה מידתית, המהווה חדירה חמורה לפרטיות😏
https://t.me/CyberUpdatesIL/2280
#DataPrivacy #Italy #AppSecurity #GDPR #CyberSecurity
הרגולטור האיטלקי (Garante) החליט אתמול לקנוס את חברת הדואר של איטליה ואת אפליקציית התשלומים שלה בגין הפרות GDPR חמורות.
האפליקציות הפיננסיות שלהם לאנדרואיד (BancoPosta ו-Postepay) התנו את השימוש בשירות במתן הרשאות לניטור אקטיבי של המכשיר.
הניטור כלל סריקה של כל האפליקציות המותקנות והרצות ברקע, יחד עם איסוף דפוסי התנהגות (Behavioral patterns).
משתמשים שסירבו למסור את ההרשאות הללו ננעלו מחוץ לחשבון הבנק שלהם לאחר שלושה ניסיונות התחברות.
בגדול זה תנו לנו לסרוק לכם את הטלפון, או שאין לכם גישה לכסף וניסו לתרץ את המעקב כדרישה טכנית לזיהוי נוזקות ומניעת הונאות, אך הרגולטור פסק כי מדובר בגישת סריקה גורפת שאינה מידתית, המהווה חדירה חמורה לפרטיות
https://t.me/CyberUpdatesIL/2280
#DataPrivacy #Italy #AppSecurity #GDPR #CyberSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🔥2👏2❤1
בפתיחת חגיגות 78 שנים למדינה שלנו 🇮🇱 🥳
אני רוצה לפתוח עם פרויקט כחול-לבן של איש יקר (כל הכבוד איתמר🏆 ).
הכירו מערכת צ'אטים זמניים, מאובטחת ומוצפנת מקצה לקצה (E2EE). המערכת כבר זמינה כאן👇
https://xtaza-room.duckdns.org/
איך זה עובד ולמה זה מעניין?
🔹 פשוט ומאובטח: יוצרים חדר (לאחר סריקת אבטחה), מקבלים קוד גישה ומעבירים לצד השני.
🔹 אפס שמירת מידע בשרת: השרת מתפקד כנתב בלבד ולא נחשף לתוכן המידע המוצפן – רק מעביר אותו ליעד.
🔹 השמדה עצמית (Ephemeral): החדר קיים ל-10 דקות מקסימום ולאחר מכן מושמד עם כל המידע. במידה וכל המשתתפים יצאו החדר נמחק באותו הרגע.
🔹 שיתוף קבצים מאובטח: ניתן להעביר קבצים בצ'אט, והם נמחקים אוטומטית לאחר 30 שניות.
הפרויקט הזה נועד לתת מענה מדויק להעברת מידע מסווג ורגיש, מבלי להשאיר עקבות ברשתות.
תיהנו, תשחקו עם זה, ואם אהבתם מוזמנים לתמוך בתחזוקת השרתים של הפרויקט דרך קישור ה-Ko-fi שבאתר ☕️
אני רוצה לפתוח עם פרויקט כחול-לבן של איש יקר (כל הכבוד איתמר
הכירו מערכת צ'אטים זמניים, מאובטחת ומוצפנת מקצה לקצה (E2EE). המערכת כבר זמינה כאן
https://xtaza-room.duckdns.org/
איך זה עובד ולמה זה מעניין?
🔹 פשוט ומאובטח: יוצרים חדר (לאחר סריקת אבטחה), מקבלים קוד גישה ומעבירים לצד השני.
🔹 אפס שמירת מידע בשרת: השרת מתפקד כנתב בלבד ולא נחשף לתוכן המידע המוצפן – רק מעביר אותו ליעד.
🔹 השמדה עצמית (Ephemeral): החדר קיים ל-10 דקות מקסימום ולאחר מכן מושמד עם כל המידע. במידה וכל המשתתפים יצאו החדר נמחק באותו הרגע.
🔹 שיתוף קבצים מאובטח: ניתן להעביר קבצים בצ'אט, והם נמחקים אוטומטית לאחר 30 שניות.
הפרויקט הזה נועד לתת מענה מדויק להעברת מידע מסווג ורגיש, מבלי להשאיר עקבות ברשתות.
תיהנו, תשחקו עם זה, ואם אהבתם מוזמנים לתמוך בתחזוקת השרתים של הפרויקט דרך קישור ה-Ko-fi שבאתר ☕️
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👏5👍2
הרגולטורים באירופה עסוקים בלכתוב חוקי פרטיות אבל הנתונים של האזרחים בשטח ממשיכים לדלוף 🤔
🇫🇷 צרפת, הסוכנות הממשלתית שאחראית על הנפקת דרכונים, רישיונות נהיגה ותעודות זהות מאשרת פריצה למערכותיה. התקף בכינויי “breach3d” מציע למכירה מאגר של 19 מיליון רשומות שנשאבו מהדומיין ants.gouv.fr.
מדובר באירועי דליפת המידע הממשלתי חמור המידע יכול לשמש תשתית קריטית למתקפות הנדסה חברתית (Social Engineering) וגניבת זהות בהיקף לאומי.
האירוע נמצא תחת חקירה משולבת של ה-CNIL (רשות הגנת הפרטיות), ANSSI (מערך הסייבר הלאומי) ופרקליטות פריז.
אירוע נוסף של דלף מידע בצרפת בחברת הנדל"ן Ledil Immobilier
תוקף בכינויי “888” הדליף מאגר מידע עם כ-6,700 רשומות הכוללות פרטים אישיים מלאים של לקוחות, היסטוריית עסקאות ופרטי התקשרות.
https://t.me/CyberUpdatesIL/2283
#סייבר #צרפת #דליפת_נתונים #ANTS #CyberSecurity #API_Security #DataBreach
מדובר באירועי דליפת המידע הממשלתי חמור המידע יכול לשמש תשתית קריטית למתקפות הנדסה חברתית (Social Engineering) וגניבת זהות בהיקף לאומי.
האירוע נמצא תחת חקירה משולבת של ה-CNIL (רשות הגנת הפרטיות), ANSSI (מערך הסייבר הלאומי) ופרקליטות פריז.
אירוע נוסף של דלף מידע בצרפת בחברת הנדל"ן Ledil Immobilier
תוקף בכינויי “888” הדליף מאגר מידע עם כ-6,700 רשומות הכוללות פרטים אישיים מלאים של לקוחות, היסטוריית עסקאות ופרטי התקשרות.
https://t.me/CyberUpdatesIL/2283
#סייבר #צרפת #דליפת_נתונים #ANTS #CyberSecurity #API_Security #DataBreach
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1😁1
מוזילה שחררה את עדכון 150 הקריטי אחרי טיפול של Mythos שחשף מאות חולשות ב-Firefox
המודל הפסיכופט Mythos Claude ייצר באופן אוטונומי 181+ פרצות למנוע ה-JS של Firefox.
העדכון מתקן בפועל 359 בעיות אבטחה (בעיקר שגיאות ניהול זיכרון כמו Use-After-Free), למרות שפורסמו רק 41 מספרי CVE רשמיים שאגדו את רוב התקלות.
כנראה שנתחיל לראות האקרים חותמים בלשכה (😁 ) כי חלון הזמן לניצול פגיעויות Zero-Day הולך להתקצר דרמטית, מדובר בכלי עבודה שובר שוויון באיתור ליקויי אבטחה נסתרים
https://t.me/CyberUpdatesIL/2284
#AIExploits #ZeroDay #Claude #Firefox #CyberUpdatesIL
המודל הפסיכופט Mythos Claude ייצר באופן אוטונומי 181+ פרצות למנוע ה-JS של Firefox.
העדכון מתקן בפועל 359 בעיות אבטחה (בעיקר שגיאות ניהול זיכרון כמו Use-After-Free), למרות שפורסמו רק 41 מספרי CVE רשמיים שאגדו את רוב התקלות.
כנראה שנתחיל לראות האקרים חותמים בלשכה (
https://t.me/CyberUpdatesIL/2284
#AIExploits #ZeroDay #Claude #Firefox #CyberUpdatesIL
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
חברת Anthropic מתקינה דלת אחורית במק, רק למען "חוויית המשתמש" 😔
חוקר האבטחה אלכסנדר חנף גילה שברגע שמתקינים את Claude Desktop למק, האפליקציה שותלת בסתר גשר (Native Messaging) לדפדפן. בלי לשאול ובלי לבקש הסכמה, והיא עושה את זה ל-7 דפדפנים שונים גם אם הם בכלל לא מותקנים על המחשב.
אם תמחקו את הקובץ ידנית, הוא יחזור מחדש ברגע שפותחים את קלוד שוב. התעקשות של נוזקה לכל דבר.
בפועל, הקובץ הזה נותן ל-Anthropic (או לתוקף שינצל חולשה בתוסף שלהם) כרטיס VIP לעקוף את ה-Sandbox של הדפדפן וגישה ישירה לקרוא את עץ ה-DOM, סיסמאות בזמן אמת, פרטי אשראי והודעות פרטיות, תוך עקיפה מלאה של הצפנת HTTPS.
האם זאת "תוכנת ריגול!", או סתם רשלנות הנדסית ב-Anthropic שפשוט העדיפו חוויית משתמש (UX) על פני אבטחה בסיסית. ככה או ככה, זה חור אבטחה מטורף שמשאיר משתמשים חשופים.😬
https://t.me/CyberUpdatesIL/2285
חוקר האבטחה אלכסנדר חנף גילה שברגע שמתקינים את Claude Desktop למק, האפליקציה שותלת בסתר גשר (Native Messaging) לדפדפן. בלי לשאול ובלי לבקש הסכמה, והיא עושה את זה ל-7 דפדפנים שונים גם אם הם בכלל לא מותקנים על המחשב.
אם תמחקו את הקובץ ידנית, הוא יחזור מחדש ברגע שפותחים את קלוד שוב. התעקשות של נוזקה לכל דבר.
בפועל, הקובץ הזה נותן ל-Anthropic (או לתוקף שינצל חולשה בתוסף שלהם) כרטיס VIP לעקוף את ה-Sandbox של הדפדפן וגישה ישירה לקרוא את עץ ה-DOM, סיסמאות בזמן אמת, פרטי אשראי והודעות פרטיות, תוך עקיפה מלאה של הצפנת HTTPS.
האם זאת "תוכנת ריגול!", או סתם רשלנות הנדסית ב-Anthropic שפשוט העדיפו חוויית משתמש (UX) על פני אבטחה בסיסית. ככה או ככה, זה חור אבטחה מטורף שמשאיר משתמשים חשופים.
https://t.me/CyberUpdatesIL/2285
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯4🤬2😱1
אפל פרסמה עדכונים דחופים לתיקון CVE-2026-28950, באג במערכת ניהול ההתראות שגרם לשמירת נתונים גם לאחר מחיקתם.
החולשה אפשרה לשמור שאריות מידע מהתראות שנמחקו, מה שעלול היה לחשוף תוכן של הודעות מאפליקציות מוצפנות כמו סיגנל (Signal).
הבאג השפיע על מכשירי iPhone ו-iPad וסיכן את פרטיות המשתמשים על ידי חשיפת מידע רגיש שהיה אמור להימחק מהזיכרון.
הפגיעות תוקנה בגרסאות iOS 26.4.2 ו-iPadOS 26.4.2.
https://t.me/CyberUpdatesIL/2286
#iOSUpdate #DataPrivacy #CyberSecurity #Signal
החולשה אפשרה לשמור שאריות מידע מהתראות שנמחקו, מה שעלול היה לחשוף תוכן של הודעות מאפליקציות מוצפנות כמו סיגנל (Signal).
הבאג השפיע על מכשירי iPhone ו-iPad וסיכן את פרטיות המשתמשים על ידי חשיפת מידע רגיש שהיה אמור להימחק מהזיכרון.
הפגיעות תוקנה בגרסאות iOS 26.4.2 ו-iPadOS 26.4.2.
https://t.me/CyberUpdatesIL/2286
#iOSUpdate #DataPrivacy #CyberSecurity #Signal
פגיעה במאגרי Docker Hub של Checkmarx KICS
חברת Socket מדווחת כי קבוצת התקיפה TeamPCP הצליחה לפרוץ למאגרים רשמיים של Checkmarx, לכתוב מחדש תגיות (tags) ולהחדיר אימג' זדוני בגרסה v2.1.21.
הקוד הזדוני שהושתל בתוך האימג'ים נועד לגנוב דוחות סריקה, ובנוסף זוהו תוספי VS Code נגועים שהריצו תוכנות זדוניות מרחוק תוך ניצול סביבת הריצה Bun.
המתקפה אפשרה לתוקפים להחדיר דלת אחורית ישירות לסביבות העבודה של מפתחים ואנשי DevOps המשתמשים בכלי KICS לסריקת תשתיות כקוד (IaC).
האימג'ים הנגועים הוסרו מהמאגר אך מומלץ לבצע בדיקה חוזרת של גרסאות ה-Docker בארגון ולוודא שהן תואמות למקור הנקי.
https://t.me/CyberUpdatesIL/2287
#SupplyChainAttack #DockerSecurity #Checkmarx #TeamPCP #KICS #CyberSecurity
חברת Socket מדווחת כי קבוצת התקיפה TeamPCP הצליחה לפרוץ למאגרים רשמיים של Checkmarx, לכתוב מחדש תגיות (tags) ולהחדיר אימג' זדוני בגרסה v2.1.21.
הקוד הזדוני שהושתל בתוך האימג'ים נועד לגנוב דוחות סריקה, ובנוסף זוהו תוספי VS Code נגועים שהריצו תוכנות זדוניות מרחוק תוך ניצול סביבת הריצה Bun.
המתקפה אפשרה לתוקפים להחדיר דלת אחורית ישירות לסביבות העבודה של מפתחים ואנשי DevOps המשתמשים בכלי KICS לסריקת תשתיות כקוד (IaC).
האימג'ים הנגועים הוסרו מהמאגר אך מומלץ לבצע בדיקה חוזרת של גרסאות ה-Docker בארגון ולוודא שהן תואמות למקור הנקי.
https://t.me/CyberUpdatesIL/2287
#SupplyChainAttack #DockerSecurity #Checkmarx #TeamPCP #KICS #CyberSecurity
מעצר ההאקר HexDex בצרפת
משטרת צרפת עצרה צעיר בן 20 המכונה HexDex, החשוד בביצוע כ-100 פריצות ומתקפות סייבר כנגד מוסדות ציבוריים, פדרציות ספורט וחברות פרטיות.
הפעילות המיוחסת לו כוללת את הפריצה המשמעותית למשרד החינוך הצרפתי (מערכת COMPAS), שהובילה לדליפת נתונים אישיים של כ-243,000 עובדים, ביניהם מורים ומתמחים.
ההאקר חשוד כי ניצל גישה לא מורשית למערכות מידע ממשלתיות כדי להוציא פרטי זהות, מספרי טלפון ומידע מקצועי, אותו הפיץ או מכר בפורומי סייבר.
המעצר התבצע לאחר חקירה ממושכת של יחידות הסייבר בצרפת, שהצליחו להתחקות אחר עקבותיו הדיגיטליים של החשוד למרות ניסיונות ההסוואה שלו.
https://t.me/CyberUpdatesIL/2288
#HexDex #DataBreach #CyberArrest #FranceCyber #EducationSecurity
משטרת צרפת עצרה צעיר בן 20 המכונה HexDex, החשוד בביצוע כ-100 פריצות ומתקפות סייבר כנגד מוסדות ציבוריים, פדרציות ספורט וחברות פרטיות.
הפעילות המיוחסת לו כוללת את הפריצה המשמעותית למשרד החינוך הצרפתי (מערכת COMPAS), שהובילה לדליפת נתונים אישיים של כ-243,000 עובדים, ביניהם מורים ומתמחים.
ההאקר חשוד כי ניצל גישה לא מורשית למערכות מידע ממשלתיות כדי להוציא פרטי זהות, מספרי טלפון ומידע מקצועי, אותו הפיץ או מכר בפורומי סייבר.
המעצר התבצע לאחר חקירה ממושכת של יחידות הסייבר בצרפת, שהצליחו להתחקות אחר עקבותיו הדיגיטליים של החשוד למרות ניסיונות ההסוואה שלו.
https://t.me/CyberUpdatesIL/2288
#HexDex #DataBreach #CyberArrest #FranceCyber #EducationSecurity
שירותי הבריאות של וירג'יניה (Virginia Health Services) נפגעו ממתקפת כופר של קבוצת worldleaks.
האירוע כולל סיכון ממשי לחשיפת נתוני מטופלים ומידע רגיש השמור במערכות החברה.
בעקבות התקיפה נגרמה הפרעה משמעותית ושיבושים לשירותי הטיפול והשיקום שמספק הארגון לקשישים בהאמפטון רודס.
https://t.me/CyberUpdatesIL/2289
#HealthcareAttack #DataBreach #UnitedStates #Ransomware
האירוע כולל סיכון ממשי לחשיפת נתוני מטופלים ומידע רגיש השמור במערכות החברה.
בעקבות התקיפה נגרמה הפרעה משמעותית ושיבושים לשירותי הטיפול והשיקום שמספק הארגון לקשישים בהאמפטון רודס.
https://t.me/CyberUpdatesIL/2289
#HealthcareAttack #DataBreach #UnitedStates #Ransomware
🔥1🤯1😱1
ענקית הקוסמטיקה ההולנדית Rituals מדווחת על אירוע אבטחה שכלל פריצה למאגר מועדון הנאמנות שלה, My Rituals.
המידע שנחשף כולל שמות, כתובות אימייל, מספרי טלפון, תאריכי לידה, מין וכתובות מגורים, אך החברה מדגישה כי לא התבצעה גישה לסיסמאות או לפרטי תשלום.
למרות שמידע פיננסי לא דלף, הנתונים האישיים שנחשפו עלולים לשמש לניסיונות הונאה או מתקפות פישינג ממוקדות נגד לקוחות החברה.
https://t.me/CyberUpdatesIL/2290
#פרצת_נתונים #Rituals #הולנד
המידע שנחשף כולל שמות, כתובות אימייל, מספרי טלפון, תאריכי לידה, מין וכתובות מגורים, אך החברה מדגישה כי לא התבצעה גישה לסיסמאות או לפרטי תשלום.
למרות שמידע פיננסי לא דלף, הנתונים האישיים שנחשפו עלולים לשמש לניסיונות הונאה או מתקפות פישינג ממוקדות נגד לקוחות החברה.
https://t.me/CyberUpdatesIL/2290
#פרצת_נתונים #Rituals #הולנד
❤2🤬1
דוח ביטוח הסייבר לשנת 2026 (2026 InsurSec Report) שפורסם על ידי חברת ביטוח הסייבר At-Bay
מראה עלייה של 7% בתביעות ביטוח סייבר, עם חומרת נזק ממוצעת לאירוע שמוערכת ב-221,000 דולר.
ממוצע עלות הכופר עומד על 508,000 דולר, כאשר רוב התקיפות מתבצעות דרך חיבורי VPN וציוד של SonicWall.
בנוסף הדוח מצביע על כך שעסקים קטנים וארגונים עם חשיפה לצד שלישי (לקוחות, ספקים), שם הנזקים גדולים יותר וגם ההשלכות המשפטיות כבדות יותר
הדוח נמצא כאן
https://t.me/CyberUpdatesIL/2291
#RansomwareCosts #CloudflareFraud #USA
מראה עלייה של 7% בתביעות ביטוח סייבר, עם חומרת נזק ממוצעת לאירוע שמוערכת ב-221,000 דולר.
ממוצע עלות הכופר עומד על 508,000 דולר, כאשר רוב התקיפות מתבצעות דרך חיבורי VPN וציוד של SonicWall.
בנוסף הדוח מצביע על כך שעסקים קטנים וארגונים עם חשיפה לצד שלישי (לקוחות, ספקים), שם הנזקים גדולים יותר וגם ההשלכות המשפטיות כבדות יותר
הדוח נמצא כאן
https://t.me/CyberUpdatesIL/2291
#RansomwareCosts #CloudflareFraud #USA
🔥1