🛡️חברת ChatGPT מפעיל מנגנון Age Detection חכם
חברת OpenAI הטמיעה ב-ChatGPT מערכת שמבצעת Behavioral Profiling כדי לנחש אם המשתמש מתחת לגיל 18, ללא הצהרת גיל, בלי טפסים.
האלגוריתם מנתח דפוסי פעילות, זמני שימוש, סוגי שאלות, נושאים חוזרים וגיל החשבון. סוג של user fingerprinting רך.
אם יש חשד לקטינות (או אפילו ספק) המערכת מעבירה אוטומטית ל־Teen Mode, שכבת סינון נוספת שמחסלת תכנים בעייתיים כמו אלימות גרפית, פגיעה עצמית, רומנטיקה, אתגרים מסוכנים ותכני Body Image קיצוניים.
המהלך הזה הוא הכנה ל־Adult Mode שצפוי ב־2026, עם פחות מגבלות תוכן כולל חומרים שכרגע חסומים.
באירופה ההשקה תותאם ל־GDPR, אבל ארגוני פרטיות מזהירים שחיזוי גיל לפי התנהגות = לא מדויק = false positives.
https://t.me/CyberUpdatesIL/2109
חברת OpenAI הטמיעה ב-ChatGPT מערכת שמבצעת Behavioral Profiling כדי לנחש אם המשתמש מתחת לגיל 18, ללא הצהרת גיל, בלי טפסים.
האלגוריתם מנתח דפוסי פעילות, זמני שימוש, סוגי שאלות, נושאים חוזרים וגיל החשבון. סוג של user fingerprinting רך.
אם יש חשד לקטינות (או אפילו ספק) המערכת מעבירה אוטומטית ל־Teen Mode, שכבת סינון נוספת שמחסלת תכנים בעייתיים כמו אלימות גרפית, פגיעה עצמית, רומנטיקה, אתגרים מסוכנים ותכני Body Image קיצוניים.
המהלך הזה הוא הכנה ל־Adult Mode שצפוי ב־2026, עם פחות מגבלות תוכן כולל חומרים שכרגע חסומים.
באירופה ההשקה תותאם ל־GDPR, אבל ארגוני פרטיות מזהירים שחיזוי גיל לפי התנהגות = לא מדויק = false positives.
https://t.me/CyberUpdatesIL/2109
חברת Carlsberg ניסתה לייצר חוויית אירוע “חכמה” עם צמידים דיגיטליים, כל משתתף קיבל צמיד עם QR, שפתח אלבום אישי שבו הופיעו התמונות והסרטונים שצולמו לו במהלך האירוע.
הרעיון היה חמוד, היישום פחות.
מאחורי הקלעים, המערכת עבדה עם מזהה מספרי קצר של 7 ספרות, בלי אימות, בלי הגנה אמיתית ובלי מנגנון שמונע ניחוש ולכן כל מי שהבין איך בנוי הקישור, יכול היה להריץ סקריפט פשוט, לנחש מזהים ולהיחשף לאלבומים של אנשים אחרים.
לא מדובר רק בתמונות אקראיות, אלא בפרטים אישיים, כמו שמות, תמונות, סרטונים, כלומר PII לכל דבר. לפי תקנות כמו GDPR, זה מידע שחייב להיות מוגן ברמות גבוהות בהרבה.
החוקר שגילה את הבעיה דיווח עליה דרך פלטפורמת דיווח אחראי, קיבל ציון חומרה של 7.5, אבל לטענתו לא קיבל אישור ברור שהבעיה טופלה. אחרי חודשים של המתנה, הוא פרסם את הממצאים😇
https://t.me/CyberUpdatesIL/2110
הרעיון היה חמוד, היישום פחות.
מאחורי הקלעים, המערכת עבדה עם מזהה מספרי קצר של 7 ספרות, בלי אימות, בלי הגנה אמיתית ובלי מנגנון שמונע ניחוש ולכן כל מי שהבין איך בנוי הקישור, יכול היה להריץ סקריפט פשוט, לנחש מזהים ולהיחשף לאלבומים של אנשים אחרים.
לא מדובר רק בתמונות אקראיות, אלא בפרטים אישיים, כמו שמות, תמונות, סרטונים, כלומר PII לכל דבר. לפי תקנות כמו GDPR, זה מידע שחייב להיות מוגן ברמות גבוהות בהרבה.
החוקר שגילה את הבעיה דיווח עליה דרך פלטפורמת דיווח אחראי, קיבל ציון חומרה של 7.5, אבל לטענתו לא קיבל אישור ברור שהבעיה טופלה. אחרי חודשים של המתנה, הוא פרסם את הממצאים
https://t.me/CyberUpdatesIL/2110
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
חומות אש FortiGate שנחשבות “מתוקנות” ממשיכות להיפרץ בפועל ⚠️
מנהלי Fortinet מדווחים שתוקפים מצליחים לעקוף את CVE-2025-59718 גם בגרסאות מעודכנות, כולל FortiOS 7.4.10.
הווקטור הינו הודעות SAML זדוניות שמאפשרות גישה ל-FortiCloud SSO ויצירת חשבונות מנהל.
לפי הדיווח, יותר מ-11,000 מכשירים עדיין חשופים. CISA אישרה שיש ניצול פעיל בשטח. Fortinet עובדת על תיקונים נוספים וממליצה בינתיים להשבית את FortiCloud SSO.
https://t.me/CyberUpdatesIL/2111
מנהלי Fortinet מדווחים שתוקפים מצליחים לעקוף את CVE-2025-59718 גם בגרסאות מעודכנות, כולל FortiOS 7.4.10.
הווקטור הינו הודעות SAML זדוניות שמאפשרות גישה ל-FortiCloud SSO ויצירת חשבונות מנהל.
לפי הדיווח, יותר מ-11,000 מכשירים עדיין חשופים. CISA אישרה שיש ניצול פעיל בשטח. Fortinet עובדת על תיקונים נוספים וממליצה בינתיים להשבית את FortiCloud SSO.
https://t.me/CyberUpdatesIL/2111
אתמול היה היום הראשון של Pwn2Own Automotive 2026, שנערך בטוקיו במסגרת כנס Automotive World, נחשפו 37 חולשות Zero-Day, עם פרסים מצטברים של כ־516,500 דולר.
בין ההדגמות הבולטות החוקרים הצליחו לפרוץ למערכת ה-Infotainment של Tesla, כולל השגת שליטה ברמת root באמצעות שרשראות תקיפה שכללו דליפות מידע וכתיבה מחוץ לגבולות הזיכרון (Out-of-Bounds Write).
בנוסף, הודגמו פריצות למטעני רכב חשמלי (EV Chargers), מערכות מולטימדיה, רכיבי תקשורת ותשתיות רכב חכם נוספות, מה שממחיש עד כמה משטח התקיפה של רכבים חשמליים הפך לרחב ומורכב.
כל הפגיעויות דווחו ל־Zero Day Initiative (ZDI), והספקים קיבלו חלון של 90 יום לתיקון לפני פרסום ציבורי.
https://t.me/CyberUpdatesIL/2112
#Pwn2Own #Tesla #AutomotiveSecurity #ZeroDay #CarHacking #CyberSecurity
בין ההדגמות הבולטות החוקרים הצליחו לפרוץ למערכת ה-Infotainment של Tesla, כולל השגת שליטה ברמת root באמצעות שרשראות תקיפה שכללו דליפות מידע וכתיבה מחוץ לגבולות הזיכרון (Out-of-Bounds Write).
בנוסף, הודגמו פריצות למטעני רכב חשמלי (EV Chargers), מערכות מולטימדיה, רכיבי תקשורת ותשתיות רכב חכם נוספות, מה שממחיש עד כמה משטח התקיפה של רכבים חשמליים הפך לרחב ומורכב.
כל הפגיעויות דווחו ל־Zero Day Initiative (ZDI), והספקים קיבלו חלון של 90 יום לתיקון לפני פרסום ציבורי.
https://t.me/CyberUpdatesIL/2112
#Pwn2Own #Tesla #AutomotiveSecurity #ZeroDay #CarHacking #CyberSecurity
❤1
היום השני של Pwn2Own Automotive 2026, שנערך בטוקיו במסגרת כנס Automotive World, נחשפו 29 חולשות Zero-Day חדשות, עם תגמולים מצטברים של כ-439,250 דולר לחוקרים שביצעו הדגמות תקיפה מוצלחות.
בין ההצלחות הבולטות בלט צוות Fuzzware.io, שהמשיך להפגין דומיננטיות עם פריצות למספר מטעני רכב חשמלי מסחריים, לצד חוקרים נוספים שהציגו תקיפות מתקדמות נגד מערכות ניווט, תפעול ותשתיות טעינה.
לאחר שני ימי תחרות, סך הכול הודגמו 66 חולשות Zero-Day וחולקו כמעט מיליון דולר בפרסים, נתון שממחיש עד כמה משטח התקיפה של רכבים חכמים ותשתיות EV רחב, עמוק, ועדיין מאתגר מאוד מבחינת אבטחת מידע.
https://t.me/CyberUpdatesIL/2113
בין ההצלחות הבולטות בלט צוות Fuzzware.io, שהמשיך להפגין דומיננטיות עם פריצות למספר מטעני רכב חשמלי מסחריים, לצד חוקרים נוספים שהציגו תקיפות מתקדמות נגד מערכות ניווט, תפעול ותשתיות טעינה.
לאחר שני ימי תחרות, סך הכול הודגמו 66 חולשות Zero-Day וחולקו כמעט מיליון דולר בפרסים, נתון שממחיש עד כמה משטח התקיפה של רכבים חכמים ותשתיות EV רחב, עמוק, ועדיין מאתגר מאוד מבחינת אבטחת מידע.
https://t.me/CyberUpdatesIL/2113
❤2🔥1
✨ עדכוני סייבר סיכום שבת 🛡️✨
1. 🏧מתקפת ATM Jackpotting, הרשעה וגירוש מארה״ב של שתי אזרחיות ונצואלה הורשעו בפריצות לכספומטים באמצעות malware ייעודי שגרם למכשירים להוציא מזומנים (“Jackpotting”). לאחר ריצוי העונש הן יגורשו.
2. 🔓 מאגר ענק של סיסמאות נחשף ברשת, עשרות מיליוני פרטי התחברות ל-Roblox, TikTok, Netflix וארנקי קריפטו נמצאו במסד נתונים פתוח. המקור כנראה infostealer malware על מחשבי משתמשים, לא פריצה ישירה לחברות.
3. 🚨ארגון CISA מפרסם שחולשות VMware מנוצלות בפועל, הממשל האמריקאי הוסיף חולשות קריטיות ב-VMware לרשימת KEV לאחר זיהוי מתקפות פעילות.
4. 💣מתקפת DynoWiper, ניסיון של מתקפת מחיקה על תשתיות
זוהה שימוש ב-wiper חדש בניסיון לפגוע במערכות קריטיות. המתקפה נבלמה, אך הכלי נועד להשמדה מלאה של מערכות, לא ריגול ולא כופר.
5. 🎣 פישינג רב־שלבי עם שליטה מרחוק, קמפיין חדש שמשתמש במיילים, קבצים זדוניים ושלבים מדורגים עד השתלטות מלאה על התחנה. שימוש בשירותים לגיטימיים כדי לעקוף אבטחה וזיהוי.
6. 🌐 עקיפת MFA דרך SharePoint + Telnetd תוקפים מנצלים שירותי SharePoint לביצוע מתקפות AitM (אדם־בתווך) שגונבות סשנים ועוקפות MFA ובמקביל מנצלים Telnetd בשרתים חשופים להשלמת חדירה מלאה.
7. 🔐 מיקרוסופט מוותרת על אבטחה מול פרטיות, דיווחים על שיתוף מפתחות BitLocker עם רשויות אכיפה, פתיחת קוד WinApp SDK ותוכניות לשיתוף מיקום עובדים ב-Teams מהלכים חוקיים, אבל רגישים מאוד לפרטיות ארגונית.
🧠 השורה התחתונה:
זה שבוע של זהויות, תשתיות והרשאות, מי שלא סוגר חולשות, לא מאבטח גישה ולא מבין איפה עובר קו הפרטיות, נשאר חשוף.
https://t.me/CyberUpdatesIL/2114
#CyberUpdatesIL #ATMJackpotting #DataLeak #VMware #CISA #Wiper #Phishing #AitM #Microsoft
1. 🏧מתקפת ATM Jackpotting, הרשעה וגירוש מארה״ב של שתי אזרחיות ונצואלה הורשעו בפריצות לכספומטים באמצעות malware ייעודי שגרם למכשירים להוציא מזומנים (“Jackpotting”). לאחר ריצוי העונש הן יגורשו.
2. 🔓 מאגר ענק של סיסמאות נחשף ברשת, עשרות מיליוני פרטי התחברות ל-Roblox, TikTok, Netflix וארנקי קריפטו נמצאו במסד נתונים פתוח. המקור כנראה infostealer malware על מחשבי משתמשים, לא פריצה ישירה לחברות.
3. 🚨ארגון CISA מפרסם שחולשות VMware מנוצלות בפועל, הממשל האמריקאי הוסיף חולשות קריטיות ב-VMware לרשימת KEV לאחר זיהוי מתקפות פעילות.
4. 💣מתקפת DynoWiper, ניסיון של מתקפת מחיקה על תשתיות
זוהה שימוש ב-wiper חדש בניסיון לפגוע במערכות קריטיות. המתקפה נבלמה, אך הכלי נועד להשמדה מלאה של מערכות, לא ריגול ולא כופר.
5. 🎣 פישינג רב־שלבי עם שליטה מרחוק, קמפיין חדש שמשתמש במיילים, קבצים זדוניים ושלבים מדורגים עד השתלטות מלאה על התחנה. שימוש בשירותים לגיטימיים כדי לעקוף אבטחה וזיהוי.
6. 🌐 עקיפת MFA דרך SharePoint + Telnetd תוקפים מנצלים שירותי SharePoint לביצוע מתקפות AitM (אדם־בתווך) שגונבות סשנים ועוקפות MFA ובמקביל מנצלים Telnetd בשרתים חשופים להשלמת חדירה מלאה.
7. 🔐 מיקרוסופט מוותרת על אבטחה מול פרטיות, דיווחים על שיתוף מפתחות BitLocker עם רשויות אכיפה, פתיחת קוד WinApp SDK ותוכניות לשיתוף מיקום עובדים ב-Teams מהלכים חוקיים, אבל רגישים מאוד לפרטיות ארגונית.
🧠 השורה התחתונה:
זה שבוע של זהויות, תשתיות והרשאות, מי שלא סוגר חולשות, לא מאבטח גישה ולא מבין איפה עובר קו הפרטיות, נשאר חשוף.
https://t.me/CyberUpdatesIL/2114
#CyberUpdatesIL #ATMJackpotting #DataLeak #VMware #CISA #Wiper #Phishing #AitM #Microsoft
❤3👍1🔥1
טורניר ההאקינג Pwn2Own Automotive 2026 סיכום הטורניר
הטורניר שנערך בטוקיו הגיע לסיומו. במהלך ימי התחרות חולקו פרסים בסך כולל של כ־1.047 מיליון דולר, ונחשפו 76 חולשות Zero-Day במערכות רכב חכמות, מערכות Infotainment (IVI) ועמדות טעינה לרכבים חשמליים.
החוקרים הדגימו תרחישי תקיפה מתקדמים, כולל הרצת קוד מרחוק ופגיעה ברכיבי ליבה בעולם התחבורה החכמה 🚘
למרות הציפיות, לא הוצגה פריצה לרכבי טסלה והפרס המלא 100,000 דולר ובנוסף הרכב עצמו נותר ללא זוכה😳
https://t.me/CyberUpdatesIL/2115
#CyberSecurity #Pwn2Own #Automotive #ZeroDay #EV #תחבורה_חכמה
הטורניר שנערך בטוקיו הגיע לסיומו. במהלך ימי התחרות חולקו פרסים בסך כולל של כ־1.047 מיליון דולר, ונחשפו 76 חולשות Zero-Day במערכות רכב חכמות, מערכות Infotainment (IVI) ועמדות טעינה לרכבים חשמליים.
החוקרים הדגימו תרחישי תקיפה מתקדמים, כולל הרצת קוד מרחוק ופגיעה ברכיבי ליבה בעולם התחבורה החכמה 🚘
למרות הציפיות, לא הוצגה פריצה לרכבי טסלה והפרס המלא 100,000 דולר ובנוסף הרכב עצמו נותר ללא זוכה
https://t.me/CyberUpdatesIL/2115
#CyberSecurity #Pwn2Own #Automotive #ZeroDay #EV #תחבורה_חכמה
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
חברת 1Password השיקה מנגנון אבטחה חדש שמתריע בפני משתמשים בזמן אמת על אתרי פישינג חשודים, באמצעות חלונות קופצים (Pop-up Warnings) לפני הזנת או הדבקת סיסמאות.
המערכת מזהה דומיינים שנראים דומים לאתרים לגיטימיים (Typosquatting / Lookalike Domains) ומתריעה כאשר ה-URL אינו תואם לדומיין המקורי השמור בכספת הסיסמאות.
המטרה היא לעצור מתקפות פישינג לפני שהמשתמש מוסר את האישורים שלו במיוחד בעידן של קמפיינים מתקדמים המונעים ב-AI 🎣
הפיצ’ר מצטרף למנגנון אי-מילוי אוטומטי קיים, ומחזק את ההגנה על משתמשי קצה מפני גניבת זהויות.
https://t.me/CyberUpdatesIL/2117
#CyberSecurity #Phishing #Password #IAM #PasswordManager #SecurityAwareness
המערכת מזהה דומיינים שנראים דומים לאתרים לגיטימיים (Typosquatting / Lookalike Domains) ומתריעה כאשר ה-URL אינו תואם לדומיין המקורי השמור בכספת הסיסמאות.
המטרה היא לעצור מתקפות פישינג לפני שהמשתמש מוסר את האישורים שלו במיוחד בעידן של קמפיינים מתקדמים המונעים ב-AI 🎣
הפיצ’ר מצטרף למנגנון אי-מילוי אוטומטי קיים, ומחזק את ההגנה על משתמשי קצה מפני גניבת זהויות.
https://t.me/CyberUpdatesIL/2117
#CyberSecurity #Phishing #Password #IAM #PasswordManager #SecurityAwareness
🔥4❤2👍1😁1
עדכוני סייבר - אשר תמם
🧩 תקלה עולמית ב-Cloudflare לא מתקפה, אלא באג פנימי חברת Cloudflare דיווחה על תקלה רחבה שהשביתה אתרים ושירותים רבים ברחבי העולם. האירוע לא נגרם ממתקפת סייבר, אלא מבאג במערכת ניהול הבוטים שלהם. 🔍 מה קרה בפועל? קובץ הגדרות פנימי התנפח מעבר לגודל הצפוי → רכיב…
זוכרים את זה 👆
אז סיכום האירוע הוא שתקלה הובילה לדליפת ניתוב BGP
חברת Cloudflare חשפה כי שגיאת קונפיגורציה פנימית הייתה הגורם לאירוע BGP Route Leak שגרם לשיבושי תעבורה באינטרנט, בעיקר עבור תעבורת IPv6.
התקלה נבעה משינוי מדיניות ניתוב שבוצע ברשת הפנימית, אשר גרם לכך ש־נתיבי iBGP פנימיים דלפו החוצה לרשת האינטרנט הכללית בניגוד לתכנון😔
ההשפעה כללה איבוד מנות, ירידה בזמינות שירותים ועומסי תעבורה, עד לזיהוי ותיקון התקלה.
https://t.me/CyberUpdatesIL/2118
#CyberSecurity #Cloudflare #BGP #RouteLeak #NetworkSecurity #InternetInfrastructure
אז סיכום האירוע הוא שתקלה הובילה לדליפת ניתוב BGP
חברת Cloudflare חשפה כי שגיאת קונפיגורציה פנימית הייתה הגורם לאירוע BGP Route Leak שגרם לשיבושי תעבורה באינטרנט, בעיקר עבור תעבורת IPv6.
התקלה נבעה משינוי מדיניות ניתוב שבוצע ברשת הפנימית, אשר גרם לכך ש־נתיבי iBGP פנימיים דלפו החוצה לרשת האינטרנט הכללית בניגוד לתכנון
ההשפעה כללה איבוד מנות, ירידה בזמינות שירותים ועומסי תעבורה, עד לזיהוי ותיקון התקלה.
https://t.me/CyberUpdatesIL/2118
#CyberSecurity #Cloudflare #BGP #RouteLeak #NetworkSecurity #InternetInfrastructure
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
אתמול המדינה מאריכה סמכויות חירום להתמודדות עם מתקפות סייבר
אושרה הארכת תוקף הוראת שעה שמאפשרת למדינה לפעול בעת אירועי סייבר חמורים הפוגעים בשירותים דיגיטליים ובשירותי אחסון.
ההסדר מעניק למדינה יכולת לדרוש שיתוף מידע ולתאם פעולות עם גופים שנפגעים ממתקפות סייבר משמעותיות, כל עוד אין עדיין חוק קבוע ומלא בתחום.
תוקף ההסדר הוארך עד 31 בדצמבר 2026, עם תקופת מעבר קצרה עד ינואר 2027, כדי למנוע ואקום רגולטורי בזמן איומים מתמשכים.
מקור: הכנסת
https://t.me/CyberUpdatesIL/2119
#CyberSecurity #Regulation #Israel #DigitalServices #NationalCyber
אושרה הארכת תוקף הוראת שעה שמאפשרת למדינה לפעול בעת אירועי סייבר חמורים הפוגעים בשירותים דיגיטליים ובשירותי אחסון.
ההסדר מעניק למדינה יכולת לדרוש שיתוף מידע ולתאם פעולות עם גופים שנפגעים ממתקפות סייבר משמעותיות, כל עוד אין עדיין חוק קבוע ומלא בתחום.
תוקף ההסדר הוארך עד 31 בדצמבר 2026, עם תקופת מעבר קצרה עד ינואר 2027, כדי למנוע ואקום רגולטורי בזמן איומים מתמשכים.
מקור: הכנסת
https://t.me/CyberUpdatesIL/2119
#CyberSecurity #Regulation #Israel #DigitalServices #NationalCyber
פרצת אבטחה קריטית נחשפה בספריית vm2 ל-Node.js, ספרייה שמיועדת להרצת קוד JavaScript לא מהימן בתוך Sandbox. החולשה מאפשרת Sandbox Escape והרצת קוד שרירותי על שרת המארח.
הבעיה נובעת ממימוש שגוי של Promises גלובליים בספרייה, שמאפשר לתוקף לעקוף את מנגנון הבידוד של vm2 ולגשת לאובייקטים פנימיים של Node.js ומשם לבצע Remote Code Execution.
החולשה תוקנה ב־vm2 גרסה 3.10.3. שימוש בגרסאות קודמות נחשב פגיע, וההמלצה היא לעדכן מייד או לשקול מנגנוני בידוד חזקים יותר.
https://t.me/CyberUpdatesIL/2120
#NodeJS #vm2 #SandboxEscape #RCE #AppSec
הבעיה נובעת ממימוש שגוי של Promises גלובליים בספרייה, שמאפשר לתוקף לעקוף את מנגנון הבידוד של vm2 ולגשת לאובייקטים פנימיים של Node.js ומשם לבצע Remote Code Execution.
החולשה תוקנה ב־vm2 גרסה 3.10.3. שימוש בגרסאות קודמות נחשב פגיע, וההמלצה היא לעדכן מייד או לשקול מנגנוני בידוד חזקים יותר.
https://t.me/CyberUpdatesIL/2120
#NodeJS #vm2 #SandboxEscape #RCE #AppSec
❤2
This media is not supported in your browser
VIEW IN TELEGRAM
גוגל חשפה בטעות מערכת הפעלה חדשה בשם Aluminium OS, שנראית כניסיון למזג את אנדרואיד עם עולם המחשבים האישיים.
ההדלפה אירעה בדיווח באג ב־Chromium וכללה הקלטת מסך של מערכת לא מוכרזת שרצה על Chromebook, לפני שהגישה לדיווח הוגבלה.
מהתיעוד עולה כי מדובר בממשק דסקטופ מלא עם ריבוי משימות והרצת אפליקציות אנדרואיד ישירות משולחן העבודה, כאשר Gemini משולבת בליבת המערכת ומהווה רכיב מרכזי בחוויית השימוש.
לפי ההערכות, Aluminium OS צפויה להיות מושקת במהלך השנה הקרובה.
https://t.me/CyberUpdatesIL/2121
#Google #Android #AluminiumOS #Chromebook #Gemini #AI #TechNews
ההדלפה אירעה בדיווח באג ב־Chromium וכללה הקלטת מסך של מערכת לא מוכרזת שרצה על Chromebook, לפני שהגישה לדיווח הוגבלה.
מהתיעוד עולה כי מדובר בממשק דסקטופ מלא עם ריבוי משימות והרצת אפליקציות אנדרואיד ישירות משולחן העבודה, כאשר Gemini משולבת בליבת המערכת ומהווה רכיב מרכזי בחוויית השימוש.
לפי ההערכות, Aluminium OS צפויה להיות מושקת במהלך השנה הקרובה.
https://t.me/CyberUpdatesIL/2121
#Google #Android #AluminiumOS #Chromebook #Gemini #AI #TechNews
👍2🔥2👏2
נחשפה פרצת Zero-Day קריטית בכלי Gemini MCP Tool 🚨
מדובר בפגיעות חמורה שמאפשרת לתוקף להריץ קוד שרירותי מרחוק (RCE) ללא אימות וללא אינטראקציה עם משתמש.
החולשה נובעת ממנגנון לא מאובטח להרצת פקודות מערכת, שבו קלט לא עובר ולידציה מספקת, מה שמאפשר הזרקת פקודות והשגת שליטה על השרת תחת הרשאות השירות.
לפי הדיווחים, רמת החומרה מוגדרת Critical (CVSS 9.8), והסיכון גבוה במיוחד במערכות שחשופות לרשת.
נכון לעכשיו אין תיקון רשמי, וההמלצה היא לצמצם חשיפה, להגביל גישה לרשתות אמינות בלבד או להשבית את הכלי עד לשחרור עדכון.
הפגיעות תוקנה ב-Gemini MCP Tool גרסה 3.2.2 ומעלה.
https://t.me/CyberUpdatesIL/2122
#ZeroDay #Gemini #MCP #RCE #Vulnerability #CyberSecurity #AISecurity
מדובר בפגיעות חמורה שמאפשרת לתוקף להריץ קוד שרירותי מרחוק (RCE) ללא אימות וללא אינטראקציה עם משתמש.
החולשה נובעת ממנגנון לא מאובטח להרצת פקודות מערכת, שבו קלט לא עובר ולידציה מספקת, מה שמאפשר הזרקת פקודות והשגת שליטה על השרת תחת הרשאות השירות.
לפי הדיווחים, רמת החומרה מוגדרת Critical (CVSS 9.8), והסיכון גבוה במיוחד במערכות שחשופות לרשת.
נכון לעכשיו אין תיקון רשמי, וההמלצה היא לצמצם חשיפה, להגביל גישה לרשתות אמינות בלבד או להשבית את הכלי עד לשחרור עדכון.
הפגיעות תוקנה ב-Gemini MCP Tool גרסה 3.2.2 ומעלה.
https://t.me/CyberUpdatesIL/2122
#ZeroDay #Gemini #MCP #RCE #Vulnerability #CyberSecurity #AISecurity
🔥3😁2👏1
ממשלת ישראל בחרה ב-Google Workspace כסביבת העבודה הדיגיטלית של משרדי הממשלה 🇮🇱☁️
מעבר למשמעות הטכנולוגית, מדובר גם בשינוי אסטרטגי מכוון שמיקרוסופט, שהייתה במשך שנים ספק ברירת המחדל בממשלה ועכשיו היא מאבדת את הבלעדיות.
זה לא ניתוק מיידי, אבל כן שבירה ברורה של ההגמוניה והתחלה של מודל רב-ספקי
המעבר ל-Google Workspace ייעשה בצורה הדרגתית ומבוקרת, בליווי מערך הדיגיטל הלאומי ובהתאם למדד בשלות, כך שמשרדים יעברו רק כשהם ערוכים תפעולית ואבטחתית.
המהלך פותח דלת לשילוב רחב יותר של כלי AI ויכולות עבודה שיתופית, לצד המשך קיום של מערכות מיקרוסופט במקומות שבהם הן עדיין ליבתיות.
https://t.me/CyberUpdatesIL/2123
#IsraelGov #GoogleWorkspace #Microsoft #GovTech #DigitalTransformation #AI #Cyber
מעבר למשמעות הטכנולוגית, מדובר גם בשינוי אסטרטגי מכוון שמיקרוסופט, שהייתה במשך שנים ספק ברירת המחדל בממשלה ועכשיו היא מאבדת את הבלעדיות.
זה לא ניתוק מיידי, אבל כן שבירה ברורה של ההגמוניה והתחלה של מודל רב-ספקי
המעבר ל-Google Workspace ייעשה בצורה הדרגתית ומבוקרת, בליווי מערך הדיגיטל הלאומי ובהתאם למדד בשלות, כך שמשרדים יעברו רק כשהם ערוכים תפעולית ואבטחתית.
המהלך פותח דלת לשילוב רחב יותר של כלי AI ויכולות עבודה שיתופית, לצד המשך קיום של מערכות מיקרוסופט במקומות שבהם הן עדיין ליבתיות.
https://t.me/CyberUpdatesIL/2123
#IsraelGov #GoogleWorkspace #Microsoft #GovTech #DigitalTransformation #AI #Cyber
👏8❤1
נחשפו ארבע פרצות קריטיות במוצר SolarWinds Web Help Desk 🚨
מדובר בפגיעויות חמורות שמאפשרות לתוקף לעקוף אימות ולהריץ קוד שרירותי מרחוק (RCE) על שרת ה-Help Desk, ללא צורך בהרשאות וללא אינטראקציה עם משתמש.
החולשות נובעות משילוב של Untrusted Deserialization ומנגנוני אימות פגומים, שמאפשרים לתוקף לשלוח בקשות זדוניות לממשק ה-Web ולהשיג שליטה מלאה על המערכת והשרת שעליו הוא רץ.
לפי הפרסום, ארבע מהפרצות מדורגות Critical (CVSS 9.8), עם סיכון גבוה במיוחד לארגונים שמפעילים את המוצר בחשיפה לרשת או לאינטרנט.
הפגיעויות תוקנו בעדכון הרשמי של SolarWinds Web Help Desk גרסה 2026.1 וההמלצה היא לעדכן באופן מיידי ולבדוק שאין מופעים ישנים חשופים.
https://t.me/CyberUpdatesIL/2124
#SolarWinds #WebHelpDesk #RCE #CriticalVulnerability #PatchNow #CyberSecurity
מדובר בפגיעויות חמורות שמאפשרות לתוקף לעקוף אימות ולהריץ קוד שרירותי מרחוק (RCE) על שרת ה-Help Desk, ללא צורך בהרשאות וללא אינטראקציה עם משתמש.
החולשות נובעות משילוב של Untrusted Deserialization ומנגנוני אימות פגומים, שמאפשרים לתוקף לשלוח בקשות זדוניות לממשק ה-Web ולהשיג שליטה מלאה על המערכת והשרת שעליו הוא רץ.
לפי הפרסום, ארבע מהפרצות מדורגות Critical (CVSS 9.8), עם סיכון גבוה במיוחד לארגונים שמפעילים את המוצר בחשיפה לרשת או לאינטרנט.
הפגיעויות תוקנו בעדכון הרשמי של SolarWinds Web Help Desk גרסה 2026.1 וההמלצה היא לעדכן באופן מיידי ולבדוק שאין מופעים ישנים חשופים.
https://t.me/CyberUpdatesIL/2124
#SolarWinds #WebHelpDesk #RCE #CriticalVulnerability #PatchNow #CyberSecurity
❤2👍1🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
סרטון תדמית של נתב"ג בעקבות התקלה ביוון
רק שמשהו שכח להוריד את היוזר וסיסמא שמודבקים על המסך😬
https://t.me/CyberUpdatesIL/2125
רק שמשהו שכח להוריד את היוזר וסיסמא שמודבקים על המסך
https://t.me/CyberUpdatesIL/2125
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣20🤬5🥴3❤1😱1
רשות המסים מזהירה את הציבור מפני הודעת פישינג מזויפת, שנשלחה כביכול מטעמה.
רשות המסים משתמשת אך ורק בסיומת gov.il. כל קישור אחר (כמו הכתובת taxmygo.com שבהודעה) הוא סימן אזהרה אדום.
רשות המסים משתמשת אך ורק בסיומת gov.il. כל קישור אחר (כמו הכתובת taxmygo.com שבהודעה) הוא סימן אזהרה אדום.
מהנדס לשעבר ב-Google הורשע בגניבת סודות AI והעברתם לגורמים סיניים ⚖️🧠
בית משפט פדרלי בארה״ב הרשיע מהנדס תוכנה לשעבר של Google בגניבת סודות מסחריים רגישים בתחום הבינה המלאכותית, במסגרת פרשה שמוגדרת כריגול כלכלי חמור.
לפי פסק הדין, המהנדס העתיק לאורך תקופה ארוכה אלפי מסמכים פנימיים של Google, שכללו מידע קריטי על תשתיות AI מתקדמות, סופר-מחשוב, שבבים ייעודיים, ניהול עומסי חישוב וטכנולוגיות רשת מתקדמות.
במקביל לעבודתו בגוגל, הוא שמר קשר עם חברות סיניות ואף היה מעורב בהקמת סטארט-אפ משלו, כשהידע שנגנב נועד לשמש כבסיס לפיתוח טכנולוגיות מתחרות תוך הפרת אמון חמורה ופגיעה בקניין הרוחני של החברה.
ההרשעה כוללת סעיפים של ריגול כלכלי וגניבת סודות מסחריים, עם פוטנציאל לעונשי מאסר כבדים וממחישה את הרגישות האסטרטגית של טכנולוגיות AI ואת המאבק הגובר של ארה״ב בהדלפת ידע קריטי לגורמים זרים.
https://t.me/CyberUpdatesIL/2128
#Google #AI #Espionage #InsiderThreat #IntellectualProperty #CyberSecurity #China
בית משפט פדרלי בארה״ב הרשיע מהנדס תוכנה לשעבר של Google בגניבת סודות מסחריים רגישים בתחום הבינה המלאכותית, במסגרת פרשה שמוגדרת כריגול כלכלי חמור.
לפי פסק הדין, המהנדס העתיק לאורך תקופה ארוכה אלפי מסמכים פנימיים של Google, שכללו מידע קריטי על תשתיות AI מתקדמות, סופר-מחשוב, שבבים ייעודיים, ניהול עומסי חישוב וטכנולוגיות רשת מתקדמות.
במקביל לעבודתו בגוגל, הוא שמר קשר עם חברות סיניות ואף היה מעורב בהקמת סטארט-אפ משלו, כשהידע שנגנב נועד לשמש כבסיס לפיתוח טכנולוגיות מתחרות תוך הפרת אמון חמורה ופגיעה בקניין הרוחני של החברה.
ההרשעה כוללת סעיפים של ריגול כלכלי וגניבת סודות מסחריים, עם פוטנציאל לעונשי מאסר כבדים וממחישה את הרגישות האסטרטגית של טכנולוגיות AI ואת המאבק הגובר של ארה״ב בהדלפת ידע קריטי לגורמים זרים.
https://t.me/CyberUpdatesIL/2128
#Google #AI #Espionage #InsiderThreat #IntellectualProperty #CyberSecurity #China
❤2🤯1😱1🤬1
✨ עדכוני סייבר סיכום שבת 🛡️✨
1. 🇵🇱 פולין מייחסת מתקפת סייבר לרוסיה, הממשל בפולין מיחס את המתקפה מ0בדצמבר לגורמים רוסים, שכללה ניסיון חבלה במערכות תעשייתיות ותשתיות אנרגיה. זוהה שימוש ב-DynoWiper (כלי מחיקה ייעודי שמטרתו השבתה והשמדה, לא ריגול ולא כופר).
2. 🎣קבוצת ShinyHunters משנה טקטיקה, מתקפות vishing + MFA bypass, חוקרי Mandiant זיהו שימוש גובר בהונאות טלפוניות (vishing) ואתרי התחזות מתקדמים לגניבת סשנים ועקיפת MFA, בעיקר נגד שירותי SaaS וחשבונות ארגוניים.
3. 🛠️חברת Metasploit מתעדכנת 7 מודולי Exploit חדשים, שוחרר עדכון שמוסיף מודולים לניצול חולשות קריטיות במערכות נפוצות, כולל שרתי דוא״ל, מערכות ניהול ו-VoIP. הכלים זמינים כעת גם לתוקפים עם רף ידע נמוך.
4. ⚙️ חולשת SCADA מאפשרת DoS במערכות תעשייתיות
נחשפה פגיעות במערכת SCADA שעלולה לאפשר לתוקף לגרום להשבתת שירות (DoS) בסביבות OT, ללא צורך בהרשאות גבוהות, סיכון ממשי לארגונים תעשייתיים.
5. 🇮🇷 קמפיין RedKitten, פעילות איראנית ממוקדת מנהלת קמפיין ריגול נגד ארגוני זכויות אדם, חוקרים ואקטיביסטים, עם דגש על גניבת מידע וחדירה לחשבונות אישיים.
6. 💰 ארה״ב תופסת כ-400 מיליון דולר משירות ערבוב קריפטו, רשויות האכיפה האמריקאיות החרימו נכסים בהיקף עצום משירות ה-Dark Web Helix, ששימש להלבנת כספים מפעילות פלילית, כופרות וסחר לא חוקי.
https://t.me/CyberUpdatesIL/2129
#CyberUpdatesIL #Poland #DynoWiper #ShinyHunters #Metasploit #SCADA #RedKitten #Crypto #DarkWeb
1. 🇵🇱 פולין מייחסת מתקפת סייבר לרוסיה, הממשל בפולין מיחס את המתקפה מ0בדצמבר לגורמים רוסים, שכללה ניסיון חבלה במערכות תעשייתיות ותשתיות אנרגיה. זוהה שימוש ב-DynoWiper (כלי מחיקה ייעודי שמטרתו השבתה והשמדה, לא ריגול ולא כופר).
2. 🎣קבוצת ShinyHunters משנה טקטיקה, מתקפות vishing + MFA bypass, חוקרי Mandiant זיהו שימוש גובר בהונאות טלפוניות (vishing) ואתרי התחזות מתקדמים לגניבת סשנים ועקיפת MFA, בעיקר נגד שירותי SaaS וחשבונות ארגוניים.
3. 🛠️חברת Metasploit מתעדכנת 7 מודולי Exploit חדשים, שוחרר עדכון שמוסיף מודולים לניצול חולשות קריטיות במערכות נפוצות, כולל שרתי דוא״ל, מערכות ניהול ו-VoIP. הכלים זמינים כעת גם לתוקפים עם רף ידע נמוך.
4. ⚙️ חולשת SCADA מאפשרת DoS במערכות תעשייתיות
נחשפה פגיעות במערכת SCADA שעלולה לאפשר לתוקף לגרום להשבתת שירות (DoS) בסביבות OT, ללא צורך בהרשאות גבוהות, סיכון ממשי לארגונים תעשייתיים.
5. 🇮🇷 קמפיין RedKitten, פעילות איראנית ממוקדת מנהלת קמפיין ריגול נגד ארגוני זכויות אדם, חוקרים ואקטיביסטים, עם דגש על גניבת מידע וחדירה לחשבונות אישיים.
6. 💰 ארה״ב תופסת כ-400 מיליון דולר משירות ערבוב קריפטו, רשויות האכיפה האמריקאיות החרימו נכסים בהיקף עצום משירות ה-Dark Web Helix, ששימש להלבנת כספים מפעילות פלילית, כופרות וסחר לא חוקי.
https://t.me/CyberUpdatesIL/2129
#CyberUpdatesIL #Poland #DynoWiper #ShinyHunters #Metasploit #SCADA #RedKitten #Crypto #DarkWeb
❤5👍1🔥1