Geopolitické hry

Veľký čínsky firewall (GFW) zaznamenal vo štvrtok 11. septembra 2025 najväčší únik interných dokumentov vo svojej histórii. Uniklo viac ako 500 GB zdrojového kódu, pracovných protokolov a záznamov o internej komunikácii, ktoré odhalili podrobnosti o výskume, vývoji a prevádzke GFW.
Spoločnosť Geedge poskytuje služby nielen čínskym provinciám, ale v rámci „Belt and Road“ iniciatívy vyváža technológie cenzúry a sledovania do krajín ako Mjanmarsko, Pakistan, Etiópia a Kazachstan.

Nepál zablokoval 26 platforiem sociálnych médií vrátane Facebooku a YouTube pretože nesplnili požiadavku na zaregistrovanie. Spoločnosti sa musia registrovať na Ministerstve komunikácií a informačných technológií, ktorému musia poskytnúť lokálny kontakt, kontakt na osobu zodpovednú za vybavovanie sťažností a osobu zodpovednú za reguláciu obsahu.

Dánsky minister spravodlivosti a hlavný architekt súčasného návrhu skenovania súkromných správ obyvateľov EU, Chat Control, Peter Hummelgaard sa nechal počuť, že komunikovanie prostredníctvom šifrovaných služieb zasielania správ nie je občianskou slobodou.

EÚ aplikácia na overenie veku neplánuje podporu pre počítače, len mobilné platformy Android a iOS, ktoré umožňujú kontrolu integrity operačného systému.

Research & Engineering

Bezpečnostní výskumníci Andreas Makris a Kevin Finisterre objavili kritickú zraniteľnosť v bezdrôtovom konfiguračnom rozhraní robotov značky Unitree, ktorá môže viesť ku kompletnému prevzatiu kontroly nad robotom. Kompromitované roboty dokážu prevziať kontrolu nad ďalšími a ďalšími robotmi nakoľko zraniteľnosť je bezdrôtová.

„Privacy and Security Risks in the eSIM Ecosystem“ je výskum z Northeastern University, ktorý celosvetovo analyzoval sprostredkovateľov eSIM produktov.

Dirk-jan Mollema publikoval blog o kritickej zraniteľnosti, ktorá mu umožnila získať globálny admin prístup do každého Entra ID tenantu prostredníctvom tzv. Actor tokenov.

Zločin a úniky informácií

Spoločnosť Meta tajne prepojovala používateľské údaje s inými informáciami, aby dokázala sledovať aktivitu používateľov na iných webových stránkach a to bez súhlasu používateľov. To všetko v rozpore s pravidlami spoločnosť Apple, ktoré na takú aktivitu výslovne vyžaduje súhlas používateľa.

V septembri boli na NPM registri publikované škodlivé verzie množstva populárnych balíkov. Skript v nich zhromažďoval citlivé údaje a publikoval ich ako verejné GitHub repozitáre s názvom Shai-Hulud. Okrem krádeže údajov sa malvér šíril ako červ. Ak pri infikovaní systému narazil na ďalšie npm tokeny, automaticky publikoval škodlivé verzie balíkov, ku ktorým s tokenom získal prístup.

Britská spoločnosť Jaguar Land Rover sa stala obeťou rozsiahleho kybernetického útoku pre ktorý musela dočasne ukončiť výrobu. Útok spôsobil obrovské škody na ktorých pokrytie požičia britská vláda spoločnosti 1.5 miliardy libier.

Ostatné

Až 2 milióny zariadení Cisco je náchylných na aktívne zneužívanú zraniteľnosť v implementácii SNMP protokolu CVE-2025-20352.

PSP Security Protocol (PSP), protokol na šifrovanie prenosu sieťových pripojení TCP od spoločnosti Google, je pripravený na pridanie do Linux kernelu, ktorého oficiálnou súčasťou má byť od verzie 6.18.

Signal, nástroj na bezpečnú online komunikáciu, sprístupnil používateľom službu Signal Secure Backups, ktorá umožňuje doplatiť si za 45 dňovú zálohu Vašej komunikácie.

Google Pixel 10 je prvý telefón, ktorý má v každej fotografii vytvorenej aplikáciou Pixel Camera zabudované tzv. Content Credentials – atestovaný kryptografický certifikát o tom, že fotografia bola vytvorená zariadením a nebola modifikovaná.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.