Geopolitické hry
Dátové centrá Amazonu v Spojených arabských emirátoch a Bahraine boli zasiahnuté iránskymi dronmi. Americké technologické firmy považuje Irán v prebiehajúcom konflikte za legitímne ciele.
Iránski hackeri počas raketových a dronových útokov skenovali internetovo prístupné bezpečnostné kamery v Izraeli, Katare, Bahrajne, Kuvajte, SAE a na Cypre, aby v reálnom čase hodnotili škody útoku.
Bývalá inžinierka Google Liz Fong-Jones tvrdí, že americké rakety 28. februára zasiahli dievčenskú základnú školu a zabili okolo 165 ľudí. Podľa Liz mali byť koordináty cieľa vygenerované systémom Maven od Palantiru.
FBI a CISA varujú pred rozsiahlou ruskou phishingovou kampaňou zameranou na Signal účty amerických vládnych predstaviteľov, vojakov a novinárov. Bývalý zástupca riaditeľa nemeckej spravodajskej služby BND, Arndt Freytag von Loringhoven sa zároveň stal obeťou sociálneho inžinierstva, kedy sa útočníci vydávali za Signal podporu a vyžiadali si jeho PIN, čím prevzali kontrolu nad jeho účtom.
Rapid7 zdokumentoval špionážnu kampaň čínskej APT skupiny Red Menshen zameranú na telekomunikačné siete. Backdoor BPFDoor funguje na úrovni linuxového jadra a aktivuje sa len po prijatí špeciálne skonštruovaného paketu.
Google odhalil exploit kit DarkSword používaný pravdepodobne ruskými APT skupinami pri útokoch na Ukrajinu. Exploit reťazí šesť iOS zraniteľností vrátane troch zero-day.
Čínska Národná obranná univerzita publikovala analýzu militarizácie Starlinku. Výskumníci tvrdia, že integrácia do americkej raketovej obrany a prieskumu destabilizuje strategickú rovnováhu.
Research & Engineering
Autonómny AI bot „hackerbot-claw“ systematicky útočil na GitHub Actions workflow v populárnych open-source projektoch. Vo viacerých prípadoch získal prihlasovacie tokeny či dokázal spustiť kód. Bot použil viacero techník, vrátane injekcie príkazov cez názov súboru či pokus o manipuláciu AI agenta podvrhnutým súborom CLAUDE.md.
Bezpečnostní výskumníci upozorňujú na návrat útoku Glassworm, pri ktorom útočníci vkladajú neviditeľné Unicode znaky do GitHub pull requestov, npm balíkov a podobne, aby obišli peer review proces.
Microsoft opravil kritickú zraniteľnosť CVE-2026-21536 v službe Microsoft Devices Pricing Program umožňujúcu vzdialené spustenie kódu bez autentifikácie. Zraniteľnosť bola nájdená AI systémom XBOW bez prístupu ku zdrojovému kódu.
Výskumníci z Irregular Security nasadili AI agenty do simulovaného firemného prostredia bez akýchkoľvek útočných inštrukcií a pozorovali spontánny vznik ofenzívneho správania. Agenty samy objavovali heslá, zvyšovali si privilégiá či vypínali antivírusovú ochranu, aby splnili zadané úlohy.
Výskumník David Schütz zdokumentoval, ako spustil počítač Tesla Model 3 na svojom stole s pomocou súčiastok z havarovaných áut.
Výskumníci TrustedSec odhalili dva nové spôsoby obchádzania protokolov prihlásenia v Azure.
Výskumníci z Qualys objavili lokálnu eskaláciu privilégií v snap-confine na Ubuntu 24.04+ (CVE-2026-3888). Zaujímavé je, že útočník musí na skript, ktorý jeho kód spustí, čakať niekoľko dní.
Hacker Bliss prelomil Xbox One pomocou voltage glitchingu. Konzola čakala na jailbreak viac ako dekádu a bola dlhodobo považovaná za bezpečnostne robustnú.
Študent zo švédskej KTH univerzity objavil zraniteľnosť v populárnych detských smartwatch hodinkách.
Výskumníci demonštrovali pasívne sledovanie vozidiel cez systém monitorovania tlaku pneumatík (TPMS).
Kryptograf Jean-Philippe Aumasson argumentuje, že bežné symetrické primitívy (AES, BLAKE2, ChaCha, SHA-3) majú na základe 20 rokov kryptanalýzy zbytočne veľa šifrovacích kôl.
Anthropic Red Team použil Claude na analýzu kódu Firefoxu a objavil 14 high-severity zraniteľností.
Analýza tisícov CVE dokumentuje kolaps doby medzi zverejnením zraniteľnosti a jej zneužitím. Zo 771 dní v roku 2018 na 4 hodiny v roku 2024.
Výskumník Hyunwoo Kim popísal novú triedu zraniteľností linuxového jadra, ktorú nazval Out-of-Cancel, ktorú demonštroval na zraniteľnosti CVE-2026-23239.
Rozsiahla štúdia spoločnosti Google ukázala, že používatelia správne identifikujú zdroj bezpečnostného dialógu iba v ~55% prípadov. Výskum tak spochybňuje základný predpoklad bezpečnostných mechanizmov.
Bezpečnostný výskumník Nicholas Carlini sa na konferencii [un]prompted vyjadril, že súčasné LLM modely hľadajú zraniteľnosti lepšie ako on.
Zločin a úniky informácií
Útočník zneužil zraniteľnosť v systéme českej poisťovne Slavia Pojišťovna, z ktorej exfiltroval približne 150 GB citlivých dát vrátane zdravotnej dokumentácie, záberov z ultrazvuku a zákazníckych záznamov.
Kybernetický útok na spoločnosť Intoxalock, výrobcu zariadení na meranie alkoholu v dychu montovaných do vozidiel, spôsobil výpadok cloudovej kalibračnej služby a dočasne uväznil v autách tisíce vodičov po celých USA.
Americký výrobca zdravotníckeho vybavenia Stryker bol napadnutý útočníkmi s väzbami na Irán, ktorí spôsobili výpadok celosvetových IT operácií spoločnosti.
Skupina TeamPCP skompromitovala bezpečnostný nástroj Trivy, čo umožnilo útoky na nadväzujúce projekty. Kompromitované boli napríklad projekty litellm a Telnyx.
Pracovníci outsourcingovej firmy Sama, ktorú najala Meta na anotáciu dát z inteligentných okuliarov Ray-Ban Meta, popisujú prezeranie videí zachycujúcich používateľov pri intímnych situáciách či pri čítaní finančných dokumentov.
Ostatné
Motorola na Mobile World Congress 2026 oznámila partnerstvo s GrapheneOS, bezpečnostne orientovaným operačným systémom postaveným na zdrojovom kóde projektu Android. Hardvérové binárne bloby Motoroly momentálne nie je možné nezávisle auditovať — bolo by pekné, ak by sa to v tejto spolupráci zmenilo.
Európsky parlament 26. marca 2026 rozdielom jediného hlasu zamietol návrh Chat Control na plošné skenovanie správ. Pri finálnom hlasovaní môžeme byť na našich poslancov hrdí. Diskusie o Chat Control 2.0 a povinnej vekovej verifikácii naďalej pokračujú.
Zakladateľ WordPressu Matt Mullenweg popísal sofistikovaný pokus o prevzatie jeho Apple účtu. Útočníci kombinovali MFA bombing, social engineering voči Apple Support a falošnú stránku s legitímnym číslom prípadu.
Kalifornia prijala zákon vyžadujúci od všetkých operačných systémov vrátane Linuxu overenie veku pri vytváraní účtu.
Instagram od 8. mája 2026 ukončuje podporu end-to-end šifrovania v používateľských správach. TikTok oznámil, že nezavedie end-to-end šifrovanie priamych správ s odôvodnením, že by to znížilo bezpečnosť používateľov:-).
Intel predstavil akcelerátor Heracles pre plne homomorfné šifrovanie.
AWS zaviedol menný priestor pre S3 buckety viazaný na ID účtu. Nový formát znemožňuje cudziemu účtu zaregistrovať meno zmazaného bucketu.
GitHub repozitár fancy-cryptography katalogizuje produkčné nasadenia pokročilých kryptografických schém ako PAKE, zero-knowledge, homomorfné šifrovanie či slepé podpisy.
Bryce Kerley zverejnil prehľad zlyhaní certifikačných autorít za posledné roky.
Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.
Pridaj komentár