Infosec.Pub

Weak State Controls and AI-Generated Documents Fuel Surge in Synthetic Entity FraudFraudsters are exploiting weak state controls to create synthetic businesses for less than $150, with potential payouts of more than $100,000 for each fake identity. Synthetic entity fraud has rapidly shifted from a niche threat to a mainstream risk, said Dun & Bradstreet's Andrew La Marca.

The National Police in Spain have arrested a suspected 19-year-old hacker in Barcelona, for allegedly stealing and attempting to sell 64 million records obtained from breaches at nine companies. [...]

Kaspersky researchers analyze changes in the lifespan of a shadow Telegram channel, blocks, and migration to other platforms.

Comments

American IT software company Ivanti warned customers today to patch a newly disclosed vulnerability in its Endpoint Manager (EPM) solution that could allow attackers to execute code remotely. [...]

In the early web days there was a service where you email an URL to a certain email address and it responded with an email with the webpage attached.

We need that back. We need it to escape arbitrary anti-Tor anti-VPN forms of enshitification.

archive.org is very useful but we cannot rely on it.

Email has also become enshitified and it’s rightfully distrusted and even abandoned by the few true resisters who exist. So ideally it would be an onion email address that takes in the requests. Perhaps an onion activitypub UI as well.

Lost in the kingdom of the white beast, will you find your way out? The Perfect Pencil is a story-driven action platformer that throws you into the innermost depths of the human mind. Navigate surreal worlds punctuated by bizzare personalities, tense boss battles and secrets. She’s waiting for you.

🌐 Steam

It’s nearly the end of 2025, and half of the US and the UK now require you to upload your ID or scan your face to watch “sexual content.” A handful of states and Australia now have various requirements to verify your age before you can create a social media account. Age-verification laws may sound straightforward to some: protect young people online by making everyone prove their age. But in reality, these mandates force users into one of two flawed systems—mandatory ID checks or biometric scans—and both are deeply discriminatory. These proposals burden everyone’s right to speak and access information online, and structurally excludes the very people who rely on the internet most. In short, although these laws are often passed with the intention to protect children from harm, the reality is that these laws harm both adults and children.  Here’s who gets hurt, and how:     1.  Adults Without IDs Get Locked Out Document-based verification assumes everyone has the right ID, in the right name, at the right address. About 15 million adult U.S. citizens don’t have a driver’s license, and 2.6 million lack any government-issued photo ID at all. Another 34.5 million adults don't have a driver's license or state ID with their current name and address. Specifically:

18% of Black adults don't have a driver's license at all. Black and Hispanic Americans are disproportionately less likely to have current licenses. Undocumented immigrants often cannot obtain[...]

09.12.2025 - Les cybercriminels utilisent les mécanismes des processus de recrutement pour instaurer une relation de confiance et manipuler le public cible. Des offres d’emploi attrayantes publiées sur des profils falsifiés paraissent tellement authentiques que personne ne s’en méfie. L’espoir d’une carrière prometteuse peut entraîner un comportement irréfléchi. Les escrocs en profitent pour passer à l’attaque.

Microsoft a publié des correctifs pour 57 failles en décembre 2025. Parmi elles, 3 vulnérabilités sont considérées comme critiques (toutes des exécutions de code à distance), et le reste est classé Important (aucune n’est classée Modéré ou Faible ce mois-ci). Aucune mise à jour de Microsoft Edge n’est incluse dans ce bilan, les correctifs Edge (15 failles) ayant été diffusés plus tôt séparément. Ce Patch Tuesday comprend également 3 failles de type “zero-day” (c’est-à-dire divulguées ou exploitées avant correctif) : 1 vulnérabilité activement exploitée et 2 publiquement divulguées.

Atlantic Bastion combines AI systems with warships to counter increased surveillance The UK government has announced enhanced protection for undersea cables using autonomous vessels alongside crewed warships and aircraft, responding to escalating Russian surveillance activities.…

WhatsApp vous espionne silencieusement via vos accusés de réception : des chercheurs viennent de prouver qu'on peut connaître vos horaires de sommeil sans que vous le sachiez Meta savait depuis septembre 2024 que sa faille de sécurité permettait de vider 18% de batterie par heure, mais n'a rien fait Un chercheur a créé un outil libre et gratuit pour tracer n'importe quel numéro WhatsApp en temps réel, et c'est légal si vous le testez sur vous-même

...

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

• L'IA a fait en 4 jours ce que 3 ans d'audits humains n'ont pas vu : une faille de base qui menaçait les satellites de la NASA, le James Webb et les rovers martiens
• 37 vulnérabilités découvertes dans l'écosystème spatial en une année : le code ouvert critique des missions spatiales est devenu un gruyère de sécurité
• Des chercheurs ont montré qu'on pouvait modifier l'orbite d'un satellite sans que le contrôleur au sol ne s'en aperçoive : bienvenue dans l'ère où pirater l'espace devient possible

...

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Dans un email, la Fédération française de handball explique que « le logiciel fédéral GestHand, utilisé par les clubs, comités et ligues pour leur gestion administrative, a été victime d’un acte de cybermalveillance avec un accès non-autorisé ». Un effet boule de neige est donc à prévoir sur les adhérents et pratiquants.

...

Chez Cuisinella, « un tiers non autorisé a accédé à certaines données relatives à nos clients. Dès la détection de l’incident, nos équipes de cybersécurité ont immédiatement mis fin à l’intrusion, lancé des investigations approfondies et pris les mesures nécessaires ».

L’ANSSI britannique invite les professionnels de la cyber à proscrire le parallèle conceptuel entre injection de prompt et injection SQL. La comparaison entre injection SQL et injection de prompt est tentante, mais dangereuse.

L’ANSSI britannique (NCSC, National Cyber Security Centre) vient de se prononcer dans ce sens. Elle constate que beaucoup de professionnels de la cyber font le rapprochement conceptuel, alors même qu’il existe des différences cruciales. Qui, si non prises en compte, peuvent sévèrement compromettre les mesures correctives.

We found a campaign that hosts fake login pages on Cloudflare Pages and sends the stolen info straight to Telegram.

U.S. Treasury report shows drop in threat activity in the wake of aggressive takedown efforts.

Comments