Everyone should sign up for Zack’s newsletter.

It’s packed with the news you need, is insightful, entertaining, and concise!

#infosec #cybersecurity #news #itsecurity https://mastodon.social/@zackwhittaker/114721301901032070

Bonus #Joke:
Questionfor: What’s the difference between a good password and a bad joke?
Answer: A good password is hard to crack.

(It's #HootinTootinTuesday again! Post some jokes or funny memes under this hashtag today, and bring lots of smiles to #Mastodon.)

Can't wait until next Friday for Elbsides 2025 to happen.
Don't miss this opportunity to get inspired, informed and connect.

We are nearly sold out - register now to be part of the #ITSecurity community in #Hamburg on June 13th.
https://www.elbsides.eu/2025/registration/

AI Agents: Loyal Only to the Prompt

Recently I thought “If AI scrapers are scraping my website, would a prompt injection work? Just adding invisible Prompt commands …?”

And just today, a colleague sent me this link to an article about prompt injection in GitLab Duo: Remote Prompt Injection in GitLab Duo Leads to Source Code Theft:

TL;DR: A hidden comment was enough to make GitLab Duo leak private source code and inject untrusted HTML into its responses.

https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo

Well – it shows: damit! Someone else was faster!

But besides that: it confirms a paranoid thought that I have been harboring for quite a while. Any output of an AI system must not be trusted blindly.

[…]

https://www.locked.de/ai-agents-loyal-only-to-the-prompt/

Mastodon hivemind question:

Employer is rolling out Windows Hello for Business for work-issued devices. Employees have been told that they must download a proprietary 2FA app to their *personal* (i.e not work-issued) devices to enable WH4B enrolment for their work devices.

I have struggled to find any information via Microsoft support pages to explain the need for this step. Any #ITsecurity or #infosec people able to point me to relevant documentation on this?

Microsoft entzieht einem Staatsanwalt des Internationalen Strafgerichtshofs den Zugriff auf dessen E-Mails.

mastodon.social/@PWS_1/114513735385537848

Microsoft kappt einer Universität in China (!) den Zugang zu deren Cloud-Dienste.

Also, nur mal so aus Neugierde:
Liebe Unternehmen, Einrichtungen, Institute, Universitäten, ... in Deutschland:
Fühlt ihr euch noch wohl, wenn ihr in eurer IT-Landschaft weiterhin auf Produkte aus dem Hause Microsoft setzt?
Oder überhaupt auf irgendeine Software "Made in USA"?

Ja, ganz sicher?

social.anoxinon.de/@RoedigerRG/114507201227166306

#Microsoft #UnplugTrump #UnplugUSA #ITsecurity #CyberSecurity

AI-powered features are the new attack surface! Check out our new blog in which LMG Security’s Senior Penetration Tester Emily Gosney @baybedoll shares real-world strategies for testing AI-driven web apps against the latest prompt injection threats.

From content smuggling to prompt splitting, attackers are using natural language to manipulate AI systems. Learn the top techniques—and why your web app pen test must include prompt injection testing to defend against today’s AI-driven threats.

Read now: https://www.lmgsecurity.com/are-your-ai-backed-web-apps-secure-why-prompt-injection-testing-belongs-in-every-web-app-pen-test/

Let's not forget that companies do take their time to announce their data breaches.
https://www.varonis.com/blog/data-breach-response-times

The Valve's Steam data breach can be a BS but on doubt just revise your own security, that doesn't hurt (so much) does it?

Guten Morgen,

Phishing kann jede*n treffen. Mails und SMS erreichen inzwischen zumindest bei manchen Angriffen eine hohe Qualität. Früher konnte man Phishingmails meistens an haarsträubenden Grammatikfehlern, schlechter Übersetzung oder fehlende persönliche Informationen erkennen. Durch Datenlecks oder über das Anzapfen von Social Media Beiträgen gelangen Angreifer*innen an persönliche Informationen und können mit KI überzeugend klingende Texte in beliebigen Sprachen schreiben.
Um auch vor gut gemachten Phishingversuchen geschützt zu sein, solltest du nie auf Links in Mails oder SMS klicken. Speicher stattdessen die Webseite deiner Bank, von DHL, deinen Social Media Plattformen oder deinen Onlineshops als Bookmarks. Dies geht über die Bookmark Funktion im Browser oder als URL in deinem Passwortmanager. Bei quasi allen Anbietern kannst du wichtige Benachrichtigungen in deinem Kundenbereich einsehen. Wenn du eine Mail bekommst, die dich zu einer Handlung auffordert, gehst du einfach auf deinen Bookmark. So bist du auf jeden Fall auf der echten Seite und nicht auf einer Phishingseite. Danach kannst du im Kundenbereich nachsehen, ob es wirklich etwas zu tun gibt.
Nimm den heutigen Tag als Anlass und speichere deine Bank und deine Social Media Seiten als Bookmark.

Habt einen guten Tag!

Legal alert: Broadcom is issuing cease-and-desist letters to VMware perpetual-license users

Perpetual-license agreements deemed non-compliant
Users must migrate to subscriptions or face legal action
Broadcom cites IP infringement and support violations
Action: Audit your license status and plan your upgrade path now

#VMware #Broadcom #Compliance #ITsecurity #SoftwareLicensing
https://arstechnica.com/gadgets/2025/05/broadcom-sends-cease-and-desist-letters-to-subscription-less-vmware-users/

Guten Morgen,

Werbung ist nicht nur nervig. Sie verbraucht auch eine Menge Daten und verlangsamt damit Webseiten und Apps. Werbeplätze werden in automatischen Auktionen an die Meistbietenden verkauft. Dazu werden verschiedenste Daten über dich gesammelt und verkauft. Außerdem gibt es immer wieder Fälle, in denen Werbung für eine Anwendung gar nicht vom Anbieter stammt sondern von Angreifer*innen, die dich zu Seiten mit Trojanern locken. Oder es wird sogar in der Werbung selbst Schadcode auf seriösen Seiten ausgeliefert.
Es gibt daher gute Gründe, warum du einen Werbeblocker nutzen solltest. Besonders gut ist zum Beispiel uBlock Origin https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/ Neben Werbung unterbindet uBlock Origin auch Tracker, die deine Daten sammeln, oder bekannte Seiten mit Schadcode.
Webseiten werden schneller geladen und sind ohne die ganze Werbung viel besser zu lesen. Ich bekomme jedes mal einen kleinen Schock, wenn ich Webseiten mal ohne Werbeblocker sehe.
Da Google in Chrome die Schnittstelle für Erweiterungen so geändert hat, das Werbeblocker nicht mehr richtig arbeiten, solltest du Firefox eine Chance geben. Hier funktionieren die Erweiterungen wie sie sollen.
Sowohl Firefox als auch uBlock Origin sind OpenSource. Du kannst sie also kostenlos nutzen und bei Problemen auf eine breite Community zurückgreifen.
Wenn du einer Webseite Geld zukommen lassen möchtest, weil du jetzt keine Werbung mehr siehst und damit deren Einnahmequelle wegfällt, gibt es meistens auch andere Wege. Z.B. Abos, Spenden, Mitgliedschaften oder Dienste wie Patreon. Gerade in Zeiten von Fakenews und KI, die alles frisst was erreichbar ist, ist eine unabhängige Finanzierung guter Angebote von Qualität notwendig.
Nimm den heutigen Tag als Anlass und probiere Firefox mit uBlock Origin.

Habt einen guten Tag!

Okay friends, so I’m in the middle of creating a new brand, you may have guessed it, CybersecKyle. I’m going to be building this into Cybersecurity resources, tips, and overall online safety for people.

This will include; videos, articles, etc. Still coming up with ideas. Videos will be short form at first. Insta reels, TikTok, YT shorts, etc.

I’m open to suggestions!

Be on the lookout for more news. I’ll be posting the social accts once I have them ready.

Hey zusammen,

welche #Blogs könnt ihr empfehlen, die man per #RSS abonnieren kann?

Ich interessiere mich hauptsächlich für:

#linux #oss #foss #itsecurity #datenschutz #smarthome

Gerne auch private kleine Blogs!

rant_mode=on

Dear App makers,

If I already have a login to your site/system/service then do NOT make me create a PIN to “make it simpler to login to the App”.

Making it “simpler to login to the App” would be remembering my credentials and using whatever biometrics are in my device to retrieve them, not having me create yet another secret that I need to remember and manage.

Seriously… please stop doing this!

rant_mode=off

Liebes @bsi

Wollt ihr nicht den CVE Service nach Europa holen?
Das wäre ein ziemlich gewinnbringender Move für dir IT-Sicherheit Europas

https://www.heise.de/news/US-Kuerzungen-CVE-Liste-koennte-sofort-stoppen-10353326.html

Guten Morgen liebe*r Fediversebwohner*in,

Viele Geräte werden mit einem Default Passwort ausgeliefert. Diese sind oft sehr kurz und sollen eigentlich nur genutzt werden, bis du ein eigenes eingerichtet hast. Doch bei vielen Installationsassistenten wird das Ändern des Passwortes nicht erzwungen und so bleiben die Passwörter aktiv und werden vergessen.
Das ist häufig ein Sicherheitsproblem. Denn die Defaultpasswörter stehen bei den Herstellern in den Anleitungen und werden in Datenbanken gesammelt. Hat ein*e Angreifer*in Zugang zum Gerät oder Anwendung kann sie sie diese einfach ausprobieren und bekommt vollen Zugriff. Gerade bei Routern, über die der ganze Netzwerkverkehr läuft, kann der Verkehr umgeleitet oder manipuliert werden, um z.B. Trojaner zu verteilen oder den Router in ein Botnetz zu integrieren. Er greift dann z.B. andere Router an oder nimmt an Distributed Denial of Service Angriffen teil.
Auch aufgedruckte scheinbar zufällige Passwörter können unsicher sein. Wenn diese z.B. von der Seriennummer abgeleitet werden oder vom Produktionsdatum, könnte ein*e Angreifer*in die möglichen Passwörter mit Glück bereits so weit einschränken, dass sie dieses erraten kann.
Du solltest daher die Standardzugangsdaten immer ändern.
Nimm den heutigen Tag als Anlass und setze bei deinem Router ein sicheres Passwort für die Verwaltungsoberfläche.

Habt einen wundervollen Tag

Wie bringt man die Mitmenschen nur dazu, den Mailverkehr zu verschlüsseln? Stöhn...

Bei einer Analyse wurden #Zugangsdaten von 241 deutschen #Landtagsabgeordneten im #Darknet gefunden – viele davon im Klartext.

Besonders brisant: Offizielle #Mailadressen wurden auch für private Dienste wie #Pornoportale genutzt. Die #Cybersicherheit leidet unter schwachen Passwörtern und fahrlässigem Umgang mit sensiblen Informationen.

https://www.zdf.de/nachrichten/panorama/kriminalitaet/passwoerter-politiker-darknet-100.html