The New Oil8h ago

#Telehealth giant #Hims & #Hers says its customer support system was hacked

https://techcrunch.com/2026/04/02/telehealth-giant-hims-hers-says-its-customer-support-system-was-hacked/

#privacy #cybersecurtiy #DataBreach

Telehealth giant Hims & Hers says its customer support system was hacked | TechCrunch

The U.S. telehealth giant says hackers stole customer support ticket data over the course of several days in February.

TechCrunch
The New OilMar 14

New ‘#BlackSanta#EDR killer spotted targeting #HR departments

https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/

#cybersecurtiy

New ‘BlackSanta’ EDR killer spotted targeting HR departments

For more than a year, a Russian-speaking threat actor targeted human resource (HR) departments with malware that delivers a new EDR killer named BlackSanta.

BleepingComputer
The New OilMar 14

New #BeatBanker #Android #malware poses as #Starlink app to hijack devices

https://www.bleepingcomputer.com/news/security/new-beatbanker-android-malware-poses-as-starlink-app-to-hijack-devices/

#cybersecurtiy

New BeatBanker Android malware poses as Starlink app to hijack devices

A new Android malware named BeatBanker can hijack devices and tricks users into installing it by posing as a Starlink app on websites masquerading as the official Google Play Store.

BleepingComputer
The New OilFeb 23

#Mississippi medical center closes all clinics after #ransomware attack

https://www.bleepingcomputer.com/news/security/university-of-mississippi-medical-center-closes-clinics-after-ransomware-attack/

#cybersecurtiy #healthcare #UMMC

Mississippi medical center closes all clinics after ransomware attack

The University of Mississippi Medical Center (UMMC) closed all its clinic locations statewide on Thursday following a ransomware attack.

BleepingComputer
The New OilJan 23

Millions of people imperiled through sign-in links sent by #SMS

https://arstechnica.com/security/2026/01/millions-of-people-imperiled-through-sign-in-links-sent-by-sms/

#cybersecurtiy #passwordless

Millions of people imperiled through sign-in links sent by SMS

Even well-known services with millions of users are exposing sensitive data.

Ars Technica
Patrick CoyleJul 18, 2025
OMB Approves New CG Cybersecurity ICR – Burden estimate for cybersecurity plan requirements of CG cybersecurity final rule – https://tinyurl.com/y48ma6zz #CG #ICR #Cybersecurtiy
OMB Approves New CG Cybersecurity ICR

OMB Approves New CG Cybersecurity ICR – Burden estimate for cybersecurity plan requirements of CG cybersecurity final rule –

CFSN Detailed Analysis
Kevin Dominik KorteMar 18, 2025
Cybersecurity issues aren't just threatening startups when they hit you. A lack of cybersecurity can significantly hamper your exit strategies and make it less likely for your company to be acquired.
#cybersecurtiy #startup
https://www.designrush.com/agency/cybersecurity/trends/role-of-cybersecurity-in-mergers-and-acquisitions
KR. Laboratories 🇺🇦Feb 16, 2025

НА YOUTUBE ВИКРИТО БАГ, ЯКИЙ ДОЗВОЛЯВ ДЕАНОНІМІЗУВАТИ МІЛЬЯРДИ ОБЛІКОВИХ ЗАПИСІВ

https://brutecat.com/articles/leaking-youtube-emails

Днями я подумав, а які є способи деанонімізації на Ютюбі... Чи можуть адміністратори каналів розкривати конфіденційну інформацію про підписників? Якщо так, то яку? І чи підписники у свою чергу можуть розкрити якусь чутливу інформацію про автора каналу або інших користувачів?

І ось, на очі мені потрапляє чергова розсилка кібербезпеки від популярного польського порталу Sekurak.pl (https://sekurak.pl/prostym-mykiem-mozna-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/), в ній розповідається про неймовірний баг-витік на Youtube.

Кожен користувач Ютюбу міг забанити іншого користувача, наприклад у публічному чаті стріму, перейти на сторінку заблокованих https://myaccount.google.com/blocklist та знайти у вихідному коді поточної сторінки ідентифікатор заблокованого - так званий GAIA ID (Google ID). А знаючи ID - пряма дорога до розкриття електронної пошти і повної деанонімізації....

Власне, так і зробив дослідник безпеки із Сінгапуру (https://x.com/brutecat). Вивчаючи API Youtube, він 15/09/2024 помітив, що при блокуванні користувача надається ідентифікатор Gaia ID у деобфускованому (відкритому!) вигляді. Далі він через сервіс Google Pixel Recorder якось зміг перетворити ID на електронну пошту. Причому, йому вдалось обійти систему "сигналізації" Google, коли Pixel Recorder сповіщає користувача, що його "пробивають". Дослідник створив окремий експлойт, який автоматично перетворює Gaia ID на email (https://www.youtube.com/watch?v=nuZiiKVej84). Йому виплачено всього лиш 10 000$ доларів, а баг пофіксили 09/02/25 (значення jsdata тепер шифрується)...

Для дослідників OSINT - це просто фантастична діра. Адже, той хто про неї знав - міг масово деанонімізувати ботів/спамерів в Youtube, і не тільки. До прикладу, так могли "пачками вичисляти" опозиціонерів, які активно коментують відео на Youtube, зливаючи їх електронні адреси відповідним спецслужбам...

Можна лише здогадуватися, скільки в загальному проіснував цей баг, хто про нього знав і хто постраждав, а також скільки існує ще інших незадокументованих лазівок в екосистемі Google...

Дотримуйтесь анонімності, вивчайте API (https://developers.google.com/people/api/rest) і буде вам щастя!

#google #youtube #deanon #deanonimization #bugs #cybersecurtiy #security #кібербезпека #itsecurity #itnews #itбезпека #infosec #infosec_news

Leaking the email of any YouTube user for $10,000

What could've been the largest data breach in the world - an attack chain on Google services to leak the email address of any YouTube channel

brutecat.com
Alan K. MartinezDec 11, 2024

My #homelab space. I’m 99% done with connecting everything and wiring it up.

It’s not pretty or elegant but it works.

I’m able to #learn , practice, and #upskill.

#cybersecurtiy #cybersec

KR. Laboratories 🇺🇦Jun 15, 2024

Ну, що друзі!👋 Дочекалися!

Великий гайд по WhatsApp - вже на нашому сайті!!

[THE ULTIMATE WHATSAPP GUIDE 2024]:
https://kr-labs.com.ua/blog/whatsapp-ultimate-research-guide/

Запрошуємо ознайомитись з черговим унікальним матеріалом, який вийшов з невтомної кузні KR. Laboratories й розклав WhatsApp буквально по поличкам! 😮

Ми покажемо лайф-хаки та контрінструменти, які раніше ще ніде, нікому і ніколи не демонстрували!☝

Отже, у нашому матеріалі ви знайдете:

— Хронологія, історія, концепція WhatsApp. Ян Кум - від хрущовки під Києвом до Силіконової долини. Браян Ектон - як екс-працівник "Yahoo" став хрещеним батьком WhatsApp та Signal? Браття по розуму, або шлях до першого мільйону: усі злети і падіння WhatsApp.
— Цукерберг і рептилоїди. Або чому WhatsApp стежить за вами? Шпигунські історії, скандали й вразливості. Унікальні документи як WhatsApp використовували NSO Group в урядових спецопераціях різних країн світу.
— Архітектура, інфраструктура, файлова система, шифрування, принцип використання WhatsApp. Який технологічний стек використовує найпопулярніший месенджер в світі? Backend/Frontend та інша "підноготна" WhatsApp.
— Як хакери зламують WhatsApp? Унікальні приклади роботи з Metasploit. Ми довели, що взламати WhatsApp може навіть школяр!
— ...та ще багато-багато іншого!

Переходьте, читайте і просвітлюйтесь на Славу Україні!

Мирного неба нам! 🇺🇦💪👊

#whatsapp #_whatsapp #messengers #cybersecurtiy #websecurtiy #appsec #appsecurity #кібербезпека #месенджери #телеком #telecom #webappsec #osint #infosec

Безпека і анонімність в WhatsApp | KR. Laboratories

Велике керівництво по месенджеру WhatsApp: історія, архітектура, вразливості. Безпека і анонімність, етичний хакінг WhatsApp. Поради безпеки.

KR. Laboratories