#Oversharing.

#Meme #Memes #Humour #Humor

Oversharing y ciberseguridad – Qué está en juego si los empleados comparten demasiado en línea

La defensa de los empleados existe como concepto desde hace más de una década. Pero lo que comenzó como una forma bienintencionada de mejorar el perfil corporativo, el liderazgo intelectual y el marketing, también tiene algunas consecuencias no deseadas. Cuando los profesionales publican sobre su trabajo, su empresa y su función, esperan llegar a profesionales con ideas afines, así como a clientes potenciales y socios. Desde ESET, advierten que los actores maliciosos también están prestando atención y que cuanta más información haya, más oportunidades habrá para llevar a cabo actividades maliciosas que podrían acabar afectando gravemente a una organización. Una vez que esa información es de dominio público, a menudo se utiliza para ayudar a crear ataques convincentes de spearphishing o de compromiso del correo electrónico empresarial (BEC) (Fuente ESET Latam).

“La primera etapa de un ataque típico de ingeniería social es la recopilación de información. La siguiente es utilizar esa información como arma en un ataque de spearphishing diseñado para engañar al destinatario y que instale sin saberlo malware en su dispositivo. O, potencialmente, para que comparta sus credenciales corporativas para obtener acceso inicial. Esto podría lograrse a través de un correo electrónico, un mensaje de texto o incluso una llamada telefónica. Alternativamente, podrían utilizar la información para suplantar a un ejecutivo de alto nivel o a un proveedor en un correo electrónico, una llamada telefónica o una videollamada en la que soliciten una transferencia bancaria urgente.”, revela Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Las principales plataformas para compartir este tipo de información son las habituales. LinkedIn es quizás la más utilizada. Se podría describir como la mayor base de datos abierta de información corporativa del mundo: un auténtico tesoro de puestos de trabajo, funciones, responsabilidades y relaciones internas. También es el lugar donde los reclutadores publican ofertas de empleo, que pueden revelar demasiados detalles técnicos que luego pueden aprovecharse en ataques de spearphishing.

GitHub es quizás más conocido en el contexto de la ciberseguridad como un lugar donde los desarrolladores distraídos publican secretos codificados, direcciones IP y datos de clientes. Pero también pueden compartir información más inocua sobre nombres de proyectos, nombres de canalizaciones CI/CD e información sobre las pilas tecnológicas y las bibliotecas de código abierto que utilizan. También pueden compartir direcciones de correo electrónico corporativas en las configuraciones de Git commit.

Luego están las plataformas sociales clásicas orientadas al usuario final, como Instagram y X. Aquí es donde los empleados suelen compartir detalles sobre sus planes de viaje a conferencias y otros eventos, lo que podría utilizarse en su contra y en contra de su organización. Incluso la información que aparece en el sitio web de su empresa podría ser útil para un posible estafador o hacker. Piense en detalles sobre plataformas técnicas, proveedores y socios, o anuncios corporativos importantes, como actividades de fusiones y adquisiciones. Todo ello podría servir de pretexto para un phishing sofisticado.

Estos ataques suelen requerir una combinación de suplantación de identidad, urgencia y relevancia. A continuación se presentan algunos ejemplos hipotéticos:

• Un atacante encuentra información en LinkedIn sobre un nuevo empleado que ocupa un puesto en el departamento de TI de la empresa A, incluyendo sus funciones y responsabilidades principales. Se hace pasar por un proveedor tecnológico clave y afirma que es necesaria una actualización de seguridad urgente, haciendo referencia al nombre, los datos de contacto y el puesto del objetivo. El enlace de la actualización es malicioso.
• Un agente malicioso encuentra información sobre dos compañeros de trabajo en GitHub, incluido el proyecto en el que están trabajando. Se hace pasar por uno de ellos en un correo electrónico en el que le pide al otro que revise un documento adjunto, que contiene malware.
• Un estafador encuentra un video de un ejecutivo en LinkedIn o en el sitio web de una empresa. Ve en el feed de Instagram/X de esa persona que va a dar una conferencia y que estará fuera de la oficina. Sabiendo que puede ser difícil ponerse en contacto con el ejecutivo, lanza un ataque BEC deepfake utilizando video o audio para engañar a un miembro del equipo financiero y que transfiera fondos urgentes a un nuevo proveedor.

Desde ESET describen ejemplos reales de actores maliciosos que utilizan técnicas de «inteligencia de fuentes abiertas» (OSINT) en las primeras etapas de los ataques. Entre ellos se incluyen:

• Un ataque BEC que le costó 3.6 millones de dólares a Children’s Healthcare of Atlanta (CHOA): es probable que los actores maliciosos revisaran los comunicados de prensa sobre un campus recién anunciado para obtener más detalles, incluido el socio constructor del hospital. A continuación, habrían utilizado LinkedIn y/o el sitio web de la empresa para identificar a los principales ejecutivos y miembros del equipo financiero de la empresa constructora implicada (JE Dunn). Por último, se hicieron pasar por el director financiero en un correo electrónico enviado al equipo financiero de CHOA en el que solicitaban que actualizaran sus datos de pago para JE Dunn.
• Los grupos SEABORGIUM, con sede en Rusia, y TA453, alineado con Irán, utilizan OSINT para realizar reconocimientos antes de lanzar ataques de spearphishing contra objetivos preseleccionados. Según el NCSC del Reino Unido, utilizan las redes sociales y las plataformas de networking profesional para «investigar los intereses [de sus objetivos] e identificar sus contactos sociales o profesionales en el mundo real». Una vez que han establecido la confianza y la relación a través del correo electrónico, envían un enlace para recopilar las credenciales de las víctimas.

“Si bien los riesgos de compartir en exceso son reales, las soluciones son sencillas. El arma más potente es la educación, actualizar los programas de concienciación sobre seguridad es un punto fundamental para garantizar que quienes integran una compañía comprendan la importancia de no compartir en exceso en las redes sociales. Solicitar al personal que evite compartir información a través de mensajes directos no solicitados, incluso si reconocen al usuario (ya que su cuenta podría haber sido suplantada) y asegurarse de que sean capaces de detectar los intentos de phishing, BEC y deepfake.”, aconseja Lopez de ESET Latinoamérica.

Además, dentro de las recomendaciones de seguridad de ESET Latinoamérica, se encuentra el respaldar esto con una política estricta sobre el uso de las redes sociales, definiendo límites claros sobre lo que se puede y no se puede compartir, y aplicando fronteras claras entre las cuentas personales y las profesionales/oficiales. Es posible que también sea necesario revisar y actualizar los sitios web y las cuentas corporativas para eliminar cualquier información que pueda ser utilizada como arma.

También, chequear la autenticación multifactorial (MFA) y las contraseñas seguras (almacenadas en un administrador de contraseñas) también deben ser una práctica habitual en todas las cuentas de redes sociales, por si las cuentas profesionales son comprometidas para atacar a los compañeros de trabajo.

Por último, supervisar las cuentas de acceso público, siempre que sea posible, para detectar cualquier información que pueda ser utilizada para el spearphishing y el BEC, y realizar ejercicios de equipo rojo con los empleados para poner a prueba su concienciación.

“La IA está haciendo que sea más rápido y fácil que nunca para los actores maliciosos perfilar a sus objetivos, recopilar OSINT y luego redactar correos electrónicos/mensajes convincentes en un lenguaje natural perfecto. Los deepfakes impulsados por IA aumentan aún más sus opciones. La conclusión debería ser que, si algo es de dominio público, hay que esperar que un ciberdelincuente también lo sepa y que pronto llamará a la puerta.”, cierra Martina Lopez de ESET.

Comment section from: https://m.youtube.com/watch?v=LYCJ9pvQJhA

YouTube makes it difficult to copypaste long comments, so please refer to the original video if you're unable to read the screenshots.

I am trying the pause method, but I think the only reason it's been working is because I'm in a slump and just less inclined to talk in general. Oversharing is a big problem for me, and I have the issues these commenters talk about. I really wish I knew how to control it all the time, but sometimes it's such a strong impulse, my inner voice is saying "Shut up!" but my mouth just runs away.

I had it right when I was fully mute 😪

#autism #actuallyautistic #autisticproblems #oversharing #mentalhealth

After 20+ years into a relationship, the phrase "grease me up woman!" takes on a whole new meaning.🤣

#BackPain #Ointment #Unguent #OverSharing #TigerBalm #TheSimpsons

Touched one of my OSS issue trackers and suffered some psychic damage as a result. Oops.

Doesn't help that I am a bit sensitive rn; I've been able to work out a switch to a devops role at work, which is more my speed than feature development has been. But we've got a dedicated developer-experience person starting in a monthish, and like. insofar as that's even a role that exists, it's /my jam/.

I'm terrified he'll be all "wow, what's this shitty bespoke CLI tool you're using, you should switch to $alternative".

Anyway BTW I PROBABLY HAVE A THERAPIST NOW so maybe that will help. Unless she recommends I just quit OSS for my mental health 😬

#Oversharing #TMI #StreamOfConsciousness #Hashtags

Oversharing y ciberseguridad: qué está en juego si los empleados comparten demasiado en línea 🧐💻 #Oversharing #Empresa #ESET #spearphishing 🐧 #uiolibre #Colombia

http://www.uiolibre.com/oversharing-y-ciberseguridad-que-esta-en-juego-si-los-empleados-comparten-demasiado-en-linea/

BlueSky’s Solution To Moderating Is Moderating Without Moderating via Social Proximity

I have noticed a lot of people are confused about why some posts don’t show up on threads, though they are not labeled by the moderation layer. Bluesky has begun using what it calls social neighborhoods (or network proximity) as a ranking signal for replies in threads. Replies from people who are closer to you in the social graph, accounts you follow, interact with, or share mutual connections with, are prioritized and shown more prominently. Replies from accounts that are farther away in that network are down-ranked. They are pushed far down the thread or placed behind “hidden replies.”

Each person gets their own unique view of a thread based on their social graph. It creates the impression that replies from distant users simply don’t exist. This is true even though they’re still technically public and viewable if you expand the thread or adjust filters. Bluesky is explicitly using features of subgraphs to moderate without moderating. Their reasoning is that if you can’t see each other, you can’t harass each other. Ergo, there is nothing to moderate.

Bluesky mentions that here:

https://bsky.social/about/blog/10-31-2025-building-healthier-social-media-update

As a digression, I’m not going to lie: I really enjoyed working on software built on the AT protocol, but their fucking users are so goddamn weird. It’s sort of like enjoying building houses, but hating every single person who moves into them. But, you don’t have to deal with them because you’re just the contractor. That is how I feel about Bluesky. I hate the people. I really like the protocol and infrastructure.

I sort of am a sadist who does enjoy drama, so I do get schadenfreude from people with social media addictions and parasocial fixations who reply to random people on Bluesky, because they don’t realize their replies are disconnected from the author’s thread unless that person is within their network. They aren’t part of the conversation they think they are. They’re algorithmically isolated from everyone else. Their replies aren’t viewable from the author’s thread because of how Bluesky handles social neighborhoods.

Bluesky’s idea of social neighborhoods is about grouping users into overlapping clusters based on real interaction patterns rather than just the follow graph. Unlike Twitter, it does not treat the network as one big public square. Instead, it models networks of “social neighborhoods” made up of people you follow, people who follow you, people you frequently interact with, and people who are closely connected to those groups. They’re soft, probabilistic groupings rather than strict labels.

Everyone does not see the same replies. Bluesky is being a bit vague with “hidden.” Hidden means your reply is still anchored to the thread and can be expanded. There is another way Bluesky can handle this. Bluesky uses social neighborhoods to judge contextual relevance. Replies from people inside or near your social neighborhood are more likely to be shown inline with a thread, expanded by default, or served in feeds. Replies from outside your neighborhood are still public and still indexed, but they’re treated as lower-context contributions.

Basically, if you reply to a thread, you will see it anchored to the conversation, and everyone will see it in search results, as a hashtag, or from your profile, but it will not be accessible via the thread of the person you were replying to. It is like shadow-banning people from threads unless they are strongly networked.

Because people have not been working with the AT Protocol like I have, they assume they are shadow-banned across the entire Bluesky app view. No—everyone is automatically shadow-banned from everyone else unless they are within the same social neighborhood. In other words, you are not part of the conversation you think you are joining because you are not part of their social group.

Your replies will appear in profiles, hashtag feeds, or search results without being visually anchored to the full thread. Discovery impressions are neighborhood-agnostic: they serve content because it matches a query, tag, or activity stream. Once the reply is shown, the app then decides whether it’s worth pulling in the rest of the conversation for you. If the original author and most participants fall outside your neighborhood, Bluesky often chooses not to expand that context automatically.

Bluesky really is trying to avoid having to moderate, so this is their solution. Instead of banning or issuing takedown labels to DIDs, the system lets replies exist everywhere, but not in that particular instance of the thread.

I find this ironic because a large reason why many people are staying on Bluesky and not moving to the fediverse—thank God, because I do not want them there—is discoverability, virality, and engagement.

In case anyone is asking how I know so much about how these algorithms work: I was a consultant on a lot of these types of algorithms, so I certainly hope I’d know how they work, lol. No, you get no more details about the work I’ve done. I have no hand in the algorithm Bluesky is using, but I have proposed and implemented that type of algorithm before.

I have an interest in noetics and the noosphere. A large amount of my ontological work is an extension of my attempts to model domains that have no spatial or temporal coordinates. The question is how do you generalize a metric space that has no physically, spatial properties. I went to school to try to formalize those ideas. Turns out they’re rather useful for digital social networks, too. The ontological analog to spatial distance, when you have no space, is a graph of similarities.

This can be modeled by representing each item as a node in a weighted graph, where edges are weighted by dissimilarity rather than similarity. Highly similar items are connected by low-weight edges, while less similar items are connected by higher-weight edges. Distances in the graph, computed using standard shortest-path algorithms, then correspond to degrees of similarity. Closely related items are separated by short path lengths, while increasingly dissimilar items require longer paths through the graph. It turns out that attempts to generalize metric spaces for noetic domains—to model noetic/psychic spaces—are actually pretty useful for social media algorithms, lol.

Oversharing corporativo: el nuevo aliado de los ciberdelincuentes

Oversharing corporativo: el nuevo aliado de los ciberdelincuentes
San José, 05 feb (elmundo.cr) – La defensa de los empleados existe como concepto desde hace más de una década. Pero lo que comenzó como una forma bienintencionada de mejorar el perfil corporativo, el liderazgo intelectual y el marketing, también tiene algunas consecuencias n [...]

#Delincuentes #EconomíaYNegocios #Instagram #Oversharing #X

https://elmundo.cr/economia-y-negocios/oversharing-corporativo-el-nuevo-aliado-de-los-ciberdelincuentes/

#Oversharing.

#Meme #Memes #Humour #Humor