Blog
Idei practice despre pentesting, conformitate, securitate AI și risc uman.
Cele mai frecvente vulnerabilități de API pe care le găsim în pentesturi
API-urile duc astăzi cea mai mare parte a traficului și cea mai mare parte a riscului. Iată vulnerabilitățile pe care le întâlnim mereu în testele de penetrare, mapate pe OWASP API Security Top 10, plus o demonstrație ilustrativă a felului în care un bug „minor" de tip file inclusion se transformă în execuție de cod la distanță pe un serviciu .NET.
Citește →2026-07-10Phishing-ul prin cod de dispozitiv a crescut de 37 de ori — ocolirea MFA pe care trainingul tău n-o acoperă
Phishing-ul prin cod de dispozitiv ocolește parolele, MFA și chiar passkey-urile — pentru că nu atinge niciodată pagina de login. Detecțiile au crescut de 37 de ori în 2026, pe măsură ce kit-urile gata făcute banalizează tehnica. Cum funcționează, de ce învinge apărările actuale și cum îți testezi angajații.
Citește →2026-07-09Skill-uri AI otrăvite și exploit-uri false pe GitHub — noul atac pe lanțul de aprovizionare al echipei tale
Un skill fals pentru agenți AI a trecut de toate scanerele de securitate și a ajuns, se pare, la 26.000 de agenți. O campanie cu „proof-of-concept"-uri troianizate vânează chiar cercetătorii de securitate. Lanțul de aprovizionare software include acum și ce instalează AI-ul tău — iată cum îl aperi.
Citește →2026-07-08Agenții AI au o problemă de identitate — iar atacatorii o știu deja
Managementul identității a fost construit în jurul oamenilor — un dosar de angajare, un manager, o dată de plecare. Agenții AI nu au nimic din toate astea și se înmulțesc în companii mai repede decât îi guvernează cineva. Pași practici pentru CISO și manageri IT ca să țină sub control identitățile non-umane.
Citește →2026-07-07Primul atac ransomware condus de AI — ce înseamnă JADEPUFFER pentru prioritățile tale de patching
Sysdig a documentat JADEPUFFER, un atac evaluat drept condus integral de un LLM — intrare printr-o veche vulnerabilitate Langflow, colectare de credențiale și ștergerea unei baze de date de producție. Iată ce schimbă asta în felul în care îți prioritizezi patch-urile și expunerea.
Citește →2026-07-07FortiBleed — 110 milioane de credențiale furate și de ce firewall-ul tău e noua „bijuterie a coroanei"
Campania FortiBleed a vizat 430.000 de firewall-uri FortiGate, a colectat peste 110 milioane de credențiale și a fost legată de operațiunile de ransomware INC și Lynx. Ce s-a întâmplat, de ce echipamentele de margine sunt calea preferată a atacatorilor și ce poți face săptămâna aceasta.
Citește →2026-07-07Browserul tău AI poate fi convins să-ți fure datele — BioShocking și AutoJack, pe înțelesul tuturor
Două atacuri noi arată cum browserele și agenții AI pot fi manipulați de o singură pagină web — unul convinge agentul că joacă un joc, celălalt îl transformă în vehicul pentru execuție de cod. Ar trebui compania ta să permită browserele AI? Iată un răspuns practic.
Citește →2026-07-03Consimțământul în era AI — și de ce datele companiei tale fac parte din poveste
Un nou instrument gratuit, Human Consent Registry, le permite oamenilor să spună sistemelor AI dacă le pot folosi identitatea. E un semnal util pentru indivizi — și un memento că organizațiile trebuie să controleze și să securizeze datele pe care le dau AI-ului.
Citește →2026-06-29Pregătire NIS 2 și DORA — un punct de plecare practic
NIS 2 și DORA ridică ștacheta la riscul cibernetic, raportarea incidentelor și responsabilizarea conducerii. Iată un mod clar, fără jargon, de a vedea unde te afli — plus un checklist gratuit pe care îl poți descărca și parcurge.
Citește →2026-06-27Când peste 80% dintre breșe pornesc de la un om expus
Majoritatea incidentelor nu mai încep cu un firewall spart, ci cu un om. De ce riscul uman a devenit controlul decisiv pentru organizațiile NIS 2 și cum îl gestionezi ca pe un comportament, nu ca pe o simplă „conștientizare".
Citește →2026-06-25Pentest vs evaluare de vulnerabilități — de care ai nevoie?
Sunt adesea confundate, dar răspund la întrebări diferite. Iată când folosești fiecare — și de ce majoritatea echipelor au nevoie de ambele.
Citește →2026-06-20Checklist NIS 2 în 7 puncte
O listă practică, fără jargon, ca să vezi cât de pregătită e organizația ta pentru NIS 2 — și de unde să începi.
Citește →