Blog

Idei practice despre pentesting, conformitate, securitate AI și risc uman.

2026-07-14

Cele mai frecvente vulnerabilități de API pe care le găsim în pentesturi

API-urile duc astăzi cea mai mare parte a traficului și cea mai mare parte a riscului. Iată vulnerabilitățile pe care le întâlnim mereu în testele de penetrare, mapate pe OWASP API Security Top 10, plus o demonstrație ilustrativă a felului în care un bug „minor" de tip file inclusion se transformă în execuție de cod la distanță pe un serviciu .NET.

Citește →
2026-07-10

Phishing-ul prin cod de dispozitiv a crescut de 37 de ori — ocolirea MFA pe care trainingul tău n-o acoperă

Phishing-ul prin cod de dispozitiv ocolește parolele, MFA și chiar passkey-urile — pentru că nu atinge niciodată pagina de login. Detecțiile au crescut de 37 de ori în 2026, pe măsură ce kit-urile gata făcute banalizează tehnica. Cum funcționează, de ce învinge apărările actuale și cum îți testezi angajații.

Citește →
2026-07-09

Skill-uri AI otrăvite și exploit-uri false pe GitHub — noul atac pe lanțul de aprovizionare al echipei tale

Un skill fals pentru agenți AI a trecut de toate scanerele de securitate și a ajuns, se pare, la 26.000 de agenți. O campanie cu „proof-of-concept"-uri troianizate vânează chiar cercetătorii de securitate. Lanțul de aprovizionare software include acum și ce instalează AI-ul tău — iată cum îl aperi.

Citește →
2026-07-08

Agenții AI au o problemă de identitate — iar atacatorii o știu deja

Managementul identității a fost construit în jurul oamenilor — un dosar de angajare, un manager, o dată de plecare. Agenții AI nu au nimic din toate astea și se înmulțesc în companii mai repede decât îi guvernează cineva. Pași practici pentru CISO și manageri IT ca să țină sub control identitățile non-umane.

Citește →
2026-07-07

Primul atac ransomware condus de AI — ce înseamnă JADEPUFFER pentru prioritățile tale de patching

Sysdig a documentat JADEPUFFER, un atac evaluat drept condus integral de un LLM — intrare printr-o veche vulnerabilitate Langflow, colectare de credențiale și ștergerea unei baze de date de producție. Iată ce schimbă asta în felul în care îți prioritizezi patch-urile și expunerea.

Citește →
2026-07-07

FortiBleed — 110 milioane de credențiale furate și de ce firewall-ul tău e noua „bijuterie a coroanei"

Campania FortiBleed a vizat 430.000 de firewall-uri FortiGate, a colectat peste 110 milioane de credențiale și a fost legată de operațiunile de ransomware INC și Lynx. Ce s-a întâmplat, de ce echipamentele de margine sunt calea preferată a atacatorilor și ce poți face săptămâna aceasta.

Citește →
2026-07-07

Browserul tău AI poate fi convins să-ți fure datele — BioShocking și AutoJack, pe înțelesul tuturor

Două atacuri noi arată cum browserele și agenții AI pot fi manipulați de o singură pagină web — unul convinge agentul că joacă un joc, celălalt îl transformă în vehicul pentru execuție de cod. Ar trebui compania ta să permită browserele AI? Iată un răspuns practic.

Citește →
2026-07-03

Consimțământul în era AI — și de ce datele companiei tale fac parte din poveste

Un nou instrument gratuit, Human Consent Registry, le permite oamenilor să spună sistemelor AI dacă le pot folosi identitatea. E un semnal util pentru indivizi — și un memento că organizațiile trebuie să controleze și să securizeze datele pe care le dau AI-ului.

Citește →
2026-06-29

Pregătire NIS 2 și DORA — un punct de plecare practic

NIS 2 și DORA ridică ștacheta la riscul cibernetic, raportarea incidentelor și responsabilizarea conducerii. Iată un mod clar, fără jargon, de a vedea unde te afli — plus un checklist gratuit pe care îl poți descărca și parcurge.

Citește →
2026-06-27

Când peste 80% dintre breșe pornesc de la un om expus

Majoritatea incidentelor nu mai încep cu un firewall spart, ci cu un om. De ce riscul uman a devenit controlul decisiv pentru organizațiile NIS 2 și cum îl gestionezi ca pe un comportament, nu ca pe o simplă „conștientizare".

Citește →
2026-06-25

Pentest vs evaluare de vulnerabilități — de care ai nevoie?

Sunt adesea confundate, dar răspund la întrebări diferite. Iată când folosești fiecare — și de ce majoritatea echipelor au nevoie de ambele.

Citește →
2026-06-20

Checklist NIS 2 în 7 puncte

O listă practică, fără jargon, ca să vezi cât de pregătită e organizația ta pentru NIS 2 — și de unde să începi.

Citește →