350 private links
Le broker MQTT de Meari était ouvert depuis 1 041 jours sans mot de passe !
En entrant par cette porte laissée ouverte, Sammy s'est retrouvé face à un tableau de bord EMQX qui liste en temps réel tous les babyphones connectés dans le monde. On sait ainsi qui est en ligne, depuis quand, et surtout ce que filme chaque caméra. Pour le démontrer concrètement, il a développé un petit outil (CloudEdge Babyphone PoC) capable de cibler n'importe lequel de ces appareils.
Liste des marques impliquées: https://drive.google.com/file/d/1tg_Piq13wNyH5niZe_WwuoeAOvZ0sgPR/view
Bloquer les IPs lisant des wordpress douteux, des .php sur un site statique, etc...
The NIS-2 directive is a EU norm to increase digital security. Here is the german version of it.
The incident was caused by a configuration state drift between our central software repository and the live hardware settings in the FR7 production environment that went undetected before the rollout.
The Forward Error Correction settings were missing during the release.
That's why Content Security Policies in HTTP are still useful for CSS
GreyNoise watches the internet's background radiation—the constant storm of scanners, bots, and probes hitting every IP address on Earth. We've cataloged billions of these interactions to answer one critical question: is this IP a real threat, or just internet noise? Security teams trust our data to cut through the chaos and focus on what actually matters.
Les captures montrent des accès à plusieurs outils internes de la Gendarmerie :
- Recrutement : gestion et consultation de dossiers de candidatures
- Gendform : plateformes de formation
- Oryx : outils de reconversion professionnelle
Les captures montrent également un accès au compte Keycloak du ministère, le système central qui gère l’authentification et les autorisations vers de nombreux services internes de l’État.
Ainsi qu'une capture d'écran au compte MindefConnect qui configure le 2FA aux applications.
Le risque principal n’est donc pas “des sites gouvernementaux hackés”, mais la compromission d’identités d’agents, susceptible de provoquer un effet domino sur des systèmes sensibles de l’État.
On December 12, 2025, PayPal identified that due to an error in its PayPal Working Capital ("PPWC") loan application, the PII of a small number of customers was exposed to unauthorized individuals during the timeframe of July 1, 2025 to December 13, 2025
The data breach involves 100 customers
Des données personnelles dont le RIB des personnels ayant travaillé avant 2007 au CNRS sont achetables en ligne.
Ce vol de données fait suite à une série de vols qui dure depuis des mois en France.
En se connectant aux serveurs MQTT utilisés par DJI, Azdoufal affirme avoir pu identifier environ 7 000 robots aspirateurs actifs dans 24 pays en l’espace de quelques minutes. Chaque appareil envoyait régulièrement des données : numéro de série, pièces de la maison en cours de nettoyage, obstacles rencontrés, niveau de batterie, retour à la station de charge, [...] plan 2D.
Selon lui, il ne s’agissait pas d’un piratage classique : aucune intrusion par force brute ou exploitation complexe. Il aurait simplement extrait le « token » privé de son propre appareil, censé limiter l’accès à ses seules données. Or, les serveurs auraient renvoyé les informations d’autres utilisateurs sans contrôle d’accès suffisamment strict.
En effet, la faille CVE-2026-20841 exploite une injection de commande via des liens malveillants dans un fichier Markdown. Vous ouvrez le fichier, vous cliquez sur le lien, et hop, exécution de code à distance sur votre bécane. Personne chez M$ n'avait pensé à filtrer les protocoles des URL. Résultat, un lien du type file:///C:/Windows/System32/cmd.exe ou ms-msdt:// s'exécute comme si de rien n'était.
Les systèmes de vérification d'âge sont facilement contournable.
The official post of Notepad++