This posting is here to collect cyber security news in March 2025.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
This posting is here to collect cyber security news in March 2025.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
111 Comments
Tomi Engdahl says:
New CCA Jailbreak Method Works Against Most AI Models
Two Microsoft researchers have devised a new jailbreak method that bypasses the safety mechanisms of most AI systems.
https://www.securityweek.com/new-cca-jailbreak-method-works-against-most-ai-models/
Two Microsoft researchers have devised a new, optimization-free jailbreak method that can effectively bypass the safety mechanisms of most AI systems.
Called Context Compliance Attack (CCA), the method exploits a fundamental architectural vulnerability present within many deployed gen-AI solutions, subverting safeguards and enabling otherwise suppressed functionality.
“By subtly manipulating conversation history, CCA convinces the model to comply with a fabricated dialogue context, thereby triggering restricted behavior,” Microsoft’s Mark Russinovich and Ahmed Salem explain in a research paper (PDF).
“Our evaluation across a diverse set of open-source and proprietary models demonstrates that this simple attack can circumvent state-of-the-art safety protocols,” the researchers say.
Tomi Engdahl says:
FreeType Zero-Day Being Exploited in the Wild
Meta’s Facebook security team warns of live exploitation of a zero-day vulnerability in the open-source FreeType library.
https://www.securityweek.com/freetype-zero-day-being-exploited-in-the-wild/
Tomi Engdahl says:
Management & Strategy
RSA Conference Playbook: Smart Strategies from Seasoned Attendees
Your guide on how to get through the conference with your sanity, energy, and key performance indicators (KPIs) intact.
https://www.securityweek.com/rsa-conference-playbook-smart-strategies-from-seasoned-attendees/
Tomi Engdahl says:
https://www.uusiteknologia.fi/2025/03/17/tekoalyhanke-pyrkii-tunnistamaan-langattomien-kyberhyokkaykset/
Tomi Engdahl says:
https://hackaday.com/2025/03/15/my-scammer-girlfriend-baiting-a-romance-fraudster/
Tomi Engdahl says:
Daniel Thomas / Financial Times:
Ofcom will enforce rules under the UK’s Online Safety Act, designed to protect internet users from illegal content and harmful activity online, from March 17 — Regulator Ofcom will begin assessing tech groups’ compliance with new obligations under Online Safety Act
https://www.ft.com/content/91414488-7146-4b9c-9ac4-15767be4ec9f
Tomi Engdahl says:
Käytettiinkö Belgradissa laitonta ääniasetta? Mielenosoittajat valtasi pakokauhu Serbiassa
Video|Serbian hallintoa syytetään laittoman ääniaseen käyttämisestä lauantain mielenosoituksessa. Maan oikeuslaitos uhkailee ”misinformaatiota” levittäviä mielenosoittajia oikeustoimilla.
https://www.hs.fi/maailma/art-2000011102442.html?utm_medium=alsoreadthese&utm_campaign=hs_tf&utm_source=www.is.fi
Tomi Engdahl says:
K-Citymarketin asiakkaat näkivät toistensa henkilötietoja
Joukko K-Citymarketin verkkosivujen käyttäjiä joutui järjestelmävirheen uhriksi.
https://www.iltalehti.fi/digiuutiset/a/38fdc302-e355-4842-8764-be750cc532cd
Tomi Engdahl says:
Saitko tällaisen viestin Kelalta? Älä avaa
Kela muistuttaa, ettei se koskaan lähetä linkin sisältäviä teksti- tai sähköpostiviestejä.
https://www.iltalehti.fi/digiuutiset/a/b18ccd16-e203-40d3-bcff-93dfe5101923
Kela varoittaa huijausviesteistä, joiden avulla yritetään kalastella suomalaisten henkilötietoja.
Kela kertoo muun muassa liikkeellä olevasta huijausyrityksestä, jossa viestin vastaanottajaa pyydetään muuttamaan omia sairausvakuutustietoja. Viestissä on mukana linkki, jonka avaamalla päätyy huijaussivustolle.
Tomi Engdahl says:
Varoitus S-pankin asiakkaille – Älä päivitä
S-pankin asiakkaiden pankkitunnuksia kalastellaan oudolla sähköpostilla.
https://www.iltalehti.fi/digiuutiset/a/4e3c8194-5829-4ec3-9d89-b37fc230b070
Liikenne- ja viestintävirasto Traficomin alaisuudessa toimiva Kyberturvallisuuskeskus varoittaa liikkeellä olevasta huijauksesta, joka kohdistuu S-pankin asiakkaisiin.
Sähköpostitse tulevassa huijausviestissä annetaan ymmärtää, että verkkopankkien käyttäjien olisi käytävä ”säännöllisessä järjestelmätarkastuksessa”, joka ”lain mukaan” on kaikille pakollinen puolen vuoden välein.
Sanomattakin on selvää, että tämä ei pidä paikkaansa, vaan on täyttä huijausta.
S-pankin nimissä tulevassa huijausviestissä kehotetaan päivittämään sekä omat että lapsen tiedot. Mukana on linkki, jota klikkaamalla päätyy huijaussivustolle. Kyse on siis varsin klassisesta tapauksesta.
Tomi Engdahl says:
2 Bytes Was Enough To Breach The US Treasury
https://www.youtube.com/watch?v=rgsIkZkflMw
0:00
on December 30th 2024 the US Treasury
0:03
Department announced that the state
0:05
sponsored Chinese hackers had apparently
0:08
breached the department systems the
0:11
attackers got in through a tool called
0:14
Beyond trust a remote support software
0:17
and there was a bug in their database
0:20
that had been sitting there for years
0:22
just waiting to be found what you’re
0:24
about to see is just how two bytes was
0:27
enough to expose a fundamental flaw in
0:30
the postgress database one of the most
0:33
or if not the most used database out
0:36
there a flaw that is so simple that it
0:39
challenged our core assumptions about
0:42
preventing SQL injections in the first
0:44
place so without further Ado let’s get