Tapatybės krizė: 16 milijardų įrašų „mega nutekėjimas“   

Pagrindinis mėnesio įvykis – paviešintas didžiulis prisijungimo duomenų rinkinys, kuriame yra daugiau nei 16 milijardų vartotojo vardų ir slaptažodžių derinių. 

• Duomenys „zombiai“: tai nebuvo vienas didelis, katastrofiškas incidentas. Tai buvo maždaug 30 skirtingų duomenų rinkinių, pavogtų per kelerius metus, sankaupa, apimanti „infostealer“ kenkėjiškų programų žurnalus ir ankstesnius duomenų nutekėjimus.   

• Pavojaus faktorius:  tikrasis pavojus slypi „prisijungimo duomenų senėjime“. Užpuolikai remiasi tuo, kad vartotojai kelerius metus iš eilės naudoja tuos pačius slaptažodžius keliose platformose. Šis duomenų rinkinys iš esmės suteikia „universalų raktą“ prisijungimo duomenų pakartotinio panaudojimo („credential-stuffing“) atakoms. 

• Verdiktas: šis nutekėjimas žymi galutinę vien slaptažodžių eros pabaigą. Jei organizacija iki šiol nenaudoja kelių faktorių autentifikavimo (MFA), ji iš esmės palieka duris atviras visiems.  

Reguliavimas: ES atsparumas ir AI kontrolės įgyvendinimas  

Birželio mėnesį vyriausybės perėjo nuo „stebėjimo ir laukimo“ prie aktyvių veiksmų, ypač dirbtinio intelekto ir krizių valdymo srityse.   

1. EU Kibernetinių krizių valdymoplanas  

Birželio 6 d. ES Taryba priėmė atnaujintą sistemą, skirtą valdyti tarpvalstybinius incidentus. Sukurta suvienodinta taksonomija ir reagavimo tvarka valstybėms narėms, užtikrinanti, kad, sutrikus didelio regioninio paslaugų teikėjo veiklai, politinės ir techninės reakcijos būtų suderintos.   

2. AI reguliavimo etapas  

Perėjimas nuo AI gairių prie griežtos kontrolės:   

• Platformų higiena: „OpenAI“ ėmėsi proaktyvių veiksmų ir ištrynė dešimtis paskyrų, susijusių su Rusijos, Kinijos ir Irano valstybinėmis. Sutrikdydamos dezinformacijos kampanijas, kenkėjiškų programų kūrimą ir socialinę inžineriją.   

• Suverenumas ir privatumas: Vokietija ėmėsi iniciatyvos apriboti „DeepSeek“ naudojimą, motyvuodama tuo, kad jis neatitinka BDAR reikalavimų, ir išreikšdama susirūpinimą dėl duomenų saugojimo vietos.   

• Asmens atvaizdo apsauga: Danijos nauji autorių teisių įstatymai (birželio 26 d.) yra tiesioginis atsakas į sparčiai augantį „deepfake“ naudojimą, suteikiant piliečiams teisę kovoti su neteisėtu jų atvaizdų generavimu dirbtinio intelekto pagalba.   

Geopolitiniai ir taktiniai įvykiai   

• Įsilaužimas į „Tupolev“: Ukrainos karinė žvalgyba (HUR) paskelbė apie didelę pergalę skaitmeninėje srityje – įsiskverbimą į Rusijos aviacijos pramonės milžino „Tupolev“ sistemas. Tarp pavogtų duomenų – personalo įrašai, vidinis susirašinėjimas ir projektavimo dokumentai, atskleidžiantys svarbias Rusijos strateginių aviacijos programų detales. 

• „Paragon Graphite“ šnipinėjimo kampanija: sudėtinga šnipinėjimo kampanija buvo nukreipta prieš Europos žurnalistus ir pilietinės visuomenės narius, naudojant „Graphite“ – samdomą šnipinėjimo programą, sukurtą Izraelio įmonės „Paragon Solutions“. Atakoms buvo panaudotas „iOS“ „zero-click“ pažeidžiamumas „iMessage“ programėlėje (CVE-2025-43200), leidęs šnipinėjimo programai užkrėsti įrenginius be jokio vartotojo įsikišimo.