Chatbot Arena is an open platform for crowdsourced AI benchmarking, developed by researchers at UC Berkeley SkyLab and LMArena. With over 1,000,000 user votes, the platform ranks best LLM and AI chatbots using the Bradley-Terry model to generate live leaderboards. For technical details, check out our paper.
https://lmarena.ai/
* Obrigado Teles por ter mostrado esse site. Muito bacana *
https://lmarena.ai/
* Obrigado Teles por ter mostrado esse site. Muito bacana *
Junte-se ao primeiro evento "Bounty Talks" do Brazil HackerOne Club.
Nesta edição de estreia, serão compartilhadas experiências e aprendizados no universo do bug bounty.
O evento é online, gratuito e aberto a todos. Somente devendo se registrar no formulário do link a seguir!
https://h1.community/events/details/hackerone-brazil-hackerone-club-presents-bounty-talks/?showTickets=true
A técnica que ele usou vai pegar vocês de surpresa
https://www.tiktok.com/@pentestnapratica/video/7508765824979635461
Obrigado Arthur pela ideia de conteúdo!
Com certeza uma talk que vou assistir quando tiver mais tempo:
"Essence of recon in bug bounty and pentesting"
https://www.youtube.com/watch?si=FfsDKV42BmHzT8Dv&v=CJnXjWXXB1Y&feature=youtu.be
A nova ferramenta de IA sem censura, https://venice.ai, está causando alarme na comunidade de segurança cibernética. Oferecendo acesso irrestrito a modelos de linguagem avançados por apenas $18 por mês, ela supera concorrentes como WormGPT e FraudGPT, que custam centenas ou até milhares de dólares.
O design focado na privacidade, que armazena historicos de conversas apenas no navegador do usuário, torna-a atraente para criminosos cibernéticos, que podem desativar filtros de segurança restantes.
A Venice.ai pode gerar emails de phishing, malware e spyware sob demanda, tornando-se uma ferramenta poderosa para ataques cibernéticos. Experts recomendam medidas rigorosas, incluindo safeguards mais fortes em modelos de IA e ferramentas de detecção para identificar ameaças geradas por IA.
👉 Apesar dela ser um perigo em mãos erradas, já experimentei diversas IAs, incluindo Gemini, Deepseek, Grok, ChatGPT, Perplexity e Claude. Essa me pareceu com a velocidade do Gemini (muito rápida) e com uma precisão muito boa. Vale a pena testar!
O design focado na privacidade, que armazena historicos de conversas apenas no navegador do usuário, torna-a atraente para criminosos cibernéticos, que podem desativar filtros de segurança restantes.
A Venice.ai pode gerar emails de phishing, malware e spyware sob demanda, tornando-se uma ferramenta poderosa para ataques cibernéticos. Experts recomendam medidas rigorosas, incluindo safeguards mais fortes em modelos de IA e ferramentas de detecção para identificar ameaças geradas por IA.
👉 Apesar dela ser um perigo em mãos erradas, já experimentei diversas IAs, incluindo Gemini, Deepseek, Grok, ChatGPT, Perplexity e Claude. Essa me pareceu com a velocidade do Gemini (muito rápida) e com uma precisão muito boa. Vale a pena testar!
Venice AI
Venice | Private AI for Unlimited Creative Freedom
Try Venice.ai for free. Generate text, images, characters and video using private and unbiased AI.
Uma vulnerabilidade CRÍTICA de Execução Remota de Código (RCE) pré-autenticação foi descoberta afetando as versões 5.x e 6.x do vBulletin.
A correção para essa falha foi lançada recentemente na Version 5.0.7 (12/05/2025), e a exposição pública via CVE ocorreu em 14/05/2025.
A vulnerabilidade reside na forma como o vBulletin processa chamadas à sua API através do /ajax/api/[controller]/[method].
Uma mudança no comportamento da API de Reflection do PHP (a partir da versão 8.1) permite a invocação não intencional de métodos internos (protected) do vBulletin.
Essa capacidade, quando combinada com uma falha existente no motor de templates, possibilita que um atacante remoto e não autenticado injete código PHP malicioso, 👉 levando à execução arbitrária de comandos no servidor.
A exploração não requer nenhuma credencial, tornando todos os sistemas vBulletin vulneráveis acessíveis pela internet alvos fáceis.
Contexto técnico: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
A correção para essa falha foi lançada recentemente na Version 5.0.7 (12/05/2025), e a exposição pública via CVE ocorreu em 14/05/2025.
A vulnerabilidade reside na forma como o vBulletin processa chamadas à sua API através do /ajax/api/[controller]/[method].
Uma mudança no comportamento da API de Reflection do PHP (a partir da versão 8.1) permite a invocação não intencional de métodos internos (protected) do vBulletin.
Essa capacidade, quando combinada com uma falha existente no motor de templates, possibilita que um atacante remoto e não autenticado injete código PHP malicioso, 👉 levando à execução arbitrária de comandos no servidor.
A exploração não requer nenhuma credencial, tornando todos os sistemas vBulletin vulneráveis acessíveis pela internet alvos fáceis.
Contexto técnico: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
They just need to be trusted.
Ótimo ponto. Sem ataques sofisticados, comprovou o impacto.
Ainda vou fazer um artigo ou post mais completo com esse paradigma e compartilho aqui com vocês: Qual o limite da engenharia social ser só "maladragem" e não parte da metodologia de invasão?
/* Obrigado Arthur pela troca de ideia. A inquietação veio disso */
VTEX é uma empresa bem renomada, dêem valor
https://www.linkedin.com/posts/falcao-lemos_fala-galera-passando-aqui-para-falar-activity-7331665608708620290-kgpo
O texto oficial para o Desafio de abril de 25 (HackDonalds), que apresentou o desvio de autenticação do middleware NextJS (CVE-2025-29927) e a leitura de XXE para arquivo local (divulgação do código-fonte)
https://bugology.intigriti.io/intigriti-monthly-challenges/0425#community-writeups
https://www.youtube.com/watch?v=KwD_TKZr0YY&ab_channel=Intigriti
https://bugology.intigriti.io/intigriti-monthly-challenges/0425#community-writeups
https://www.youtube.com/watch?v=KwD_TKZr0YY&ab_channel=Intigriti
Esses dias uma telecom chinesa soltou que criou um sistema quântico de distribuição de chaves (Quantum Key Distribution - QKD) "inhackeável", citando leis da física quântica (tipo não-clonagem e o efeito do observador). Mas, vamos combinar: "teoricamente seguro" não é sinônimo de "prática perfeita", né? Fui fuçar e a realidade é mais embaixo:
Ataque de Divisão de Fótons (PNS):
Se a fonte emite mais de um fóton por pulso (algo comum em lasers não-ideais), um hacker intercepta um fóton sem perturbar o estado quântico. Chave vazada sem ninguém ver. Exemplo: Em 2001, pesquisadores já mostravam que lasers tradicionais são vulneráveis.
Cegamento de Detectores:
Jogar luz clássica de alta intensidade nos detectores "cega" eles, e o invasor controla o sinal sem deixar vestígios. Exemplo: Em 2010, usaram isso pra roubar chaves QKD.
Eficiência Desigual dos Detectores:
Se um detector é mais sensível que outro em certos comprimentos de onda, o hacker envia pulsos em momentos estratégicos e adivinha parte da chave.
Inhackeável? Balela. Tem hardware imperfeito, implementação humana e brechas práticas. QKD é foda, mas até ele depende de como é aplicado.
https://interestingengineering.com/innovation/china-world-first-unhackable-quantum-cryptography-system
Ataque de Divisão de Fótons (PNS):
Se a fonte emite mais de um fóton por pulso (algo comum em lasers não-ideais), um hacker intercepta um fóton sem perturbar o estado quântico. Chave vazada sem ninguém ver. Exemplo: Em 2001, pesquisadores já mostravam que lasers tradicionais são vulneráveis.
Cegamento de Detectores:
Jogar luz clássica de alta intensidade nos detectores "cega" eles, e o invasor controla o sinal sem deixar vestígios. Exemplo: Em 2010, usaram isso pra roubar chaves QKD.
Eficiência Desigual dos Detectores:
Se um detector é mais sensível que outro em certos comprimentos de onda, o hacker envia pulsos em momentos estratégicos e adivinha parte da chave.
Inhackeável? Balela. Tem hardware imperfeito, implementação humana e brechas práticas. QKD é foda, mas até ele depende de como é aplicado.
https://interestingengineering.com/innovation/china-world-first-unhackable-quantum-cryptography-system
Interesting Engineering
China unveils world’s first ‘unhackable’ quantum cryptography system
The China Telecom Quantum Group has launched what it calls an 'unhackable' quantum cryptography system, completing a 600-mile secure phone.
Acabou de ser publicada uma talk dele.
Tu pode assistir aqui:
https://www.youtube.com/watch?v=PXqlHAoF2wc
O inicio da transmissão vai ser as 13hs (GMT-3), nesse link aqui:
https://www.youtube.com/watch?v=OOwu6a74v80&ab_channel=NahamSec
Aproveitem, são varios nomes da área de infosec e o evento é gratuito. Vou estar ansioso com meu cafézinho assistindo. Bora
Se a engenharia social, por explorar vulnerabilidades humanas, não é considerada hacking por alguns, então técnicas como deepfakes ou manipulação de IA para enganar pessoas em sistemas altamente automatizados deveriam ser classificadas como hacking ou como algo completamente novo?
Opa estava na correria e esqueci de contextualizar
Um pesquisador notou que ao fazer uma ligação para uma pessoa, dados eram recebidos do provedor. Ele achou um padrão de encoding usando hexadecimal em tres partes e com isso conseguia localizar qualquer pessoa do provedor O2 com uma simples chamada. A empresa recebeu o relatório e fez a correção.
Um pesquisador notou que ao fazer uma ligação para uma pessoa, dados eram recebidos do provedor. Ele achou um padrão de encoding usando hexadecimal em tres partes e com isso conseguia localizar qualquer pessoa do provedor O2 com uma simples chamada. A empresa recebeu o relatório e fez a correção.
2025-05-18 - BSIDES SP - Automatizando a Proteção de Aplicações Web
https://youtu.be/Y9KBu9ohF_o?si=ByCE_uCNZTvtapie
https://youtu.be/Y9KBu9ohF_o?si=ByCE_uCNZTvtapie
