Open Source Signal #000 / Сигнал відкритих джерел

Editorial frame

What this is: Not a list of tools, but a daily editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, marketplace guides or “find anyone by phone number” circus tricks. The circus has been cancelled; the clowns are in procurement.

Rubric map

📡 Signal One

🛰️ Surveillance Watch

🗺️ Map Room

🔎 Platform Watch

🛡️ Investigator OPSEC

🌐 Infrastructure Signals

⚠️ Risk Watch

🧰 Toolbox / when deserved

📡Signal OneГоловний сигнал

#01

Telecom surveillance is moving into the infrastructure layer

Source: Citizen Lab · 23 Apr 2026

What happened

Citizen Lab documented telecom-linked surveillance activity involving covert location-tracking operations and mobile-network signalling infrastructure. The case shifts attention from visible social platforms to the systems that quietly generate movement and identity signals.

Why it matters

For OSINT researchers, this changes the frame: the surveillance environment now includes telecom metadata, commercial surveillance vendors, ad-tech location data and brokered datasets, not only public posts and profiles.

How to use it

Use the report as a risk model when working with vulnerable sources, activists, field researchers or civil-society groups. Social-media hygiene is not enough if telecom metadata and location ecosystems are in play.

Limits

This is useful for understanding surveillance ecosystems and risk exposure. It is not a guide to identifying, locating or tracking individual people.

Стеження переходить на рівень телеком-інфраструктури

Джерело: Citizen Lab · 23 Apr 2026

Що сталося

Citizen Lab описав кампанії стеження, пов’язані з мобільною інфраструктурою та прихованим відстеженням місцезнаходження. Ключовий зсув у тому, що джерелом ризику стають не лише соцмережі, а й телеком-сигналізація та комерційні екосистеми даних.

Чому це важливо

Для українських журналістів, волонтерів і розслідувачів це нагадування: ризики не закінчуються Telegram, Facebook або відкритими профілями. Навколо існує ринок телеком-метаданих, рекламної геолокації та брокерів даних.

Як це застосувати

Матеріал варто використовувати як модель ризику: якщо ви працюєте з чутливими джерелами, треба думати не лише про паролі й месенджери, а й про SIM-карти, рекламні трекери, геолокацію та прив’язку акаунтів.

Обмеження

Це не інструкція з відстеження людей. Це матеріал про інфраструктуру стеження і захист від неї.

telecomsurveillancemetadatacivil society risklocation

🛰️Surveillance WatchІнфраструктура стеження

#02

Ad-based geolocation is the dark twin of OSINT

Source: Citizen Lab · 9 Apr 2026

What happened

Citizen Lab’s Webloc report links ad-based geolocation products to law-enforcement and intelligence customers. The Hungary section describes the use and procurement of tools that combine location, social-media and AI-assisted analysis.

Why it matters

This shows how public-ish commercial data can be repurposed into covert tracking. The boundary between open-source investigation and bulk surveillance is becoming one of the central ethical lines in the field.

How to use it

Use this as a framework for assessing vendors, data brokers and location tools: who collects the data, who buys access, what populations are exposed, and whether the workflow serves accountability or surveillance.

Limits

Do not treat vendor claims as proof of capability. Reports about surveillance tools require careful sourcing, procurement records, technical evidence and legal context.

Рекламна геолокація як темний двійник OSINT

Джерело: Citizen Lab · 9 Apr 2026

Що сталося

Звіт Citizen Lab про Webloc описує продукти рекламної геолокації, які можуть використовуватися правоохоронними й розвідувальними структурами. Угорський кейс показує поєднання location data, соцмереж і AI-додатків у комерційних surveillance-пакетах.

Чому це важливо

Це темний двійник OSINT: формально дані можуть походити з відкритої або комерційної екосистеми, але результат — приховане масове стеження. Для громадянського суспільства це не технічна дрібниця, а питання безпеки.

Як це застосувати

Використовуйте це як рамку оцінки: хто збирає дані, хто продає доступ, які групи під ризиком, чи є суспільний інтерес, чи це просто інфраструктура переслідування.

Обмеження

Не варто сприймати маркетингові описи вендорів як доказ реальних можливостей. Потрібні технічні сліди, закупівлі, юридичний контекст і незалежна перевірка.

adtechgeolocationdata brokerslaw enforcementethics

🗺️Map RoomКартографічна кімната

#03

How to verify damage when premium satellite imagery is limited

Source: Bellingcat · 24 Apr 2026

What happened

Bellingcat tracked reported attacks on Iranian police infrastructure using Sentinel-2, PlanetScope where available, OpenStreetMap, Wikimapia, Google Maps and Overpass Turbo. The investigation is useful because it works under imagery constraints.

Why it matters

The method matters beyond Iran: many investigations face gaps in commercial imagery, delayed updates, cloud cover, censorship or limited access to high-resolution providers.

How to use it

Use this as a practical model for post-event verification: combine public satellite layers, map databases, visual evidence, object footprints, road networks and time windows instead of relying on a single image source.

Limits

Satellite imagery can show change, damage or absence, but it rarely proves cause by itself. Correlation with local reporting, videos, timing and other evidence remains necessary.

Як перевіряти руйнування, коли преміальні супутникові знімки недоступні

Джерело: Bellingcat · 24 Apr 2026

Що сталося

Bellingcat відстежував атаки на іранську поліцейську інфраструктуру через Sentinel-2, PlanetScope, OpenStreetMap, Wikimapia, Google Maps і Overpass Turbo. Сила кейсу в тому, що він працює навіть тоді, коли доступ до комерційних знімків обмежений.

Чому це важливо

Для України це практична методика: що робити, коли немає Maxar/Planet у потрібний момент, але треба перевірити удар, руйнування або зміну об’єкта.

Як це застосувати

Базова схема: Sentinel-2 для загального шару, OSM/Overpass для об’єктів і доріг, Google/Wikimapia для старих прив’язок, відео й фото для локальних деталей, таймлайн для перевірки часу.

Обмеження

Супутниковий знімок показує зміну або пошкодження, але не завжди доводить причину. Потрібна кореляція з відео, локальними повідомленнями, часом події й іншими джерелами.

geolocationsatelliteSentinel-2OSMverification

🔎Platform WatchПлатформний радар

#04

Xiaohongshu / RedNote deserves a place in platform OSINT

Source: Bellingcat · 20 Apr 2026

What happened

Bellingcat published a guide to Xiaohongshu / RedNote, emphasizing language-specific search, user IDs, platform conventions and the difference between domestic and international visibility.

Why it matters

Researchers often overuse X, Telegram, Facebook and TikTok. Lifestyle platforms can reveal social signals, local vocabulary, censorship boundaries and everyday evidence that does not appear in political spaces.

How to use it

Use platform-specific field notes: search in the right language, preserve stable profile identifiers, document screenshots and URLs, and treat results as platform-shaped evidence rather than a neutral sample.

Limits

Chinese platforms operate under censorship and algorithmic filtering. Absence of evidence on the platform is not evidence that the event or discussion does not exist.

Xiaohongshu / RedNote як недооцінене джерело для OSINT

Джерело: Bellingcat · 20 Apr 2026

Що сталося

Bellingcat показує, як працювати з Xiaohongshu / RedNote: мова пошуку впливає на результати, унікальний ID профілю важливіший за display name, а внутрішня видимість платформи відрізняється від того, що бачить зовнішній дослідник.

Чому це важливо

Дослідники часто сидять у Telegram, X і TikTok, але пропускають платформи, де люди говорять побутово. Саме там іноді видно соціальні настрої, локальну лексику, цензурні межі й непрямі сліди подій.

Як це застосувати

Для кожної платформи потрібна польова картка: якою мовою шукати, що зберігати, як фіксувати ID, як архівувати, які типові помилки інтерпретації.

Обмеження

Китайські платформи — цензуроване й алгоритмічно відфільтроване середовище. Те, що ми бачимо, не є нейтральним зрізом суспільства.

Chinaplatform OSINTsearchcensorshipRedNote

🛡️Investigator OPSECБезпека дослідника

#05

Email threats are shifting into identity attacks

Source: Microsoft Threat Intelligence · 30 Apr 2026

What happened

Microsoft’s Q1 2026 email threat report focuses on credential phishing, QR-code phishing, CAPTCHA-gated campaigns, adversary-in-the-middle techniques and shifts after disruption of Tycoon2FA.

Why it matters

For journalists, NGOs and investigators, account compromise is still the boring door through which the interesting disasters enter: sources, files, chats, archives and cloud access.

How to use it

Build a defensive checklist: phishing-resistant MFA, hardware keys for critical accounts, session-token review, separate research identities, careful handling of QR codes and regular account recovery tests.

Limits

Threat reports describe patterns, not a complete map of every campaign. Defensive controls should be adapted to the organization’s actual accounts, devices and threat model.

Фішинг дедалі більше стає атакою на ідентичність

Джерело: Microsoft Threat Intelligence · 30 Apr 2026

Що сталося

Звіт Microsoft за Q1 2026 описує credential phishing, QR-фішинг, CAPTCHA-gated кампанії, adversary-in-the-middle атаки й зміну тактик після disruption Tycoon2FA.

Чому це важливо

Для журналістів, волонтерів, аналітиків і розслідувачів компрометація пошти — найкоротший шлях до витоку джерел, документів і робочих чатів.

Як це застосувати

Мінімальний чекліст: phishing-resistant MFA, апаратні ключі для критичних акаунтів, перевірка активних сесій, окремі дослідницькі акаунти, обережність із QR-кодами, регулярна перевірка recovery-каналів.

Обмеження

Threat report показує патерни, а не повну карту всіх атак. Захист треба прив’язувати до власної моделі ризику: акаунти, пристрої, ролі, джерела й канали зв’язку.

phishingMFAidentityOPSECemail security

🌐Infrastructure SignalsІнфраструктурні сигнали

#06

Internet disruptions are becoming conflict signals

Source: Cloudflare Radar · Apr 2026

What happened

Cloudflare Radar’s Q1 2026 review highlights internet disruptions, nationwide shutdowns and attacks affecting cloud infrastructure. Connectivity data is becoming part of the public evidence environment.

Why it matters

Shutdowns, routing anomalies and traffic drops can indicate censorship, conflict, infrastructure damage, power failures or political decisions. They are not proof alone, but they are often early signals.

How to use it

Use connectivity data alongside NetBlocks, local reporting, energy-infrastructure timelines, social-media interruptions and official statements to build a multi-source picture.

Limits

A traffic drop does not prove a cause. It must be correlated with local events, technical reports, policy decisions and independent reporting.

Інтернет-збої як частина моніторингу конфліктів

Джерело: Cloudflare Radar · Apr 2026

Що сталося

Огляд Cloudflare Radar за Q1 2026 вказує на інтернет-порушення, nationwide shutdowns і атаки, що зачіпають cloud-інфраструктуру. Дані про зв’язок стають частиною OSINT-картини.

Чому це важливо

Збій зв’язку може бути наслідком цензури, блекауту, кібератаки, удару по інфраструктурі або політичного рішення. Це сигнал, але не доказ сам по собі.

Як це застосувати

Корелюйте Cloudflare Radar із NetBlocks, локальними повідомленнями, енергетичними подіями, бойовими діями, офіційними заявами й часовою лінією інциденту.

Обмеження

Зниження трафіку саме по собі нічого не доводить. Потрібна перевірка через кілька незалежних джерел.

internet disruptionNetBlocksCloudflare Radarinfrastructureconflict

⚠️Risk WatchМежі й ризики

#07

Dark-web OSINT needs hard ethical boundaries

Source: The OSINT Newsletter · 7 May 2026

What happened

The OSINT Newsletter issue #105 focuses on dark-web OSINT, including tools, strategies, limitations and ways of connecting dark-web signals to surface-web context.

Why it matters

Dark-web research can be legitimate for breach awareness and threat intelligence, but amateur curiosity easily crosses into unsafe possession, interaction with criminals or handling stolen material.

How to use it

Keep the workflow passive and legal: monitor public reporting, use reputable threat-intel summaries, document indicators without buying, logging in, negotiating or downloading unlawful material.

Limits

No marketplace walkthroughs, no credential hunting, no stolen-data handling guides. This is a risk-literacy topic, not an operational manual.

Dark web OSINT потребує жорстких меж

Джерело: The OSINT Newsletter · 7 May 2026

Що сталося

Випуск The OSINT Newsletter #105 присвячений dark-web OSINT: інструментам, стратегіям, обмеженням і способам пов’язувати темні сигнали з surface web-контекстом.

Чому це важливо

Dark web може бути корисним для threat intelligence, витоків і шахрайства. Але аматорський OSINT тут дуже швидко перетворюється на історію, де головний герой уже пояснює прокурору, що він “просто досліджував”.

Як це застосувати

Безпечна рамка: пасивний моніторинг, легальні джерела, reputable threat-intel summaries, фіксація індикаторів без купівлі, листування, завантаження або використання викрадених даних.

Обмеження

Жодних інструкцій для маркетплейсів, credential hunting або роботи з украденими обліковками. Це тема про межі й ризики, не операційний посібник.

dark webthreat intelethicsbreach monitoringlegal risk