Open Source Signal #021 / Сигнал відкритих джерел

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

⚖️ War Crimes Verification

🇺🇦 Ukraine Lens

🕯️ Losses, Captivity & Missing

🌐 Infrastructure Signals

🔎 Platform Watch

🛡️ Investigator OPSEC

⚖️War Crimes VerificationВерифікація воєнних злочинів

#01

Ukrainian children under occupation are a protected evidence track, not a propaganda sidebar

Source: The Times · 2 June 2026

What happened

The Times reported that President Volodymyr Zelenskyy and Ukrainian officials accused Russia of indoctrinating and militarising Ukrainian children in occupied territories and Russia-controlled environments. The reporting cites Ukrainian figures on more than 20,570 forcibly deported children, more than 1.5 million children living under occupation, and military-patriotic training structures linked to the Russian state.

Why it matters

For accountability OSINT, child deportation and militarisation should be handled as a protected evidence category, not as emotional decoration. The useful public work is to separate official Ukrainian counts, facility or camp evidence, education-policy traces, sanctions or ICC status, survivor testimony and return outcomes. The child is not a hashtag; the child is a protected person inside a legal file.

How to use it

Build a protected child-deportation and militarisation ledger with fields for source type, date, child-status category, institution or facility type, public official claim, legal status, corroborating open-source material and return or recovery status. Publish only aggregated patterns unless consent and safety conditions are explicit.

Limits

The Times article was accessible as current public reporting but the full page may be restricted; treat it as a reporting lead unless corroborated by primary Ukrainian, UN, ICC, Yale HRL or NGO documentation. Do not expose child identities, family data, school locations, recovery routes or details that could endanger return efforts.

Українські діти під окупацією — це захищений доказовий трек, а не пропагандистська врізка

Джерело: The Times · 2 червня 2026

Що сталося

The Times повідомила, що президент Володимир Зеленський та українські посадовці звинувачують Росію в індоктринації й мілітаризації українських дітей на окупованих територіях і в контрольованих Росією середовищах. У матеріалі наведені українські дані про понад 20 570 примусово депортованих дітей, понад 1,5 мільйона дітей під окупацією та military-patriotic training structures, пов’язані з російською державою.

Чому це важливо

Для accountability OSINT депортація й мілітаризація дітей мають бути захищеною категорією доказів, а не емоційною декорацією. Корисна публічна робота — розділяти офіційні українські підрахунки, докази щодо закладів або таборів, сліди освітньої політики, санкційний чи ICC status, свідчення постраждалих і результати повернення. Дитина — не хештег, а захищена особа всередині юридичної справи.

Як це застосувати

Ведіть protected ledger для депортації й мілітаризації дітей: тип джерела, дата, категорія статусу дитини, тип інституції або закладу, публічна офіційна заява, правовий статус, корроборуючі відкриті матеріали і статус повернення або recovery. Публікуйте лише агреговані патерни, якщо немає явної згоди й безпечних умов.

Обмеження

Матеріал The Times доступний як актуальний публічний репортаж, але повна сторінка може бути обмеженою; використовуйте його як reporting lead до корроборації через українські, UN, ICC, Yale HRL або NGO-документи. Не розкривайте імена дітей, родинні дані, локації шкіл, маршрути повернення або деталі, які можуть нашкодити евакуації й поверненню.

war-crimes-verificationchildrendeportationoccupied-territoriesprotected-persons

🇺🇦Ukraine LensУкраїнська оптика

#02

Russian missile-production figures should be read as source-graded threat evidence

Source: Texty.org.ua · 4 June 2026

What happened

Texty.org.ua reported figures from Ukraine’s military intelligence service on Russia’s production of ballistic and related missile systems. The figures include monthly production estimates for Iskander missiles, expanded production of S-300/S-400 missiles used against ground targets, and planned annual Kinzhal production.

Why it matters

Production capacity is not proof of a specific strike, but it is important threat context for repeated attacks on Ukrainian cities and infrastructure. It can support background sections in casefiles about civilian harm, air-defence pressure, sanctions evasion and the persistence of Russia’s strike campaign. A production table is not a smoking gun; it is the factory floor behind the smoke.

How to use it

Use the figures as a source-graded threat layer: record that the origin is Ukrainian military intelligence, separate planned annual output from estimated monthly production, and pair the data with strike logs, munition remnants, official attack summaries, satellite or fire-data leads and sanctions research.

Limits

This is not munition attribution for individual attacks and not a live stockpile tracker. Do not turn production estimates into targeting advice, facility vulnerabilities, tactical predictions or claims about exact remaining Russian inventories.

Дані про виробництво російських ракет треба читати як source-graded threat evidence

Джерело: Texty.org.ua · 4 червня 2026

Що сталося

Texty.org.ua навели дані ГУР про виробництво Росією балістичних та суміжних ракетних систем. У матеріалі йдеться про місячні темпи виробництва «Іскандерів», збільшене виробництво ракет до С-300/С-400, які РФ застосовує по наземних цілях, і плановий річний випуск «Кинджалів».

Чому це важливо

Виробнича спроможність не є доказом конкретного удару, але це важливий threat context для повторюваних атак по українських містах та інфраструктурі. Такі дані корисні для background sections у casefile про civilian harm, тиск на ППО, обхід санкцій і сталість російської ударної кампанії. Таблиця виробництва — це не димний пістолет, а заводський цех за димом.

Як це застосувати

Використовуйте цифри як source-graded threat layer: фіксуйте, що джерело — українська військова розвідка, розділяйте плановий річний випуск і оцінку місячного виробництва та поєднуйте дані з журналами ударів, уламками боєприпасів, офіційними зведеннями, satellite/fire-data лідами й санкційними дослідженнями.

Обмеження

Це не джерело атрибуції конкретних ударів і не live stockpile tracker. Не перетворюйте виробничі оцінки на поради щодо ураження, вразливості об’єктів, тактичні прогнози або твердження про точні залишки російських запасів.

ukraine-lensmissile-productionsource-gradingair-defencecivilian-harm

🕯️Losses, Captivity & MissingВтрати, полон, зниклі

#03

Ceasefire, prisoner-exchange and child-return promises are status claims, not outcomes

Source: The Guardian · 5 June 2026

What happened

The Guardian published the full text of Volodymyr Zelenskyy’s open letter to Vladimir Putin. The letter proposes direct talks in a neutral country, a full ceasefire during negotiations, an all-for-all prisoner exchange, and serious steps to return civilians and children taken during the war.

Why it matters

For losses, captivity and missing-persons work, negotiation language creates public status claims that should be logged separately from confirmed exchanges or returns. A promise to exchange prisoners, return civilians or bring back children is not itself a verified humanitarian outcome. The negotiation table is not a database; it is a table wearing a database costume.

How to use it

Maintain a humanitarian-claims ledger: proposal date, claimant, requested category, scope, mediator or monitoring mechanism, response by the other side, official confirmation, actual exchange or return date, and later corrections. Keep aggregate negotiation claims separate from named-person casefiles.

Limits

This is political communication and diplomatic positioning, not a verified list of POWs, civilians or children. Do not infer the status of any named person, publish lists, expose relatives or treat a proposal as completed action.

Заяви про перемир’я, обмін полоненими й повернення дітей — це status claims, а не результат

Джерело: The Guardian · 5 червня 2026

Що сталося

The Guardian опублікувала повний текст відкритого листа Володимира Зеленського до Володимира Путіна. У листі запропоновані прямі переговори в нейтральній країні, повне перемир’я на час переговорів, обмін полоненими за формулою all-for-all і серйозні кроки для повернення цивільних та дітей, вивезених під час війни.

Чому це важливо

Для роботи з втратами, полоном і зниклими переговорна мова створює публічні status claims, які треба фіксувати окремо від підтверджених обмінів або повернень. Обіцянка обміняти полонених, повернути цивільних чи дітей сама по собі не є верифікованим гуманітарним результатом. Переговорний стіл — не база даних, а стіл у костюмі бази даних.

Як це застосувати

Ведіть humanitarian-claims ledger: дата пропозиції, хто заявляє, категорія вимоги, масштаб, механізм посередництва або моніторингу, відповідь іншої сторони, офіційне підтвердження, фактична дата обміну чи повернення і подальші уточнення. Агреговані переговорні заяви тримайте окремо від поіменних casefile.

Обмеження

Це політична комунікація й дипломатичне позиціонування, а не верифікований список військовополонених, цивільних або дітей. Не виводьте статус конкретної людини, не публікуйте списки, не розкривайте родичів і не подавайте пропозицію як виконану дію.

losses-captivity-missingpowchildrenhumanitarian-claimsnegotiations

🌐Infrastructure SignalsІнфраструктурні сигнали

#04

Cloudflare’s Outage Center is useful as a network-disruption lead, not as proof

Source: Cloudflare Radar · accessed 5 June 2026

What happened

Cloudflare Radar’s Outage Center provides a public view of internet outages and traffic anomalies observed over the selected time period. The interface includes the last seven days, outage and anomaly sections, UTC timestamps and downloadable data options.

Why it matters

Network disruption can be a corroborating layer around protests, wartime censorship, infrastructure strikes, disaster response or platform blocking. For investigators it is useful because it turns vague outage claims into a time-bounded lead that can be compared with local reporting, OONI, NetBlocks, ISP notices and platform-status pages. The outage dot is a canary, not the judge in a powdered wig.

How to use it

Use it as triage: record timestamp, affected location or ASN if visible, duration, source URL, screenshot or CSV export, and the event it may correlate with. Cross-check before publishing any claim about censorship, sabotage, strike impact or state action.

Limits

Cloudflare traffic anomalies reflect one network vantage point and do not automatically prove cause. Do not use them to identify users, infer private behaviour, overclaim national policy or make operational claims about infrastructure damage.

Cloudflare Outage Center корисний як лід про мережевий збій, а не як доказ

Джерело: Cloudflare Radar · переглянуто 5 червня 2026

Що сталося

Cloudflare Radar Outage Center надає публічний огляд інтернет-відключень і traffic anomalies за обраний період. Інтерфейс охоплює останні сім днів, має окремі секції для outages і anomalies, UTC timestamps та можливість завантаження даних.

Чому це важливо

Мережевий збій може бути корробораційним шаром навколо протестів, воєнної цензури, ударів по інфраструктурі, надзвичайних ситуацій або блокування платформ. Для дослідників це корисно, бо перетворює туманну заяву про outage на time-bounded lead, який можна звірити з локальними повідомленнями, OONI, NetBlocks, повідомленнями ISP і platform-status pages. Точка на мапі — це канарка, а не суддя в перуці.

Як це застосувати

Використовуйте як triage: фіксуйте timestamp, affected location або ASN, якщо видно, тривалість, source URL, скриншот або CSV export і подію, з якою це може корелювати. Перед публікацією перевіряйте через інші джерела будь-яке твердження про цензуру, саботаж, наслідок удару або дію держави.

Обмеження

Traffic anomalies Cloudflare відображають один network vantage point і не доводять автоматично причину. Не використовуйте їх для ідентифікації користувачів, висновків про приватну поведінку, надмірних тверджень про державну політику або операційних заяв про пошкодження інфраструктури.

infrastructure-signalsnetwork-disruptioncloudflare-radarverificationtriage

🛡️Investigator OPSECБезпека дослідника

#05

Device-code phishing turns a real Microsoft login page into the trap

Source: Kiplinger · 3 June 2026

What happened

Kiplinger reported on an FBI warning about device-code phishing against Microsoft Outlook, Teams and Microsoft 365 users. The attack abuses a legitimate Microsoft login flow: the victim is asked to enter a device code on a real Microsoft page, which can authorize attacker access and create persistent account tokens.

Why it matters

Investigators, journalists, editors and volunteers often keep source material, archives, drafts, contact notes and shared documents in Microsoft 365 environments. The old rule “check the URL” is not enough when the URL is genuine and the trap is the authorization ritual itself. It is a real door wearing a false moustache.

How to use it

Add a simple OPSEC rule: never enter a Microsoft device code unless you personally initiated the login on a device in front of you. Teams should review active sessions, connected apps, unexpected MFA prompts, inbox rules, conditional-access policies and token-revocation procedures.

Limits

Use this only as defensive awareness. Do not reproduce phishing lures, explain how to run the flow offensively, hunt tokens, or turn the warning into an OAuth-abuse tutorial.

Device-code phishing перетворює справжню сторінку Microsoft на пастку

Джерело: Kiplinger · 3 червня 2026

Що сталося

Kiplinger повідомив про попередження FBI щодо device-code phishing проти користувачів Microsoft Outlook, Teams і Microsoft 365. Атака зловживає легітимним Microsoft login flow: жертву просять ввести device code на справжній сторінці Microsoft, що може авторизувати доступ атакувальника й створити persistent account tokens.

Чому це важливо

Дослідники, журналісти, редактори й волонтери часто зберігають source material, архіви, чернетки, контактні нотатки й спільні документи в Microsoft 365 environments. Старого правила “перевір URL” уже недостатньо, коли URL справжній, а пастка захована в самому ритуалі авторизації. Це справжні двері з фальшивими вусами.

Як це застосувати

Додайте просте OPSEC-правило: ніколи не вводити Microsoft device code, якщо ви самі не ініціювали вхід на конкретному пристрої перед собою. Командам варто перевіряти active sessions, connected apps, unexpected MFA prompts, inbox rules, conditional-access policies і token-revocation procedures.

Обмеження

Використовуйте це лише як defensive awareness. Не відтворюйте фішингові приманки, не пояснюйте offensive flow, не полюйте на tokens і не перетворюйте попередження на посібник зі зловживання OAuth.

investigator-opsecphishingmicrosoft-365device-codeaccount-security

🔎Platform WatchПлатформний радар

#06

Youth recruitment on gaming and messaging platforms is a platform-risk signal

Source: Financial Times · 5 June 2026

What happened

The Financial Times reported on teenagers in Europe and the Middle East being recruited online by Russian and Iranian state-affiliated actors for espionage, sabotage and propaganda tasks. The reporting describes recruitment through encrypted platforms, gaming-style tasking and social-media channels including Telegram and Discord.

Why it matters

For OSINT and accountability work, this is a source-environment warning. Youth recruitment, sabotage claims and platform traces can generate public posts, arrest reports, screenshots and propaganda amplification, but minors and coerced participants require higher protection. The platform is not just a noticeboard; it is sometimes a recruitment office with a wizard hat.

How to use it

Use it to build a platform-risk checklist: platform, channel type, age-status indicator, tasking language, payment claims, coercion indicators, official legal status, evidence source and publication risk. Treat community posts and Telegram claims as leads until confirmed by court records, official statements or credible investigation.

Limits

Do not identify minors, publish handles, reconstruct private chats, provide sabotage methods, or turn prevention reporting into a recruitment map. Distinguish confirmed arrests, allegations, intelligence claims and media reporting.

Рекрутинг підлітків у gaming і messaging platforms — це platform-risk signal

Джерело: Financial Times · 5 червня 2026

Що сталося

Financial Times повідомила про підлітків у Європі та на Близькому Сході, яких онлайн-рекрутують пов’язані з Росією та Іраном актори для шпигунства, саботажу й пропагандистських завдань. У матеріалі йдеться про recruitment через encrypted platforms, gaming-style tasking і social-media channels, зокрема Telegram та Discord.

Чому це важливо

Для OSINT і accountability work це попередження про source environment. Рекрутинг підлітків, заяви про саботаж і платформні сліди можуть створювати публічні пости, повідомлення про затримання, скриншоти й пропагандистське підсилення, але minors і coerced participants потребують вищого рівня захисту. Платформа — не просто дошка оголошень, а іноді рекрутинговий офіс у капелюсі чарівника.

Як це застосувати

Використовуйте це для platform-risk checklist: платформа, тип каналу, age-status indicator, мова tasking, заяви про оплату, coercion indicators, офіційний правовий статус, джерело доказу й ризик публікації. Community posts і Telegram claims тримайте як ліди до підтвердження судовими документами, офіційними заявами або надійним розслідуванням.

Обмеження

Не ідентифікуйте minors, не публікуйте handles, не реконструюйте приватні чати, не подавайте методи саботажу й не перетворюйте preventive reporting на recruitment map. Розділяйте confirmed arrests, allegations, intelligence claims і media reporting.

platform-watchtelegramdiscordyouth-recruitmentsource-protection