Open Source Signal logo
Open Source SignalСигнал відкритих джерел
Issue #045 3 July 2026 Daily Signal EN + UKR

Open Source Signal

Сигнал відкритих джерел

Bilingual OSINT radar for Ukrainian accountability work, verification, war-crimes documentation, losses, captivity and missing-persons research, maps, platforms, surveillance and researcher safety.

Daily issue #045: overnight Russian attacks as separated civilian-harm records, Ukraine’s fortress-belt reporting as a publication-safety case, Google’s AI-assisted zero-day disruption, CISA’s three-day patching directive, ransomware dwell-time evidence, FBI location-data purchases as a data-broker risk, and a passive OSINT study of vulnerability-disclosure gaps in Chilean critical infrastructure.

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

📡 Signal One
🇺🇦 Ukraine Lens
⚖️ War Crimes Verification
🛰️ Infrastructure Signals
🤖 AI Verification
🛡️ Investigator OPSEC
⚠️ Risk Watch
📡Signal OneГоловний сигнал
#01

Overnight attacks need separated civilian-harm records

Source: Reuters · 3 July 2026

What happened

Reuters reported that overnight Russian attacks killed four people and injured ten in Ukraine, according to Ukrainian officials. The report separated a drone strike on a house in Sumy region, which killed two women, an elderly man and a girl under two, from a missile strike in Kryvyi Rih that injured seven people in a densely built urban area. Kyiv also observed a day of mourning after the previous day’s deadly attack.

Why it matters

The useful public-interest record is not a single casualty total. Sumy region, Kryvyi Rih and Kyiv mourning have different source classes, affected objects, time windows, verification status and publication risks.

How to use it

Create one row per place: source, first report, reported weapon, affected object, casualty status, rescue status, visual material, official response, independent confirmation and unresolved claims.

Limits

Do not publish children’s identities, house-level details, hospital information, shelter locations, rescue-sensitive timing or unverified claims about intent.

Нічні удари потребують окремих записів про шкоду цивільним

Джерело: Reuters · 3 липня 2026

Що сталося

Reuters повідомило, що, за даними українських посадовців, нічні російські удари вбили чотирьох людей і поранили десятьох в Україні. У матеріалі розділено дроновий удар по будинку в Сумській області, де загинули дві жінки, літній чоловік і дівчинка віком до двох років, та ракетний удар по Кривому Рогу, де в густо забудованому міському районі поранено сімох людей. Київ також проводив день жалоби після смертельного удару попереднього дня.

Чому це важливо

Корисним для суспільного інтересу записом є не одна загальна цифра постраждалих. Сумська область, Кривий Ріг і день жалоби в Києві мають різні типи джерел, постраждалі об’єкти, часові проміжки, статус перевірки і ризики публікації.

Як це застосувати

Створюйте один рядок на кожне місце: джерело, перше повідомлення, заявлений засіб ураження, постраждалий об’єкт, статус даних про жертв, стан рятувальних робіт, візуальні матеріали, офіційна реакція, незалежне підтвердження і неперевірені твердження.

Обмеження

Не публікуйте особи дітей, деталі на рівні конкретного будинку, лікарняну інформацію, місця укриттів, чутливий для рятувальників час або неперевірені твердження про намір.

signal-oneukrainecivilian-harmsumykryvyi-rihsource-separation
🇺🇦Ukraine LensУкраїнська оптика
#02

Fortress-belt reporting is a publication-safety case

Source: The Guardian · 3 July 2026

What happened

The Guardian published an on-the-ground and visual report on Ukraine’s eastern fortress belt, describing a strategic line of towns and cities in Donbas, anti-drone nets, fibre-optic drone-control cables, field obstacles, remote sensing and the civilian experience of living and evacuating under constant attack.

Why it matters

This is strong public-interest reporting, but it also shows why front-line visuals need safety controls. Maps, road images, defensive obstacles and civilian escape accounts can inform the public while also carrying route, infrastructure and people-identification risk.

How to use it

For similar material, record what is public, what is delayed, what is blurred, what location precision is reduced, which civilians are identifiable, and whether the visual adds evidence value that outweighs exposure risk.

Limits

Do not publish exact route guidance, live defensive layouts, current positions, unit patterns, evacuation timing, unblurred residents or infrastructure details that help targeting.

Матеріал про оборонний пояс — це випадок безпечної публікації

Джерело: The Guardian · 3 липня 2026

Що сталося

The Guardian опублікував польовий і візуальний матеріал про східний оборонний пояс України: стратегічну лінію міст і містечок Донбасу, протидронові сітки, волоконно-оптичні кабелі керування дронами, польові перешкоди, дистанційне спостереження та досвід цивільних, які живуть і евакуюються під постійними ударами.

Чому це важливо

Це сильний матеріал суспільного інтересу, але він також показує, чому фронтові візуальні докази потребують обмежень безпеки. Мапи, зображення доріг, оборонні перешкоди й розповіді про втечу цивільних можуть пояснювати ситуацію публіці, але водночас несуть ризик для маршрутів, інфраструктури та ідентифікації людей.

Як це застосувати

Для подібних матеріалів фіксуйте, що є публічним, що відкладено в часі, що замасковано, де знижено точність місця, які цивільні можуть бути впізнані і чи додає візуальний матеріал доказову цінність, що переважає ризик розкриття.

Обмеження

Не публікуйте точні маршрутні поради, актуальні схеми оборони, поточні позиції, схеми дій підрозділів, час евакуації, немасковані обличчя жителів або інфраструктурні деталі, що можуть допомогти ураженню.

ukraine-lensfrontline-reportingpublication-safetyvisual-evidencecivilian-protection
🤖AI VerificationШІ та верифікація
#03

AI-assisted zero-day discovery needs evidence-chain discipline

Source: Associated Press · 11 May 2026

What happened

Associated Press reported that Google disrupted a criminal group’s attempt to use artificial intelligence to exploit a previously unknown vulnerability in another company’s systems. Google said the vulnerability could bypass two-factor authentication on a widely used system administration tool, but did not name the target, the suspected group or the AI model used.

Why it matters

The case is important precisely because key details are withheld. Investigators need to preserve the difference between vendor claim, technical proof, victim notification, law-enforcement notification, attribution language and public safety redaction.

How to use it

Use fields for vendor, vulnerability status, affected tool class, exploitation status, notified parties, public technical detail, attribution confidence, AI role and what is intentionally withheld.

Limits

Do not publish exploit paths, target names, bypass steps, affected product guesses or model-use recipes. Treat unnamed details as unknown, not as blanks to be filled by speculation.

Пошук невідомих вразливостей за допомогою ШІ потребує дисципліни ланцюга доказів

Джерело: Associated Press · 11 травня 2026

Що сталося

Associated Press повідомило, що Google зірвала спробу злочинної групи використати ШІ для експлуатації раніше невідомої вразливості в системах іншої компанії. За даними Google, вразливість могла обходити двофакторну автентифікацію в поширеному інструменті системного адміністрування, але компанія не назвала ціль, підозрювану групу або модель ШІ, яку було використано.

Чому це важливо

Цей випадок важливий саме тому, що ключові деталі приховано. Дослідникам потрібно зберігати різницю між заявою постачальника, технічним доказом, повідомленням постраждалої організації, зверненням до правоохоронців, мовою про відповідальність і приховуванням деталей із міркувань безпеки.

Як це застосувати

Використовуйте поля для постачальника, статусу вразливості, класу постраждалого інструмента, статусу використання, повідомлених сторін, публічних технічних деталей, рівня впевненості щодо відповідальності, ролі ШІ та того, що навмисно не розкрито.

Обмеження

Не публікуйте шляхів експлуатації, назв цілей, кроків обходу, припущень щодо постраждалого продукту або рецептів використання моделі. Неназвані деталі слід вважати невідомими, а не порожніми місцями для здогадок.

ai-verificationzero-daygoogleevidence-chainpublication-safety
⚠️Risk WatchМежі й ризики
#04

A three-day patch deadline turns vulnerability urgency into a register

Source: WIRED · 10 June 2026

What happened

WIRED reported that CISA issued a binding operational directive requiring U.S. federal civilian agencies to fix the most urgent vulnerabilities within three days when criteria such as public exposure, known exploitation, automation potential and attacker access level align. The directive also requires forensic triage to determine whether affected systems were already compromised.

Why it matters

For OSINT work, vulnerability severity is no longer just a score. The useful record is an urgency register: exposure, exploitation evidence, automation potential, access consequence, deadline, triage result and whether remediation is confirmed.

How to use it

Create a vulnerability row with product, exposure class, known exploitation status, automation potential, privilege impact, deadline, mitigation, forensic check and later confirmation source.

Limits

Do not publish exploit instructions, unpatched target lists, scanning recipes, internal remediation details or assumptions that a directive for U.S. agencies automatically applies elsewhere.

Триденний строк виправлення перетворює терміновість вразливості на реєстр

Джерело: WIRED · 10 червня 2026

Що сталося

WIRED повідомив, що CISA видала обов’язкову директиву для цивільних федеральних установ США: найтерміновіші вразливості мають бути виправлені протягом трьох днів, якщо одночасно наявні такі ознаки, як публічна доступність системи, відоме використання вразливості, можливість автоматизації атаки та високий рівень доступу для зловмисника. Директива також вимагає технічної перевірки, чи систему вже не було скомпрометовано.

Чому це важливо

Для роботи з відкритими джерелами серйозність вразливості — це вже не лише оцінка за шкалою. Корисним стає реєстр терміновості: відкритість системи, докази використання, можливість автоматизації, наслідок доступу, строк виправлення, результат технічної перевірки і підтвердження усунення.

Як це застосувати

Створюйте рядок вразливості: продукт, клас відкритості, статус відомого використання, можливість автоматизації, вплив на рівень доступу, строк, спосіб зменшення ризику, технічна перевірка і джерело подальшого підтвердження.

Обмеження

Не публікуйте інструкції з експлуатації, списки невиправлених цілей, рецепти сканування, внутрішні деталі усунення або припущення, що директива для установ США автоматично діє в інших середовищах.

risk-watchcisavulnerability-managementpatch-deadlineai-cyber-risk
🛡️Investigator OPSECБезпека дослідника
#05

Ransomware dwell time is an evidence-timing problem

Source: ITPro · 2 July 2026

What happened

ITPro reported on new ransomware findings from ExtraHop: surveyed organisations faced fewer incidents per company than before, but a high share of victims paid ransoms, downtime averaged nearly 30 hours per incident, and 55% of respondents named AI as the attack surface that presented the biggest risk to their organisation.

Why it matters

For incident researchers, time is evidence. First intrusion, first detection, first data access, first extortion notice, restoration start and return to service are separate timestamps that change the interpretation of harm and responsibility.

How to use it

Track dwell-time fields: initial access estimate, detection source, data-access evidence, extortion contact, downtime, recovery state, ransom status, affected service and whether AI exposure is confirmed or survey-reported.

Limits

Do not publish victim identifiers, internal network details, ransom-negotiation messages, recovery procedures or attacker infrastructure unless already public and clearly necessary.

Непомічене перебування здирницького ПЗ у мережі — це проблема часу доказів

Джерело: ITPro · 2 липня 2026

Що сталося

ITPro повідомив про нові висновки ExtraHop щодо здирницького програмного забезпечення: опитані організації мали менше інцидентів на одну компанію, ніж раніше, але значна частка постраждалих платила викуп, простої в середньому тривали майже 30 годин на інцидент, а 55% респондентів назвали ШІ найбільш ризикованою поверхнею атаки для своєї організації.

Чому це важливо

Для дослідників інцидентів час є доказом. Перше проникнення, перше виявлення, перший доступ до даних, перше повідомлення про вимагання, початок відновлення і повернення сервісу — це окремі часові позначки, які змінюють оцінку шкоди й відповідальності.

Як це застосувати

Ведіть поля часу перебування: оцінка початкового доступу, джерело виявлення, докази доступу до даних, контакт із вимагачами, тривалість простою, стан відновлення, статус викупу, постраждалий сервіс і те, чи ризик ШІ підтверджено інцидентом або лише зазначено в опитуванні.

Обмеження

Не публікуйте ідентифікатори постраждалих, внутрішні мережеві деталі, повідомлення переговорів про викуп, процедури відновлення або інфраструктуру зловмисників, якщо це вже не є публічним і явно необхідним.

investigator-opsecransomwaredwell-timeincident-responseai-risk
🛰️Infrastructure SignalsІнфраструктурні сигнали
#06

Government location-data purchases are a data-broker evidence layer

Source: The Guardian · 19 March 2026

What happened

The Guardian explained renewed scrutiny over U.S. federal agencies buying commercially available location data. The report described FBI Director Kash Patel acknowledging purchases of commercially available information, privacy advocates warning about warrantless location-data purchases, and data-broker channels that can derive from mobile apps and advertising systems.

Why it matters

For OSINT and accountability work, commercial location data is not neutral background. It is an evidence layer with collection, consent, broker, purchaser, legal authority, aggregation and re-identification risks.

How to use it

When location-data claims appear, record source of collection, broker, buyer, legal basis, granularity, time span, aggregation method, consent claim and re-identification risk.

Limits

Do not deanonymize individuals, reconstruct private movements, publish home-work patterns or share datasets that can identify private people.

Купівля геолокаційних даних державою — це окремий доказовий шар ринку даних

Джерело: The Guardian · 19 березня 2026

Що сталося

The Guardian пояснив нову хвилю уваги до купівлі федеральними установами США комерційно доступних геолокаційних даних. У матеріалі йдеться про визнання директора ФБР Каша Пателя щодо купівлі комерційно доступної інформації, застереження правозахисників про купівлю даних без судового ордера та канали ринку даних, які можуть походити з мобільних застосунків і рекламних систем.

Чому це важливо

Для роботи з відкритими джерелами й притягненням до відповідальності комерційні геолокаційні дані не є нейтральним тлом. Це окремий доказовий шар із ризиками збору, згоди, посередника, покупця, правової підстави, агрегування та повторної ідентифікації.

Як це застосувати

Коли з’являються твердження про геолокаційні дані, фіксуйте джерело збору, посередника, покупця, правову підставу, точність, часовий період, спосіб агрегування, заяву про згоду і ризик повторної ідентифікації.

Обмеження

Не деанонімізуйте людей, не відтворюйте приватні переміщення, не публікуйте маршрути дім-робота і не поширюйте набори даних, які можуть ідентифікувати приватних осіб.

infrastructure-signalsprivacylocation-datadata-brokersreidentification-risk
⚖️War Crimes VerificationВерифікація воєнних злочинів
#07

Passive disclosure-channel audits are useful accountability OSINT

Source: arXiv · 15 June 2026

What happened

An arXiv paper by David Mellafe Zuvic studied Chile’s critical-infrastructure disclosure framework using a passive OSINT method. The paper examined 915 designated critical operators and found that only 16 published a verifiable RFC 9116 vulnerability-disclosure channel, while the author released an open-source resolver tool to reproduce the domain mapping.

Why it matters

For public-interest investigators, this is a model for safe infrastructure accountability: use passive checks, public designations, reproducible mapping and aggregate reporting instead of intrusive probing.

How to use it

Adapt the pattern for other sectors: define the official universe, map organisations to domains, check only public disclosure files and contact routes, publish aggregate findings, and separate method limits from policy conclusions.

Limits

Do not scan, exploit, enumerate internal services, contact staff privately, or turn a disclosure-channel audit into a vulnerability hunt against named operators.

Пасивні перевірки каналів повідомлення про вразливості корисні для відповідальності

Джерело: arXiv · 15 червня 2026

Що сталося

Препринт David Mellafe Zuvic на arXiv дослідив чилійську систему повідомлення про вразливості в критичній інфраструктурі пасивним методом відкритих джерел. У роботі проаналізовано 915 визначених критичних операторів і встановлено, що лише 16 мають перевірний канал повідомлення про вразливості за RFC 9116; автор також оприлюднив відкритий інструмент для відтворення зіставлення доменів.

Чому це важливо

Для дослідників суспільного інтересу це модель безпечної відповідальності інфраструктури: пасивні перевірки, публічні переліки, відтворюване зіставлення і зведена звітність замість втручального тестування.

Як це застосувати

Адаптуйте підхід для інших секторів: визначте офіційний перелік організацій, зіставте їх із доменами, перевіряйте лише публічні файли й канали зв’язку, публікуйте зведені висновки і відокремлюйте межі методу від політичних висновків.

Обмеження

Не скануйте, не експлуатуйте, не перебирайте внутрішні сервіси, не звертайтеся приватно до працівників і не перетворюйте аудит каналів повідомлення на полювання за вразливостями конкретних операторів.

war-crimes-verificationcritical-infrastructurevulnerability-disclosurepassive-osintreproducibility