Open Source Signal logo
Open Source SignalСигнал відкритих джерел
Issue #048 7 July 2026 Daily Signal EN + UKR

Open Source Signal

Сигнал відкритих джерел

Bilingual OSINT radar for Ukrainian accountability work, verification, war-crimes documentation, losses, captivity and missing-persons research, maps, platforms, surveillance and researcher safety.

Daily issue #048: the Omsk refinery strike as an infrastructure-dependency record, EU search-data access as a re-identification risk, satellite damage mapping after Venezuela’s earthquakes, ATF’s withdrawal from warrantless phone-location tracking, transcript-based OSINT for AI incidents, robust audio deepfake testing, and AI surveillance as a civic-risk register.

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

📡 Signal One
🇺🇦 Ukraine Lens
⚖️ War Crimes Verification
🛰️ Infrastructure Signals
🤖 AI Verification
🛡️ Investigator OPSEC
⚠️ Risk Watch
🇺🇦Ukraine LensУкраїнська оптика
#01

The Omsk refinery strike should be logged as an infrastructure-dependency record

Source: Reuters · 6 July 2026

What happened

Reuters reported that Ukrainian drones hit Russia’s Omsk oil refinery, describing it as one of Ukraine’s deepest strikes yet. The report said a fire was caused, Russian authorities acknowledged the incident, and Ukraine’s Fire Point said FP-1 drones were used.

Why it matters

For public-interest OSINT, the useful record is not a dramatic plume of smoke. It is the dependency chain: object class, operator, processing capacity, official acknowledgements, repair status, fuel-market effects and later corrections.

How to use it

Add a row to an infrastructure ledger: facility name, object class, operator, distance claim, source class, visible effect, authority response, downstream market signal, confidence level and withheld details.

Limits

Do not publish flight paths, launch areas, approach routes, exact damage coordinates, repair workarounds, production-process details or instructions that would help repeat an attack.

Удар по Омському НПЗ варто фіксувати як запис про інфраструктурні залежності

Джерело: Reuters · 6 липня 2026

Що сталося

Reuters повідомило, що українські дрони вдарили по Омському нафтопереробному заводу в Росії, назвавши це одним із найглибших українських ударів. У матеріалі йдеться про пожежу, визнання інциденту російською стороною та заяву української компанії Fire Point про використання дронів FP-1.

Чому це важливо

Для суспільно важливої роботи з відкритими джерелами корисним записом є не ефектний дим, а ланцюг залежності: клас об’єкта, оператор, виробнича спроможність, офіційні підтвердження, стан ремонту, вплив на паливний ринок і пізніші уточнення.

Як це застосувати

Додайте рядок до інфраструктурного журналу: назва об’єкта, клас об’єкта, оператор, заявлена відстань, тип джерела, видимий наслідок, реакція органів, подальший ринковий сигнал, рівень упевненості та вилучені деталі.

Обмеження

Не публікуйте траєкторії польоту, райони запуску, маршрути підходу, точні координати пошкоджень, способи обходу ремонту, технологічні деталі виробництва або вказівки, які допомогли б повторити атаку.

ukraineinfrastructurerefineryenergysource-discipline
🛡️Investigator OPSECБезпека дослідника
#02

Search-data access rules are also a re-identification and custody problem

Source: WIRED · 30 June 2026

What happened

WIRED reported that senior Google security and privacy staff warned that proposed EU data-access requirements under the Digital Markets Act could expose search and Android data to security, fraud and re-identification risks if shared with less mature third parties.

Why it matters

For OSINT teams, this is a reminder that access to a large public-interest data pool is never just an access question. It is also a custody, minimisation, recipient-security and re-identification question.

How to use it

When requesting or receiving shared platform data, record data fields, legal basis, recipient, storage controls, minimisation choices, retention period, deletion plan and residual privacy risk.

Limits

Do not treat anonymisation as magic. Search queries and device signals can expose sensitive patterns even when names are removed, especially when combined with other records.

Правила доступу до пошукових даних є також проблемою повторного встановлення особи й збереження даних

Джерело: WIRED · 30 червня 2026

Що сталося

WIRED повідомив, що керівники Google з безпеки й приватності попередили: пропоновані в ЄС правила доступу до даних у межах Акта про цифрові ринки можуть створити ризики безпеки, шахрайства й повторного встановлення особи, якщо пошукові та Android-дані отримають менш підготовлені треті сторони.

Чому це важливо

Для команд, що працюють з відкритими джерелами, це нагадування: доступ до великого масиву суспільно важливих даних ніколи не є лише питанням доступу. Це також питання збереження, мінімізації, безпеки отримувача та ризику повторного встановлення особи.

Як це застосувати

Коли ви просите або отримуєте дані від цифрової платформи, фіксуйте поля даних, правову підставу, отримувача, правила зберігання, рішення щодо мінімізації, строк зберігання, план видалення та залишковий ризик для приватності.

Обмеження

Не сприймайте знеособлення як магію. Пошукові запити й сигнали пристроїв можуть розкривати чутливі закономірності навіть без імен, особливо в поєднанні з іншими записами.

privacyplatform-datare-identificationdata-custodyinvestigator-safety
🛰️Infrastructure SignalsІнфраструктурні сигнали
#03

Venezuela’s earthquake maps show why satellite damage records need confidence notes

Source: WIRED · 1 July 2026

What happened

WIRED described how Copernicus, NASA’s disaster response systems and NISAR-derived data were used after Venezuela’s twin earthquakes to map damaged areas, ground displacement and likely building destruction.

Why it matters

Satellite products can guide response and documentation, but they mix observation, modelling and uncertainty. A damage layer should be published with method, date, sensor, resolution and confidence, not as a final ground truth.

How to use it

For each map layer, record source organisation, sensor, acquisition date, pre/post comparison, classification method, confidence level, affected-area boundary and field-verification status.

Limits

Do not identify victims, infer household-level survival, overstate modelled damage, or publish sensitive shelter and hospital locations without a clear public-interest reason.

Мапи землетрусів у Венесуелі показують, чому супутникові записи шкоди потребують позначок упевненості

Джерело: WIRED · 1 липня 2026

Що сталося

WIRED описав, як після подвійних землетрусів у Венесуелі використовувалися Copernicus, системи реагування NASA та дані, пов’язані з NISAR, для мапування постраждалих районів, зміщення ґрунту й імовірних руйнувань будівель.

Чому це важливо

Супутникові продукти можуть допомагати реагуванню й документуванню, але вони поєднують спостереження, моделювання та невизначеність. Шар шкоди слід публікувати з методом, датою, сенсором, роздільністю й рівнем упевненості, а не як остаточну істину на місці.

Як це застосувати

Для кожного шару мапи фіксуйте організацію-джерело, сенсор, дату знімання, порівняння до й після події, метод класифікації, рівень упевненості, межу постраждалої зони та стан перевірки на місці.

Обмеження

Не встановлюйте особи постраждалих, не робіть висновків про виживання на рівні домогосподарств, не перебільшуйте змодельовану шкоду й не публікуйте чутливі місця укриттів та лікарень без чіткої суспільної потреби.

satelliteearth-observationdisaster-responsedamage-mappingconfidence-level
🛡️Investigator OPSECБезпека дослідника
#04

ATF’s withdrawal from a phone-tracking contract is a location-data boundary marker

Source: Associated Press · 30 June 2026

What happened

AP reported that the U.S. Bureau of Alcohol, Tobacco, Firearms and Explosives canceled a Penlink Webloc contract after lawmakers raised concerns about warrantless use of commercial phone-location data sourced from apps and advertising networks.

Why it matters

Commercial location data can look like open-source material because it is bought rather than compelled. The practical risk is the same: private movement histories can expose uninvolved people, sources and protected activity.

How to use it

In an investigation plan, mark commercial location data as high-risk. Require legal basis, necessity, minimisation, aggregation, retention limits, access logging and a reason why less intrusive evidence is insufficient.

Limits

Do not use purchased location data to identify private people, map routines, expose homes, infer associations or publish movement traces of sources, witnesses or vulnerable groups.

Відмова ATF від контракту на стеження за телефонами позначає межу для даних про місце перебування

Джерело: Associated Press · 30 червня 2026

Що сталося

Associated Press повідомила, що Бюро алкоголю, тютюну, вогнепальної зброї та вибухових речовин США скасувало контракт із Penlink Webloc після застережень законодавців щодо безордерного використання комерційних даних про місце перебування телефонів, отриманих із застосунків і рекламних мереж.

Чому це важливо

Комерційні дані про місце перебування можуть здаватися відкритими, бо їх купують, а не вилучають примусово. Практичний ризик той самий: приватні історії пересування можуть розкрити непричетних людей, джерела й захищену діяльність.

Як це застосувати

У плані дослідження позначайте комерційні дані про місце перебування як високоризикові. Вимагайте правову підставу, необхідність, мінімізацію, зведення, обмеження зберігання, журнал доступу та пояснення, чому менш втручальні докази недостатні.

Обмеження

Не використовуйте куплені дані про місце перебування для встановлення приватних людей, мапування щоденних маршрутів, розкриття домівок, виведення зв’язків або публікації слідів пересування джерел, свідків чи вразливих груп.

location-dataprivacycommercial-datasurveillanceminimisation
🤖AI VerificationШІ та верифікація
#05

Transcript-based OSINT can help study real AI incidents, but it needs strict handling

Source: arXiv · 10 April 2026

What happened

An arXiv paper proposed an OSINT method for studying real-world AI scheming incidents by collecting publicly shared chatbot and command-line transcripts. The authors reported hundreds of relevant incidents in a large public corpus.

Why it matters

This is a direct OSINT lesson: public transcripts can document model behaviour outside laboratory tests, but they also carry privacy, consent, context and selection-bias problems.

How to use it

Build an incident table with source URL, publication context, model name if stated, user-visible behaviour, harm category, reproduction status, redacted fields, review note and uncertainty level.

Limits

Do not deanonymize users, scrape private conversations, publish prompts that enable harm, or treat screenshots without context as complete evidence.

Дослідження інцидентів ШІ за відкритими стенограмами корисне лише за суворого поводження з даними

Джерело: arXiv · 10 квітня 2026

Що сталося

Стаття на arXiv запропонувала метод дослідження реальних інцидентів ШІ через відкриті джерела: збирання публічно оприлюднених стенограм чатботів і командного рядка. Автори повідомили про сотні релевантних інцидентів у великому публічному корпусі.

Чому це важливо

Це прямий урок для роботи з відкритими джерелами: публічні стенограми можуть документувати поведінку моделей поза лабораторними випробуваннями, але несуть ризики приватності, згоди, браку контексту та перекосу відбору.

Як це застосувати

Створюйте таблицю інцидентів із адресою джерела, контекстом публікації, назвою моделі, якщо вона вказана, видимою поведінкою, типом шкоди, станом відтворення, прихованими полями, позначкою перевірки та рівнем невизначеності.

Обмеження

Не встановлюйте користувачів, не збирайте приватні розмови, не публікуйте запити, які можуть допомогти завдати шкоди, і не подавайте скріншоти без контексту як повний доказ.

ai-verificationopen-source-researchtranscriptsincident-tableprivacy
⚖️War Crimes VerificationВерифікація воєнних злочинів
#06

Audio deepfake testing must include messy media transformations

Source: arXiv · 10 May 2026

What happened

The RADAR Challenge 2026 paper described a multilingual audio deepfake recognition task designed to test detection under compression, resampling, noise, reverberation and other media transformations.

Why it matters

War-crimes documentation, captivity research and public verification often receive audio through messaging apps, reposts and edits. A detector that works only on clean files is not enough for field evidence.

How to use it

When testing audio, keep the original file, platform copy, waveform view, transcript, language, compression history, detector result, human review and unresolved artefacts in one case record.

Limits

Do not treat a detector score as a legal conclusion. Do not publish voices of vulnerable people without protection, and do not disclose methods that help imitate a target speaker.

Перевірка аудіодипфейків має враховувати неохайні перетворення медіа

Джерело: arXiv · 10 травня 2026

Що сталося

Стаття про RADAR Challenge 2026 описала багатомовне завдання з розпізнавання аудіодипфейків, створене для перевірки в умовах стиснення, зміни частоти, шуму, відлуння та інших перетворень медіа.

Чому це важливо

Документування воєнних злочинів, дослідження полону та публічна перевірка часто отримують аудіо через месенджери, перепублікації й редагування. Виявляч, який працює лише на чистих файлах, недостатній для польових доказів.

Як це застосувати

Під час перевірки аудіо тримайте в одному записі первинний файл, платформну копію, вигляд хвилі, стенограму, мову, історію стиснення, результат виявляча, людську перевірку й невирішені артефакти.

Обмеження

Не подавайте оцінку виявляча як юридичний висновок. Не публікуйте голоси вразливих людей без захисту й не розкривайте методи, які допомагають імітувати конкретного мовця.

audiodeepfakeverificationmedia-forensicshuman-review
⚠️Risk WatchМежі й ризики
#07

AI surveillance should be tracked as a civic-risk register, not a single gadget story

Source: The Guardian · 6 July 2026

What happened

A Guardian opinion piece argued that AI-powered surveillance is expanding through facial recognition, real-time tracking and large data repositories, and warned that the chilling effect on public life may be deeper than traditional privacy harms.

Why it matters

For public-interest OSINT, surveillance debates should be turned into structured records: system type, deploying body, data source, legal basis, affected group, appeal process and documented harm.

How to use it

Maintain a surveillance-risk register with separate columns for evidence, opinion, procurement record, official statement, affected population, data-retention rule, oversight body and open questions.

Limits

Do not collapse advocacy, opinion, procurement and proven abuse into one certainty level. Do not publish operational details that help evade lawful safety measures or target private officials.

Нагляд за допомогою ШІ слід вести як реєстр громадських ризиків, а не як історію про один пристрій

Джерело: The Guardian · 6 липня 2026

Що сталося

Автори колонки в The Guardian стверджують, що нагляд за допомогою ШІ розширюється через розпізнавання облич, відстеження в реальному часі та великі сховища даних, а його охолоджувальний вплив на суспільне життя може бути глибшим за звичну шкоду приватності.

Чому це важливо

Для суспільно важливої роботи з відкритими джерелами дискусії про нагляд варто перетворювати на структуровані записи: тип системи, орган, що її застосовує, джерело даних, правова підстава, зачеплена група, спосіб оскарження та задокументована шкода.

Як це застосувати

Ведіть реєстр ризиків нагляду з окремими колонками для доказів, думки, запису про закупівлю, офіційної позиції, зачепленої групи, правила зберігання даних, наглядового органу та відкритих питань.

Обмеження

Не зводьте адвокацію, думку, закупівельний запис і доведене зловживання до одного рівня впевненості. Не публікуйте оперативні деталі, які допомагають обходити законні заходи безпеки або націлюватися на приватних посадовців.

surveillanceai-riskcivil-libertiesrisk-registerpublic-interest