One of my favorite methods to gain initial access to companies is finding valid credentials. If your target is just one employee, this might be near impossible. But what if you have hundreds, or even thousands of targets? What if the target victim is anyone in Iceland? Then gaining valid credentials goes from near impossible to near certain.

Organizations evolve through mergers, acquisitions, and rebranding. Old domains get retired, but what happens when those domains can still receive password resets or act as the login email for third-party services for the previous owner? This post reveals an overlooked vulnerability we've seen through Defend Iceland's bug bounty platform: expired corporate domains that remain deeply embedded in third-party SaaS accounts. When these domains become available for registration, attackers can inherit access to SaaS accounts that still use the retired email domain for login or recovery. We'll show you exactly how this happens and why "just let it expire" is a dangerous domain retirement strategy.

Cross-site scripting (XSS) is often treated as a problem that ends at the public perimeter. In reality, customer input does not stop at the landing page. It flows into CRMs, ticketing consoles, and internal dashboards that may never have faced a penetration test. This walkthrough, based on real reports to Defend Iceland, shows how a harmless contact form can compromise the helpdesk staff who read it. To illustrate the chain end to end, we built a Netbankinn-themed lab that mirrors what we see in production environments. The public site is squeaky clean. The internal system is not,

This post explains a subtle Unicode/Punycode pitfall that can appear in modern authentication flows. It highlights how a normalization mismatch enabled a zero‑click account takeover (ATO) scenario and how to remediate it safely. This vulnerability was reported through Defend Iceland's bug bounty platform, affecting one or more customers. The independent security research surfaced a subtle authentication quirk worth sharing with the broader community. For engineers, it's a clear lesson about the intersection of database collation and internationalized domains creating unexpected attack vectors.

Ný tilskipun Evrópusambandsins um net- og upplýsingaöryggi, NIS2, er yfirvofandi og gerir auknar kröfur til mikilvægra og nauðsynlegra aðila um netöryggi, áhættustýringu og upplýsingagjöf. Fyrirtæki sem falla undir tilskipunina þurfa nú að sýna fram á aukna öryggisvitund, skilvirkari viðbragðsáætlanir og betri stjórn á veikleikum. Ein skynsamleg og hagkvæm leið til að ná þessum markmiðum er með villuveiðigáttum og stefnu um ábyrga upplýsingagjöf öryggisveikleika (e. coordinated vulnerability disclosure).

Defend Iceland býður í Happy Hour með netöryggis- og varnarmála ívafi í samstarfi við miðstöð stafrænnar nýsköpunar (EDIH-IS) og Rannís. Viðburðurinn er opinn öllum sem hafa áhuga en skráning er nauðsynleg.

Við hjá Defend Iceland erum stolt af því að tilkynna nýja fjárfestingu frá fjárfestingafélagi í eigu Guðmundar Fertrams Sigurjónssonar, stofnanda Kerecis, og fjölskyldu hans. Með þessari fjárfestingu styðja þau við framtíðarsýn okkar um öruggara stafrænt samfélag með þróun á villuveiðigátt okkar og öðrum lausnum

Jason Haddix, einn færasti hakkari heims og forstjóri Arcanum Security, er væntanlegur til landsins í næstu viku og mun leiða námskeið í öryggisveikleika leit í samstarfi við Defend Iceland dagana 21. - 23. janúar í Háskólanum í Reykjavík. Jason kemur frá Bandaríkjunum og er með yfir 20 ára reynslu í netöryggi auk þess hefur hann hlotið viðurkenningu sem einn af fremstu sérfræðingum á villuveiðigáttum (Bug Bounty Platform). Alþjóðleg fyrirtæki á borð við Apple, Microsoft, Google, KPMG, Deloitte, Amazon, Walmart og fleiri hafa reglulega nýtt sér námskeið og þekkingu Jason Haddix. 

Við fórum í loftið í febrúar á þessu ári og erum stolt af því að vera komin í samstarf við 27 frábæra viðskiptavini. Þessir aðilar spanna öll svið samfélagsins, frá stórum hluta fjármálageirans til lykilaðila í orku- og heilbrigðisgeiranum - og nú Alþingi Íslendinga.

Við hjá Defend Iceland erum stolt af því að taka höndum saman við Origo til að efla netöryggi kerfa þeirra. Netárásir, sem nýta veikleika í hugbúnaði, halda áfram að aukast verulega. Það er mikilvægt að finna þessa veikleika áður en árásarmenn gera það – því í stafræna heimi okkar er heilsa alls vistkerfis hugbúnaðarins nauðsynleg til að halda nauðsynlegri þjónustu gangandi.

Í dag var Fjarskiptastofa/ECOI með netöryggisráðstefnu þar sem Theódór Ragnar Gíslason, framkvæmdastjóri okkar og stofnandi, var með erindi þar sem hann varpaði fram eftirfarandi spurningu: Erum við einum veikleika frá game over? Hvaða veikleiki væri svo krítískur á birgðahliðinni að það hefði gríðarleg áhrif ekki aðeins á fyrirtækið þitt heldur líka á samfélagið okkar?

Hörn Valdimarsdóttir frá Defend Iceland sat í pallborði á málþingi Rannís á dögunum þar sem umræðuefnið var „Vegferð styrkjaumsókna og ráð frá þátttakendum”.

Í dag fögnum við alþjóðadegi heiðarlegra hakkara / International Day of Ethical Hackers!

Við erum spennt að segja frá því að stofnandi okkar og framkvæmdastjóri, Theódór Ragnar Gíslason, flutti hvetjandi erindi á hinni virtu ráðstefnu, DrupalCon Europe sem haldin var í Barcelona í ár. Þar lagði Teddi áherslu á framtíðarsýn og vegferð Defend Iceland!

Það gleður okkur að kynna samstarf milli Defend Iceland og Sjúkratrygginga Íslands að auknu netöryggi lýðheilsugagna Íslands! 

Stafrænt Ísland og Defend Iceland hafa skrifað undir samning um samstarf á sviði netöryggis. Tilgangur samningsins er að nýta villuveiðigátt Defend Iceland til að finna öryggisveikleika í kerfum Stafræns Íslands og auka þannig og styrkja varnir gegn netárásum.

„Per­sónu­lega finnst mér þetta lé­leg af­sök­un,“ seg­ir Theo­dór R. Gísla­son, stofn­andi Def­end Ice­land, þar sem hann gagn­rýn­ir Microsoft vegna viðbragða fyr­ir­tæk­is­ins við ör­ygg­is­bil­un sem olli stór­felldri trufl­un á föstu­dag­inn. Microsoft kenn­ir samn­ing þeirra við ESB um að gölluð ör­ygg­is­upp­færsla hjá Crowd­Strike hafi getað valdið þess­ari trufl­un.

Hjörtur Pálmi Pálsson hefur gengið til liðs við Defend Iceland og mun hann stýra uppbyggingu samfélags netöryggissérfræðinga fyrirtækisins auk þess að leiða greiningu og úrvinnslu þeirra öryggisveikleika sem finnast hjá viðskiptavinum Defend Iceland. Greint er frá ráðningu hans í fréttatilkynningu.

Skagi og Defend Iceland hafa gert samning um aðgang að hugbúnaði villuveiðigáttar fyrirtækisins til að fyrirbyggja árásir á net- og tölvukerfi Skaga, en í samstæðu Skaga eru VÍS, Fossar fjárfestingarbanki og SIV eignastýring.

Brimborg hefur samið við netöryggisfyrirtækið Defend Iceland um aðgang að villuveiðigátt fyrirtækisins til að styrkja enn frekar varnir félagsins gagnvart netárásum, afla þekkingar á veikleikum tölvukerfa þess og miðla til eflingar netöryggis á Íslandi. Í samningnum felst að öryggissérfræðingar Defend Iceland munu nýta forvirkar öryggisaðgerðir til að leita að öryggisveikleikum, með því að herma aðferðir netárásarhópa og tölvuþrjóta, og tryggja þannig að hægt sé að laga veikleikana áður en þeir verða notaðir til netinnbrota. 

Einn stofn­enda Def­end Ice­land seg­ir að stjórn­völd gætu þurft að líta á sum­ar netárás­ir, til að mynda þær sem gerðar voru í kring­um leiðtoga­fund Evr­ópuráðsins í fyrra, sem hernað.

Rússneski hakkarahópurinn Akira er sagður hafa staðið á bak við árás á tölvukerfi Morgunblaðsins með þeim afleiðingum að gríðarlegt magn gagna var tekið í gíslingu. Vegna þessa lá fréttavefur Morgunblaðsins niðri í um þrjár klukkustundir og útsendingar K100 lágu niðri.

Kóði og netöryggisfyrirtækið Defend Iceland hafa gert samning um aðgang að hugbúnaði villuveiðigáttar fyrirtækisins til að fyrirbyggja árásir á net- og tölvukerfi Kóða.

Markús Kötter­heinrich hef­ur verið ráðinn tækni- og þró­un­ar­stjóri hjá Def­end Ice­land og er hluti af stofnteymi fyr­ir­tæk­is­ins.

Nýverið hóf Landspítali samstarf við Defend Iceland með það markmið að leita að mögulegum veikleikum í tækniumhverfi spítalans.

Netör­ygg­is­mál eru Theó­dóri Ragn­ari Gísla­syni hug­leik­in enda nauðsyn­legt að huga að ör­ygg­inu þegar viðkvæm­ar upp­lýs­ing­ar eru ann­ars veg­ar. Fyr­ir­tæki hans, Def­end Ice­land, aðstoðar fyr­ir­tæki við að koma auga á veik­leik­ana svo hægt sé að tryggja að ekki verði gerðar netárás­ir sem geta valdið mikl­um skaða eða viðkvæm­um upp­lýs­ing­um stolið. Theó­dór hyggst auka sta­f­rænt ör­yggi Íslands og svo nýta þá reynslu víðar í hinum stóra heimi.

Reiknistofa bankanna hefur samið við netöryggisfyrirtækið Defend Iceland um aðgang að hugbúnaði villuveiðigáttar fyrirtækisins. Með notkun villuveiðigáttarinnar nýtir Reiknistofa bankanna nýjustu aðferðir í netöryggi til að tryggja öryggi innviða fjármálakerfisins.

Netöryggisfyrirtækið Defend Iceland, í samstarfi við Rannís, Háskólann í Reykjavík og EDIH-IS, hélt nýverið hádegisfund í Grósku með áherslu á forvirkar netöryggisráðstafanir. Jacky Mallett, dósent í tölvunarfræði við HR, fjallaði þar um netglæpahópinn Akira, sem hefur staðið fyrir árásum á Íslandi, þar á meðal á Háskólann í Reykjavík. Hún lýsti starfsemi hópsins og aðgerðum til að verjast þeim.

Á þessu ári hefur Háskólinn í Reykjavík orðið fyrir netárás frá hakkarahópnum Akira, sem krefur háskólann um lausnargjald fyrir stolin gögn. Þó hefur háskólinn ekki greitt gjaldið, en gögnin hafa enn ekki verið birt. Jacky Mallett, lektor í tölvunarfræði, segir þetta óvenjulegt en bendir á að fleiri íslensk fyrirtæki hafi lent í svipaðri stöðu. Hún telur Akira vera afsprengi rússneska Conti-hópsins, sem er þekktur fyrir að selja innbrotstól til utanaðkomandi aðila og nota þau í kúgunarárásum.

Íslandsbanki hefur tekið í notkun villuveiðigátt Defend Iceland til að auka öryggi upplýsingatæknikerfa sinna. Villuveiðigáttin virkar sem vettvangur þar sem öryggissérfræðingar með fjölbreyttan bakgrunn sameina krafta sína til að finna og loka öryggisveikleikum áður en tölvuglæpamenn geta nýtt sér þá. Árni Geir Valgeirsson, forstöðumaður á upplýsingatæknisviði Íslandsbanka, segir samstarfið vera mikilvægt skref til að styrkja öryggisvarnir bankans enn frekar.

Arion banki hefur gert samning við netöryggisfyrirtækið Defend Iceland um aðgang að villuveiðigátt fyrirtækisins til að styrkja netöryggisvarnir bankans. Með aðferð villuveiðigáttarinnar herma sérfræðingar Defend Iceland eftir árásum hakkara til að finna og laga veikleika í kerfum bankans áður en skaði hlýst. Markmiðið er að auka netöryggi og áfallaþol bæði hjá Arion banka og samfélaginu í heild. Samstarfið er liður í forvirkum öryggisráðstöfunum til að koma í veg fyrir netárásir.

Ís­lensk fjár­mála­fyrir­tæki eru meðal þeirra sem taka þátt í villu­veiði­gátt D­efend Iceland. Nú þegar hafa heiðar­legir hakkarar fengið greitt milljónir fyrir að benda á öryggis­galla og koma fyrir­tækjum frá til­heyrandi tjóni.