17.04.2024

Netöryggisfundur Defend Iceland

Netöryggisfyrirtækið Defend Iceland, ásamt Rannís, Háskólanum í Reykjavík og Miðstöð stafrænnar nýsköpunar (EDIH-IS), hélt á dögunum hádegisfund í Grósku þar sem sjónum verður beint að forvirkum netöryggisráðstöfunum.

Á fundinum fjallaði Jacky Mallett, dósent við tölvunarfræðideild HR, um netglæpahópinn Akira, sem ber ábyrgð á fjölda alvarlegra árása á Íslandi undanfarið og nú síðast árásinni á Háskólann í Reykjavík.

Í erindinu fór Jacky meðal annars yfir skipulagða glæpastarfsemi netárásarhópa, hvaðan þeir koma og til hvaða aðgerða fyrirtæki geti gripið svo þau lendi ekki í klóm árásarhópa.

Þá ræddi Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika, aðgerðir Seðlabanka Íslands til að tryggja fjármálastöðugleika í umhverfi þar sem netárásum fjölgar hratt.

Guðmundur Karl Karlsson hjá Íslandsbanka deildi reynslu bankans af notkun forvirkra öryggisráðstafana, ásamt því fjallaði hann um örugga forritun og mikilvægi þess að stjórnendur fyrirtækja taki netöryggi alvarlega.

Fundarstjóri var Jóhanna Vigdís Guðmundsdóttir, stjórnandi viðskiptaþróunar, sölu- og markaðsmála hjá Defend Iceland.

Eldri fréttir

28.01.2026

How I found all corporate usernames in Iceland

One of my favorite methods to gain initial access to companies is finding valid credentials. If your target is just one employee, this might be near impossible. But what if you have hundreds, or even thousands of targets? What if the target victim is anyone in Iceland? Then gaining valid credentials goes from near impossible to near certain.

Lesa meira

20.10.2025

When Retired Domains Come Back to Haunt: The Hidden Risk of Legacy Corporate Assets

Organizations evolve through mergers, acquisitions, and rebranding. Old domains get retired, but what happens when those domains can still receive password resets or act as the login email for third-party services for the previous owner? This post reveals an overlooked vulnerability we've seen through Defend Iceland's bug bounty platform: expired corporate domains that remain deeply embedded in third-party SaaS accounts. When these domains become available for registration, attackers can inherit access to SaaS accounts that still use the retired email domain for login or recovery. We'll show you exactly how this happens and why "just let it expire" is a dangerous domain retirement strategy.

Lesa meira

13.10.2025

XSS Beyond the Perimeter: When Internal Systems Become Attack Surfaces

Cross-site scripting (XSS) is often treated as a problem that ends at the public perimeter. In reality, customer input does not stop at the landing page. It flows into CRMs, ticketing consoles, and internal dashboards that may never have faced a penetration test. This walkthrough, based on real reports to Defend Iceland, shows how a harmless contact form can compromise the helpdesk staff who read it. To illustrate the chain end to end, we built a Netbankinn-themed lab that mirrors what we see in production environments. The public site is squeaky clean. The internal system is not,

Lesa meira

02.10.2025

Where Unicode Collation Meets Punycode Domains: A Zero-Click Account Takeover

This post explains a subtle Unicode/Punycode pitfall that can appear in modern authentication flows. It highlights how a normalization mismatch enabled a zero‑click account takeover (ATO) scenario and how to remediate it safely. This vulnerability was reported through Defend Iceland's bug bounty platform, affecting one or more customers. The independent security research surfaced a subtle authentication quirk worth sharing with the broader community. For engineers, it's a clear lesson about the intersection of database collation and internationalized domains creating unexpected attack vectors.

Lesa meira

Öryggisráð

Er lykilorðið þitt "Sumar2024!"?

Ef þú ert með lykilorð eins og „Sumar2024!“, þá gæti verið kominn tími til að íhuga breytingu. Fyrirtæki og tölvuöryggisstjórar ættu að endurskoða lykilorðastefnur sem krefjast breytinga á þriggja mánaða fresti. Rannsóknir hafa sýnt að slíkar kröfur geta leitt til fyrirsjáanlegra og veikari lykilorða, sem eykur hættuna á öryggisbrotum. Í staðinn ætti að fylgja tilmælum Microsoft um að forðast óþarfa lykilorðaskipti, og tryggja að notendur geti ekki valið lykilorð sem innihalda algenga og fyrirsjáanlega þætti eins og árstíðir, ártöl eða nöfn fyrirtækja.

Lesa meira

Aðrar fréttir

Sjá allar fréttir

28.01.2026

How I found all corporate usernames in Iceland

Lesa meira

20.10.2025

When Retired Domains Come Back to Haunt: The Hidden Risk of Legacy Corporate Assets

Lesa meira

13.10.2025

XSS Beyond the Perimeter: When Internal Systems Become Attack Surfaces

Lesa meira

02.10.2025

Where Unicode Collation Meets Punycode Domains: A Zero-Click Account Takeover

Lesa meira

05.06.2025

Hvernig villuveiðigáttir hjálpa þér að uppfylla NIS2

Ný tilskipun Evrópusambandsins um net- og upplýsingaöryggi, NIS2, er yfirvofandi og gerir auknar kröfur til mikilvægra og nauðsynlegra aðila um netöryggi, áhættustýringu og upplýsingagjöf. Fyrirtæki sem falla undir tilskipunina þurfa nú að sýna fram á aukna öryggisvitund, skilvirkari viðbragðsáætlanir og betri stjórn á veikleikum. Ein skynsamleg og hagkvæm leið til að ná þessum markmiðum er með villuveiðigáttum og stefnu um ábyrga upplýsingagjöf öryggisveikleika (e. coordinated vulnerability disclosure).

Lesa meira

07.05.2025

404 Villa Happy Hour Fannst ekki!

Defend Iceland býður í Happy Hour með netöryggis- og varnarmála ívafi í samstarfi við miðstöð stafrænnar nýsköpunar (EDIH-IS) og Rannís. Viðburðurinn er opinn öllum sem hafa áhuga en skráning er nauðsynleg.

Lesa meira

Tilkynna veikleika