Reader

Cracked open an Elijah Craig Barrel Proof batch A125. It's a 10 year, 7 month aged product weighing in at 118.2 proof.

Smell some cinnamon, oak, and hints of cardamom and amburana.

First sip, sans water or ice—which I'm sure I'll need!—, reminds me of amburana aged whiskies. Some leather. Didn't pick up a lot of strong flavors. The swallow is fire. Moving straight to some water! LOL.

After adding some filtered water, I pick up some caramel creme brûlée. The heat dies down, but still lingers. Smell of amburana has intensified—which may or may not be psychosomatic, I really like the smell. Next sips pick up some cherry. The finish seems to hint at some citrus. Still quite hot, so time to try out some ice.

Smells much sweeter after adding some ice... ...honey, maybe? Pick up more cherry with a “brighter” sip. The finish is reminiscent of a cab or a Barolo. Not the tannin bit.

An interesting dram. Off to just enjoy it.

Cheers!

পৃথিবী তার নিজস্ব নিয়মে চলছে। সূর্য ওঠছে, আবার নিয়ম মেনে অস্ত যাচ্ছে; রাত নামছে, ফের ভোর আসছে; মানুষ আসছে-যাচ্ছে, বাঁচছে-মরছে; সবকিছু আগের মতোই চলছে। কিন্তু আমার কাছে পৃথিবীর রূপ আর আগের মতো নেই। পৃথিবীটাকে আমি আর আগের চোখে দেখতে পারি না। কারণ এই পৃথিবীতে জীবনধারণের ধরণ বদলে গেছে। সম্পর্কের ধরন পাল্টে গেছে, বিশ্বাসের ভিত্তি নড়ে গেছে, আর ভরসার জায়গাগুলো ফাঁকা হয়ে গেছে।

আমি ভেবেছিলাম- কষ্ট গুলো ধীরে ধীরে মুছে যায়, সময়ের সাথে সাথে ক্ষতস্থান শুকিয়ে আসে। কিন্তু বাস্তবতা আমাকে অন্য শিক্ষা দিয়েছে। কষ্ট আসলে কখনোই মুছে যায় না, ম্লান হয়ে বিবর্ণও হয় না; বরং সময় তাকে আরও প্রকট ভাবে দৃশ্যমান করে তোলে। যত দিন যায়, কষ্ট তত গভীরভাবে হৃদয়ে গেঁথে বসে। ক্ষণিকের আঘাত সময়ের প্রবাহে গাঢ় ক্ষতচিহ্নে পরিণত হয়, আর সেই দাগ চিরস্থায়ী হয়ে যায়।

মানুষের প্রতি বিশ্বাস, ভরসা আর সম্মান- যা একসময় আমার কাছে অবিচল সত্য মনে হয়েছিল; এখন ক্রমেই ক্ষয়ে যাচ্ছে। জীবনের অভিজ্ঞতা আমাকে শিখিয়েছে, মানুষকে সহজভাবে বিশ্বাস করা ছিল মস্ত ভুলের একটি। আমি যাদের কাছে আদর্শ খুঁজি, যাদের চোখে সাধুতা দেখি, তাদের ভেতরে আসলে এমন কিছু নেই। সবাই প্রয়োজনের খাতিরে সাধু হয়, আর প্রয়োজন ফুরোলেই সাধু ভং ধরা মুখোশটা খুলে কুটিলতায় ভরা প্রকৃত মুখটি প্রকাশ করে। মানুষের এই দ্বিমুখী চরিত্র এত কাছ থেকে না দেখলে হয়ত কখনো বিশ্বাস করতাম না।

এই অল্প কয়েকদিনে জীবনের আরেকটি কঠিন সত্যও উপলব্ধি করেছি। যে সকল মানুষের হৃদয়ের ভেতর কুটিলতা ভর করেছে, যাদের হৃদয় কালশিটে ময়লা পড়ে পচে গেছে, যাদের চিন্তাধারায় কুটিলতা আর অনিষ্ট ছাড়া ভিন্ন কিছু কাজ করে না; তাদের সাথে আপনি যতই ভালো ব্যবহার করেন না কেন, যতই ধৈর্য ধারে সহ্য করে সমস্যার সমাধান খুঁজতে চান না কেন, কোনো লাভ নেই। তাদের স্বভাব পাল্টায় না, পাল্টাবার নয়। এদের মোহর লাগানো হৃদয়ের কথাই ওপরওয়ালা আমাদের বলেছেন, বিধাতার হুকুম ছাড়া এই মোহর আর কখনোই পরিষ্কার হবে না। বরং এই কুটিলতায় পূর্ণ নরকের কীট গুলো খুঁজে খুঁজে আপনার দুর্বলতা বের করে আপনাকে আরও গভীর সমস্যায় ফেলে দেবে।

আমার শূন্য হয়ে পড়া পৃথিবীটার বয়স আজ ১০১ দিন। ঠিক ১০০ দিন পূর্বে আমার আম্মা এই পৃথিবী থেকে বিদায় নিয়ে আপন শান্তির নিবাস খুঁজে নিয়েছেন। দিন হিসেবে ১০০ দিন খুব নগণ্য হলেও এই ১০০ দিনের পৃথিবী আমাকে এমন এক বাস্তবতার মুখোমুখি করেছে, যেখানে নেই মায়ের মমতা, নেই সেই নির্ভরতার ছায়া। আছে কেবল ভান করা মায়া, সমাজের সামনে যাত্রা-নাটক প্রদর্শন করার মতো ভদ্রতা, আর স্বার্থের ফাঁদে জড়িয়ে থাকা সম্পর্ক। এই ১০০ দিনেই ‘পরিচিত’ আর ‘কাছের’ নামধারী সম্পর্ক গুলো চোখের পলকেই গিরগিটির মত নিজ নিজ রঙ বদলে নিয়েছে।

আমি কখনো ভাবিনি আম্মা আমাদের এত দ্রুত ছেড়ে চলে যাবেন। আমি ভেবেছিলাম আম্মা অন্তত আরও বিশটি বছর আমাদের সঙ্গে থাকবেন। আম্মার ছায়াশীতল মমতা আমাদের আগলে রাখবে, তার ভরসার আঁচল আকাশ হয়ে থাকবে মাথার উপরে। কিন্তু হঠাৎ করেই সবকিছু থেমে গেল। যে মানুষটির অবলম্বনে ভরসার স্তম্ভ ভেবে নিয়েছিলাম, তিনি হঠাৎ করেই পৃথিবী ছেড়ে চলে গেলেন। আর তার অনুপস্থিতি আমার হৃদয়ে এক বিশাল অবিশ্বাসের দেয়াল তুলে দিল।

আজ মনে হয়, ছোটবেলা থেকে যে মূল্যবোধের শিক্ষা পেয়েছিলাম, সেগুলো আসলে বাস্তব জীবনে অকার্যকর। সততা, নীতিকথা, সত্য-বচন -এসব আঁকড়ে ধরে আমি শুধু পিছিয়েই পড়েছি। আর চারপাশের মানুষগুলো নিজেদের স্বার্থের জন্য কোনোকিছু করতে দ্বিধা করেনি। এই ১০০ দিনে আমি দেখেছি রক্তের সম্পর্কও কেমন করে বিশ্বাসঘাতক হয়ে যায়। যাদের একসময় নিজের বলতে শিখেছিলাম, যাদের আপন ভেবে স্বস্তি আর মনের তৃপ্তি বুঝে নিতাম; তারাই স্বার্থ হাসিলে বেইমান হয়ে উঠেছে। মানুষ যে এতটা স্বার্থপর হতে পারে, এতটা নিষ্ঠুর হতে পারে, এত বড় মাপের নিমকহারাম হতে পারে; এমন করে না দেখলে কখনোই বিশ্বাস করতাম না।

সব আক্ষেপ, সব হতাশা, সব কষ্ট আর সব বেদনার শেষে আমার একমাত্র প্রার্থনা- মহান আল্লাহ যেন আমার আম্মাকে পরিপূর্ণ শান্তি দান করেন। তিনি যেন হাসরের ময়দানে আম্মাকে হাউজে কাউসারের শীতল পানীয় দিয়ে তৃষ্ণা নিবারণ করান। আর জান্নাতুল ফেরদৌসকে আম্মার জন্যে স্থায়ী আবাস হিসেবে ঘোষণা করে দেন।

আমার জীবন আজ শূন্যতায় ভরা। কিন্তু সেই শূন্যতার ভেতরও আমি মায়ের শান্তির জন্য হৃদয়ের অন্তঃস্থল হতে দোয়া করি। কারণ আমার সমস্ত বিশ্বাস, ভরসা আর আশ্রয় এক মানুষেই ছিল -আমার আম্মা। আর আজ তিনি নেই… ১০১ দিন।

A weekly shortlist of cyber security highlights. The short summaries are AI generated! If something is wrong, please let me know!

---

News For All

🚦 Dutch prosecution service attack keeps speed cameras offline cybercrime – A cyberattack on the Dutch Public Prosecution Service has left numerous speed cameras offline. While the attack didn't target the cameras directly, it hampers their reactivation due to system interconnectivity. https://www.theregister.com/2025/08/15/cyberattack_on_dutch_prosecution_service/

🎟️ Gefälschtes Gewinnspiel für Wiener Linien Jahreskarte im Umlauf warning – Fake Facebook posts are promoting a bogus contest for a Wiener Linien half-year ticket. The scam aims to steal credit card and personal information through a deceptive website. https://www.watchlist-internet.at/news/gefaelschtes-gewinnspiel-fuer-wiener-linien-jahreskarte-im-umlauf/

🔒 Multiple Vulnerabilities in Microsoft Products warning – Microsoft's August 2025 Patch Tuesday advisory addresses 111 security vulnerabilities, with 16 critical ones. Users are urged to update systems promptly, especially public-facing assets. https://cert.europa.eu/publications/security-advisories/2025-032/

🤖 Grok Exposes Underlying Prompts for Its AI Personas: ‘EVEN PUTTING THINGS IN YOUR ASS’ security research – Elon Musk's AI chatbot Grok has revealed prompts for its various personas, including a conspiracist character. This exposure raises concerns about the chatbot's design and potential influence on users. https://www.404media.co/grok-exposes-underlying-prompts-for-its-ai-personas-even-putting-things-in-your-ass/

🔓 HR giant Workday says hackers stole personal data in recent breach data breach – Workday confirmed a data breach involving the theft of personal information from a third-party database, raising concerns about potential social engineering scams. Details on affected individuals remain unclear. https://techcrunch.com/2025/08/18/hr-giant-workday-says-hackers-stole-personal-data-in-recent-breach/

🔐 Allianz Life data breach affects 1.1 million customers data breach – A data breach at Allianz Life has compromised the personal information of 1.1 million customers, including Social Security numbers. The breach is linked to the hacking group ShinyHunters. https://techcrunch.com/2025/08/18/allianz-life-data-breach-affects-1-1-million-customers/

🔑 UK drops demand for backdoor into Apple encryption privacy – The UK government has abandoned its demand for a backdoor into Apple’s encryption, potentially allowing Apple to restore Advanced Data Protection (ADP) iCloud encryption services in the UK. https://www.theverge.com/news/761240/uk-apple-us-encryption-back-door-demands-dropped

🚓 Speed cameras knocked out after cyber attack security news – A cyberattack on the Netherlands' Public Prosecution Service has rendered many speed cameras inoperable, impacting road safety and delaying legal proceedings as the organization remains offline. https://www.bitdefender.com/en-us/blog/hotforsecurity/speed-cameras-knocked-out-after-cyber-attack

🎤 Officials gain control of Rapper Bot DDoS botnet, charge lead developer and administrator cybercrime – Authorities have taken control of the powerful Rapper Bot DDoS botnet and charged its developer, Ethan Foltz, with aiding computer intrusions. The botnet conducted over 370,000 attacks worldwide since 2021. https://cyberscoop.com/rapper-bot-ddos-botnet-disrupted/

💊 Pharmaceutical firm Inotiv discloses ransomware attack. Qilin group claims responsibility for the hack data breach – Inotiv has reported a ransomware attack that encrypted systems and disrupted operations. The Qilin group claimed responsibility, alleging they stole 176GB of data from the firm. https://securityaffairs.com/181311/data-breach/pharmaceutical-firm-inotiv-discloses-ransomware-attack-qilin-group-claims-responsibility-for-the-hack.html

⚠️ Critical Chrome Flaw CVE‑2025‑9132 Exposes Browsers to Remote Code Execution vulnerability – A remote code execution flaw in Google Chrome, CVE-2025-9132, was discovered in the V8 JavaScript engine, allowing attackers to execute arbitrary code. Users are urged to update to version 139.0.7258.138 or later to mitigate risks. https://thecyberexpress.com/chrome-v8-vulnerability-cve%E2%80%912025%E2%80%919132/

🍔 McDonald's not lovin' it when hacker exposes rotten security security news – A white-hat hacker uncovered severe security flaws in McDonald's portals, enabling free food orders and access to sensitive data. The company has since made some fixes but still lacks a proper security disclosure process. https://www.theregister.com/2025/08/20/mcdonalds_terrible_security/

🤦‍♂Researcher Exposes Zero-Day Clickjacking Vulnerabilities in Major Password Managers vulnerability – A researcher revealed serious clickjacking vulnerabilities in popular password managers, enabling hackers to easily steal sensitive data if users visit malicious sites. Many remain unpatched. https://socket.dev/blog/password-manager-clickjacking

📞 Major Belgian telecom firm says cyberattack compromised data on 850,000 accounts data breach – Orange Belgium reported a cyberattack that compromised data from 850,000 customer accounts, including names and phone numbers. No critical data like passwords or financial details were hacked. https://therecord.media/belgian-telecom-says-cyberattack-compromised-data-on-850000

👓 Harvard dropouts to launch 'always on' AI smart glasses that listen and record every conversation privacy – Former Harvard students are launching Halo X, AI-powered smart glasses that record conversations and provide real-time information. Privacy advocates raise concerns about covert recording and consent laws. https://techcrunch.com/2025/08/20/harvard-dropouts-to-launch-always-on-ai-smart-glasses-that-listen-and-record-every-conversation/

📸 'Screenshot-grabbing' Chrome VPN extension still available privacy – The FreeVPN.One Chrome extension has been found capturing users' screenshots and sending them to a remote server without consent. Despite warnings, it remains available on the Chrome Web Store. https://www.theregister.com/2025/08/21/freevpn_privacy_research/

🕵️‍♂️ Hackers who exposed North Korean government hacker explain why they did it cybercrime – Two hackers infiltrated a North Korean government hacker's computer, uncovering evidence of cyberespionage. They decided to leak their findings to expose the operations and help victims, despite legal risks. https://techcrunch.com/2025/08/21/hackers-who-exposed-north-korean-government-hacker-explain-why-they-did-it/

🔒 Apple rushes out fix for active zero-day in iOS and macOS vulnerability – Apple released emergency updates for a zero-day vulnerability in its ImageIO framework, allowing potential device hijacking through malicious image files. The flaw has reportedly been exploited in targeted attacks. https://www.theregister.com/2025/08/21/apple_imageio_exploit/

🎥 Real Footage Combined With AI Slop About DC Is Creating a Disinformation Mess on TikTok security news – TikTok is flooded with misleading videos combining real and AI-generated footage about the National Guard's actions in D.C., complicating viewers' ability to discern truth from misinformation amidst a trending disinformation campaign. https://www.404media.co/real-footage-combined-with-a-ai-slop-about-dc-is-creating-a-disinformation-mess-on-tiktok/

🔍 Criminal background checker APCS faces data breach data breach – Access Personal Checking Services (APCS) is managing a data breach linked to a third-party developer, Intradev, which compromised customer data including personal details. An investigation is ongoing. https://www.theregister.com/2025/08/22/apcs_breach/

🚨 Europol says Telegram post about 50,000 Qilin ransomware award is fake cybercrime – A fake Telegram post claimed Europol was offering a $50,000 reward for information on Qilin ransomware gang members. Europol confirmed the announcement was false and originated from a newly created account. https://www.bitdefender.com/en-us/blog/hotforsecurity/europol-says-telegram-post-about-50-000-qilin-ransomware-award-is-fake

🏥 DaVita tells 2.4M people ransomware scum stole health data data breach – DaVita confirmed a ransomware breach affecting 2.4 million individuals, compromising sensitive health and personal information. The Interlock ransomware gang is suspected to be behind the attack. https://www.theregister.com/2025/08/22/davita_ransomware_infection/

---

Some More, For the Curious

🏢 Coinbase CEO says he's mandating in-person orientation to combat North Korean hackers seeking remote jobs security news – Coinbase is shifting to in-person orientations to prevent North Korean hackers from exploiting remote work. New policies include US citizenship requirements and stricter security measures. https://www.businessinsider.com/coinbase-north-korea-threats-remote-work-2025-8

🎭 How attackers are using Active Directory Federation Services to phish with legit office.com links security research – Phishers exploit Microsoft services by redirecting users from legitimate links to malicious sites, utilizing techniques like ADFSjacking. This complicates detection efforts and highlights the growing threat landscape. https://pushsecurity.com/blog/phishing-with-active-directory-federation-services/

🔍 How Researchers Collect Indicators of Compromise cyber defense – Security researchers analyze malware like Snake Keylogger to gather indicators of compromise and create detection signatures. They focus on exfiltration techniques and utilize tools to improve threat detection. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/how-researchers-collect-indicators-of-compromise/

📡 Boffins release 5G traffic sniffing tool security research – Researchers have launched Sni5Gect, an open-source tool for sniffing 5G traffic and executing connection downgrade attacks. It exploits vulnerabilities in pre-authentication communication to inject malicious payloads. https://www.theregister.com/2025/08/18/sni5gect/

⚠️ New HTTP/2 DoS Vulnerability Prompts Vendor and Project Fixes vulnerability – A newly discovered HTTP/2 DoS vulnerability, CVE-2025-8671, allows attackers to bypass concurrency limits, causing denial of service. Vendors are rapidly addressing the flaw, which affects unpatched server implementations. https://thecyberexpress.com/new-http-2-dos-vulnerability/

🩹 Apache ActiveMQ attackers patch critical vuln after entry security news – Attackers exploiting a critical Apache ActiveMQ vulnerability have installed malware called DripDropper to maintain persistence on infected Linux servers and subsequently patched the original flaw. https://www.theregister.com/2025/08/19/apache_activemq_patch_malware/

🤳 Stop Spoofing Yourself! Disabling M365 Direct Send cyber defense – Threat actors are exploiting Microsoft 365's Direct Send feature to spoof emails within organizations. Users can now disable Direct Send with a simple command, enhancing security against these attacks. https://www.blackhillsinfosec.com/disabling-m365-direct-send/

🧷 Commvault releases patches for two pre-auth RCE bug chains vulnerability – Commvault has patched two critical remote code execution vulnerabilities following their disclosure by researchers. Users are urged to update immediately, as the flaws could allow unauthenticated attackers to gain admin access. https://www.theregister.com/2025/08/20/commvault_bug_chains_patched/

🚗 Inside the Underground Trade of ‘Flipper Zero’ Tech to Break into Cars security research – The Flipper Zero device, known for its hacking capabilities, is being used in an underground market to unlock various car models, with hackers selling software to exploit vulnerabilities. https://www.404media.co/inside-the-underground-trade-of-flipper-zero-tech-to-break-into-cars/

🖼️ Honey, I shrunk the image and now I'm pwned vulnerability – Researchers at Trail of Bits revealed that image scaling attacks can exploit Google Gemini and other AI systems, allowing hidden prompts to exfiltrate data. Google downplays the issue, citing non-default configurations. https://www.theregister.com/2025/08/21/google_gemini_image_scaling_attack/

🔒 Microsoft cuts off China's early access to bug disclosures security news – Microsoft has halted providing proof-of-concept exploit code to Chinese companies in its MAPP program following exploitation of SharePoint vulnerabilities. The change aims to prevent leaks and improve security measures. https://www.theregister.com/2025/08/21/microsoft_cuts_chinas_early_access/

---

CISA Corner

⚠️ CISA Adds One Known Exploited Vulnerability to Catalog warning – CISA added a new vulnerability in Trend Micro Apex One to its Known Exploited Vulnerabilities Catalog. https://www.cisa.gov/news-events/alerts/2025/08/18/cisa-adds-one-known-exploited-vulnerability-catalog ⚠️ CISA Adds One Known Exploited Vulnerability to Catalog warning – CISA added a new vulnerability in Apple iOS, iPadOS and macOS to its Known Exploited Vulnerabilities Catalog. https://www.cisa.gov/news-events/alerts/2025/08/21/cisa-adds-one-known-exploited-vulnerability-catalog

⚙️ CISA Releases Four Industrial Control Systems Advisories vulnerability – CISA issued four advisories detailing vulnerabilities in Industrial Control Systems by Siemens, Tigo and EG5. https://www.cisa.gov/news-events/alerts/2025/08/19/cisa-releases-four-industrial-control-systems-advisories ⚙️ CISA Releases Three Industrial Control Systems Advisories vulnerability – CISA issued three advisories detailing vulnerabilities in Mitsubishi Electric systems and FUJIFILM Healthcare's Synapse Mobility. https://www.cisa.gov/news-events/alerts/2025/08/21/cisa-releases-three-industrial-control-systems-advisories

---

While my intention is to pick news that everyone should know about, it still is what I think is significant, cool, fun... Most of the articles are in English, but some current warnings might be in German.

This is something that I posted in r/MrRobot nearly a decade ago, in real-time after this particular episode dropped. I was living in Shanghai's French Concession, on the other side of the highway from Jing'an Temple, which is near where I mention a bookstore below. I'm putting it here because it was fun to write, and it still gives a little snapshot of the show and of China. I'm also now only on Reddit when I'm searching for a technical solution, or barring that, to share in similar unresolved misery, so I've been meaning to archive a few things from there. Now that the show is currently on Netflix seems appropriate timing.

The original post lives here

[Spoilers S02E04] About that red dress Whiterose showed, plus movie and literary references

A couple weeks ago I popped in to the boutique where Whiterose said she bought the red qipao that she showed to Dom. The place is called Jin Zhi Yu Ye, on Maoming Road in Shanghai, on a strip known for its qipaos. The designer is famous, and her shop is one of the top two places to get a qipao in the city. The English sign outsides says Leaves, but Whiterose called it by its Chinese name (though she says it with another final word/syllable that's not in the CC/subtitles)

Disappointingly, the clerks didn't know of Whiterose, or BD Wong. I played the clip for them, though, and off the rack they showed me a similar red qipao but sleeveless, for 5,000RMB, or about US$750, then a black one that was really close but with longsleeves, going for just under 7,000RMB. These are all handmade, and if you're interested in these things and have pricy tastes, they mostly do custom jobs that can run up to 10,000RMB. As is normal here, they stopped me from taking any photos inside, so you're stuck with a potato-quality snap of the window display.

But the shop name! It was little hint that Whiterose dropped, maybe intentionally, for Dom. Jin Zhi Yu Ye literally translates to Golden Branch, Jade Leaves. I asked a Chinese friend about any other meanings, and she said it's just words put together for a name, not an idiomatic phrase or poetic reference. She did say that it has a connotation of extravagance and royal lifestyle. More interesting, though, is that it's the Mandarin pronunciation of a hit 1990s romantic comedy from Hong Kong, 金枝玉葉. English title: “He's a Woman, She's a Man.” The movie was packed with stars. It's good, kinda over-the-top at times, but pretty standard for that time, place and genre. It was also applauded for bringing out discussion of LGBT life to a wider audience. The male lead, Leslie Cheung, had already starred in two gay-themed arthouse films that pulled awards at Cannes (“Days of Being Wild” by Wong Kar Wai and “Farewell My Concubine,” just the year before this one).

The basic story of “He's a Woman, She's a Man” is of a female fan who idolizes a pop star singer and her male producer, played by Cheung. The musicians are rumored to be dating, and they are, but they're not that happy. In a fight, the singer challenges the producer to turn an amateur into a star. They hold contest auditions, and the fan, played by Anita Yuen, dresses up as a man to enter. She wins, and during the course of writing and recording with the producer, the two start falling for each other. Hilarity and questions of self ensue, yadda yadda. Notable makeout scene, though, where an IRL gay actor is playing a straight man who's conflicted about kissing a woman who's playing a man, and the scene is convincingly hot. Head asplode.

[Edit note for 2025, and trigger warning self-harm: Leslie Cheung was IRL very close friends with another Anita, singer and actress Anita Mui. Their friendship naturally featured prominently in the 2021 biopic “Anita,” which I unexpectedly happened to catch on in-flight entertainment. It could've been a decent movie, but that's entirely washed away by glaring omissions: the part that homophobia played in Leslie Cheung's clinical depression and suicide, as well as Anita Mui's activism, especially in remembrance of Tiananmen Square.]

But back to the closet, there was another breadcrumb Whiterose dropped. She shows Dom two garments; before the qipao/cheongsam, she pulls out a long, sleeveless piece, telling Dom it's a magua, common in the Qing dynasty, which ended in 1911. She notes that the embroidery was meant for royal families. It kinda looks like a dress, and a normal magua would just be a common riding jacket, which were made for men and women. But the yellow magua (not just the color, but what it's called) was for high-ranking officials and bodyguards. Which means men. And then she showed the qipao/cheongsam.

Besides this, the scene might have a little extra poignance in a literary reference. Shanghai was home to one of China's most important contemporary fiction writers, Eileen Chang. Her old apartment has a historical marker for her on it, and a fancy bookshop cafe on the ground floor sells $8 Americanos. When I visited for this post, they were out of the English version of one of her more notable novellas: “Red Rose, White Rose”. It's about a self-made man who likes control and order and has a storybook good life, well-rewarded for doing all the right things. He's married to a good woman, the White Rose, but there's another in his life, the wild and carefree Red Rose. No surprise, he's torn between the chaste and the passionate. The Cliff's Notes key quote:

Marry a red rose and eventually she'll be a mosquito-blood streak smeared on the wall, while the white one is “moonlight in front of my bed”. Marry a white rose, and before long she'll be a grain of sticky rice that's gotten stuck to your clothes; the red one, by then, is a scarlet beauty mark over your heart.

Thinking of this put a new spin on the Beijing visit. Grace Gummer has said in interviews that she dyed her hair for the show. Red Rose? I did try to ask; I emailed the address from Dom's business card shown onscreen with the subject “You're the Red Rose,” but I never even got the autoreply.

And then last on this, there's Eileen Chang herself. Of course, that's her Western name, but her name in Chinese is Zhang Ai-ling, maybe a namesake to Whiterose's public-facing identity as Minister Zhang.

I'll be psyched if any of this is actually on the trail. (popping out of the original reddit post to say here now on infosec.press, wow, this is so amusing and embarrassing that I wrote this this way. But that was what it was like at the time. People got swept up big playing detective on shows that had these so-called alternate reality game elements. I remember consciously getting off Reddit shortly after because of all the bonkers theorizing.) I very much would like to see the China angles being rooted in or referencing real stuff. I know you'd have to go with a fictional character for the story, but Zhang is the minister of state security, which is a real person here. Contrast that with Price talking to (then) Speaker of the House John Boehner and meeting in DC with Treasury Secretary Jack Lew, Federal Reserve Chair Janet Yellen and SEC Chair Mary Jo White. And that's all plausible. The 'real' Zhang is Geng Huichang. Unless the future storyline has some cool twists, there's no way he's working with, let alone leading, a hacker group (also now popping back out to 2025 to again say, wow, time has moved on). And in the role as minister, I don't think that diplomatically, Zhang would meet with an FBI team; at that level of an official, among nations of more or less the same “power,” meetings are between counterparts, and subordinates handle the rest. But anyway, while the minister is a big role in an important institution, it's not the biggest; arguably, that's the party secretary. But that gets into China politics, which right now in intelligence is getting really shaken up, but overall it's probably too much inside baseball.

Regardless, the show is dope, and being here I do get an extra kick out of the China parts. Just before posting this, I wanted to bounce some of this intelligence stuff in general off a Chinese friend, and found myself describing the show to her. And then:

Me: “You can find the whole first season on Youku.”

Her: “Oh, so it's not banned?”

Me: (pause) “Maybe the second season.”

TL;DR The shop where Whiterose bought the qipao she showed to Dom is also the title of a Hong Kong movie whose English title is “He's a Woman, She's a Man”. Also, there's a book called “Red Rose, White Rose,” written by Zhang Ai-ling. And Grace Gummer dyed her hair red for this show.

A weekly shortlist of cyber security highlights. The short summaries are AI generated! If something is wrong, please let me know!

---

News For All

🤦‍♀️ Scam hunter scammed by tax office impersonators security news – Julie-Anne Kearns, a scam hunter, fell for a refund scam, losing personal information to impersonators, highlighting that anyone can be a victim of online fraud. https://www.malwarebytes.com/blog/news/2025/08/scam-hunter-scammed-by-tax-office-impersonators

🕵️‍♂️ New Website “Is It Really FOSS?” Tracks Transparency in Open Source Distribution Models privacy – A new website evaluates if software is genuinely Free and Open Source Software (FOSS), helping users navigate the complex licensing landscape and avoid misleading claims. https://socket.dev/blog/is-it-really-foss

🚗 Security flaws in a carmaker's web portal let one hacker remotely unlock cars from anywhere security research – A security researcher found vulnerabilities in a carmaker's portal that could allow hackers to access customer data and remotely control vehicles, raising serious security concerns. https://techcrunch.com/2025/08/10/security-flaws-in-a-carmakers-web-portal-let-one-hacker-remotely-unlock-cars-from-anywhere/

🎮 Inside the Multimillion-Dollar Gray Market for Video Game Cheats cybercrime – An underground market for video game cheats rakes in millions, with sophisticated tools and services that challenge game developers' anti-cheat systems, raising privacy and security concerns. https://www.wired.com/story/inside-the-multimillion-dollar-grey-market-for-video-game-cheats/

⚠️ CVE-2025-8355 & CVE-2025-8356: Xerox Issues Urgent Fixes for SSRF and RCE Bugs vulnerability – Xerox has released urgent patches for two critical vulnerabilities in FreeFlow Core that could allow SSRF and RCE attacks, urging users to upgrade to the latest version immediately. https://thecyberexpress.com/xerox-fixes-cve-2025-8355-and-8356/

📜 Wikipedia’s operator loses challenge to UK Online Safety Act rules privacy – A UK court dismissed Wikimedia's challenge to the Online Safety Act, which could impose user verification on Wikipedia, raising concerns about contributor safety and privacy. https://therecord.media/wikipedia-loses-challenge-online-safety-act-uk

🚫 Electronic Arts blocks more than 300,000 attempts to cheat after launching Battlefield 6 beta security news – After launching the Battlefield 6 beta, Electronic Arts blocked over 300,000 cheating attempts and acknowledged the ongoing challenge of maintaining anti-cheat measures in online gaming. https://techcrunch.com/2025/08/11/electronic-arts-blocks-more-than-300000-attempts-to-cheat-after-launching-battlefield-6-beta/

💻 High-severity WinRAR 0-day exploited for weeks by 2 groups cybercrime – Two Russian cybercrime groups exploited a high-severity zero-day vulnerability in WinRAR, using it to backdoor systems through malicious archives, highlighting the ongoing threat of unpatched software. https://arstechnica.com/security/2025/08/high-severity-winrar-0-day-exploited-for-weeks-by-2-groups/

🔓 Researchers cracked the encryption used by DarkBit ransomware security news – Profero researchers cracked DarkBit ransomware encryption, allowing victims to recover files for free. The decryptor is not yet released, but weaknesses in the encryption were exploited for recovery. https://securityaffairs.com/181064/malware/researchers-cracked-the-encryption-used-by-darkbit-ransomware.html

🔒 Hyundai UK charging customers for luxury of secure car locks security news – Hyundai is charging UK customers £49 for a security upgrade to prevent thefts targeting vulnerable Ioniq 5 vehicles, amid rising concerns over keyless car theft methods. https://www.theregister.com/2025/08/12/hyundai_want_secure_locks_on/

🔓 Hackers leak 2.8M sensitive records from Allianz Life in Salesforce data breach data breach – Hackers leaked 2.8 million sensitive records from Allianz Life, exposing personal and professional data of customers and partners due to a breach in a third-party CRM system accessed via social engineering. https://securityaffairs.com/181093/data-breach/hackers-leak-2-8m-sensitive-records-from-allianz-life-in-salesforce-data-breach.html

💾 Ransomware crew dumps 43GB Saint Paul files, no ransom paid cybercrime – The Interlock ransomware gang leaked 43GB of files stolen from Saint Paul, including sensitive internal documents, after the city refused to pay a ransom following a cyberattack that disrupted services. https://www.theregister.com/2025/08/13/ransomware_crew_spills_saint_pauls/

🎭 Phishing and scams: how fraudsters are deceiving users in 2025 security news – Phishing tactics are evolving, with AI-driven scams creating highly convincing messages, deepfakes, and personalized attacks targeting sensitive data, including biometrics and signatures, making detection increasingly difficult. https://securelist.com/new-phishing-and-scam-trends-in-2025/117217/

🔍 Data Brokers Face New Pressure for Hiding Opt-Out Pages From Google privacy – Senator Maggie Hassan is urging data brokers to clarify why they obscure opt-out information, making it difficult for users to manage their personal data amid privacy concerns and potential legal violations. https://www.wired.com/story/hassan-data-broker-opt-out-letter/

🔒 Zoom patches critical Windows flaw allowing privilege escalation vulnerability – Zoom fixed a critical Windows client vulnerability (CVE-2025-49457) allowing unauthenticated users to escalate privileges, impacting several Zoom products and posing risks to sensitive corporate data. https://securityaffairs.com/181140/security/zoom-patches-critical-windows-flaw-allowing-privilege-escalation.html

🏨 Italian hotels breached en masse since June, gov confirms security news – Italy's AGID confirmed a cybercriminal accessed hotel booking systems, stealing nearly 100,000 sensitive ID documents from guests. The government warns of potential scams targeting affected individuals. https://www.theregister.com/2025/08/14/italian_hotels_breached_en_masse/

🗺️ Instagram’s new Map feature sparks a privacy scandal privacy – Instagram's new Map feature allows location sharing but has raised privacy concerns, despite being off by default. Experts warn of risks like accidental sharing and stalking, urging users to understand privacy settings. https://moonlock.com/instagram-map-privacy

---

Some More, For the Curious

👵 Researchers determine old vulnerabilities pose real-world threat to sensitive data in public clouds security research – Researchers revealed that a seven-year-old vulnerability can realistically leak private data from public clouds, challenging the assumption that such attacks are impractical and urging better security measures. https://cyberscoop.com/cloud-security-l1tf-reloaded-public-cloud-vulnerability-exploit/

🛡️ SonicWall pins firewall attack spree on year-old vulnerability security news – SonicWall attributes recent ransomware attacks on its Gen 7 firewalls to a previously disclosed vulnerability, CVE-2024-40766, rather than a new zero-day, urging customers to apply patches and enhance security. https://cyberscoop.com/sonicwall-firewall-attacks-old-vulnerability/

👣 Coordinated Brute Force Campaign Targets Fortinet SSL VPN security research – GreyNoise reported a surge in brute-force attacks on Fortinet SSL VPNs, indicating potential upcoming vulnerabilities. A shift in targeting from FortiOS to FortiManager suggests evolving attacker behavior. https://www.greynoise.io/blog/vulnerability-fortinet-vpn-bruteforce-spike

🔧 Microsoft Patch Tuesday, August 2025 Edition – Krebs on Security vulnerability – Microsoft released updates addressing over 100 security flaws, including critical vulnerabilities in Exchange Server and Windows Kerberos. Users are urged to patch promptly to prevent exploitation. https://krebsonsecurity.com/2025/08/microsoft-patch-tuesday-august-2025-edition/

🛠️ Adobe Patch Tuesday Fixes Over 60 Vulnerabilities Across 13 Products vulnerability – Adobe's August Patch Tuesday addressed over 60 vulnerabilities in 13 products, including critical flaws in Adobe Commerce, Illustrator, and Substance 3D, urging users to update to prevent potential exploits. https://thecyberexpress.com/adobe-security-update-2/

⚠️ Dutch NCSC: Citrix NetScaler zero-day breaches critical orgs vulnerability – The Dutch NCSC warns that the CVE-2025-6543 Citrix NetScaler flaw is being exploited for remote code execution, compromising critical organizations and erasing evidence of intrusions. https://securityaffairs.com/181070/hacking/dutch-ncsc-citrix-netscaler-zero-day-breaches-critical-orgs.html

💧 DEF CON volunteers step up to help water sector after China, Iran attack utilities security news – DEF CON Franklin, an initiative pairing white-hat hackers with U.S. water utilities, aims to bolster cybersecurity against rising threats from nation-state actors like China and Iran, emphasizing community support. https://therecord.media/def-con-franklin-water-utility-cybersecurity-volunteers

🔒 Multiple Vulnerabilities in Fortinet Products vulnerability – Fortinet released advisories for several vulnerabilities, including a critical one (CVE-2025-25256) exploited in the wild. Users are urged to update affected products immediately to mitigate risks. https://cert.europa.eu/publications/security-advisories/2025-031/

⚠️ Matrix admits 'high severity' flaws need breaking fixes vulnerability – Matrix.org has announced high severity protocol vulnerabilities requiring breaking changes for server and client updates. Users are advised to upgrade to ensure security, especially in open federations. https://www.theregister.com/2025/08/13/secure_chat_darling_matrix_admits/

🫖 How we found TeaOnHer spilling users' driver's licenses in less than 10 minutes data breach – The dating app TeaOnHer exposed users' personal information, including driver's licenses, due to severe security flaws in its API. Investigators accessed sensitive data in under 10 minutes, prompting urgent concerns. https://techcrunch.com/2025/08/13/how-we-found-teaonher-spilling-users-drivers-licenses-in-less-than-10-minutes/

🌊 Norway confirms dam intrusion by Pro-Russian hackers security news – Norway's PST confirmed pro-Russian hackers seized control of a dam in April, releasing water to demonstrate their capabilities and instill fear, highlighting risks to critical infrastructure. https://securityaffairs.com/181143/hacktivism/norway-confirms-dam-intrusion-by-pro-russian-hackers.html

🦠 Ransomware crews don't care about your endpoint security – they've already killed it security research – At least a dozen ransomware gangs have adopted kernel-level EDR killers to bypass security tools, escalate privileges, and deploy ransomware. Tools like RealBlindingEDR and HRSword are being used to disable endpoint protections. https://www.theregister.com/2025/08/14/edr_killers_ransomware/

🛡️ Cisco discloses maximum-severity defect in firewall software vulnerability – Cisco revealed a critical vulnerability (CVE-2025-20265) in its Secure Firewall Management Center Software, allowing unauthenticated attackers to execute commands. A patch has been released, and users are urged to upgrade immediately. https://cyberscoop.com/cisco-vulnerability-secure-firewall-management-center/

🥶 ERMAC 3.0 source code leak reveals expanding threat malware – The leak of ERMAC 3.0's source code reveals its evolution from previous versions, now targeting over 700 banking and crypto apps. Researchers identified vulnerabilities that defenders can exploit to disrupt its operations. https://securityaffairs.com/181217/uncategorized/ermac-3-0-source-code-leak-reveals-expanding-threat.html

---

CISA Corner

📋 CISA and Partners Release Asset Inventory Guidance for Operational Technology Owners and Operators security news – CISA and partners released guidance for operational technology owners to create and maintain asset inventories, helping organizations classify and safeguard critical infrastructure assets to improve cybersecurity and incident response. https://www.cisa.gov/news-events/alerts/2025/08/13/cisa-and-partners-release-asset-inventory-guidance-operational-technology-owners-and-operators

⚠️ CISA Adds Three Known Exploited Vulnerabilities to Catalog warning – CISA has added three vulnerabilities to its KEV Catalog, including flaws in Internet Explorer, Excel, and WinRAR, highlighting significant risks to federal networks due to active exploitation. https://www.cisa.gov/news-events/alerts/2025/08/12/cisa-adds-three-known-exploited-vulnerabilities-catalog ⚠️ CISA Adds Two Known Exploited Vulnerabilities to Catalog warning – CISA has added two new vulnerabilities to its KEV Catalog, highlighting their active exploitation and significant risks to federal enterprises, emphasizing the need for timely remediation. (N-able) https://www.cisa.gov/news-events/alerts/2025/08/13/cisa-adds-two-known-exploited-vulnerabilities-catalog

⚙️ CISA Releases Seven Industrial Control Systems Advisories vulnerability – CISA issued seven advisories on August 12, 2025, addressing security vulnerabilities in Industrial Control Systems by Ashlar-Vellum, Johnson, Schneider, AVEVA, MegaSys and End-/Head-of-Train, urging users to review them for technical details and mitigations. https://www.cisa.gov/news-events/alerts/2025/08/12/cisa-releases-seven-industrial-control-systems-advisories ⚙️ CISA Releases Thirty-Two Industrial Control Systems Advisories vulnerability – CISA released thirty-two advisories on August 14, 2025, addressing security vulnerabilities in various Industrial Control Systems, urging users to review them for technical details and necessary mitigations. https://www.cisa.gov/news-events/alerts/2025/08/14/cisa-releases-thirty-two-industrial-control-systems-advisories

---

While my intention is to pick news that everyone should know about, it still is what I think is significant, cool, fun... Most of the articles are in English, but some current warnings might be in German.

প্রায়ই আমার এই শহরের ভিড় থেকে পালাতে ইচ্ছা করে। এই যে অলিগলি রাস্তা জুড়ে হাজর মানুষের হাঁটা-চলা, যান্ত্রিক জীবনের অনবরত শব্দ; এসবের মাঝে নিজেকে আমার দারুণ বন্দী মনে হয়। যদিও খেয়ে-পড়ে বেঁচে থাকার জন্যই এই শহর জীবন, কিন্তু সে তো আমাকে মুক্ত ভাবে শ্বাস নিতে দেয় না। কংক্রিটের এই জঙ্গলে দাঁড়িয়ে প্রতিদিন মনে হয়, আমি ভুলে যাচ্ছি মুক্ত জীবনের স্বাদ। হয়ত এই কারণেই মনে মনে ইচ্ছে হয় কোন এক হাঁটা-পা এর রাস্তা ধরে অচেনা কোন গহিন বনে হারাতে। আঁকাবাঁকা পথ, পাতায় ঢাকা, রঙে রঙে মোড়া পথ, কোলাহল বিহীন সেই পথে হেঁটে বেড়াতে। সেই বন আর বনের পথটি হবে একান্তই আমার নিজের।

শহরে বুকে কখনো যে গন্ধ মিলে না, সেই গন্ধে ভরে থাকবে আমার সেই বুনো পথ। মাটির কাঁচা গন্ধ, ঝড়া পাতার অচেনা সুরভি, আর হয়ত কোন অদৃশ্য ফুলের মৃদু সুবাস। সেখানে শ্বাস নিতে গিয়ে মনে হবে- আমি বেঁচে আছি, সত্যিই বেঁচে আছি। শহরের ধোঁয়া, গ্যাস, বর্জ্য কিংবা কৃত্রিম সুবাস এই সবই সেখানে থাকবে কেবলই এক দুঃস্বপ্ন হয়ে।

বনের গভীর নিস্তব্ধতাকে আগলে নেবো নিজের অস্তিত্বের সাথে। সেখানে থাকবে না এলোমেলো ব্যস্ত পদচারণা, থাকবে না কুৎসিত হর্ন, থাকবে না ট্র্যাফিক জ্যাম, থাকবে না পিচের গরম। থাকবে কেবল পাখির ডানা ঝাপটানোর শব্দ, থাকবে শুকনো পাতার উপর দিয়ে দৌড়ে যাওয়া অচেনা কোন প্রাণীর পদচারণা, থাকবে বাতাসের ফিস‍্‍‍ফিসানি আর থাকবে অন্তর জুড়ানো গাছের ছায়া। এই সবই প্রকৃতির আপন স্পর্শ, এগুলোই পৃথিবীর আসল ভাষা; যা আমরা ভুলে গেছি এই কোলাহলে মত্ত হয়ে।

ফ্লুরোসেন্টের আলোর নিচে বসে এখন আমি এক অন্ধকার পৃথিবী দেখি। এই আলো হৃদয়ের গহিন কোণকে আলোকিত করতে পারে না। অথচ আমার সেই অরণ্যে খেলা করে বিস্ময়ের আলো নিয়ে। পাতার ফাঁক গলে যখন সূর্যের আলো যখন মাটির গায়ে পড়ে, মনে হয় যেন ছোট ছোট আলোর কণা মিছিল করছে সেখানে। আবার মাঝে মাঝে আলোর রশ্মি গুলো এমন এক বিভ্রম তৈরি করে, যেন মনে হয় সেখানে রয়েছে এক আলোর ঝলমলে দেয়াল। দেয়ালের ওপারে রয়েছে অন্য এক জগৎ, যেখানে নেই কোন দায়িত্ব, নেই কোন দৌড়ঝাঁপ, নেই কোন একঘেয়েমি। শুধু শান্তি- নির্মল, অনাবিল শান্তির বাস সেখানে।

এই যে শহরজুড়ে গায়ের সাথে গা ঘেঁষে তৈরি হয়েছে আকাশছোঁয়া দালানের জঞ্জাল। একের পর এক বিল্ডিং, যার জানালা দিয়ে নিচে তাকালে কেবল দেখা মেলে ছুটে চলা শহর, ধুলো, কালো ধোঁয়া আর মেকি জীবনের দৌড়ঝাঁপ। এখানকার প্রতিটি দালান, প্রতিটি ফ্ল্যাট, প্রতিটি খোপ-খোপ রুম যেন এক একটি কারাগার। জীবনের মায়ায় অন্ধ হওয়ার দোষে সবাইকে সেই কারাগার যাপনের আদেশ দেয়া হয়েছে এখানে। অথচ আমার বনে প্রতিটি গাছই জানালা, প্রতিটি পথ মুক্তির, আর বহমান বাতাসে বাজে জীবনের সুর।

আমার ভেতরের আমিটা বারবার বলে উঠে- “বারবার হারিয়ে যাও তোমার আরণ্যের গভীর থেকে গভীরে; ক্লান্তি ঘিরে ফেলার আগ পর্যন্ত হেঁটে বেড়াও আঁকাবাঁকা পথটি ধরে।” হয়ত কোনো একদিন সত্যিই সব ছেড়ে দিয়ে চলে যাবো। খুঁজে বের করবো আমার সেই প্রিয় বনটিকে অজানা কোন প্রান্তে। যেখানে আমার সাথে থাকবে কেবল ‘আমি’। গাছ, পাখি, পো‌ঁকা আর মাটি -সবাই মিলে ঘুচিয়ে দিবে আমার হৃদয়ের অসীম নিঃসঙ্গতা।

তখন আর আমি এই শহুরে মানুষ থাকবো না; আমি হবো বনের সন্তান…

⠀⠀⠀⠀

⠀⠀⠀⠀

⠀⠀⠀⠀

ছবি-সূত্রঃ u/myriyevskyy

প্রথম ভাগঃ প্রারম্ভিকা

জানোই তো, ঘুম হল এক ধরনের প্রতারণা। ক্লান্ত হলে বিশ্রাম নিতে তুমি চোখটা বন্ধ কর, ধীরে ধীরে তোমার শরীর শিথিল হতে শুরু করে। হৃৎস্পন্দন কমে আসে, কমে আসে শরীরের তাপমাত্রা। তুমি তখন নিজেকে নিরাপদ ভেবে নিশ্চিন্ত মনে ঘুমাতে শুরু কর।

আর ঠিক সেই সময়টাতেই তোমার বুকের উপর এমন কিছু একটা উঠে বসে, যার অস্তিত্বের কথা তোমার জানা নেই! তবে আমি জানি, কারণ আমি তো সেটা দেখেছি। আচ্ছা চল, তোমাকে আমার ঘটনাটা বলি, তাহলেই তুমি বুঝতে পারবে আমি কীসের কথা বলছি। প্রথম রাতে আমি শুধু একটা মৃদু শব্দ শুনতে পেয়েছিলাম। শব্দটা মৃদু হলেও তার তীক্ষ্ম একটা অনুভূতি আমাকে ছুঁয়ে দিয়েছিল। নিঃশ্বাসের শব্দ ছিল সেটি। অন্ধকারে, ঠিক আমার বিছানার কোণ থেকে শব্দটা হয়েছিল। কেমন একটা ঠান্ডা, গভীর, লম্বা একটা টান। আমি ভেবেছিলাম মনের ধোঁকা হয়তো, এত রাতে একা ঘরে কার নিঃশ্বাসের শব্দ হবে!

দ্বিতীয় রাতেও আমার ঘুম ভেঙ্গে গেল, খুব অস্বস্তি লাগছিল। ওটা তখন আমার বুকের উপর বসে আছে। নড়তে পারছিলাম না, শ্বাসও নিতে পারছিলাম না। শুধু অনুভব করছিলাম সেই ঠান্ডা নিঃশ্বাসের মতই- ঠান্ডা, ভেজা হাতটি গলার চেপে ধরে আছে। চাপটা খুব অদ্ভুত, না শক্ত – না নরম; তবে ততটাই, যতটা থাকলে পরে তোমাকে আতঙ্ক আঁকড়ে ধরে।

দিনের আলোতে এই কথাগুলো নিজের কাছেই হাস্যকর লাগছিল। বিশ্বাস কর, মাকে গিয়ে যে কথা গুলো বলব, আমার তো নিজেরই বিশ্বাস হচ্ছিল না। মনে হচ্ছিল ছ’বছরের বাচ্চারা রাতে স্বপ্ন দেখে ভয় পেয়ে যা করে, আমিও তেমন করছি।

তৃতীয় রাতেও আমি সেই ঠান্ডা হাতের অনুভব পেলাম। আমি ঠিক-ঠিক গুনে ফেললাম- সেখানে মোট ছ’টা আঙ্গুল আছে। তিনটা বামে, আর তিনটা ডানে। বরফ শীতল আঙ্গুলগুলো যেন গলার চামড়া ফুড়ে মেরুদন্ড ছুঁয়ে দিতে চাইছে!

তারপর, চতুর্থ রাত, আমি বুঝলাম ও আমাকে ডাকছে। ওকে আমি ঠিক দেখতে পাচ্ছি না, কিন্তু ওর কণ্ঠটা যেন আমার মস্তিষ্কের ভেতর ভেসে বেড়াচ্ছে। বলছে- ‘তুমি তো আমাকে চেনো….’

পরদিন সকালে মা আমাকে ডাকতে এসে দেখলেন, আমি চুপচাপ শুয়ে আছি। ডাক্তার বলল- ‘হার্ট অ্যাটাক’। সবাই সেটা বিশ্বাসও করে নিল। অথচ, আমি সেখানেই ছিলাম, আয়নাটার সামনে। যেখান থেকে আমি সেই ছায়াটাকে ধীরে ধীরে সরে যেতে দেখছিলাম, আর তার দৃষ্টি ছিল… থাক সে কথা।

এর ক’দিন বাদেই ওরা সবাই বাড়িটা খালি করে কোথায় যেন চলে যায়। আমি ওদের দেখেছি, ওরা ঘরের আসবাবপত্র বের করছে, সামানা গোছাচ্ছে, ভ্যানে ভরছে। কিন্তু ওরা আমাকে দেখে না। জানালা দিয়ে আমি কেবল ওদের চলে যাওয়াটুকুই দেখলাম। এরপর থেকেই আমি একা, একদম একা।

⠀⠀⠀

⠀⠀⠀

দ্বিতীয় ভাগঃ বাড়ির নতুন বাসিন্দা…

শহর ছেড়ে এই গ্রামে এসেছি দিন দশেক হয়েছে। একটা প্রজেক্ট চলছে এখানে, আরও কয়েক মাস চলবে। প্রথম কয়েকদিন তো এখানকার কাজ-কর্মের কোন আগা-মাথা বুঝে পাচ্ছিলাম না। সবই চলছে নিয়ম মাফিক, আবার সবই এলোমেলো। সে সব গোছাতেই চলে গেছে এই কয়েকদিন। হেড অফিস থেকে জানাল, তারা এখানে নতুন কাউকে পোস্টিং দিবে বলে ভাবছে। তবে সেটা হওয়ার আগ পর্যন্ত আমাকে একটু কাজগুলো গুছিয়ে দিতে বলল।

শহরের বাইরে আমার তেমন করে কখনো থাকা হয়নি। এখন এই কাজের কারণে না আসলে হয়ত এভাবে এতদিনের জন্যে আসা হতো না। শহরেই জন্ম, বেড়ে উঠা, আর শহরেই জীবনটার ইতি হতো। সারাদিন ভালোই কাটে, কাজের ব্যস্ততায়, সাইট ঘুরে দেখে। কিন্তু বিকেলের পর আর সময় কাটতে চায় না। তার উপর এমন একটা জায়গায় থাকবার ব্যবস্থা হয়েছে! ছোট একটা একতলা বাড়ি, একদম গ্রামের সীমান্ত ঘেঁষে। বাড়িটা অফিসের, এখানে তারা অন্য একটা প্রজেক্টের জন্য জমি কিনার সময় খুব কম দামে পেয়ে যায়, তাই কিনে নেয়। কারও থাকার উদ্দেশ্য না হলেও এখন এই প্রজেক্টের জন্যে আমার থাকার জায়গা হয়েছে।

ছিমছাম শান্ত পরিবেশ ঘেরা, ঝুপ করে সন্ধ্যা নামার পর নাম না জানা পোকার ডাক ছাড়া আর কিছুই শোনা যায় না। এখানকার ম্যানেজার প্রথমে তার বাসাতেই থাকা-খাওয়ার ব্যবস্থা করতে চেয়েছিলেন। কিন্তু আমার কারও বাসায় এভাবে থাকাটা পছন্দ হচ্ছিল না, তাই সেটা বাতিল করেছিলাম। এরপর তিনি একপ্রকার জোড় করেই খাবারের ব্যবস্থাটা নিজের ঘাড়ে নিয়ে নিলেন। এখন টিফিন কেরিয়ারে করে সন্ধ্যার পরপর খাবার চলে আসে তার বাড়ি থেকে। তবে এক ফাঁকে তিনি আমাকে জানালেন, এই বাড়িটার ব্যাপারে কিছু আজেবাজে কথা শোনা যায়। যদিও বিশ্বাস করার মত তেমন কোনো ভিত্তি নেই। তারপরও রাতে বাড়ি থেকে বের হতে বারণ করলেন। আর কোনো সমস্যা হলে যত রাতই হোক, তাকে যেন নির্দ্বিধায় ফোন করে জানাই -সে আশ্বাস আদায় করে নিলেন।

দিনভর দৌড়োদৌড়ির পর শান্ত পরিবেশ আর পেট পুরে খানা পেয়ে এখন ঘুমও চলে আসে দ্রুত। বড় জোড় রাত ১০টা পর্যন্ত জাগে থাকতে পারি, তারপর টুপ করে ঘুম ধরে বসে। অবশ্য আমিও যে খুব জেগে থাকতে চাই, তা না। সকাল সকাল খুব ফ্রেশ একটা ভাব চলে আসে এত লম্বা ঘুম পেয়ে। দিনের ক্লান্তিটা তখন আর তেমন গায়ে লাগে না।

এগারো তম রাতে হঠাৎ করেই ঘুমটা ভেঙ্গে গেল। কেমন একটা অস্বস্তি লাগছিল, ঠিক বোঝানোর মত না। কেমন যেন একটা অস্বাভাবিক নীরবতা নেমে এসেছে। জানালার ফাঁকা দিয়ে ফ্যাকাশে চাঁদের আলো এসে বিছানার একপাশে থেমে আছে। মনে হচ্ছে যেন সময়টাও আটকে গেছে। অস্বস্তিটা আমাকে এমনভাবে ঘিরে ধরেছে যে, উঠে বসে টেবিল থেকে মোবাইল বা ঘড়িটা পর্যন্ত নিতে ইচ্ছে হলো না। বেশ অনেকটা সময় পর হঠাৎ করেই সব স্বাভাবিক হয়ে গেল। যেন কেউ রিমোট থেকে প্লে বাটনে চাপ দেয়ার সাথে সাথেই সব আগের মতই চলতে শুরু করেছে। অস্বস্তিটাও কেটে গেল প্রায় সাথে সাথেই। আর কিছুক্ষণের মধ্যেই আমি আবার ঘুমের সাগরে ডুবে গেলাম।

পরদিন আর এটা নিয়ে তেমন কিছুই মনে থাকলো না। সাইট ঘুরে কাজ দেখতে দেখতে দিন কেটে গেল।

সমস্যাটা হলো আবার রাতে। গতদিনের মতই ঘুমটা ভেঙ্গে গেলো। ঠিক ভেঙ্গে গেল কিনা সেটাও নিশ্চিত করে বলতে পারছিলাম না। যেন ঘুমের গভীর কোন স্তরে ডুবে আছি, কোন নড়াচড়া কিংবা সাড়াশব্দ কিচ্ছু নেই। কেবল একটা চাপা অস্বস্তি।

হঠাৎ বুকের উপরে ভারী আর ঠান্ডা একটা চাপ অনুভব করলাম। কারও উপস্থিতি… না, কারও বসে থাকা। শরীর শক্ত হয়ে গেছে, আঙুল পর্যন্ত নড়ছে না। চিৎকার করতে গেলেও শব্দ বের হচ্ছিল না। গলা শুকিয়ে কাঠ হয়ে আছে।

তারপর ঠান্ডা, ভেজা একজোড়া হাত গলার দুই পাশে চেপে ধরলো। এমনভাবে চাপ দিচ্ছিল- যেন নিখুঁতভাবে আমার শ্বাস বন্ধ করতে চাইছে। চোখের সামনে সব ঝাপসা হয়ে আসছে, মাথাটা ভোঁ ভোঁ করছে। আর কানের ভেতর একটা ফিসফিসানি- “তুমি তো আমাকে চেনো…”

আজকের পূর্বে আমার নিজেকে কখনো ভীতু মনে না হলেও, আজ আমার বুকের ভেতর ভয় ভয় জমে বরফ হয়ে গেল। হঠাৎ মনে হলো নিঃশ্বাসও নেওয়ার দরকার পড়ছে না। গলার চাপ কমেনি, বরং বেড়েছে বলা যায়। অথচ শ্বাস টানার কোন আকুতি আর ফুসফুস করছে না। হয়ত অক্সিজেনের অভাবে উল্টোপাল্টা ভাবছি। কিন্তু এটাও বুঝতে পারছি যে মস্তিষ্ক পরিষ্কার চিন্তা করতে পারছে। আর প্রশ্নটা নিজে থেকেই এলো- তবে কি আমি মারা গিয়েছি? নাকি এটা পুরোপুরি কল্পনা? অথবা এই অনুভূতিটাই মৃত্যুর পরের অংশ?

পরের মুহূর্তেই উঠে বসলাম। বুক ধড়ফড় করছে, কিন্তু ঘরের পরিবেশ একদম স্বাভাবিক। জোরে জোরে ফুসফুস ভরে শ্বাস নিচ্ছি, বা হাঁপাচ্ছি। বিছানাটা এলোমেলো, চাদর গুটিয়ে গেছে।

নামলাম বিছানা থেকে, হেঁটে বাথরুমে গিয়ে ঢুকলাম। একটু আগে যে আতঙ্ক ভর করেছিল, তার ছিটে-ফোটাও লাগছে না এখন। উলটো নিজেকে যেন আরও হালকা লাগছে। বেসিনের ট্যাপ ছেড়ে চোখে-মুখে ঠান্ডা পানি ছিটিয়ে দিলাম। মাথা কিছুটা পরিষ্কার হলো। আয়নার সামনে দাঁড়িয়ে নিজের বোকামিতে হেসে ফেলতে গেলাম,কিন্তু হাসি মিলিয়ে গেল পরের সেকেন্ডেই।

গলার দুই পাশে তিনটা করে সমান লালচে দাগ। যেন কারও আঙুলের চাপের ছাপ। আমি হাত দিয়ে ছুঁয়ে দেখলাম, হালকা গরম, কিন্তু কোনো ব্যথা নেই। আমার আতঙ্কিত হওয়ার কথা, কিন্তু তেমন কোন অনুভূতি হচ্ছে না। যেন এমনটা হবে আমি জানতাম!

এরপর আর ভালো ঘুম হলো না। বারবার কেবল ঘুরে ফিরে ঐ ফিস্‌ফিস শব্দটা মাথায় চলে আসছিল। “তুমি তো আমাকে চেনো…”

পরদিন সকালে অফিসে গিয়েই এখানকার ম্যানেজার সাহেবকে জানালাম জরুরি কাজে বাড়ি যাচ্ছি। হাতের কাজগুলো তাকে বুঝিয়ে দিয়েই গাড়িতে উঠলাম। হেড অফিসে কেবল অসুস্থতার ছুটির জন্য একটা মেইল পাঠিয়ে রাখলাম।

আট ঘণ্টার জার্নি দিয়ে ফিরলাম বাসায়। আমার কেবল মনে হচ্ছিল আমাকে যে করেই হোক ঐ জায়গাটা ছেড়ে আসতে হবে। তাই আর সামনে-পেছনে কোন কিছুই চিন্তা না করে সোজা বাসায় এসেছি। অবশ্য বাসায় এসে কাউকে কিছু বলে ভরকে দিতে ইচ্ছা হল না। ছুটি নিয়েছি, জানালাম কেবল। ওরা ভাবল, এভাবে হঠাৎ করেই শহর ছেড়ে গ্রামে গিয়ে থাকা, আর লম্বা জার্নির কারণে আমাকে এমন ফ্যাকাশে দেখাচ্ছে।

ফ্রেশ হয়ে কোনোরকম রাতের খাবার শেষ করেই আমার রুমে গিয়ে ঢুকলাম। বিছানায় গা এলিয়ে দিতেই ঘুম ঘুম ভাব চলে আসল। অনিচ্ছাতেও গভীর ঘুমে নিপতিত হতে থাকলাম।

⠀⠀⠀

⠀⠀⠀

তৃতীয় ভাগঃ অবশেষ…

একটা ঘোরের মন লাগছে। মনে হচ্ছে জেগে আছি, আবার মনে হচ্ছে স্বপ্ন দেখতে শুরু করেছি। বিছানায় উঠে বসতেই আলমারির আয়নার দিকে চোখ পড়ল। পেছনে বাথরুমের দরজা আধখোলা, আর তার ফাঁক দিয়ে মনে হলো কেউ দাঁড়িয়ে আছে- অস্পষ্ট, ছায়ার মতো।

আমি চোখ মুছলাম, আবার তাকালাম- কই? কেউ তো নেই!

হঠাৎ বাতাস থেমে গেল। না, আসলে বাতাস নয়, নিশ্বাস নেয়ার আকুতি; থেমে গেলো।

আয়নার ভেতরে আমার পেছনে অন্ধকার জমতে শুরু করলো। প্রথমে মনে হলো ছায়া, কিন্তু তা ধীরে ধীরে আকার নিচ্ছে- লম্বা, কঙ্কালসার হাত… প্রতিটি হাতে তিনটি লম্বা আঙুল।

আমার কাঁধের উপর দিয়ে সেই হাতের ছায়া এগিয়ে এলো। আয়নায় হাত দেখা গেলেও আমার গায়ে কোন কিছুর ছোঁয়া অনুভব করলাম না। আমি স্থির হয়ে রইলাম, চোখের পাপড়িও ফেলতে পারছি না।

তারপর সেই ছায়ার মাথাটা ঝুঁকে এল আমার ঠিক কানের পাশে। কোনো ঠোঁট নড়ছে না, কিন্তু এক বরফশীতল ফিসফিসানি মাথার ভেতর এক স্বরে বলেই চলেছে- “তুমি তো আমাকে চেনো…”

আমি তখন আয়নার দিকে তাকিয়ে বুঝতে পারলাম প্রতিফলনে দাঁড়িয়ে থাকা আমিটা আসলে আমি নই। প্রতিফলনের চোখ গাঢ় কালো হয়ে গেছে, ঠোঁটের কোণে হালকা হাসি, আর গলার দাগগুলো রক্তিম লাল হয়ে জ্বলজ্বল করছে। ওটা আমাকে দেখছে… কিন্তু আমি ওটাকে… কি জানি!

বাথরুমের দরজা আস্তে আস্তে বন্ধ হয়ে গেল। অন্ধকার পুরো ঘরটাকে গিলে নিল।

⠀⠀⠀

⠀⠀⠀

মনিটরের পর্দায় এই ছবিটা দেখে মনে হল যেন কেউ আমার ভেতরের স্মৃতির দরজাটা আস্তে করে খুলে দিচ্ছে। চোখের সামনে ভেসে উঠলো সেই শৈশবের বিকেলগুলো- যখন গরমের দুপুর গুলিতে ভাতঘুম দিয়ে বিকেলের আগে আগে উঠতাম। তারপর বিকেল নামলে পরে যেতাম মাঠের দিকে। চারপাশে শুধু বিস্তীর্ণ সবুজ, দূর-সুদূরে অল্প কয়টিা বাড়ি আর ওপরে অনন্ত নীল আকাশ। মনে হতো, যদি কোনোভাবে ওই আকাশে উঠার সিঁড়িটা খুঁজে পেতাম! ভাবতাম নিশ্চই আকাশের একটা গোপন রাস্তা আছে, যা কেবল আমার চোখে ধরা পড়ে না! প্রতিদিন বিকেলে ঝাঁকে-ঝাক পাখি উড়ে যেত দক্ষিণ দিগন্তে। তাদের দেখেই মনে হতো, তারা নিশ্চয়ই কোনো অদ্ভুত জগতে যাচ্ছে- যেখানে মানুষের অনুমতি নেই, শুধু ডানাওয়ালাদের রাজ্য সেখানে। আমার কৌতূহল ছিল আকাশের চেয়েও বড়; ভাবতাম, একদিন আমিও এমন দুটো ডানার মালিক হবো, উড়ে যাবো তাদের সঙ্গে, তাদের সেই গোপন রাজ্যে!

তবে বিকেলের প্রতি আমার ছোট্ট একটা অভিমানও ছিল। কেন হঠাৎ করেই ঝুপ করে সন্ধ্যা নেমে আসে? এত সুন্দর আলো, এত রঙ, এত বাতাস, বাতাসের শন‍্‍-শন‍্‍ -সবকিছু এত তাড়াতাড়ি ফুরিয়ে যায় কেন? কি হতো সন্ধ্যাটা কম হলেও বিকেলটা আরও একটু বড় হলে? কি হতো এই মুক্ত বাতাসে আরও একটু সময় পেলে? মনে হতো, নিষ্ঠুর প্রকৃতি ইচ্ছে করেই আমার বিকেলের সময়টা কমিয়ে দিচ্ছে।

কিন্তু কবে যেন সেই বিকেলগুলো হারিয়ে গেলো, বুঝতেই পারিনি। পড়াশোনা, ব্যস্ততা, জীবনের দৌড়ঝাঁপ- সব মিলে বিস্তীর্ণ মাঠগুলোও ধীরে ধীরে বিলীন হয়ে গেলো কালের গহ্বরে। যে মাঠে দাঁড়িয়ে আকাশের রঙ বদলানো দেখতাম, সেখানে এখন শুধু ইট-কংক্রিটের দেয়াল। এলোমেলো মুক্ত বাতাসের তোড় এখন আর শন‍্‍-শন‍্‍ গান শোনায় না। আকাশ আছে, কিন্তু তার ম্লান রঙ এখন আর হৃদয় রাঙ্গায় না; আলো আছে, কিন্তু তাতে সেই শৈশবের যাদু এখন অনুপস্থিত।

এই নগরে এখন বিকেল মানেই মানুষের ক্লান্ত মুখ, গাড়ির অসহনীয় শব্দ, ধোঁয়া আর ছুটে চলা মানুষের ভিড়, কোলাহল, আর ময়লার গন্ধ। পাখির ঝাঁকের দেখা এখন আর মেলে না, দেখা যায় কেবল কাটা তারের মাঝে আটকে থাকা কিছু ঘুড়ি, আর দূর আকাশে উড়তে থাকা চিল অথবা কোন বাড়ির উঁচু ছাদের কার্নিশে ক্লান্ত কাক। আমার ভেতরে এই বিকেল গুলিতে এক অদ্ভুত শূন্যতা কাজ করে- মনে হয়, আমি শুধু আকাশটাই হারাইনি; বরং নিজেকেও হারিয়েছি টুকরো টুকরো সময়ের সাথে।

তবুও, মাঝে মাঝে মনে অদ্ভুত এক ইচ্ছা জাগে। যদি একদিন কৈশরের সেই দিনগুলোতে ফিরে যাওয়া যেত! আবার যদি সেই বিস্তৃত মাঠে দাঁড়িয়ে রঙ ভরা আকাশের নিচে পাখির অদৃশ্য সেই রাজ্যের পানে গন্তব্য নিয়ে গল্প বানাতে পারতাম। যদি পারতাম শন‍্‍-শন‍্‍ শব্দের তোড়ে বাতাসে হাত মেলে খোলা মাঠে এলোমেলো ছুটতে। যদি আবার জমা রাখতে পারতাম প্রকৃতির কাছে আমার ছোট ছোট সেই অভিমান আর অভিযোগ গুলো!

বিকেলের রঙ গুলো হয়ত আজও একই আছে, কিন্তু আমি জানি- শহরের আকাশে সেগুলোর দেখা পাওয়া আর সম্ভব নয়। শুধু মনেই রয়ে গেছে মুক্ত মাঠের এক কোনায় দাঁড়িয়ে বিস্ময়ভরা দৃষ্টি মেলে তাকিয়ে দেখা একখণ্ড রঙিন আকাশ। যেখানে আমি এখনো দাঁড়িয়ে আছি- এক জেদি স্বপ্নবাজ শিশু হয়ে, ডানা গজানোর অপেক্ষায়।

ছবি-সূত্রঃ r/painting

সম্প্রতি অলস এক সন্ধ্যায় বসে দেখলাম “কালিধর লাপাতা” মুভিটি। মূলত, পা ঝুলিয়ে বসে থাকা মুভির পোষ্টারটি আমাকে এই মুভিটি বেছে নিতে আগ্রহ যুগিয়েছে। তারপর যখন দেখলাম এতে অভিনয় করেছেন অভিষেক বচ্চন তখন আরও কৌতূহল ভরেই দেখতে শুরু করেছিলাম। কিন্তু শেষ হওয়ার পর মনে হল, এটা শুধু একটা চলচ্চিত্র নয়, বরং জীবনের গভীর স্রোত থেকে বলে যাওয়া একটি গল্প ছিল এটি। মধ্যবয়স্ক এক লোকের গল্প নিয়ে তৈরি হয়েছে এই চলচ্চিত্র, যেখানে সে স্মৃতিভ্রংশে ভুগছে, আর তার এই রোগের কারণে চারপাশের দুনিয়া কীভাবে বদলে যায় সেই গল্প থেকেই শুরু। স্পয়লার না দিয়ে বলি, এটা একটা যাত্রার কাহিনি – শারীরিক তো বটেই, মনেরও। আর এই যাত্রায় জড়িয়ে আছে জীবনবোধ, সম্পর্কের জটিলতা আর জীবনের প্রবাহ – যা আমাদের সবার জীবনে কোনো না কোনো ভাবে জড়িয়ে আছে।

প্রথমেই বলি জীবনবোধের কথা। মুভিটি দেখতে দেখতে মনে হয়েছে, জীবন আসলে কতটা সরল, অথচ আমরা নিজেরাই তাকে জটিল করে তুলি। কালিধরের চরিত্রটা যেন আত্মভোলা, আত্মত্যাগী মানুষ রূপের একটি আয়না। স্মৃতি হারিয়ে যাওয়া মানুষের মধ্যে দিয়ে দেখায় যে, মানুষ কত সহজেই লোভের বসে কিংবা প্ররোচনায় পড়ে আপনকে পর করে দিতে পারে। অপরদিকে অতীতের বোঝা ছাড়া বর্তমানে বাঁচতে গেলে কতটা মুক্তি মেলে। আমার মনে হয়, এখানে একটা গভীর বার্তা আছে: জীবনের অর্থ খুঁজতে গিয়ে আমরা প্রায়ই ভুলে যাই যে, সত্যিকারের বেঁচে থাকা শুরু হয় তখনই যখন অন্যের জন্য বাঁচি। কালিধরের যাত্রায় দেখা যায়, কীভাবে ছোট ছোট আনন্দ, যেমন- গাছের গায়ে লেখা শেষ জীবনের ইচ্ছাগুলো পূরণ করার মাধ্যমে কেউ জীবনকে নতুন করে সাজিয়ে নিতে পারে। এটা যেন আমাদের বলে, শেষ না হওয়া পর্যন্ত কোনো কিছুরই শেষ নেই, বরং প্রত্যেকটা শেষই একটা নতুন প্রারম্ভ। আমাদের জীবনেও যদি আমরা এমন একটা ধারণা নিয়ে আসতে পারি তাহলে সেটি আমাদের অন্তরকে কতটা আনন্দ আর শন্তি দিতে পারবে, ভাবুন তো একবার!

এবার সম্পর্কের দিকটা। ছবিটা এখানে খুব সূক্ষ্মভাবে হৃদয় ছুঁয়েছে। কালিধরের পরিবারের সাথে তার সম্পর্ক দেখে মনে হয়েছে, কতটা সহজেই আমরা প্রিয়জনদের বোঝা ভেবে ফেলি। পরিবারের মধ্যে যে লোভ বা স্বার্থপরতা ঢুকে পড়ে, তা কীভাবে সম্পর্কগুলোকে ছিন্নভিন্ন করে –এখানে এটা খুবই বাস্তবসম্মত ভাবে ফুটিয়ে তোলা হয়েছে। অথচ অপ্রত্যাশিত সম্পর্ক কত সহজেই আবার অচেনাকে আপন করে নিচ্ছে। কালিধর আর বল্লুর মধ্যে যে সখ্যতা গড়ে ওঠে, সেটা যেন বলে যে, সম্পর্কের কোনো নাম লাগে না, শুধু নিঃস্বার্থ ভালোবাসা আর সঙ্গ দিলেই হয় তা হয়ে উঠে গভীর বন্ধন। বয়সের ফারাক, নিজেদের জীবনের তফাত –কিছুই বাধা হয় না যদি মনের সাথে মন মিলে যায়। মুভিটা যে এই কথাটাই বলতে চেয়েছে –সম্পর্কগুলোকে জটিল না করে, তাতে স্বার্থ না খুঁজে কেবল হাতে-হাত ধরে একতালে এগিয়ে গেলেই চরম কষ্টেও আনন্দ খুঁজে পাবে।

জীবনপ্রবাহের কথা বলতে গেলে, মুভিটি যেন একটা নদীর মতো বয়ে গেছে। কালিধরের যাত্রা আমাদের জীবনের যাত্রার প্রবাহের সাথে কোথায় যেন মিশে গেছে। ফেলে দেয়ার উদ্দেশ্যকে উল্টে নিজে থেকে হারিয়ে যাওয়া, তারপর নতুন করে জীবনের অর্থ খুঁজে তাকে পূরণ করা, পছন্দের খাবারটি খাওয়ার জন্য কখনো কখনো অসম-প্রতিযোগীতায় জুড়ে যাওয়া, বিভিন্ন মোড় থেকে জীবনকে নতুনভাবে দেখতে শেখা, পুরোনো দিনের ফেলে আসা সম্পর্ক গুলোকে পুনরায় ফিরে পাওয়ার চেষ্টা করে যাওয়া -কত ঘটনার প্রবাহেই জীবনে সে জুড়ে নিয়েছে। এই কষ্ট আর এই আনন্দ গুলিই প্রমাণ করে জীবন আসলে এইসব ঘটনাকে পুঁজি করেই এগিয়ে চলে। এই প্রবাহে ভেসে যাওয়া মানে হাল ছেড়ে দেওয়া নয়, বরং স্রোতের সাথে মিশে নতুন পথের খোঁজ করার মানেই জীবন। বিশেষ করে আজকের দ্রুতগতির দুনিয়ায়, যেখানে সবাই ছুটছে; সেখানে এই মুভিটি যেন আমাদের বলছে -থামো, একটু দম নাও, চারপাশটা দেখো, জীবনের ছোট মুহূর্তগুলো উপভোগ করো। জটিলতায় সম্পর্কের হাত গুলো না ছেড়ে বরং তাকে আরও শক্ত করে জড়িয়ে ধর।

সব মিলিয়ে, “কালিধর লাপাতা” আমাকে অন্যরকম ভাবে ভাবিয়েছে। এটা কোনো বড়সড় অ্যাকশন বা রোমান্স নেই সত্যি, কিন্তু এমন একটা উষ্ণতা আছে যা মনকে ছুঁয়ে গেছে। মুভিটি দেখার শেষে মনে হবে- হারিয়ে যাওয়াটাও কখনো কখনো ততটাও খারাপ নয় যতটা আমরা ভাবি, কারণ হারিয়ে গেলেই কখনো কখনো নতুন কিছুর প্রাপ্তি ঘটে। ‘অভিষেক বচ্চন’ এর পাশাপাশি ‘দৈবিক বাঘেলা’ বা বিল্লুর অভিনয় ছিল সাবলীল ও উপভোগ্য। জীবনের গভীরতা নিয়ে ভাবতে ভালোবাসলে এক ফাঁকে একটু সময় নিয়ে দেখতে পারেন মুভিটি।

A weekly shortlist of cyber security highlights. The short summaries are AI generated! If something is wrong, please let me know!

---

News For All

🔍 Hundreds of registered data brokers ignore user requests around personal data privacy – A study reveals that 40% of registered data brokers in California ignore user requests for data access, highlighting a need for stronger enforcement of privacy laws. https://cyberscoop.com/data-brokers-california-ccpa-non-compliance-privacy/

🚫 Vienna Latino Festival 2025: Tickets für offenbar nicht stattfindendes Event im Verkauf warning – Tickets for the Vienna Latino Festival are being sold, but the venue claims no event is scheduled. Consumers are advised not to purchase tickets until confirmed. https://www.watchlist-internet.at/news/vienna-latino-festival-2025-tickets-fuer-offenbar-abgesagtes-event-im-verkauf/

🫖 A Second Tea Breach Reveals Users’ DMs About Abortions and Cheating data breach – A second breach of the Tea app has exposed sensitive user messages about abortions and cheating, risking user privacy despite claims of legacy data issues. https://www.404media.co/a-second-tea-breach-reveals-users-dms-about-abortions-and-cheating/

✈️ Pro-Ukrainian hackers take credit for attack that snarls Russian flight travel cybercrime – A cyberattack attributed to pro-Ukrainian hackers disrupted Aeroflot's operations, leading to numerous flight cancellations and significant financial damage, as claimed by the hackers. https://arstechnica.com/security/2025/07/pro-ukrainian-hackers-take-credit-for-attack-that-snarls-russian-flight-travel/

📞 Orange, France’s largest telecoms company, hit by cyberattack data breach – Orange has detected a cyberattack affecting its internal systems, causing service disruptions for customers, though no data extraction has been confirmed at this stage. https://therecord.media/orange-telecom-france-cyberattack

⚠️ 40,000 WordPress websites at risk of being hijacked due to vulnerable Post SMTP plugin vulnerability – Over 40,000 WordPress sites using the vulnerable Post SMTP plugin could be hijacked, as low-privileged users can intercept sensitive emails. Many remain unpatched despite a fix being available. https://www.bitdefender.com/en-us/blog/hotforsecurity/40-000-wordpress-websites-at-risk-of-being-hijacked-due-to-vulnerable-post-smtp-plugin

💰 Research shows data breach costs have reached an all-time high cybercrime – The average data breach cost for U.S. companies rose to $10.22 million in 2025, driven by higher regulatory fines, while global costs decreased. Cyberattacks remain the leading cause of breaches. https://cyberscoop.com/ibm-cost-data-breach-2025/

⚠️ PyPI maintainers alert users to email verification phishing attack warning – PyPI warns users of phishing emails from noreply@pypj[.]org impersonating official communications, urging users to verify emails through fake sites to steal credentials. Users are advised to be cautious and change passwords if affected. https://securityaffairs.com/180585/hacking/pypi-maintainers-alert-users-to-email-verification-phishing-attack.html

😈 Decryptor released for FunkSec ransomware; Avast works with law enforcement to help victims security news – Avast has released a decryptor for FunkSec ransomware, aiding 113 victims after the gang's brief operation from December 2024 to March 2025, which reportedly utilized AI in its attacks. https://therecord.media/funksec-ransomware-decryptor-avast

🔒 Ready or not, age verification is rolling out across the internet privacy – The UK has begun implementing age verification for sites hosting adult content, raising privacy concerns as platforms collect sensitive user data. Other countries are expected to follow suit with varying methods and risks. https://www.theverge.com/analysis/715767/online-age-verification-not-ready

🎮 Scammers Unleash Flood of Slick Online Gaming Sites – Krebs on Security cybercrime – Fraudsters are promoting over 1,200 scam gaming sites via social media, offering fake bonuses and ultimately stealing cryptocurrency deposits from users. These scams utilize deceptive ads and automated support systems. https://krebsonsecurity.com/2025/07/scammers-unleash-flood-of-slick-online-gaming-sites/

📦 Users left scrambling for a plan B as Dropbox drops Dropbox Passwords security news – Dropbox will discontinue its password manager, Dropbox Passwords, by October 28, 2025, transitioning users to a view-only mode and recommending 1Password as an alternative. https://www.theregister.com/2025/07/30/dropbox_drops_dropbox_passwords/

⚠️ Attackers actively exploit critical zero-day in Alone WordPress Theme vulnerability – Hackers are exploiting a critical vulnerability (CVE-2025-5394) in the Alone WordPress theme, allowing unauthenticated users to upload files and execute remote code, leading to site takeovers. https://securityaffairs.com/180630/hacking/attackers-actively-exploit-critical-zero-day-in-alone-wordpress-theme.html

🔊 Microsoft's Azure AI Speech needs just seconds of audio to spit out a convincing deepfake security news – Microsoft's Azure AI Speech has been upgraded to generate voice replicas with just seconds of audio, raising concerns over the potential for malicious uses like audio deepfakes. https://www.theregister.com/2025/07/31/microsoft_updates_azure_ai_speech/

🛫 Spying on People Through Airportr Luggage Delivery Service privacy – CyberX9 researchers discovered vulnerabilities in Airportr’s website that exposed personal information and travel plans of users, including government officials, and allowed potential super-admin access. https://www.schneier.com/blog/archives/2025/08/spying-on-people-through-airportr-luggage-delivery-service.html

⚖️ Flo settles class action lawsuit alleging improper data sharing privacy – Flo settled a lawsuit claiming it improperly shared sensitive menstrual data with Meta, leaving Meta to face potential billions in damages as trial approaches. Plaintiffs allege data sharing violated user trust. https://therecord.media/flo-app-settlement-class-action-suit-data-sharing-meta

🌽 Sex toy maker Lovense threatens legal action after fixing security flaws that exposed users' data data breach – Lovense fixed security vulnerabilities that exposed user data and is considering legal action over reports about the bugs, despite claiming no evidence of data misuse. A researcher disclosed the flaws earlier this year. https://techcrunch.com/2025/08/01/sex-toy-maker-lovense-threatens-legal-action-after-fixing-security-flaws-that-exposed-users-data/

---

Some More, For the Curious

🧺 How I hacked my washing machine ¶ hacking write-up – A cybersecurity student shares their experience of reverse engineering a smart washing machine's app, creating notifications for wash cycles, and exploring IoT vulnerabilities. https://nexy.blog/2025/07/27/how-i-hacked-my-washing-machine/

🏭 ICS Security with Labshock: Virtual Oil Plant Hacking Tutorial cyber defense – This guide details setting up a virtual oil plant with Labshock and simulating a cyberattack on its PLC and SCADA systems to enhance ICS security skills. https://blog.nviso.eu/2025/07/29/refinery-raid/

🔐 Google Workspace is rolling out a security update to stop token stealing attacks security news – Google Workspace is implementing a security update aimed at preventing token stealing attacks, enhancing protection for user accounts against unauthorized access. https://www.theverge.com/news/715117/google-workspace-dbsc-cookie-stealing-attack

🔍 Google Project Zero to publicly announce bugs within a week of reporting them security news – Google Project Zero will now announce discovered vulnerabilities within a week of reporting them to vendors, aiming to improve communication and reduce the risk during patch delays. https://therecord.media/google-project-zero-publicly-announce-vulnerabilities-week-after-reporting

🛜 Hunt for Weak Spots in Your Wireless Network with Airodump hacking write-up – This guide introduces using airodump-ng for wireless penetration testing, focusing on identifying and exploiting access points, while covering essential tools and techniques. https://www.blackhillsinfosec.com/hunt-for-weak-spots-in-your-wireless-network-with-airodump-ng/

💰 In search of riches, hackers plant 4G-enabled Raspberry Pi in bank network cybercrime – Hackers used a Raspberry Pi with a 4G modem to infiltrate a bank's network, employing advanced techniques to hide malware and aiming to manipulate the ATM system for theft. https://arstechnica.com/security/2025/07/in-search-of-riches-hackers-plant-4g-enabled-raspberry-pi-in-bank-network/

🐻‍❄️ The Kremlin’s Most Devious Hacking Group Is Using Russian ISPs to Plant Spyware security news – The Russian hacker group Turla is using control over ISPs to plant spyware on targets' computers, exploiting internet traffic manipulation to disable encryption and enable espionage, raising concerns about surveillance. https://www.wired.com/story/russia-fsb-turla-secret-blizzard-apolloshadow-isp-cyberespionage/

🔓 Have I Been Pwned: Pi-hole data breach – A vulnerability in the GiveWP WordPress plugin exposed names and emails of around 30,000 donors to the Pi-hole project, which was reported to Have I Been Pwned. https://haveibeenpwned.com/Breach/ThePi-Hole

🇪🇺 Kommentar zur »EU Data Boundary«: Die Illusion europäischer Souveränität bei der EU-Kommission privacy – The EU's decision to allow Microsoft 365 usage raises concerns over data privacy, as the 'EU Data Boundary' lacks technical verification and does not protect against US access to data, undermining claims of European sovereignty. https://www.kuketz-blog.de/kommentar-zur-eu-data-boundary-die-illusion-europaeischer-souveraenitaet-bei-der-eu-kommission/

☝️ China accuses US of exploiting Microsoft zero-day in cyberattack security news – China alleges U.S. intelligence exploited a Microsoft zero-day vulnerability to conduct cyberattacks on Chinese military enterprises, claiming data theft over an extended period, amid rising tensions over hacking accusations. https://cyberscoop.com/china-accuses-us-of-exploiting-microsoft-zero-day-in-cyberattack/

🐺 Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN I Arctic Wolf cybercrime – Arctic Wolf reports increased ransomware attacks exploiting SonicWall SSL VPNs, possibly due to a zero-day vulnerability, urging organizations to disable the service and implement security best practices. https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/

👁️ Microsoft Recall can still nab credit cards, passwords, info privacy – Microsoft's Recall app, designed to screenshot user activity, fails to adequately filter sensitive information like credit card numbers and passwords, raising privacy concerns and potential risks for users. https://go.theregister.com/feed/www.theregister.com/2025/08/01/microsoft_recall_captures_credit_card_info/

🦣 Extending AD CS attack surface to the cloud with Intune certificates cyber defense – This article discusses how vulnerabilities in Intune's certificate management can be exploited to gain unauthorized access to Active Directory, allowing attackers to impersonate Domain Admins using certificates issued with arbitrary subjects. https://dirkjanm.io/extending-ad-cs-attack-surface-intune-certs/

---

CISA Corner

⚠️ CISA Adds Three Known Exploited Vulnerabilities to Catalog warning – CISA has identified three new vulnerabilities in products by Cisco and PaperCut and added them to its KEV Catalog, urging federal agencies to address these risks due to active exploitation by cybercriminals. https://www.cisa.gov/news-events/alerts/2025/07/28/cisa-adds-three-known-exploited-vulnerabilities-catalog

⚙️ CISA Releases Five Industrial Control Systems Advisories vulnerability – CISA has issued five advisories regarding vulnerabilities in Industrial Control Systems by Johnson, Fuji, NI, Samsung and Delta, urging users to review the details for security updates and mitigation strategies. https://www.cisa.gov/news-events/alerts/2025/07/29/cisa-releases-five-industrial-control-systems-advisories ⚙️ CISA Releases Two Industrial Control Systems Advisories vulnerability – CISA has issued two advisories regarding vulnerabilities in Güralp seismic monitoring devices and Rockwell Automation services, urging users to review for security details and mitigations. https://www.cisa.gov/news-events/alerts/2025/07/31/cisa-releases-two-industrial-control-systems-advisories

🛠️ Eviction Strategies Tool Released security news – CISA launched the Eviction Strategies Tool to aid cyber defenders in incident response, featuring a playbook and a countermeasures database for effective containment and eviction of adversaries. https://www.cisa.gov/news-events/alerts/2025/07/30/eviction-strategies-tool-released

---

While my intention is to pick news that everyone should know about, it still is what I think is significant, cool, fun... Most of the articles are in English, but some current warnings might be in German.

A weekly shortlist of cyber security highlights. The short summaries are AI generated! If something is wrong, please let me know!

---

News For All

🚨 Critical Vulnerabilities in Microsoft SharePoint vulnerability – Microsoft has disclosed critical vulnerabilities in SharePoint, enabling remote code execution. Active exploitation is occurring, necessitating immediate isolation and mitigation actions for affected servers. Comment: The big one this week. https://cert.europa.eu/publications/security-advisories/2025-027/

🫏 UK wants to weasel out of demand for Apple encryption back door privacy – Under US pressure, the UK government is reportedly backing down from its demand for Apple to create a back door for iCloud encryption, avoiding a major privacy conflict. https://www.theverge.com/news/710504/uk-apple-encryption-back-door-icloud-adp-backing-down

💸 A Startup is Selling Data Hacked from Peoples’ Computers to Debt Collectors privacy – A startup is profiting by selling hacked data from over 50 million computers to various industries, raising ethical and legal concerns about privacy violations and exploitation of victims. https://www.404media.co/a-startup-is-selling-data-hacked-from-peoples-computers-to-debt-collectors/

📡 WhoFi: Unique 'fingerprint' based on Wi-Fi interactions security research – Italian researchers have developed 'WhoFi,' a biometric identifier using Wi-Fi signal distortions to track individuals across locations, potentially enhancing privacy-preserving surveillance methods. https://www.theregister.com/2025/07/22/whofi_wifi_identifier/

🦠 Arch Linux users told to purge Firefox forks after AUR malware scare malware – Compromised packages of Firefox-based browsers from the Arch User Repository contained a Remote Access Trojan. Users are advised to uninstall affected browsers and check for security breaches. https://www.theregister.com/2025/07/22/arch_aur_browsers_compromised/

👁️ Copilot Vision on Windows 11 sends data to Microsoft servers privacy – Microsoft's new Copilot Vision feature for Windows 11 captures user screens for AI analysis, sending data to its servers, raising privacy concerns. The update also introduces various AI tools and changes to system error displays. https://www.theregister.com/2025/07/23/microsoft_copilot_vision/

🎣 Fake Zoom Call Lures for Zoom Workplace Credentials cybercrime – A phishing campaign exploits Zoom connection issues to trick users into entering credentials on a fake login page, leveraging urgency and deceptive URLs to harvest sensitive information. https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials

⚠️ Google’s AI Is Destroying Search, the Internet, and Your Brain security news – A Pew Research report reveals that Google's AI summary feature significantly reduces clicks on external links, threatening the traffic and business of many websites and blogs by prioritizing AI-generated content. https://www.404media.co/googles-ai-is-destroying-search-the-internet-and-your-brain/

🚨 Kriminelle versenden gefälschte Warnungen, um an Facebook warning – Kriminelle versenden gefälschte Warnungen, um an Facebook-Zugangsdaten zu gelangen. Nutzer sollten ihr Passwort ändern und sich an Facebook wenden, um ihr Konto zu sichern. https://www.watchlist-internet.at/news/kriminelle-versenden-fake-warnungen-um-facebook-accounts-zu-hacken/

🎂 The EFF turns 35, but there's plenty more to do privacy – As the Electronic Frontier Foundation celebrates 35 years, it continues to combat threats to privacy and free speech, focusing on issues like government surveillance, encryption, and data harvesting. https://www.theregister.com/2025/07/24/eff_turns_35/

👶 The Age-Checked Internet Has Arrived security news – New UK laws require strict age verification for accessing adult content, sparking concerns over privacy, data security, and the effectiveness of such measures in protecting children online. https://www.wired.com/story/the-age-checked-internet-has-arrived/

🚔 BlackSuit ransomware gang’s darknet websites seized by police cybercrime – Police from over nine countries seized the darknet sites of the BlackSuit ransomware gang, which is linked to over $500 million in extortion demands, including attacks on notable organizations. https://therecord.media/blacksuit-ransomware-gang-website-takedown

🫖 Women Dating Safety App 'Tea' Breached, Users' IDs Posted to 4chan data breach – The dating safety app Tea suffered a breach exposing user data, including selfies and IDs, which were posted on 4chan. The app confirmed the data is from two years ago. https://www.404media.co/women-dating-safety-app-tea-breached-users-ids-posted-to-4chan/

🎽 Microsoft exec admits it 'cannot guarantee' data sovereignty privacy – Microsoft acknowledges it cannot guarantee data sovereignty for EU customers due to the Cloud Act, which allows US authorities access to data stored by US-based tech firms, raising privacy concerns. https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

🛟 Allianz Life says 'majority' of customers' personal data stolen in cyberattack data breach – Allianz Life confirmed that hackers stole personal information from the majority of its 1.4 million customers during a July 16 breach, utilizing social engineering to access a third-party CRM system. https://techcrunch.com/2025/07/26/allianz-life-says-majority-of-customers-personal-data-stolen-in-cyberattack/

🎮 Hacker sneaks infostealer malware into early access Steam game malware – A hacker compromised the early access Steam game Chemia, injecting infostealer malware that harvests user data. Users are advised to avoid the game until confirmed safe. https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/

---

Some More, For the Curious

🐚 Mass attack spree hits Microsoft SharePoint zero-day defect vulnerability – A critical zero-day vulnerability in Microsoft SharePoint is being actively exploited, allowing unauthorized access to sensitive data. Immediate action is advised to mitigate risks. https://cyberscoop.com/microsoft-sharepoint-zero-day-attack-spree/ 🐚 Disrupting active exploitation of on-premises SharePoint vulnerabilities vulnerability – Microsoft warns of active exploitation of SharePoint vulnerabilities CVE-2025-49706 and CVE-2025-49704 by Chinese threat actors, urging immediate patching and security measures to prevent ransomware deployment. https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/ 🐚 What to know about ToolShell, the SharePoint threat under mass exploitation vulnerability – A critical vulnerability in SharePoint (CVE-2025-53770) is under mass exploitation, allowing remote code execution. Microsoft has linked the attacks to Chinese state actors, emphasizing the need for urgent patching and inspection of affected systems. https://arstechnica.com/security/2025/07/what-to-know-about-toolshell-the-sharepoint-threat-under-mass-exploitation/ 🐚 ToolShell: a story of five vulnerabilities in Microsoft SharePoint vulnerability – Multiple vulnerabilities in SharePoint, dubbed ToolShell, are under active exploitation, allowing attackers to gain full control over servers. Organizations are urged to apply patches immediately to mitigate risks. https://securelist.com/toolshell-explained/117045/

🔍 Google Online Security Blog: Introducing OSS Rebuild: Open Source, Rebuilt to Last cyber defense – Google's OSS Rebuild project aims to enhance trust in open source by automating the reproduction of package builds, helping prevent supply chain attacks without burdening maintainers. http://security.googleblog.com/2025/07/introducing-oss-rebuild-open-source.html

🔒 Hardcoded credentials found in HPE Aruba Instant On Wi vulnerability – HPE disclosed critical hardcoded credentials in Aruba Instant On Wi-Fi devices, allowing attackers to bypass authentication. Firmware updates are available to mitigate the vulnerabilities. https://securityaffairs.com/180230/security/hardcoded-credentials-hpe-aruba-instant-on-wi-fi-devices.html

⛓️ Another npm Supply Chain Attack: The 'is' Package Compromise cybercrime – The 'is' package was compromised after attackers phished an old maintainer's account, leading to malicious versions being published. Developers are urged to check dependencies and implement security measures. https://www.stepsecurity.io/blog/another-npm-supply-chain-attack-the-is-package-compromise

🏅 Detecting ADCS Privilege Escalation cyber defense – The blog discusses how to detect privilege escalation in Active Directory Certificate Services (ADCS) through auditing and alerts, emphasizing the need for proper logging to identify vulnerabilities. https://www.blackhillsinfosec.com/detecting-adcs-privilege-escalation/

⚠️ Critical Vulnerability in Popular npm form-data Package Used Across Millions of Installs vulnerability – A serious flaw in the npm form-data package could lead to data injection attacks. Many projects remain at risk due to outdated versions despite available patches. https://socket.dev/blog/critical-vulnerability-in-popular-npm-form-data-package

🚔 European authorities arrest alleged admin of notorious Russian crime forum XSS cybercrime – Authorities have arrested the alleged admin of XSS.is, a major Russian cybercrime forum, uncovering over $7 million in cybercrime proceeds through surveillance of their communications. https://techcrunch.com/2025/07/23/european-authorities-arrest-alleged-admin-of-notorious-russian-crime-forum-xss/

🛡️ Sophos fixed two critical Sophos Firewall vulnerabilities vulnerability – Sophos has patched five vulnerabilities in its Firewall, including two critical flaws that could enable remote code execution. Users with automatic updates enabled are protected without action needed. https://securityaffairs.com/180283/security/sophos-addressed-five-sophos-firewall-vulnerabilities.html

🃏 CrushFTP zero-day exploited in the wild warning – CrushFTP is facing active exploitation of a zero-day vulnerability (CVE-2025-54309) allowing unauthorized admin access. Users are urged to check for signs of compromise and update to patched versions. https://cert.europa.eu/publications/security-advisories/2025-028/

🤖 AI slop and fake reports are coming for your bug bounty programs security news – The rise of AI-generated low-quality bug reports, dubbed 'AI slop,' is overwhelming bug bounty platforms with false vulnerabilities, complicating the detection of genuine security issues. https://techcrunch.com/2025/07/24/ai-slop-and-fake-reports-are-exhausting-some-security-bug-bounties/

🔓 20281: Cisco ISE API Unauthenticated Remote Code Execution Vulnerability vulnerability – A vulnerability in Cisco ISE allows unauthenticated remote code execution via command injection, enabling attackers to gain root access. The flaw was patched under CVE-2025-20281 and CVE-2025-20337. https://www.thezdi.com/blog/2025/7/24/cve-2025-20281-cisco-ise-api-unauthenticated-remote-code-execution-vulnerability

🔗 Supply-chain attacks on open source software are getting out of hand cybercrime – Recent supply-chain attacks have compromised multiple npm packages, exposing user data and allowing attackers to execute malicious code. Developers are urged to monitor their dependencies and implement security measures. https://arstechnica.com/security/2025/07/open-source-repositories-are-seeing-a-rash-of-supply-chain-attacks/

---

CISA Corner

⚠️ CISA Adds One Known Exploited Vulnerability, CVE-2025-53770 “ToolShell,” to Catalog warning – CISA has identified CVE-2025-53770, a Microsoft SharePoint vulnerability, as actively exploited, urging federal agencies to address it to mitigate significant risks. https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog ⚠️ CISA Adds Four Known Exploited Vulnerabilities to Catalog warning – CISA has identified four new vulnerabilities in CrushFTP, Google Chromium and SysAid On-Prem to add to its KEV Catalog, emphasizing their active exploitation and risks to federal networks, urging prompt remediation by agencies. https://www.cisa.gov/news-events/alerts/2025/07/22/cisa-adds-four-known-exploited-vulnerabilities-catalog ⚠️ CISA Adds Two Known Exploited Vulnerabilities to Catalog warning – CISA has included two new vulnerabilities regarding Microsoft SharePoint in its KEV Catalog, emphasizing their active exploitation and risks to federal networks, urging timely remediation by agencies. https://www.cisa.gov/news-events/alerts/2025/07/22/cisa-adds-two-known-exploited-vulnerabilities-catalog

⚙️ CISA Releases Nine Industrial Control Systems Advisories vulnerability – CISA has issued nine advisories detailing vulnerabilities and security issues related to various Industrial Control Systems, urging users to review for mitigations and technical details. https://www.cisa.gov/news-events/alerts/2025/07/22/cisa-releases-nine-industrial-control-systems-advisories ⚙️ CISA Releases Six Industrial Control Systems Advisories vulnerability – CISA has published six advisories detailing vulnerabilities and security issues in various Industrial Control Systems, urging users to review them for mitigation strategies. https://www.cisa.gov/news-events/alerts/2025/07/24/cisa-releases-six-industrial-control-systems-advisories

🛡️ #StopRansomware: Interlock security news – A joint advisory details the Interlock ransomware, which targets organizations via unique methods and employs a double extortion model. Recommendations for mitigation are provided to enhance cybersecurity. https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a

---

While my intention is to pick news that everyone should know about, it still is what I think is significant, cool, fun... Most of the articles are in English, but some current warnings might be in German.

There’s a pattern I keep seeing, especially online where someone steps up to do something different, tries to shift the culture or challenge the norm, and instead of support, they get bombarded with demands. “Why don’t you do more?” “You should fix X too” As if trying to change anything means you’re now responsible for everything. As if one person is supposed to carry the entire system on their back. This reflects a deeper problem: people constantly externalize responsibility. They expect change to come from someone else—some leader, some influencer, some movement, some system. Rarely from themselves.

It’s the same mindset that keeps people trapped in cycles of dependency on authority—whether it's politicians, celebrities, or “visionaries.” They wait. They comment. They criticize. But they rarely start. The agent of change is expected to be prophetic, to know all, fix all, and be everything for everyone meanwhile the crowd stays seated, watching. This is why systems of power persist. Not because they’re strong, but because most people won’t act unless someone gives them permission. That’s why even with all the information and tools we have, so many still cling to illusions of saviors—presidents, parties, parliaments—as if those constructs ever had people’s true interests at heart. This isn’t a call to be apolitical. It’s a call to stop waiting for permission. Stop demanding prophecy. Start becoming the kind of person who acts, even without recognition, even when it’s imperfect. Especially when it's imperfect.

Criticism is easy. Creation is hard. Most people never cross that line. You want a better world? Start with yourself. Build with those around you. No one's coming to save you. There’s no prophecy. There’s just action.

A weekly shortlist of cyber security highlights. The short summaries are AI generated! If something is wrong, please let me know!

---

News For All

🕵️‍♂️ willhaben & PayLivery: Wie Kriminelle einen eigentlich sicheren Service ausnutzen cybercrime – Fraudsters manipulate victims into leaving a secure platform for WhatsApp, disguising their communications to bypass security checks, aiming for money transfers under false pretenses. https://www.watchlist-internet.at/news/willhaben-paylivery-sicheres-service/

🚨 CitrixBleed 2 beckons sweeping alarm as exploits spread across the globe vulnerability – A critical vulnerability in Citrix NetScaler, CVE-2025-5777, is actively exploited worldwide, prompting urgent patching recommendations from CISA as attackers target sensitive data. Risks are particularly high for federal networks. https://cyberscoop.com/citrixbleed2-exploits-spread/

💔 Episource is notifying millions of people that their health data was stolen data breach – Episource has disclosed a cyberattack affecting over 5.4 million individuals, compromising personal and health data, including medical records and insurance information, attributed to ransomware. https://techcrunch.com/2025/07/14/episource-is-notifying-millions-of-people-that-their-health-data-was-stolen/

🚆 Hackers Can Remotely Trigger the Brakes on American Trains and the Problem Has Been Ignored for Years vulnerability – A critical vulnerability allows hackers to remotely lock train brakes, known since 2012 but only recently addressed by the railroad industry, posing serious safety risks. https://www.404media.co/hackers-can-remotely-trigger-the-brakes-on-american-trains-and-the-problem-has-been-ignored-for-years/

🎮 FBI Seizes NSW2U, PS4PKG Domains in $170 Million Game Piracy Investigation cybercrime – The FBI has seized major domains involved in video game piracy, impacting sites like nsw2u, which offered early access to pirated games. Estimated losses reach $170 million, highlighting serious legal repercussions for such activities. https://thecyberexpress.com/fbi-seizes-nsw2u-ps4pkg-domains/

🔍 Meta fixes bug that could leak users' AI prompts and generated content vulnerability – Meta has resolved a security flaw that allowed users to access others' AI prompts and responses, discovered by a researcher who received a $10,000 bounty. No evidence of exploitation was found. https://techcrunch.com/2025/07/15/meta-fixes-bug-that-could-leak-users-ai-prompts-and-generated-content/

🔒 6554 marks the fifth actively exploited Chrome Zero vulnerability – CVE-2025-6554 is the fifth actively exploited zero-day vulnerability in Chrome for 2025, concerning a type-confusion issue in the V8 engine. Google has issued patches and is aware of existing exploits. https://securityaffairs.com/180001/hacking/cve-2025-6554-marks-the-fifth-actively-exploited-chrome-zero-day-patched-by-google-in-2025.html

🛒 UK retail giant Co-op confirms hackers stole all 6.5 million customer records data breach – Co-op confirmed a cyberattack resulted in the theft of 6.5 million customer records, including personal details. The breach was part of a broader campaign affecting the UK retail sector. https://techcrunch.com/2025/07/16/uk-retail-giant-co-op-confirms-hackers-stole-all-6-5-million-customer-records/

👶 Adoption Agency Data Exposure Revealed Information About Children and Parents data breach – A recent data exposure incident at an adoption agency compromised sensitive information about children and their parents, highlighting ongoing privacy and security concerns within such organizations. https://www.wired.com/story/adoption-agency-data-exposure-revealed-information-about-children-and-parents/

💼 Meta investors, Zuckerberg settle $8 billion privacy lawsuit tied to Cambridge Analytica scandal privacy – Meta investors have settled a lawsuit alleging mishandling of the Cambridge Analytica scandal, with unclear terms, while seeking $8 billion in damages related to data privacy violations. https://therecord.media/meta-investors-zuckerberg-settle-privacy-lawsuit

🔓 Hackers are trying to steal passwords and sensitive data from users of Signal clone cybercrime – Hackers are exploiting a vulnerability in the TeleMessage app, a Signal clone used by officials, to steal usernames, passwords, and sensitive data. The flaw has been recognized by CISA as actively exploited. https://techcrunch.com/2025/07/17/hackers-are-trying-to-steal-passwords-and-sensitive-data-from-users-of-signal-clone/

🍞 Loaf and order: Belgian police launch bread-based cybersecurity campaign cyber defense – Belgian police are promoting cybersecurity awareness by printing tips on bakery bags, aiming to reach those less engaged with digital media and educate the public about online fraud and scams. https://grahamcluley.com/loaf-and-order-belgian-police-launch-bread-based-cybersecurity-campaign/

📹 Ring reintroduces video sharing with police security news – Ring has resumed allowing police to request user footage through a partnership with Axon, reversing its previous stance on video sharing. Users can choose to share footage, which will be encrypted. https://www.theverge.com/news/709836/ring-police-video-sharing-police-axon-partnership

🔑 Authorities released free decryptor for Phobos and 8base ransomware cybercrime – Japanese police have released a free decryptor for Phobos and 8Base ransomware, enabling victims to recover files without paying ransom. The tool is available on official sites and promotes safe recovery practices. https://securityaffairs.com/180108/malware/authorities-released-free-decryptor-for-phobos-and-8base-ransomware.html

🔒 For privacy and security, think twice before granting AI access to your personal data privacy – As AI tools increasingly request extensive access to personal data, users should be cautious. Granting such access can pose significant privacy and security risks, often for minimal benefit. https://techcrunch.com/2025/07/19/for-privacy-and-security-think-twice-before-granting-ai-access-to-your-personal-data/

---

Some More, For the Curious

🔓 Framework 13. Press here to pwn vulnerability – The Framework 13 laptop has a vulnerability allowing BIOS reset via a tamper switch, compromising critical security settings without vendor fixes available. Users should be cautious in unsecured environments. https://www.pentestpartners.com/security-blog/framework-13-press-here-to-pwn/

⌚️ WatchWitch: Interoperability, Privacy, and Autonomy for the Apple Watch security research – The article discusses a project enhancing interoperability, privacy, and user autonomy for Apple Watch users with Android phones. https://arxiv.org/abs/2507.07210

🕵️‍♂️ Active Supply Chain Attack: npm Phishing Campaign Leads to Prettier Tooling Packages Compromise security research – A phishing campaign compromised npm packages, injecting malicious code. Developers are urged to check their installs and secure accounts against similar threats. https://socket.dev/blog/npm-phishing-campaign-leads-to-prettier-tooling-packages-compromise

🔧 Thread Support for Flipper Zero, Part 1: Introduction hacking write-up – This article introduces the integration of OpenThread with Flipper Zero, enhancing its smart home capabilities while discussing technical challenges and upcoming features in the series. https://cujo.com/blog/thread-support-for-flipper-zero-part-1-introduction/

🛠️ Severity Arbitrary File Write in Git CLI I Arctic Wolf vulnerability – A high-severity arbitrary file write vulnerability (CVE-2025-48384) in Git allows malicious repositories to execute code when cloned, posing risks mainly to macOS and Linux users. Immediate upgrades are recommended. https://arcticwolf.com/resources/blog/poc-available-for-high-severity-arbitrary-file-write-in-git-cli-cve-2025-48384/

🤖 Curl creator mulls nixing bug bounty awards to stop AI slop security news – Daniel Stenberg, founder of curl, considers ending the bug bounty program due to an influx of low-quality AI-generated bug reports, which now constitute 20% of submissions, overwhelming the small security team. https://www.theregister.com/2025/07/15/curl_creator_mulls_nixing_bug/

🐛 Hackers exploit a blind spot by hiding malware inside DNS records cybercrime – Hackers are embedding malware in DNS records, using hexadecimal encoding to evade detection, allowing malicious binaries to be fetched through overlooked DNS traffic. This technique poses significant security challenges. https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/

🕵️‍♂️ Cato CTRL™ Threat Actor Profile: IntelBroker cybercrime – Kai Logan West, known as IntelBroker, led a major data brokerage operation causing over $25 million in damages before his arrest in 2025. His methods exploited basic security flaws, revealing vulnerabilities in cybercriminal OPSEC. https://www.catonetworks.com/blog/cato-ctrl-threat-actor-profile-intelbroker/

🔐 SonicWall customers hit by fresh, ongoing attacks targeting fully patched SMA 100 devices vulnerability – A financially motivated group, UNC6148, is exploiting fully patched SonicWall SMA 100 devices using stolen admin credentials for data theft and possible ransomware deployment, despite the vendor's support efforts. https://cyberscoop.com/sonicwall-sma100-attacks/

🚨 Operation Eastwood disrupted operations of pro cybercrime – Operation Eastwood, a coordinated effort by international law enforcement, disrupted the pro-Russian hacker group NoName057(16), taking down over 100 systems and issuing several arrest warrants amid ongoing DDoS attacks. https://securityaffairs.com/180027/cyber-crime/operation-eastwood-disrupted-operations-of-pro-russian-hacker-group-noname05716.html

💻 GitHub abused to distribute payloads on behalf of malware-as-a-service cybercrime – Cisco's Talos team uncovered a malware-as-a-service operation using GitHub accounts to distribute various malicious software, including the Emmenhtal loader and Amadey malware, exploiting GitHub's accessibility in enterprise networks. https://arstechnica.com/security/2025/07/malware-as-a-service-caught-using-github-to-distribute-its-payloads/

⚠️ Critical Vulnerabilities in Cisco ISE warning – Cisco has identified three critical vulnerabilities in its Identity Services Engine (ISE), allowing attackers to execute arbitrary code. Users are urged to update affected versions immediately. https://cert.europa.eu/publications/security-advisories/2025-025/

⚠️ Critical Vulnerabilities in VMWare Products warning – VMware has released a security advisory for three critical vulnerabilities allowing code execution on affected devices, urging immediate updates, especially for internet-facing virtual machines. https://cert.europa.eu/publications/security-advisories/2025-026/

📍 A surveillance vendor was caught exploiting a new SS7 attack to track people's phone locations security research – Researchers found a Middle Eastern surveillance vendor exploiting a new SS7 attack to track phone locations by bypassing carrier security measures, raising concerns about the increasing use of such exploits for location tracking. https://techcrunch.com/2025/07/18/a-surveillance-vendor-was-caught-exploiting-a-new-ss7-attack-to-track-peoples-phone-locations/

🚨 CVE-2025-54309: CrushFTP Zero-Day Vulnerability Exploited In The Wild vulnerability – A critical zero-day vulnerability in CrushFTP (CVE-2025-54309) allows attackers to gain administrator access and is currently being exploited. CrushFTP has released mitigation techniques and identified affected versions. https://www.tenable.com/blog/cve-2025-54309-crushftp-zero-day-vulnerability-exploited-in-the-wild

🔮 Fortinet FortiWeb flaw CVE-2025-25257 exploited hours after PoC release vulnerability – A critical SQL injection vulnerability in Fortinet FortiWeb (CVE-2025-25257) was exploited within hours of a proof-of-concept release, compromising multiple systems. Immediate patching is advised. https://securityaffairs.com/180118/hacking/fortinet-fortiweb-flaw-cve-2025-25257-exploited-hours-after-poc-release.html

---

CISA Corner

⚠️ CISA Adds One Known Exploited Vulnerability to Catalog warning – CISA has added a known exploited vulnerability in Wing FTP Server to its catalog, urging federal agencies and all organizations to prioritize remediation to protect against cyber threats. https://www.cisa.gov/news-events/alerts/2025/07/14/cisa-adds-one-known-exploited-vulnerability-catalog ⚠️ CISA Adds One Known Exploited Vulnerability to Catalog warning – CISA has added a known exploited vulnerability in Fortinet FortiWeb to its KEV Catalog, urging federal agencies and all organizations to prioritize remediation to protect against cyber threats. https://www.cisa.gov/news-events/alerts/2025/07/18/cisa-adds-one-known-exploited-vulnerability-catalog

⚙️ CISA Releases Six Industrial Control Systems Advisories vulnerability – CISA has published six advisories addressing vulnerabilities in various Industrial Control Systems, urging users and administrators to review the details and implement mitigations to enhance security. https://www.cisa.gov/news-events/alerts/2025/07/15/cisa-releases-six-industrial-control-systems-advisories ⚙️ CISA Releases Three Industrial Control Systems Advisories vulnerability – CISA has published three new advisories addressing vulnerabilities in various Industrial Control Systems, urging users and administrators to review the details and implement necessary mitigations. https://www.cisa.gov/news-events/alerts/2025/07/17/cisa-releases-three-industrial-control-systems-advisories

---

While my intention is to pick news that everyone should know about, it still is what I think is significant, cool, fun... Most of the articles are in English, but some current warnings might be in German.

using ffmpeg

good for making drum kits for the m8 – you can do this in a directory with a lot of tiny samples.

1. prepare the directory

put all the samples you want to concatenate into the same directory and then navigate to that location in the terminal.

2. add silence

this will create copies of the files which have a tiny amount of silence appended to them. this helps with the m8s auto-slice function (though you'll still usually want to tweak the results). This command will do it:

for i in *.wav; do ffmpeg -i "$i" -af "adelay=100|100" "${i%.*}-EDIT.wav"; done

3. remove the original files.

the newly created files will have “-EDIT” added to their names just before the .wav file extension. only keep those ones in the directory. (you can just move the other ones out of the folder, or delete them if you made copies to begin with).

4. generate input text file

from the files which are now in the folder

for f in *.wav; do echo "file '$f'" >> mylist.txt; done

• bonus: you can change the order of the sounds by editing this text file before executing the next step.

5. concatenate all the wav files

ffmpeg -f concat -safe 0 -i mylist.txt -c copy concat.wav

6. rename the resultant “concat.wav” file

... to whatever describes the collection you've created. (I like to prefix these files with “cct” ie. “cct-Yamaha-MR10.wav”)

7. load it up

fine tune the slices, & fuck around with it.

I stumbled upon this post on r/fibromyalgia, titled “How long did it take you to accept it?”. As I'm writing this, I'm still processing both the post and the comments; at the same time, feeling relieved that it's a lot more common to struggle to accept this fucking syndrome.

Knowing I'm not one of the few who struggle with accepting this and all the limitations it imposes is like taking weight off my chest. And to be honest, I don't think I'll ever fully accept this. Why would I? To me, that's like giving up, conceding defeat. Yes, I still cling to the hope that either a cure will be found or a medication will be developed that actually stops the pain. Or that the pain might one day stop by itself, just like it started.

Accepting it would mean I've given up on hope.

Of course, this doesn't mean I haven't adapted. I've developed strategies to deal with the pain level I'm feeling as I perform whatever task I'm doing and how it changes as I execute it.

A good example of this is cooking. Even if I'm just cooking a simple stew, there are days that I have to start cooking it 4 to 6 hours before the usual time and do it in small steps, with long periods of rest in between, because standing up for 10 minutes feels like torture. Think: “Getting the pan out and the ingredients. Rest. Chop some ingredients. Rest. Chop more ingredients. Rest.”

This may not make sense to you. That's OK. It probably wouldn't make sense to me either if I didn't live with nonstop pain.

#Fibromyalgia #ChronicPain

“Когато държавата се превърне в отечество, тя се готви да убива.”