Aktualności

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) - czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na 'zwykłych' XML-ach czy JSON-ach. Microsoft załatał tego typu...

Ma to w sobie chyba wszystko: ładny interfejs graficzny, wybieranie liczby instancji AWS, na które rozpylany będzie proces łamania (z aktualizacją kosztów), wybór słowników, konkretnych algorytmów do łamania, limitu czasu na łamanie, aktualizacje statusu, itd: Twórcy zachwalają narzędzie, również jeśli chodzi o koszty - $22 za niemal 2 Terahashe na...

No dobrze, może to lekka przesada, że "fejkowy" ma przecież aż 500 sygnatur wirusów ;-) W najdroższej opcji są dożywotnie aktualizacje bazy wirusów, ale serwer updateów nie działa - podobnie jak strona producenta: Dla pewności - produkt i jego tańsze odmiany cały czas jest dostępny w Google Play. Opinie są...

Brian Krebs przynosi mrożącą krew w żyłach wiadomość: Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned. Była też możliwość wyszukania rekordów zawierających te hasła przez pracowników Facebooka i...

Oskarżony Litwin właśnie przyznał się do winy, formalny wyrok zostanie ogłoszony w USA w lipcu tego roku. Maksymalny wymiar kary, który mu grozi to 30 lat więzienia. Sprawa sięga aż 2013 roku, a schemat działania był dość prosty. W oświadczeniu wydanym przez departament sprawiedliwości USA czytamy tak: From 2013 through 2015,...

Bardziej techniczni napiszą - żaden - wystarczy mieć w miarę porządny telefon, nie zmieniać domyślnych ustawień bezpieczeństwa, nie instalować appek z zewnętrznych źródeł i wykonywać aktualizacje. Bardziej skrupulatni polecą wykonać dodatkowe dobezpieczenie ustawień na telefonie (hardening) - dokument CIS_Google_Android_Benchmark_v1.2.0.pdf to prawie 100 stronicowa książeczka dotycząca dobezpieczenia Androida 9.0.x (są też benchmarki...

Chodzi o easy Easy WP SMTP (300 000+ instalacji)  - operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa wykorzystujące plugin, po czym poinformował twórcę pluginu. Patch już jest dostępny: We reported the vulnerability to the authors and the wordpress.org team on...

Ciekawy błąd zgłoszony do GitLaba: Unauthenticated blind SSRF in OAuth Jira authorization controller, wypłata $4000. Istota problemu polegała tutaj na odpowiednim użyciu nagłówka HTTP Host: Zauważmy że adres, do którego łączy się curl (https://gitlab.com/) to nie ten sam, co w nagłówku Host (162.243.147.21:81). Ten ostatni to adres napastnika, a jak widać możemy...

Błędy otrzymały status critical (co oznacza w produktach Atlassian co najmniej 9.0/10 w skali CVSSv3): Confluence Server and Data Center versions released before the 18th June 2018 are vulnerable to this issue. A remote attacker is able to exploit a Server-Side Request Forgery (SSRF) vulnerability in the WebDAV plugin to send arbitrary...

CEO tej znanej sieci hoteli podsumował niedawno cyberatak, o którym pisaliśmy parę miesięcy temu: 383 million guest records 18.5 million encrypted passport numbers 5.25 million unencrypted passport numbers 9.1 million encrypted payment card numbers Tylko bezpośrednie straty szacuje się na 200 - 600 milionów dolarów amerykańskich. Co nas skłoniło do...

Analitycy Check Point informują na swoim blogu, że do oficjalnego sklepu Google Play zostało dodane 206 złośliwych gier, które zostały pobrane 147 milionów razy. Biorąc pod uwagę ilość innych aplikacji na Androida, ta liczba nie robi wielkiego wrażenia. Niestety oznacza to również, że automatyczna weryfikacja dodawanych aplikacji przez Google nie...

Radio Kraków donosi o podatności (dokładniej - pisze o "wycieku") w systemie firmy InPost: Reporter Radia Kraków, na filmie z poniedziałku, ma udokumentowane informacje dotyczące ponad 7 400 000 przesyłek. Przy każdym zamówieniu widnieją dane osobowe takie jak numer telefonu, adres email, często złożony z imienia i nazwiska oraz - w...

W największym skrócie, możecie zamówić wejścia na trzy nasze szkolenia otwarte (lista szkoleń objętych promocją poniżej) – płacąc cenę dwóch . Voucher szkoleniowy można wykorzystać aż do końca marca 2020 roku, a wykupione vouchery nie są imienne.

Słyszeliście o bezprzewodowym wciskaniu klawiszy na klawiaturze poprzez przejęcie myszki? Taką samą zasadę działania mamy w popularnym pilocie do prezentacji Logitecha: Nie ma tu wielkiem magii - urządzenie komunikuje się z donglem podobnie jak bardzo duża liczba klawiatur czy mysz - wykorzystując standard NRF24. Stąd taka nieco może egzotyczna metoda...

Norsk Hydro to największy producent aluminium w Europie i jeden z największych na świecie (wytwarzający również energię), zatrudniający około 35 000 pracowników. Dzisiaj została podana do publicznej wiadomości informacja o cyber-ataku na firmę. Wiele mediów spekuluje, że jest to ransomware (LockerGoga). Firma podsumowała obecny status w formie konferencji prasowej, a jej...