„Czy macie staże w sekuraku”? To chyba jedno z najczęstszych pytań, które otrzymujemy. Startujemy więc niebawem z pierwszą, eksperymentalną edycją. Zacznijmy nietypowo – od końca. Jaki będzie finalny etap stażu? OK jak to wygląda od początku? Będzie można aplikować tylko do etapu 2 :-) A najciekawsze materiały opublikujemy na sekuraku….

Szpital informuje o problemie w piśmie dostępnym tutaj. Z jego treści dowiadujemy się: W dniu 11.01.2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku(dalej: ADO) ujawnił utratę jednego z nośników danych. Nośnik ten co do zasady był terminalemdostępowym do aplikacji i nie służył do przechowywania danych osobowych,…

Systemy (serwery) VPN zazwyczaj są wystawione do Internetu (bo muszą), co jednak gdy ktoś zlokalizuje podatność umożliwiającą przejęcie serwera (urządzenia) VPN i to bez uwierzytelnienia? No może samo zlokalizowanie jeszcze niewiele zmienia, ale aktywna exploitacja już tak. Po tym wstępie przechodzimy do podatności, którą niedawno zaznaczaliśmy na sekuraku (dwa zero…

Ostatnia wersja Chrome: 120.0.6099.234 / Mac oraz 120.0.6099.225 łata trzy błędu bezpieczeństwa w tym: High CVE-2024-0519: Out of bounds memory access in V8. Google dodaje, że błąd jest najpewniej wykorzystywany przez przestępców oraz dostępny jest exploit. Łatajcie się więc w miarę szybko oraz pamiętajcie żeby w nowym roku mieć oko…

Czym jest Sekurak.Academy w skrócie? W ramach Sekurak.Academy 2023 (jeden semestr) odbyły się takie szkolenia (wszystkie są dostępne w formie nagrań, po zapisie na Sekurak.Academy 2024). Co planujemy na Sekurak.Academy 2024, które zaczyna się już ~za tydzień? (22.01.2024) Planowane szkolenia w ramach Sekurak.Academy 2024, Semestr I: Kilka opinii o pierwszym…

O problemie aktywnej exploitacji ostrzega organizacja CISA. Chodzi przede wszystkim o krytyczną podatność CVE-2023-29357, której techniczny opis został opublikowany w zeszłym roku. W czym problem? Można ominąć uwierzytelnienie do Sharepointa używając tokenu JWT z algorytmem none, czyli używając nagłówka JWT: {„alg”: „none”} Payload tokenu wygląda mniej więcej tak (można wpisać…

Tytułem wstępu – ostatnio ponownie zaobserwowano duże zakłócenia sygnału GPS w okolicach Polski / Bałtyku: Szwedzkie media donoszą, że wywiad wojskowy / służba bezpieczeństwa (MUST) zaczęła bliżej interesować się problemem. W szczególności badane są przypadki zakłóceń GPS, które zbiegły się z czasem kiedy rosyjska flota bałtycka ogłosiła ćwiczenia, których celem…

Chodzi o to konto (uwaga, scam na nim jest aktywny, nie wchodźcie w promowane linki!) Wchodząc dalej widzimy archiwalne (prawdziwe wpisy), ale również taki nowy, przypięty scam-wpis: Więcej o tym konkretnie przypadku opisuje CSIRT KNF, od razu dodając rozsądną rekomendację – używajcie 2FA jeśli chodzi o zabezpieczenie Waszych kont społecznościowych….

Informacja o szczegółach aktualizacji dostępna jest tutaj: Impact: An attacker with physical access to the accessory may be able to extract its Bluetooth pairing key and monitor Bluetooth traffic Jak widać, wymagane są wstępne przygotowania do całej akcji, które bardziej szczegółowo zostały opisany w tym wpisie na blogu. Badacz informuje, że…

Gitlab wydał właśnie łatki bezpieczeństwa opisując główny problem w ten sposób: Atakujący może zresetować hasło dowolnemu użytkownikowi – podając w trakcie resetu hasła… swój email. An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4…

Systemy VPN często udostępniane są do Internetu – do do nich podłączają się użytkownicy, którzy następnie się uwierzytelniają i otrzymują dostęp do sieci korporacyjnych. A co jeśli taki system VPN ma podatność, niewymagającą uwierzytelnienia, a umożliwiającą przejęcie pełnej kontroli nad nim? Taki przypadek opisuje Volexity, wskazując na dwie luki, które…

Jeden z czytelników podesłał nam e-maila jak poniżej. Widać, ze mail jest napisany nieco nieskładnie (tłumaczenie na j. polski zazwyczaj nie wychodzi idealnie…), ale niepokoić mogą prawdziwe dane, które w górnej części wiadomości zostały ocenzurowane: Nasi czytelnicy zapewne dostrzegą analogię z innym scam-mailem, w którym przestępcy wysyłali prawdziwe hasło ofiary…

Fejkowy wpis na profilu SEC (Komisja Papierów Wartościowych i Giełd) wyglądał jak poniżej i mówił o akceptacji Bitcoin ETFów przez Komisję. Tzn. wpis był prawdziwy, tyle że opublikowany przez osoby, które przejęły konto SEC: Jak donosi Reuters, wpis był dostępny niecałe 20 minut i to najpewniej on spowodował wystrzał kursu…

W zasadzie wszystko zostało powiedziane w tytule, przy czym zwracamy uwagę na nowy trend w cyberatakach. Historię relacjonuje policja z Brzegu: kilka miesięcy temu policjanci z Brzegu przyjęli zawiadomienie dotyczące oszustwa. Wówczas do poszkodowanej kobiety zadzwonił mężczyzna, który namówił 57-latkę na zainwestowanie w kryptowaluty. Kobieta instruowana przez rozmówcę zainstalowała aplikację…

Informację o hacku opublikował dotknięty Uniwersytet. Czytamy tutaj: w wyniku celowanego ataku hackerskiego na Centrum Przetwarzania Danych Uniwersytetu Zielonogórskiego, przeprowadzonego w nocy z dnia 5 na 6 stycznia 2024 r., zostały zablokowane wszystkie serwisy działające w środowisku wirtualizacji utrzymywanym w Centrum Komputerowym Uniwersytetu Zielonogórskiego. Nie działają takie systemy jak: Uniwersytet…