ZDNet donosi: (…) criminal gangs appear to have found a bug in the software of Santander ATMs. The bug allowed members of criminal groups to use fake debit cards or valid preloaded debit cards to withdraw more funds from ATMs than the cards were storing. W USA aresztowano już dziesiątki…

Wszystkie tematy z tytułu mamy nagrane w ramach regularnego remote Sekurak Hacking Party (lista poniżej). Najbliższe wydarzenie jest 19.08.2020, 20:00 (jeszcze można się zapisać :) Jak uzyskać dostęp do wszystkich prezentacji poniżej oraz awansem – kolejnych? Wystarczy wykupić u nas dowolny abonament dostępowy na udział w rSHP. W abonamencie uzyskujecie dostęp…

Michał Bentkowski: Jak mogłem w prosty sposób dowiedzieć się, w której grupie ryzyka zarażania się koronawirusem jesteś?
Grzegorz Tworek: Microsoft SQL Server jako wektor ataku na systemy Windows.

SANS to prawdopodobnie znana większości osób zajmujących się bezpieczeństwem organizacja. Tymczasem parę dni temu opublikowała informację o pewnym incydencie bezpieczeństwa: On August 6th, as part of a systematic review of email configuration and rules we identified a suspicious forwarding rule and initiated our incident response process. This rule was found…

DP-3T (pisaliśmy m.in. o nim jakiś czas temu) to jedno z bardziej dojrzałych rozwiązań do tzw. contact tracingu. Tymczasem niedawno załatano taką podatność: Missing signature validation of JWT when alg=none Podatność występowała w jednym z komponentów backendowych całości: When dp3t-sdk-backend is configured to check a JWT before uploading/publishing keys, it was…

Serwis Netblocks powiadomił w weekend o bardzo poważnym spadku dostępności Internetu na Białorusi: Network telemetry from the NetBlocks internet observatory confirm that internet connectivity in Belarus has been significantly disrupted as of Sunday 9 August 2020 amid tense presidential elections. Outages increased in severity through the day producing an information…

O konkursie pisaliśmy kilka miesięcy temu. Główny cel finalnego zadania (z pulą nagród $100 000) był prosty: zhackować satelitę i wykonać z niego zdjęcie Księżyca: hack into its system and turn the camera gimbals to take shot a moon Polska ekipa pod nazwą Poland Can Into Space, połączonymi siłami @p4…

Z podatnością Server-Side Request Forgery (SSRF) bywa różnie – czasem właściciele systemu, który ma tę lukę wzruszają ramionami – niby brak impactu. Czasem jednak można otrzymać całkiem sowitą nagrodę i tak też było w tym przypadku. Przypomnijmy – SSRF to zmuszenie serwera (aplikacji) do wykonania żądania HTTP (lub innym protokołem)…

Wg Bleeping Computer Canon został zainfekowany przez Maze. Obecnie niedostępna jest amerykańska strona korporacji: Ucierpiała też strona przechowująca zdjęcia użytkowników w cloudzie. Sama korporacja informuje, że utraciła zdjęcia użytkowników znajdujące się w serwisie image.canon, na pocieszenie ostały się miniaturki, choć i tych na razie nie można pobrać. Update: operatorzy Maze…

Ogromna liczba naszych czytelników raportuje nam taką oto niespodziankę: Sam też dostałem takie powiadomienia, co więcej w obecnej chwili [15:23, 5.08.2020] nie działa (lub działa bardzo wolno) logowanie do aplikacji mobilnej (przynajmniej na iOS). Nie działa również strona mbank.pl [update 16:55 5.08.2020 – strona zaczyna powoli działać] – stawiam tutaj…

Jeśli ktoś jeszcze nie zna tematu sekurak.tv – zapraszamy jutro na nasz kanał (kto jeszcze nie dał suba i dzwonka – można nadrobić zaległości ;). O 19:00, 6. sierpnia Marek Rzepecki z Securitum pokaże pod tym linkiem w jak prosty sposób można było zaatakować pewną aplikację mobilną (czy raczej jej użytkowników) i…

Chodzi o podatne rozwiązania VPN – Pulse Secure. Ktoś kojarzony z Rosją udostępnił 1800 adresów IP, gdzie można znaleźć te podatne rozwiązania. Jako bonus dorzucone zostały dodatkowe dane (typu loginy i hasła w plaintext – więcej o tym za chwilę): A well-known Russian-speaking Threat Actor shared details of over 1800 IPs…

Umieszczenie złośliwego pliku na stronach KNF miało miejsce w 2017 roku. Europejska machina biurokratyczna mieli dość powoli, ale w końcu wymieliła sankcje. Jak czytamy: Chosun Expo udzielił finansowego, technicznego lub materialnego wsparcia na rzecz serii cyberataków i ułatwił serię cyberataków, wywołujących poważne skutki, pochodzących spoza Unii i stanowiących zewnętrzne zagrożenie dla…

Kradzież tożsamości i powiązane z tym zaciąganie kredytów na konta ofiar to sprawa, która dość często się w Polsce powtarza. Tym razem RMF donosi: Oszuści posługując się moimi danymi osobowymi wzięli na mnie łącznie prawie 40 tys. pożyczki – powiedział prezydent Otwocka Jarosław Margielski. Poinformował, że sprawą zajmuje się prokuratura. „W…

Dość sensacyjną informację ustami profesora Kazimierz Nowaczyka zaserwowała nam telewizja Republika (i cytują dalej inne media) : Komisja Millera dokonała analizy i zebrała dokumenty medyczne wyłącznie załogi samolotu i co dziwnie się składa, gen. Błasika, co mnie zaskoczyło. Ale zaszokowało mnie co innego – że te materiały zostały utajnione i dokumenty…