Tym razem mamy do czynienia z podatnoscią klasy Path Traversal: A vulnerability in the web services interface of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct directory traversal attacks and obtain read and delete access to sensitive…
Czytaj dalej »
Schemat jest prosty. Ktoś w jakiś sposób pozyskuje Wasze dane i np. wykonuje dowód kolekcjonerski. Dalej może spróbować wziąć kredyt na Wasze dane (czasem tych kredytów jest kilka). Kiedy się o nim dowiecie? Zazwyczaj jak do Waszych drzwi zapuka komornik. Możemy o próbie oszustwa dowiedzieć się wcześniej. Banki czy inne firmy pożyczkowe…
Czytaj dalej »
Ciekawe badanie opisuje Malwarebytes. Zaczęło się od tego, że namierzono domenę myicons[.]net, z której favicony pobierało sporo sklepów bazujących na Magento: While reviewing our crawler logs, we noticed requests to a domain called myicons[.]net hosting various icons and, in particular, favicons. Several e-commerce sites were loading a Magento favicon from…
Czytaj dalej »
Zobaczcie tutaj: Today I’m happy to release new research I’ve been working on for a while: 0-click RCE via MMS in all modern Samsung phones (released 2015+), due to numerous bugs in a little-known custom „Qmage” image codec supported by Skia on Samsung devices. Exploita nie wymagającego żadnej interakcji ofiary…
Czytaj dalej »
Na 26.05.2020 mamy zaplanowane kolejne remote Sekurak Hacking Party, gdzie pojawią się dwie praktyczne prezentacje jak w tytule. Przypominamy, że istnieje możliwość zakupów biletów abonamentowych (wszystkie rSHP do końca lipca + dostęp do archiwum rSHP). Taki bilet od razu da wstęp na rSHP ósmego maja. Agenda rSHP 26.05.2020 (start o 20:00)…
Czytaj dalej »
Jeden z czytelników podesłał nam informację o akcji promowanej na polskim koncie FB mającym ćwierć miliona polubień, a polegającą na czyszczeniu magazynów (wiadomo, COVID ;-) Można wygrać telefon. No dobra, może nie wygrać a kupić za jedyne 1.5 EURO: Farming danych osobowych? Zapewne. Dalej dostępna jest (szemrana choć z kłódką…
Czytaj dalej »
Tym razem na remote Sekurak Hacking Party w trakcie dwóch godzin opowiemy o takich tematach: Łamanie / odzyskiwanie haseł do nietypowych miejsc (np. volumeny Veracrypt, pliki managerów haseł, inne popularne archiwa) Kradzież tokenów do resetu hasła przez nagłówek Host – studium przypadku VPN ninja – czyli konfiguracja VPNów w praktyce…
Czytaj dalej »
![Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]](https://sekurak.pl/wp-content/uploads/2020/05/support-150x150.png "Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]")
Uff, prawie całego newsa udało mi się zmieścić w tytule ;-) W każdym razie historia jest na pewno pouczająca. Po co ktoś ma stosować jakieś zaawansowane hacki, super phishingi obchodzące 2FA czy inne ekwilibrystyki? Wystarczy czasem przekupić (być może niezbyt hojnie opłacanego) pracownika z supportu. Może „na chwile” przekaże swój…
Czytaj dalej »
Nowe wydanie FF jest niemal zupełnie skupione na ciekawostkach z obszaru zarządzania hasłami. Po pierwsze mamy lepszą integrację systemem Firefox Monitor (współpracującym z haveibeenpwned). Jeśli odwiedzamy serwis, który niedawno miał wyciek otrzymamy tego typu komunikat: Spore zmiany mamy również w managerze haseł Lockwise. Po pierwsze mamy możliwość wygenerowania hasła podczas tworzenia konta…
Czytaj dalej »
Historię samej aplikacji w kontekście rozwoju/bezpieczeństwa/prywatności można zobaczyć w nowo założonej sprawie – tutaj. Chyba najważniejszą informacją jest docelowe przejście do modelu zdecentralizowanego i używanie mocno restrykcyjnego API od Apple/Google, co należy traktować jako krok w dobrą stronę. Tutaj po raz kolejny wyjaśniamy działanie tego tajemniczego „API”. Z jednej strony iPhone-y/telefony…
Czytaj dalej »
Wiele mediów alarmuje o wycieku pdfa z pakietem wyborczym dostępnym do pobrania z domeny s3.bialystok.pl. Czy to rzeczywiście wyciek? Nie bardzo. Otóż każdy może zarejestrować poddomenę *.bialystok.pl, cena nie jest wygórowana (a pewnie można znaleźć tańsze oferty ;), a dostępność duża, np.: Po wykupieniu poddomeny można serwować tam już dowolną…
Czytaj dalej »
Dla przypomnienia – nasza książka o bezpieczeństwie aplikacji webowych to świeże, blisko 800-stronicowe kompendium w temacie. Zdecydowanie nadaje się ona również do rozpoczęcia swojej przygody z bezpieczeństwem aplikacji (około 200 stron stanowią rozdziały wprowadzające). Udostępniamy też darmowe dwa rozdziały: wprowadzenie do protokołu HTTP oraz podatność XSS. Do tej pory sprzedało się…
Czytaj dalej »
Szkolenie o podstawach bezpieczeństwa kierowane jest przede wszystkim do osób z IT (choć mniej techniczni zapewne również skorzystają – będzie masa pokazów praktycznych :) Zdalne szkolenie startuje 13. maja o godzinie 11:00 i trwa około trzy godziny (formularz zapisu oraz agenda znajdują się poniżej). Jeśli macie znajomych z branż jak…
Czytaj dalej »
![Wyciągają w banalny sposób loginy/hasła od uczniów i nauczycieli. Fałszywy portalibrus[.]pl](https://sekurak.pl/wp-content/uploads/2020/05/librus1-150x150.png "Wyciągają w banalny sposób loginy/hasła od uczniów i nauczycieli. Fałszywy portalibrus[.]pl")
CERT Polska ostrzega o nowej akcji. Tym razem mamy do czynienia z podstawioną stroną bardzo popularnego w szkołach serwisu Librus (tylko w jeden z ostatnich tygodni serwis zanotował prawie 700 milionów odsłon i plasuje się aż na #12 pozycji w Polsce jeśli chodzi o popularność serwisów WWW). W Librus Synergia…
Czytaj dalej »
Winowajcą jest ponownie nasz dobry znajomy – zupełnie niezabezpieczony Elasticsearch, dostępny do Internetu. Tym razem badacze zlokalizowali bazę zawierającą zarówno dane użytkowników/dziennikarzy jak i masę danych diagnostycznych. Wśród danych osobowych można było znaleźć: Emaile Imiona/Nazwiska Fizyczne adresy Hasła dla nowych użytkowników (w formie jawnej (!) oraz w formie MD5) Adresy IP…
Czytaj dalej »
