Ostatnio jest dość gorąco w temacie wycieków danych. Niedawno sieć Marriott (ukradziono dane 500 milionów osób), teraz mamy duży wyciek z popularnego serwisu Quora. Sami poszkodowani piszą tak: On Friday we discovered that some user data was compromised by a third party who gained unauthorized access to one of our systems….

Na różnych naszych konferencyjnych stoiskach udostępnialiśmy wydrukowane kolorowanki (wraz z czarnymi kredkami sekuraka). Tematyka jest stricte cyberawarenessowa. Materiały udostępniamy w PDF, do dowolnego wykorzystania komercyjnego lub niekomercyjnego. Ważne żeby materiały wykorzystywać bez nanoszenia żadnych zmian. Jeśli temat się Wam podoba – dorobimy więcej scenariuszy :-) kolorowanka-bankomat kolorowanka-malware kolorowanka-dowod-osobisty Fragment jednej…

Mowa o projekcie: Mobile Security Testing Guide (MSTG). Właśnie wydano jego wersję 1.1 (dostępna wersja pdf + na czytniki mobilne). Znajdziemy tutaj m.in. takie elementy jak: składowanie danych na urządzeniach, rozmaite problemy kryptograficzne, testowanie uwierzytelnienia, reverse engineering aplikacji, narzędzia. Wszystko dla platform: Android oraz iOS. Całość to około 450 stron. Miłego…

Można pewnie marudzić. że serwis nie ma wielu znanych wycieków. Z drugiej strony możemy całkiem dużą bazę (4,5 miliarda rekordów) ładnie posortować czy przeszukać. Np. tak jak poniżej (w bazie mamy przeszło 800 wycieków polskich baz): Część z nich jest mikroskopijna – np. krolikarzpolski (trzymający hasła w plaintext) ma ledwo…

Nasz serwis rozwal.to jest zbiorem zadań do hackowania o różnym poziomie trudności. Mamy teorię, filmy (dla przykładu: film o podatności XXE) i właśnie – same zadania. Jeśli ktoś nie wie jak rozwiązać dany temat, może skorzystać z podpowiedzi czy odpowiedzi. Daje on bezpłatny dostęp na 7 dni (można go wykorzystać do 12 grudnia;…

Ciekawa (choć mająca już parę lat) praca, pokazująca kilka problemów z bezpieczeństwem zarówno jeśli chodzi o karty NVIDIA jak i AMD. O co dokładniej chodzi? Normalnie jeśli system operacyjny przydziela nam pamięć, jest ona czyszczona. Inaczej dostawalibyśmy 'losowe’ (ale mogące zawierać istotne elementy) fragmenty pamięci należące do innych użytkowników / procesów….

Dokładniej chodzi o temat UPnP. Mechanizm ten służy do łatwej, nie wymagającej żadnych uprawnień rekonfiguracji ustawień sieciowych na routerach (głównie tych domowych). Komunikacja UPnP zazwyczaj ma trzy fazy: Rekonesans dość nietypowym requestem HTTP over UDP (tzw. SSDP) Pobranie pliku XML z routera z informacjami o możliwości konfiguracji UPnP na danym…

Zerknijcie na ten wpis (translator) (alternatywne źródło). W skrócie – anonimowość w necie to duży problem: That people can be anonymous on the internet is a big problem. Policja proponuje więc użycie czegoś w rodzaju cyfrowego dowodu osobistego (digital ID): (…) police therefore propose a so-called state-guaranteed digital ID, which will…

Wyciekły dane z centralnego systemu rezerwacji sieci hotelowej Marriott. Najpierw okazało się, że ktoś wysłał zaszyfrowane dane z sieci centralnego systemu rezerwacji Starwood. Poźniej Marriott-owi (czy raczej zatrudnionym przez niego specjalistom) udało się te dane odszyfrować: The company recently discovered that an unauthorized party had copied and encrypted information, and took…

Jak to w wielu startupach bywa – security ma najniższy priorytet. Braku bezpieczeństwa w końcu nie widać gołym okiem. No chyba, że przydarzy się wyciek. Taka sytuacja miała miejsce w przypadku aplikacji Urban Massage. Jak widać, można z tej usługi – będącej swego rodzaju Uberem dla fizjoterapeutów – skorzystać bez…

Ciekawą historię opisuje serwis glos24.pl. Według relacji portalu: w dwóch salonach Orange w Poznaniu (czyli ponad 400 km od Chrzanowa, gdzie nasz czytelnik mieszka i pracuje) oszust zawarł łącznie siedem umów na jego nazwisko. Tym samym wyłudził pięć nietanich telefonów (w tym Samsung Galaxy S9+, S9 i S8) oraz Internet mobilny…

Dokładniej chodzi o oprogramowanie Sennheiser HeadSetup oraz Sennheiser HeadSetup Pro. Doinstalowywało ono do Windows / macOS dwa nowe root certyfikaty CA. Co z tego wynika? Jeśli producent stworzyłby zupełnie inny certyfikat (np. dla serwera https) i podpisałby go swoim kluczem, nasz Windows ufałby takiemu połączeniu bez żadnego ostrzeżenia. W końcu tak w…

Chcesz mieć standardowy bilet na nasze MEGA sekurak hacking party za 50% ceny? Napisz po prostu maila na szkolenia@securitum.pl (z firmowego maila). Do zobaczenia :) –ms

Rządowe Centrum Bezpieczeństwa wysyła SMS-owo informacje do obywateli na terenie Polski. Może być to cały kraj, może być tylko konkretny obszar. Jak czytamy tutaj: Alert RCB będzie rozsyłany do abonentów telefonów komórkowych na zagrożone tereny przez cały rok. Można się go spodziewać o każdej porze dnia i nocy, bez względu…

385 000 GBP od urzędu w UK, 600 000 EUR do urzędu holenderskiego. Chodzi o wyciek jeszcze sprzed epoki RODO: sprawa dotyczy tematu, o którym pisaliśmy już jakiś czas temu. Dla przypomnienia – ktoś w 2016 roku wykradł dane około 57 000 000 użytkowników. Następnie zgłosił się do Ubera, z…