Microsoft Word Remote Code Execution Vulnerability – brzmi groźnie, prawda? Bo takie jest – w ostatniej łatce Microsoft nadał luce niemal maksymalną wartość ryzyka w skali CVSS – czyli 9.8 / 10 i oczywiście flagę: Critical. W skrócie – jeśli otworzysz w Wordzie złośliwy plik .rtf – będzie w stanie…

Rozbudowany opis kampanii polegającej na: W jaki sposób przejmowane są kanały YT? Odpowiedź to np. stealer + towarzysząca mu infrastruktura, który potrafi być ogłaszany w cenie raptem 200 USD: Taki stealer (malware) musi być w jakiś sposób dostarczony do ofiary – np. za pomocą złośliwej reklamy wykupionej w Google, która…

Ekipa z GitHub Security Lab postanowiła ostatnio przeaudytować projekt Datahub. Wśród licznych znalezisk mamy również takie: Missing JWT signature check (CVE-2022-39366) CVSS: 9.9 Obeznani z tematyką JWT już wiedzą co się tutaj święci. No więc tak… we wspomnianym systemie można było w payloadzie tokenu JWT umieścić absolutnie wszystko, a podpis takiego…

Szokuje Was kwota, którą można wyłudzić od łatwowiernych ofiar, odpowiednie spreparowaną gadką? Zobaczmy najpierw „gadkę”: Po krótkiej znajomości mężczyzna zwrócił się z prośbą o pomoc, która polegać miała na umożliwieniu mu powrotu z Syrii do rodzinnego kraju. Problemem miał być brak możliwości zarządzania własnymi pieniędzmi, które zgromadził na koncie. Kobieta…

Tym razem ciekawa podatność ze świata webowego. Jeden z klientów Stripe otrzymał całkiem niezłą promocję – całkowity brak opłat od transakcji, ale tylko dla sumarycznej kwoty transakcji do $20000. Postanowił zaakceptować taką ofertę (przesłaną przez Stripe) ale jednocześnie przechwycić żądanie HTTP z przeglądarki za pomocą narzędzia Burp Suite. Następnie badacz…

Pełna praca dostępna jest w tym miejscu (Drone Security and the Mysterious Case of DJI’s DroneID). W skrócie: DJI udostępnia (tj. sprzedaje) służbom – np. analizującym przestrzeń powietrzną w okolicach lotnisk – urządzenie o nazwie AeroScope. Ma ono możliwość namierzania dronów (oraz ich operatorów). Jak to działa? Po badaniach okazało…

Stosowna ustawa przeszła właśnie na drodze procedowania na kolejny poziom (dzisiaj pojawiły się stosowne dokumenty do wglądu) i najpewniej za moment trafi do Sejmu. Sama ustawa „o aplikacji mObywatel” jest dość żmudną lekturą, ale rząd przygotował nam TLDR, dostępny tutaj. Z najważniejszych elementów, które zapewnia procedowana ustawa: Jak widać nie…

Eset przedstawił analizę malware BlackLotus. To złośliwe oprogramowanie potrafi odpalić się we wczesnej fazie bootowania systemu, co z kolei umożliwia na ominięcie wielu standardowych metod ochrony oferowanych przez system operacyjny / hardware: However, running as a bootloader gives them almost the same capabilities as firmware implants, but without having to…

Drastyczna historia z końca lutego tego roku opisywana jest w tym miejscu. Przestępcy porwali auto z dwuletnim dzieckiem; matka zdążyła zadzwonić na policję, która natychmiast zareagowała dzwoniąc do Volksvagenowego Car-Net z prośbą o pilne zlokalizowanie samochodu. Co się wydarzyło później? Niestety doszło do opóźnienia, ponieważ volkswagenowy Car-Net stwierdził, że nie…

Bank od dłuższego czasu pracował nad wprowadzeniem tego mechanizmu dwuczynnikowego logowania do bankowości elektronicznej: Obecnie wszystko wskazuje na to, że prace dobiegają końca i w okolicach Q2/Q3 2023 roku całość będzie gotowa. Bank w ten sposób odpowiedział na pytanie serwisu Cashless: Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego…

Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu). W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników: hacker zaatakował jednego z czterech inżynierów DevOps,…

Z geotrackerami jest jeden problem – mogą one być również używane do niezbyt chwalebnych celów – np. bywają pomocne w stalkowaniu osób czy kradzieży samochodów: Apple w swoich trackerach wprowadził funkcje, które pozwalają namierzyć AirTag, który znajduje się blisko mnie, ale nie jest mój. Działa to jednak w obie strony…

Łatwe klonowanie głosu na podstawie krótkiego nagrania głosu ofiary stało się w zasadzie standardem w ramach ostatniej rewolucji / nowinek (niepotrzebne skreślić) AI. Pisaliśmy o tym tutaj: Badacz bezpieczeństwa postanowił zrobić mały eksperyment: W środę zadzwoniłem na automatyczną linię obsługi mojego banku. Na początek bank poprosił mnie o powiedzenie własnymi…

O sprawie donosi Rzeczpospolita, a szczegóły decyzji UODO można zobaczyć tutaj: Środki organizacyjne i techniczne powinny się uzupełniać. Zaczęło się od zgłoszenia zagubienia dwóch nieszyfrowanych / prywatnych pendriveów przez pracowników Sądu Rejonowego Szczecin-Centrum. Sprawa była analizowana przez UODO, a teraz mamy decyzję – 30 000 zł kary: Zgłoszone przez administratora naruszenie ochrony…

Daniel przesłał nam taką historię: Kilka dni temu otrzymałem propozycję współpracy w zakresie konsultacji dotyczącej płatnej kampanii na FB od tego gościa https://lnkd[.]in/dqG_ieqr W wielkim skrócie. Na początku zwyczajna rozmowa, linki do profili, strony www. Zaproponowałem spotkanie na Google Meet, w odpowiedzi dostałem link do iCloud z materiałami do zapoznania się….