Chodzi o rozwiązanie: MiCODUS MV720, w którym wykryto garść krytycznych podatności, np. taką: The API server has an authentication mechanism that allows devices to use a hard-coded master password. This may allow an attacker to send SMS commands directly to the GPS tracker as if they were coming from the…

Słyszeliście o phishingu, który ma skuteczność większą niż 100%? Czyli przestraszeni użytkownicy przesyłają dalej oszukańcze maile (np. do helpdesku / IT) i w ten sposób haczyk połykają kolejne osoby. W opisywanym temacie, być może właśnie mówimy o takim przypadku ;-) W każdym razie Adrian zaalertował nas o znanym wszystkim oszustwie…

W zasadzie po co przestępcy mają wymyślać nowe metody działania, jeśli stare działają cały czas bardzo dobrze? Policja opisuje kolejny przykład oszustwa „na OLX”: Do sejneńskich policjantów zgłosiła się 35-latka, która została oszukana podczas sprzedaży w internecie. Z jej relacji wynikało, że zamieściła na portalu aukcyjnym ogłoszenie o sprzedaży pieluszek….

Akcję opisuje bydgoska policja. Schemat na „fałszywą inwestycję” zaczyna się prawie zawsze praktycznie tak samo, tj. trafiamy (np. poprzez reklamę) na niewinną stronę gdzie jesteśmy proszeni o „zgłoszenie” do programu. Uwaga, na tych stronach nie wyłudzają od nas żadnych wrażliwych danych (typu nr dokumentu tożsamości czy danych logowania). Wygląda to…

Z jednej strony podatność może nie jest warta dużej uwagi (załatana miesiąc temu, występuje w komponencie NFS Network File System, którego nie wszyscy używają), z drugiej strony warto mieć z tyłu głowy luki, które bez uwierzytelnienia dają dostęp na SYSTEM na atakowanym celu. Dodatkowo, na blogu ZDI pojawił się dość…

Całość sprowadza się do następującej obserwacji. W momencie kiedy użytkownik się loguje, podaje swój login/hasło, być może również kod z SMSa (2FA) czy Google/Microsoft Authenticatora. Jeśli wszystko jest OK, użytkownik jest zalogowany i działa dalej w swojej aplikacji. Co jeśli taka zalogowana sesja zostanie przejęta? Ano atakujący uzyskują dostęp do…

Materiałów o bezpieczeństwie Windows – czy w szczególności Active Directory mamy tyle co węgla w polskich składach węglowych ;-) Warto więc zapewne zapoznać się z tym rozbudowanym poradnikiem. Mamy tutaj: Wstęp co to w ogóle jest AD / w tym podstawowe definicje Przydatne narzędzia, w tym przykłady ich użyć: Modele…

Pół roku temu pisaliśmy o duchownym, który w podobny sposób został oszukany (przelał przestępcom ~600 000 zł, z funduszu remontowego kościoła). Tym razem poszkodowanym jest mieszkaniec Lubina. Schemat to niemalże copy-paste z poprzedniego newsa. Policja relacjonuje: Mężczyzna przedstawiający się za mundurowego zadzwonił do 45-letniego mieszkańca Lubina i przekazał informację, że…

Jak czytamy w oficjalnym oświadczeniu: Główny Geodeta Kraju (GGK) informuje, że w dniu 11.07.2022 r. o godz. 12:34 powziął informację o podatności zintegrowanego systemu informacji o nieruchomościach (ZSIN) na nieuprawniony dostęp do zgromadzonych tam danych o działkach ewidencyjnych (w tym numerach ksiąg wieczystych) oraz ich właścicielach / współwłaścicielach / użytkownikach wieczystych (imiona, nazwiska, imiona rodziców,…

Tym razem Radek zaalertował nas o ~nowym wariancie starego ataku „na OLX„. Wszystko idzie jak po staremu, czyli zgłasza się „kupujący” na przedmiot, który wystawiliśmy, dopytuje się dla niepoznaki o szczegóły. Aż w końcu chce kupić. Chce „kupić” czyli wysyła linka w formie kodu QR („zeskanuj indywidualny kod QR aby…

TLDR: zapisy dostępne są tutaj (przycisk po prawej stronie, można wpłacić dowolną kwotę za udział, można też zero). Będzie dostęp do nagrania, każdy otrzyma certyfikat uczestnictwa (PDF). Kiedy / gdzie / jak długo? 28. lipca 2022r., 10:00 -> 11:30, on-line (można dołączyć również w trakcie trwania szkolenia) Agenda: Kluczowe ryzyka,…

W ten sposób zaalertowała nas niedawno Monika, która podesłała historię Dominiki: Dzwonili do mnie z numeru, który wyświetlił się na androidzie: AS SA odział – 664 919 797. Przedstawił się jako pracownik mojego banku, podał swoje imię i nazwisko, dział, identyfikator pracownika. Poinformował, że dzwoni w sprawie potwierdzenia przelewu. Nie…

… a raczej konkursu na tłumaczenie wyrażenia: „compromised passwords” (z naciskiem na „compromised”). Najbardziej do gustu przypadła nam propozycja Bartka ;-) Nieco mniej poetyckie: Były też propozycje całkiem proste: Multipropozycje: Mini rozprawka: Nano rozprawka :) Jeśli macie swoje przemyślenia w tym temacie – dajcie znać w komentarzu. Zachęcam też do…

Krótką notkę możecie przeczytać tutaj. Od tej pory CSIRT GOV (ABW) może jednym kliknięciem sprawdzić jakie konta w domenach *.gov.pl wyciekły + kiedy + gdzie – co należy uznać za bardzo pozytywnego newsa. Kilka uwag: Najczęściej chodzi o przypadek: ktoś założył konto np. w sklepie internetowym korzystając z emaila „służbowego”…

Tym razem historia obrazkowa, którą zgłosiła nam jedna z czytelniczek: Historia z **py, dziki link i w zasadzie wszyscy powinni widzieć, że to oszustwo. Ale jednak dużo osób nabiera się na tego typu akcję (bo dużo polubień przecież!). Sam facebookowy profil „Aldi Fans” (ALDI2TVFans), również wygląda mocno podejrzanie (tylko jeden…