Ciekawe wideo, udostępnione już jakiś czas temu na TikToku: Wystarczy więc latarka (może być taka z telefonu) i już możemy próbować namierzyć kamery. A mogą one być w najrozmaitszych miejscach: gniazdka elektryczne, routery WiFi, ładowarki, zegarki elektroniczne, czujki dymu, czujki ruchu, wieszaki czy nawet butelki z wodą ;-) Dla wygody…

Jeśli ktoś z Was obawia się, że może zostać ofiarę spoofingu telefonicznego, wpis Borysa Budki warto potraktować jako pewnego rodzaju uodpornienie się na problem (w środku nagranie sfałszowanego połączenia telefonicznego): ~Michał Sajdak

O temacie donosi BleepingComputer: Later that night, QNAP took more drastic action and force-updated the firmware for all customers’ NAS devices to version 5.0.0.1891, the latest universal firmware released on December 23rd, 2021. Wg relacji użytkowników firmware jest instalowany, nawet gdy opcja automatycznych aktualizacji jest wyłączona. Całość w odpowiedzi na ransomware…

O ataku poinformował prof. Marcin Matczak: Tym razem jak widać psychopaci podszyli się pod prawdziwy numer infolinii CBA, a niewiele wcześniej niemal taki sam scenariusz został przygotowany na byłego szefa CBA Pawła Wojtunika: Podobne problemy miał ostatnio Roman Giertych (tym razem podszycie się pod numer kancelarii prawnej). Pamiętajcie, że przestępcy…

Projekt „wholeaked” można pobrać tutaj. Jeśli chcemy wysłać dokument, którego wycieku się obawiamy możemy całość zorganizować w ten sposób: Przygotowujemy template maila Przygotowujemy adresy e-mail osób, do których będzie wysłany dokument Przygotowujemy sam dokument Wybieramy sposób znakowania dokumentu. Dokumentacja wskazuje takie możliwości File Hash: SHA256 hash of the file. All file…

19-sto latek z Niemiec opisuje swoją przygodę z dostępem do samochodów tutaj. Krok po kroku cała akcja wyglądała tak: Zlokalizowanie w internecie instancji oprogramowania TeslaMate (Google, Shodan, Zoomeye …) Po podłączeniu się przeglądarką, widoczna jest tutaj lokalizacja „losowego” samochodu (tj. skonfigurowanego w instancji TeslaMate): Dalej (czyli np. zakładka Dashboards) nie…

Najważniejsza informacja jest już zawarta w tytule. Tutaj z kolei link dla osób bardziej dociekliwych. W szczególności mamy załatane m.in. takie luki: Impact: A malicious application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited….

Tutaj ostrzeżenie od samego producenta: DeadBolt has been widely targeting all NAS exposed to the Internet without any protection and encrypting users’ data for Bitcoin ransom. Jakie zalecenia daje QNAP? Zablokować dostęp z Internetu do webowego panelu administracyjnego (jednocześnie warto też wyłączyć: Enable UPnP Port forwarding) Wykonać aktualizację do najnowszej…

Ostatnio mamy całkiem spory wysyp podatności klasy privilege escalation. Tym razem mowa o luce CVE-2021-4034, którą odkryła ekipa Qualysa: Exploity są już dostępne i wg wielu relacji, działające bez problemu: Wg badaczy podatne są domyślne instalacje takich dystrybucji jak: Ubuntu, Debian, Fedora, CentOS (chociaż z naszej strony warto dodać –…

Zobaczcie na to obecnie dość popularne doniesienie: Mamy tutaj zdjęcie z raportu Citizen Lab, którego fragmenty były publikowane np. w czasie konferencji prasowej Michała Kołodziejczaka. Jest tam numer seryjny „badanego telefonu”. Jak łatwo można sprawdzić, telefon to iPhone 11 Pro, który został wypuszczony na rynek we wrześniu 2019 roku, podczas…

Ciekawostka. Ukraińskie służby informują: Według śledztwa, ośrodek został zorganizowany przez dwóch mieszkańców regionu. W wynajętym magazynie w mieście zainstalowano sprzęt do kopania kryptowalut. Bezprawna działalność mogła doprowadzić do sytuacji awaryjnych w sektorze transportu, w tym w transporcie kolejowym. According to the investigation, the center was organized by two residents of…

O tym, że bardzo łatwo można podrobić nadawcę SMSa informowaliśmy wiele razy. Tym razem ktoś wziął na celownik mBank: Oczywiście nic nie zostało zablokowane, a nadawca „MBANK” ma uwiarygodnić, że SMS pochodzi od banku (oczywiście pochodzi od przestępców). Uważajcie, bo podobne akcje będą jeszcze nie jeden raz odgrywane. ~Michał Sajdak

O temacie donosi CERT Orange. Niby klasyczna gadka prowadząca do tego aby ofiara kliknęła linka i podała swoje dane logowania (do banku / do Allegro / dane karty płatniczej / inne wrażliwe dane – scenariusze się zmieniają), ale uwagę przykuwa nieco dziwna litera e: Jeśli ktoś uważnie czyta sekuraka, pewnie…

Do ataku przyznała się grupa Belarusian Cyber Partisans: Mowa jest o zaszyfrowaniu „większości” serwerów / stacji roboczych (chociaż systemy automatyki zostały celowo oszczędzone): Białoruska kolej opublikowała informacje o pewnych problemach (ale raczej nie szafują szczodrze informacją co się wydarzyło): Ze względów technicznych internetowe zasoby informacyjne Kolei Białoruskich i usługi wystawiania…

Alert wzbudził stream, podczas którego gra się zcrashowała, otworzył się PowerShell i zaczęły odpalać się pewne polecenia, a następnie zaczęła na streamie odtwarzać się sekwencja mówiona Problem wygląda na tyle poważnie, że ekipa odpowiedzialna za Dark Souls zdecydowała się całkowicie zastopować serwery PvP: Wg doniesień, osoba, która zlokalizowała błąd –…