Wszystkiego nie da zmieścić się w tytule, więc po kolei. GoDaddy przesłał stosowne oświadczenie, które możecie zobaczyć tutaj: Using a compromised password, an unauthorized third party accessed the provisioning system in our legacy code base for Managed WordPress. Zatem ktoś dostał dostęp do części administracyjnej GoDaddy, odpowiedzialnej za fragment infrastruktury…
Czytaj dalej »
Konkurs CTF powstał z myślą o młodych pasjonatach informatyki, którzy chcieliby rozwijać swoje umiejętności i lepiej poznać zagadnienia związane z cyberbezpieczeństwem. Rozwijanie umiejętności swoją drogą, ale organizatorzy przewidzieli naprawdę ciekawe nagrody: 1. miejsce: 10 000 PLN 2. miejsce: 8 000 PLN 3. miejsce: 5 000 PLN Kolejne miejsca – nagrody…
Czytaj dalej »
Black Friday już niebawem, ale już teraz możecie mieć absolutnie rewelacyjną cenę na: Mega Sekurak Hacking Party (-40% na bilet Standard) z kodem: mega-BF40 Ksiązka bezpieczeństwo aplikacji webowych (papier) (-25%) z kodem: ksiazka-bf-25 Dwudniowe praktyczne szkolenie: wprowadzenie do OWASP Top Ten 2021 (podając kod: sekurak-prebf szkolenie jest w cenie 899…
Czytaj dalej »
Poniżej ciekawy wpis w kontekście wgrywania na urządzenia TP-Link niepudełkowego firmware: Wystarczy nazwać swoją sieć WiFi (w panelu urządzenia) jako polecenie, które chcemy wykonać jako root i voilà :) Jest też nieco bardziej niebezpieczny wariant całości: ktoś może utworzyć sieć WiFi o np. takiej nazwie jak poniżej i w momencie…
Czytaj dalej »
Media na całym świecie alarmują w takim tonie: Tesla drivers left unable to start their cars after outage. Wygląda dość groźnie, prawda? Choć moim zdaniem to chyba najlepszy kandydat na clickbait roku 2021 (a może nie?). Okazuje się, że rzeczywiście wystąpił globalny problem z appką Tesli, która może służyć również…
Czytaj dalej »
We wpisie prezentujemy wybrane ataki na polskich internautów. Wpadła Wam w oko złośliwa kampania? Komentujcie lub piszcie na sekurak@sekurak.pl. Poprzednie przeglądy: 6–19.09.2021 r. 20–26.09.2021 r. 27.09–3.10.2021 r. 4–10.10.2021 r. 11–17.10.2021 r. 18–24.10.2021 r. 25.10–7.11.2021 r. Wyłudzenia zdjęć dowodów i selfie. Ten sposób ataku ma miejsce w serwisach służących do sprzedaży….
Czytaj dalej »
Dokładny sposób przeprowadzenia czynności wspomnianej w tytule przedstawiono w tym tekście. Badacze w praktyce zaprezentowali metodę z 2019 roku autorstwa Denisa Andzakovica, o której napisano również na Sekuraku. BitLocker nie jest całkowicie bezpieczny, jak każde inne rozwiązanie, i można dostać się do zaszyfrowanych danych na różne sposoby, np. poprzez aktualizację…
Czytaj dalej »
Ukryte kamery to zmora np. Airbnb (właściciele mieszkań chcą monitorować co się dzieje, wynajmujący niekoniecznie chcą być podglądani). Zobaczcie zresztą ten przypadek (przeskanował nmapem mieszkanie wynajęte na Airbnb – znalazł siebie…w ukrytej kamerze): Wracając do tytułu wpisu – wspominana praca opiera się na wykorzystaniu czujników ToF (Time of Flight) dostępnych…
Czytaj dalej »
Ten ciekawy wątek opisuje The Record. Omri Goren Gorochovsky, którzy sprzątał w domu ministra został zatrzymany; wcześniej kontaktował się z grupami hackerskimi oferując swoje usługi (niekoniecznie związane ze sprzątaniem). W ramach udowodnienia swoich dostępów przesłał takie dane jak: Zdjęcia wnętrza domu Zdjęcia prywatnych fotografii Zdjęcia prywatnych dokumentów Zdjęcia różnych sprzętów…
Czytaj dalej »
Podsumowanie drugiej edycji konkursu CTF TIME TO HACK organizowanego przez Agencję Wywiadu W październiku informowaliśmy Was o drugiej już edycji konkursu CTF TIME TO HACK organizowanego przez Agencję Wywiadu: Piętnastego listopada poznaliśmy zaś zwycięzców: W odróżnieniu od pierwszej edycji organizatorzy tym razem postawili na współpracę uczestników zabawy, zaś sam CTF…
Czytaj dalej »
Esencja z ostrzeżenia FBI wygląda następująco: As of November 2021, FBI forensic analysis indicated exploitation of a 0-day vulnerability in the FatPipe MPVPN® device software going back to at least May 2021. The vulnerability allowed APT actors to gain access to an unrestricted file upload function to drop a webshell…
Czytaj dalej »
Jeden z czytelników zaalertował nas o takim znalezisku: Osoba, która wykonała zdjęcie okrasiła całość następującym komentarzem: Radzę nie korzystać z automatów paczkowych Orlenu, zwłaszcza tego przy stacji na ul. Łaskiej [Pabianice – dopisek Sekurak]. Większość skrytek jest otwartych i każdy, kto chce może odebrać cudzą przesyłkę, więc jeśli macie paczkę…
Czytaj dalej »
Taki czarny scenariusz wygląda coraz bardziej realnie. Jeśli tylko jedna ekipa jest w przeciągu pół roku „zarobić” $90 000 000, to ma budżet na tzw. research&development…: Co więcej ekipa z Digital Shadows donosi, że zapytania o 0-daye coraz częściej pojawiają się na rozmaitych forach: Oferta $3 000 000 za 0…
Czytaj dalej »
Do tej pory opisywaliśmy scenariusze, gdy ktoś hackował konto developera jakiegoś popularnego pakietu (np. NPM), a następnie wypuszczał nową wersję (w której był malware). W ten sposób złośliwy kod dostawał się do projektów, które wykonywały aktualizacje pakietów. Tutaj jednak NPM poinformował o znacznie gorszym problemie, który został zgłoszony do ich…
Czytaj dalej »
Podsumowanie od Check Pointa tutaj (sporo smaczków technicznych!), a chodzi o operację czy grupę hackerską o kryptonimie MosesStaff. Napastnicy mają przede wszystkim motywację polityczną i chcą po prostu wyrządzić jak najwięcej szkód: MosesStaff behaves differently. The group openly states that their motivation in attacking Israeli companies is to cause damage…
Czytaj dalej »