O akcji donosi Policja, uzupełniając materiał o filmik, ukazujący wypłatę części skradzionych środków przez osobę zamieszaną w przestępstwo. Jak do tego doszło? Zacznijmy od końca. Powiedzmy, że ktoś posiada dane logowania do bankowości ofiary – nazwijmy ją roboczo panią Matyldą. Czy przestępca może przelać wszystkie pieniądze na swoje konta? No…

Burp Suite to popularne narzędzie pozwalające na przeprowadzanie testów bezpieczeństwa aplikacji internetowych. Więcej na temat tego oprogramowania pisaliśmy w artykule z 2014 roku. Tymczasem badacze bezpieczeństwa z Noah Lab odkryli podatność, która pozwala na zdalne wykonanie kodu na urządzeniu użytkownika Burp Suite: Luka dotyczy wykorzystywania przez oprogramowanie bezokienkowej wersji przeglądarki…

OWASP Top Ten to często pierwszy dokument polecany osobom, które chcą bezboleśnie rozpocząć swoją przygodę z bezpieczeństwem aplikacji webowych. To 10 najistotniejszych kategorii problemów bezpieczeństwa w aplikacjach webowych: The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the…

Monopoly VIP to gra udostępniana klientom McDonalda w Wielkiej Brytanii. W skrócie można wpisać tam kod dostępny po zakupie produktów i dzięki temu wygrać nagrody. Część osób, która rzeczywiście je wygrała, dostała w informującym o fakcie e-mailu pewien bonus: dane logowania do produkcyjnej/stagingowej bazy danych: Hasło do bazy w treści…

Jeśli interesują Was szkolenia dedykowane programistom/testerom/pentesterom to zapraszamy do odwiedzenia naszego nowego projektu: Securitum Web Lab (https://weblab.securitum.pl/). Bezpieczeństwo frontendu aplikacji webowych to jedno ze szkoleń, które tam Wam proponujemy. Prowadzi je Michał Bentkowski, topowy pentester i badacz bezpieczeństwa – który do samego Google zgłosił przeszło 20 podatności, za które otrzymał…

Całkiem ciekawy, chociaż nie nowy sposób zdalnego ataku na samochody marki Honda został opisany w tym miejscu. To tzw. replay attack, który polega na kilkukrotnym lub opóźnionym wysyłaniu poprawnych danych. Według autora prawdopodobnie działa on w wypadku wszystkich modeli marek Honda/Acura wyposażonych w tę funkcję: This attack seems to affect…

Mowa o CVE-2021-40444. Atakujący przygotowują odpowiednie pliki .docx które po otwarciu przez ofiarę umożliwiają przejęcie jej komputera. Microsoft opisuje to w ten sposób: An attacker could craft a malicious ActiveX control to be used by a Microsoft Office document that hosts the browser rendering engine. The attacker would then have…

TrickBot został zauważony po raz pierwszy w październiku 2016 roku i miał on postać trojana bankowego. Z czasem złośliwe oprogramowanie wzbogacono o nowe moduły, takie jak np. „dropper”, którego główną rolą jest zapewnienie „tylnej furtki” dla innego złośliwego oprogramowania. Z funkcji tej korzystało między innymi Ryuk Ransomware, znane z ataków…

Znakiem rozpoznawczym Grześka Tworka (prowadzącego kurs o bezpieczeństwie Windows) jest maksimum praktyki, minimum teorii oraz rozległa wiedza z dziedziny bezpieczeństwa systemów windowsowych. Grzegorz w czasie ponaddwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do…

Ten pomysł przedstawił niemiecki rząd w negocjacjach z Komisją Europejską. Aktualizacje systemów operacyjnych i wsparcie serwisowe dla smartfonów ma wynosić siedem lat, a w wypadku tabletów – pięć lat. Pomysł KE zakładał pomoc w obu tych aspektach przez pięć lat dla smartfonów i sześć lat odnośnie do tabletów. W dodatku…

Jak donosi portal “secoursrouge.org”, serwis ProtonMail miał wydać organom ścigania adres IP francuskiego aktywisty z ruchu “Youth for Climate” (Młodzieżowy Strajk Klimatyczny): Zastanówmy się najpierw, czy wydanie adresu IP przez Protona było faktycznie złamaniem “zasad” serwisu? Więcej na ten temat możemy znaleźć na podstronie protonmail.com/privacy-policy: Jak możemy przeczytać w polityce…

O Babuku zrobiło się głośno po udanym ataku na główną jednostkę policji w Waszyngtonie, w wyniku którego wykradziono i zaszyfrowano ponad 250 GB danych:  Ta sama grupa, pod szyldem Payload.bin, opublikowała również kody źródłowe należące do CD Projekt Red: Z kolei jakiś czas temu jeden z (byłych?) operatorów grupy Babuk…

W sierpniu tego roku pisaliśmy o kontrowersyjnej zmianie, jaką Apple zamierza wprowadzić w wypadku urządzeń z systemami iOS i macOS. W dużym skrócie – firma zapowiedziała, że w celu ochrony dzieci uruchomi skanowanie „nieodpowiednich” treści znajdujących się w chmurze iCloud oraz bezpośrednio w urządzeniach użytkowników: W praktyce takie działanie może…

O temacie donosi m.in. USCYBERCOM: Podatność prawdopodobnie może być wykorzystania bez uwierzytelnienia, a finalnie daje możliwość wykonywania poleceń w systemie operacyjnym (RCE): Nieco więcej o tej krytycznej luce (wycena 9.8/10 w skali CVSS) można znaleźć na stronie producenta. –ms

Z opisanych tutaj doniesień Agencji Reutera wynika, że talibowie mogą być w posiadaniu danych biometrycznych zebranych przez Amerykanów i dotyczących Afgańczyków, samych żołnierzy i sił koalicyjnych. Jak się okazuje, już po zamachach z 11 września 2001 roku dane biometryczne zaczęły być dla Amerykanów cennym zasobem, bo pozwalały na „śledzenie” celów….