Jeśli czytasz ten artykuł w przeglądarce Chrome na systemie Windows, to przerwij czytanie, upewnij się, że posiadasz najnowszą wersję przeglądarki i wróć do lektury. TLDR: Google wydało nową wersję przeglądarki Chrome dla Windows, oznaczoną 134.0.6998.177/.178. Załatana została tylko jedna podatność bezpieczeństwa, pozwalająca na ominięcie sandboksa, czyli mechanizmu ograniczającego skutki zdalnego wykonania kodu, oznaczona…

Cześć, chcecie zobaczyć, jak cyberprzestępcy przejmują kontrolę nad systemami finansowymi i dowiedzieć się, jak skutecznie się przed tym bronić? A może szukacie praktycznej wiedzy o Rozporządzeniu DORA, która pozwoli Wam działać w zgodzie z nowymi wymogami? Mamy dla Was coś wyjątkowego – i nie jest to żart 🙂 1 kwietnia…

Krytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni…

Aktualizacja, 23.03.2025 10:15. Otrzymaliśmy oficjalne podsumowanie wczorajszej sprawy rzekomego wycieku danych z Emipku. Na szczęście z dobrym finałem dla klientów. Zespołowi bezpieczeństwa gratulujemy rzetelnego podejścia do tematu razem z zespołem CERT. Tutaj treść oficjalnego komunikatu: W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego…

Internet Rzeczy jest często wyśmiewany przez nas na łamach sekuraka za niską jakość kodu, brak świadomości producentów oraz brak wsparcia produktów. Dodając do tego kuriozalne stosy technologiczne (jak kontrola łóżka przez chmurę), otrzymujemy katastrofę. TLDR: W ciemnym tunelu widać światło, jednak przed badaczami długa droga do poprawy bezpieczeństwa tego typu…

Nie jest dobrze. Dopiero informowaliśmy o ataku na firmę SMYK, a już mamy kolejne informacje o złośliwym oprogramowaniu atakującym polskie instytucje i firmy. Starostwo Powiatowe w Piszu poinformowało 18.03.2025 r., że ich wewnętrzne systemy oraz Powiatowego Zespołu Ekonomiczno-Administracyjnego Szkół i Placówek w Piszu ,,zostały poddane’’ atakowi hakerskiemu. TL;DR: ,,Potwierdzamy, że…

SMYK to popularna marka produktów dla dzieci. Jej sieć handlowa obejmuje 250 sklepów stacjonarnych w Polsce, sklep internetowy smyk.com, a także łącznie ponad 40 sklepów własnych w Rumunii i na Ukrainie.  TLDR: 17 marca 2025 r. firma wydała oświadczenie, w którym informuje ,,W godzinach wieczornych, nasza firma padła ofiarą ataku…

GitLab ogłosił wydanie nowych wersji oprogramowania. Aktualizacja dotyczy zarówno Community Edition, jak i Enterprise Edition. Poprawione wersje to  17.9.2, 17.8.5 oraz 17.7.7. Najważniejsza poprawka dotyczy dwóch podatności (CVE-2025-25291, CVE-2025-25292), zgłoszonych w bibliotece ruby-saml, która jest wykorzystywana przez GitLab do SAML SSO (security assertion markup language; single sign-on). W pewnych okolicznościach…

Już niebawem, 15 maja br, startujemy z drugą edycją konferencji Sekurak Cyberstarter – wydarzenia skierowanego do osób z IT, początkujących w temacie cyberbezpieczeństwa oraz osób całkowicie nietechnicznych (zaplanowaliśmy dla nich osobną ścieżkę). Ścieżki planowane w ramach wydarzenia: Niniejszym ogłaszamy CFP na to wydarzenie! PRELEKCJE W RAMACH ŚCIEŻEK ADMINA, PROGRAMISTY, HACKERA,…

Cellebrite to znana firma, która produkuje narzędzia do “analizy kryminalistycznej” smartfonów. Z jej usług korzystają służby na całym świecie. O Cellebrite jest znowu głośno w związku z raportem Amensty International dotyczącym szpiegowaniu studenta w Serbii (ma to związek z licznymi protestami w tym kraju). Niedawno wprowadzili do swoich produktów funkcje…

Zanotujcie sobie tę datę w kalendarzu. 8 kwietnia br. ruszamy z drugą edycją Websecurity Master od sekuraka – najbardziej kompletnego kursu o bezpieczeństwie aplikacji webowych w Polsce! Pierwsza edycja z 2024 r. przyciągnęła ponad 200 osób i została oceniona przez uczestników na 4,9/5. Teraz wracamy z jeszcze lepszym kontentem: ataki,…

Przeszukiwanie zasobów w poszukiwaniu kluczy API nie jest nowatorską praktyką i bywa bardzo często wykorzystywane przez atakujących na etapie rekonesansu. Powstały liczne narzędzia, które potrafią przeszukiwać np. repozytoria kodu (np. na GitHubie). Sytuacje, w których produkcyjne poświadczenia trafiają do publicznych baz danych nie są wyjątkiem, dlatego nic dziwnego, że badacze…

Wprowadzenie integracji dużych modeli językowych (Large Language Model, LLM) ze środowiskami programistycznymi może okazać się zbawienne w przypadku pisania tzw. boiler plate code (czyli szablonów). Nudne i powtarzalne zajęcie, to idealne zadanie dla sztucznej inteligencji. Jednak zachłyśnięcie się technologią oraz poszukiwanie na siłę oszczędności może prowadzić do katastrofalnych skutków. Dlaczego?…

Dla cyberzbójów nie ma organizacji, których nie hakują. W styczniu 2024 roku zaatakowali więc największy ogród zoologiczny w Toronto w Kanadzie. Jednak dopiero teraz ofiara dzieli się szczegółami ataku po przeprowadzeniu dokładniejszej analizy.  Przede wszystkim poinformowano poszkodowanych, a więc pracowników, byłych i obecnych, wolontariuszy oraz darczyńców: “The data includes information…

Proofpoint wydał raport, w którym opisuje zauważoną kampanię e-mailową skierowaną w firmy działające w Zjednoczonych Emiratach Arabskich. Wiadomo o conajmniej pięciu firmach, które były celem ataku, a wszystkie powiązane były z lotnictwem, komunikacją satelitarną i krytyczną infrastrukturą transportową. Kampania wykorzystywała wcześniej nieznany backdoor napisany w Go – nazwany teraz Sosano….