Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Jak czytamy w tej krótkiej relacji:
✅ Bank wykrył podatność w pewnej swojej wewnętrznej aplikacji
❌ Podatność istniała w tym systemie przez około 3 lata (!)
❌ Podatność wykorzystało 3 pracowników, w celu nieautoryzowanego dostępu do danych osobowych / finansowych klientów
Bank wysłał informacje z ostrzeżeniem do dotkniętych klientów, zapewne więc istnieje uzasadnione ryzyko, że dane te nie zostały pobrane przez nieautoryzowanych pracowników ot tak – dla sportu…
✅ Całość nieco ku przestrodze w temacie myślenia: “eee, może i nasze wewnętrzne systemy są dziurawe, ale kto by tam je atakował”
~ms
To też pokazuje żeby nie raportować zbyt wiele szczegółów poważnych luk bezpieczeństwa w ticketach (np. nie załączać PoC i nie podawać dokładnej instrukcji jak obejść zabezpieczenia)… i że tickety powinny mieć różne poziomy widoczności