Aktualności

Już niedługo wygenerujesz tymczasowego maila jednym kliknięciem podczas wypełniania formularza. Private Relay od Mozilli

02 maja 2020, 16:06 | W biegu | komentarzy 5
Już niedługo wygenerujesz tymczasowego maila jednym kliknięciem podczas wypełniania formularza. Private Relay od Mozilli

Często rozmaite formularze wymagają podania e-maila. Oczywiście istnieją usługi generujące tymczasowe e-maile, ale czasem ich obsługa jest nieco pracochłonna. Tymczasem Mozilla proponuje super wygodne rozwiązanie. Wypełniasz formularz, jednym kliknięciem generujesz nowy tymczasowy e-mail (z auto forwardem na Twoją normalną skrzynkę). Jeśli nie chcesz otrzymywać dalszych maili na alias, łatwo go blokujesz….

Czytaj dalej »

Personalizowane SMSy podszywające się pod Pocztę Polską. Efekt? Kradzież pieniędzy z konta…

30 kwietnia 2020, 19:15 | W biegu | 1 komentarz
Personalizowane SMSy podszywające się pod Pocztę Polską. Efekt? Kradzież pieniędzy z konta…

Często wiadomości o dopłatach, czy np. o przymusowym odkażaniu paczki wysyłane są jako zupełnie generyczne. Tymczasem mamy nową kampanię wysyłającą spersonalizowane SMS-y (źródło telefonów w połączeniu z imieniem to zapewne jeden z wycieków…): Co po kliknięciu (czy raczej tapnięciu) w link? „Opłata za odkażenie” to raptem 50 groszy. Tak przynajmniej…

Czytaj dalej »

Bezpłatne, techniczne szkolenie z bezpieczeństwa dla administracji publicznej/jednostek edu/szpitali/służb mundurowych

30 kwietnia 2020, 14:11 | W biegu | komentarzy 15
Bezpłatne, techniczne szkolenie z bezpieczeństwa dla administracji publicznej/jednostek edu/szpitali/służb mundurowych

Szkolenie podstawy bezpieczeństwa IT dla administracji publicznej, w praktyczny sposób wprowadza w tematykę częstych podatności/problemów z bezpieczeństwem. Całość przeznaczona jest głównie dla osób z IT, choć nie ma wymagań aby znać się na bezpieczeństwie. W kursie mogą uczestniczyć również zainteresowane bezpieczeństwem IT. Termin / Miejsce / Prowadzący Termin 13 maja,…

Czytaj dalej »

Używał nielegalnie Pegasusa żeby monitorować swoją dziewczynę…

30 kwietnia 2020, 13:50 | W biegu | komentarzy 5
Używał nielegalnie Pegasusa żeby monitorować swoją dziewczynę…

Vice donosi o wątku, który niedawno ujrzał światło dzienne: jeden z pracowników NSO – firmy rozwijającej Pegasusa, wyjechał  na delegację do Emiratów Arabskich. Cel: support dla jednego z klientów. Support supportem, ale pracownik postanowił użyć instancji Pegasusa, którą serwisował do zainfekowania a następnie monitorowania telefonu swojej ukochanej (a przynajmniej wytypowanej na…

Czytaj dalej »

RMF: wyciekł pakiet do głosowania, mający być w użyciu w najnowszych wyborach. Do akcji wchodzi ABW.

30 kwietnia 2020, 12:56 | W biegu | komentarzy 6

Informację przekazał RMF: Jak dowiedzieli się reporterzy RMF FM, Agencja Bezpieczeństwa Wewnętrznego ma zbadać sprawę wycieku pakietu wyborczego. Działań służb domaga się Poczta Polska, bo taki wyciek stawia pod znakiem zapytania bezpieczeństwo powszechnych wyborów kopertowych przygotowywanych w pośpiechu – o czym od wielu dni ostrzegają eksperci. Skany pakietu jako pierwszy opublikował Stanisław Żółtek…

Czytaj dalej »

Pierwszy w historii atak na urządzenia mobilne firmy z wykorzystaniem MDM-a. Malware przechwytujący SMSy, kody z Google Authenticatora, hasła. Na deser keylogger.

29 kwietnia 2020, 22:21 | W biegu | komentarzy 7
Pierwszy w historii atak na urządzenia mobilne firmy z wykorzystaniem MDM-a. Malware przechwytujący SMSy, kody z Google Authenticatora, hasła. Na deser keylogger.

Checkpoint donosi o ciekawym ataku (najprawdopodobniej kierowanym na konkretną firmę). Tym razem trafiona została „korporacja operująca w wielu krajach”, a zainfekowanych zostało aż 75% urządzeń mobilnych pracowników – w skrócie: masakra. MDM (Mobile Device Management) to dla przypomnienia zcentralizowany system umożliwiający zarządzenie flotą mobilnych urządzeń. Jeśli mamy ich w firmie…

Czytaj dalej »

„Przeklęty Chrome” – dodatek do Chrome umożliwiający atakującemu odwiedzanie stron (również wymagających logowania) w Twoim imieniu…

29 kwietnia 2020, 17:12 | W biegu | 0 komentarzy
„Przeklęty Chrome” – dodatek do Chrome umożliwiający atakującemu odwiedzanie stron (również wymagających logowania) w Twoim imieniu…

Autor reklamuje dodatek jak przydatne narzędzie dla red teamów (ofensywnych ekip, które w legalny sposób atakują organizacje na ich prośby). Po instalacji dodatku u ofiary, jej Chrome działa jako pełnoprawne proxy: A (cursed) Chrome-extension implant that turns victim Chrome browsers into fully-functional HTTP proxies. By using the proxies this tool…

Czytaj dalej »

Topowe szkolenie z bezpieczeństwa aplikacji od sekuraka za połowę ceny

29 kwietnia 2020, 10:31 | Aktualności | komentarzy 9
Topowe szkolenie z bezpieczeństwa aplikacji od sekuraka za połowę ceny

Niedawno w formie zdalnej udostępniliśmy szkolenie z bezpieczeństwa aplikacji WWW. Kurs prowadzi Michał Bentkowski, którego znacie z sekuraka, a być może również z bestsellerowej książki o bezpieczeństwie aplikacji webowych. W każdym razie proponujemy Wam: rozbudowaną agendę (znajdziecie tu elementy przydatne zarówno dla programistów, testerów, pentesterów a nawet adminów) masę ćwiczeń…

Czytaj dalej »

Koronawirus. W Chinach państwo montuje kamery monitoringu przed drzwiami do mieszkań. Czasem również w mieszkaniach!

28 kwietnia 2020, 16:33 | W biegu | komentarzy 5

Chcecie zobaczyć naprawdę ostrą inwazję w prywatność? Oto ona. CNN donosi o instalacji przez chińskie władze kamer monitoringu skierowanych na drzwi wejściowe osób objętych kwarantanną: Although there is no official announcement stating that cameras must be fixed outside the homes of people under quarantine, it has been happening in some…

Czytaj dalej »

Samorządowcy nie chcieli przekazać danych osobowych Polaków Poczcie Polskiej – zrobiło to więc hurtem Ministerstwo Cyfryzacji

28 kwietnia 2020, 12:16 | W biegu | komentarzy 14
Samorządowcy nie chcieli przekazać danych osobowych Polaków Poczcie Polskiej – zrobiło to więc hurtem Ministerstwo Cyfryzacji

Najwyraźniej opisywane przez nas przekazywanie danych osobowych Poczcie Polskiej (na potrzeby wyborów) jak po grudzie. Dane więc zostały przekazane inną drogą – jak donosi Rzeczpospolita: Państwowy operator już 22 kwietnia otrzymał za zgodą ministra cyfryzacji dane z rejestru PESEL potrzebne do przygotowania wyborów prezydenta – tę informację potwierdził resort cyfryzacji. To oznacza,…

Czytaj dalej »

Zhackowali chińską firmę diagnozującą COVID-19. Wyciekły kody źródłowe, raporty, szczegóły eksperymentów

27 kwietnia 2020, 20:31 | W biegu | 1 komentarz
Zhackowali chińską firmę diagnozującą COVID-19. Wyciekły kody źródłowe, raporty, szczegóły eksperymentów

Chodzi o Huiying Medical, a napastnicy wystawili na sprzedaż wspomniane dane za ledwo 4 BTC. Diagnostyka w tym przypadku jest dość nietypowa, bo odbywa się z wykorzystaniem tomografii komputerowej, a wyniki analizuje AI. Ponoć skuteczność tej metody to aż 96%. Wycieknięte dane zostały podzielone na kilka kategorii: Users — 1.5 MB…

Czytaj dalej »

Prosta podatność Path Traversal w GitLabie warta ~85 000 PLN

27 kwietnia 2020, 20:03 | W biegu | 0 komentarzy
Prosta podatność Path Traversal w GitLabie warta ~85 000 PLN

Zgłoszenie możecie znaleźć tutaj. Problem występował przy przenoszeniu zgłoszenia (issue) z jednego projektu do drugiego. Kiedy w oryginalnym zgłoszeniu mieliśmy wskazaną ścieżkę do pliku na serwerze, podczas kopiowania był on przenoszony do docelowego projektu. Wystarczyło więc przygotować zgłoszenie i w jego opisie dać np. taką zawartość:

Po przeniesieniu zgłoszenia,…

Czytaj dalej »

Błąd w systemie. W Biedronce gratis były nie trzy najtańsze ale trzy najdroższe towary. Managerowie nie reagowali, bo spali

27 kwietnia 2020, 13:18 | W biegu | komentarzy 21
Błąd w systemie. W Biedronce gratis były nie trzy najtańsze ale trzy najdroższe towary. Managerowie nie reagowali, bo spali

WP relacjonuje: W ramach akcji sieć obiecywała, że przy zakupie 20 produktów trzy można dostać gratis. Jednak prawdopodobnie przez błąd systemu kasowego z paragonu znikały… trzy najdroższe produkty. (…)Rekordziści płacili 20 zł za towary warte ponad 1000 zł. (…) jeśli ktoś kupił więc 20 lizaków po 99 groszy i np. elektronikę…

Czytaj dalej »