Gdzie można sprawdzić czy Twoje dane wyciekły? W serwisie bezpiecznedane.gov.pl, który właśnie zasilono o dane z nowego wycieku. Po zalogowaniu się, wystarczy kliknąć widoczny poniżej przycisk „Sprawdź wyciek z ALAB”: Ostatnio opublikowana paczka danych zawierała nie tylko wyniki badań, ale też i inne dane, które przestępcy opisali tak: ~ms
Czytaj dalej »
Po dłuższej przerwie redakcja Paged Out! opublikowała trzecie wydanie swojego technicznego e-zinu! Spis treści jak zwykle jest bogaty: Nowe wydanie zawiera pięćdziesiąt artykułów poruszających tematykę szeroko pojętego IT! W niniejszym numerze znajdziecie prace dotyczące hackingu, administracji, sieci, kryptografii czy sztucznej inteligencji. A to nie wszystko! Dowiecie się między innymi jak…
Czytaj dalej »
Ledger – producent fizycznych portfeli kryptowalutowych opublikował oświadczenie, w którym potwierdza, że doszło do naruszenia bezpieczeństwa w kodzie Ledger Connect Kit oraz informuje, że użytkownicy powinni wstrzymać się od wykonywania transakcji przez najbliższe 24h. Co się stało? Kilka dni temu użytkownicy zauważyli, że Ledger Connect Kit ładuje podejrzany kod, który…
Czytaj dalej »
Notka prasowa o temacie dostępna jest tutaj. Czytamy w niej: FBI opracowało dektyptor, który umożliwił biurom terenowym FBI w całym kraju i partnerom organów ścigania na całym świecie zaoferowanie ponad 500 dotkniętym ofiarom możliwości przywrócenia ich systemów. Do chwili obecnej FBI współpracowało z dziesiątkami ofiar w Stanach Zjednoczonych i na…
Czytaj dalej »
O cyberataku wspomniał irański minister. Cytat za Reutersem: Iran’s Oil Minister Javad Owji on Monday confirmed that a nationwide disruption to petrol stations was caused by a cyberattack Do ataku przyznaje się ~izraelska grupa dodając: uzyskaliśmy dostęp do systemów płatniczych zhackowanych stacji benzynowych, a także do centralnego serwera oraz systemu…
Czytaj dalej »
Kilka dni temu czytelnicy poinformowali nas o nietypowym mailu, który wyglądał mniej więcej tak: Nasi stali czytelnicy zapewne od razu zorientują się, że ten mailing to scam. W formie klasycznego oszustwa „na dopłatę do przesyłki”. Tj. link z „potwierdzeniem wysyłki” kierował do złośliwej strony próbującej wyłudzać dane finansowe (fałszywa bramka…
Czytaj dalej »
Niedawno na jednym z forów pojawiała się taka informacja (z dołączoną próbką danych): Z racji że Synevo działa również w Polsce, zapytaliśmy się o szczegóły polski oddział Synevo (oraz powiązanej z laboratoriami firmy Medicover). Otrzymaliśmy taką oto odpowiedź (wytłuszczenia – sekurak): Możemy potwierdzić, że w Ukrainie doszło do ataku hakerskiego,…
Czytaj dalej »
Program Bug Bounty łatwo rozpocząć, trudniej jest nim sprawnie zarządzać i nawiązywać dobre relacje z badaczami bezpieczeństwa. Stawką może być full disclosure na własnej platformie o czym przekonał się X (dawniej Twitter). Użytkownik @rabbit_2333 umieścił 11.12.2023 r. post z PoC-em do reflected XSS-a. PoC zawierał link do portalu analytics.twitter.com, który…
Czytaj dalej »
Flipper zero, odpowiedni moduł, wysyłanie komunikatów Bluetooth – ta kombinacja powodowała wyświetlanie się najrozmaitszych spam-komunikatów na telefonach osób, które znajdowały się w okolicy. Ostatnio jeden z czytelników pisał do nas w ten sposób: W pociągu jakiś facet miał jakiegoś rodzaju transmiter bluetooth i za jego pomocą pingował wszystkie urządzenia w…
Czytaj dalej »
Od dłuższego czasu współpracujemy w różnych obszarach z bankiem BGK, a tym razem to oni poszukują pentesterów. Jeśli tylko dobrze czujesz się w ofensywnym testowaniu aplikacji webowych i masz doświadczenie na podobnym stanowisku, czytaj dalej. W trakcie pracy będziesz atakował systemy bankowe, wspierał wdrożenia od strony bezpieczeństwa (więc również testy…
Czytaj dalej »
![Naciskasz F5 i masz dostęp do zarządzania cudzymi sieciami / dostęp do feedów z obcych kamer. A mówili, że w cloudzie jest tak bezpieczenie… [awaria / luka w Ubiquiti]](https://sekurak.pl/wp-content/uploads/2023/12/Zrzut-ekranu-2023-12-15-o-11.06.16-150x150.png "Naciskasz F5 i masz dostęp do zarządzania cudzymi sieciami / dostęp do feedów z obcych kamer. A mówili, że w cloudzie jest tak bezpieczenie… [awaria / luka w Ubiquiti]")
Zobaczcie na to zgłoszenie: Niedawno zalogowałem się na https://unifi.ui.com/consoles, aby uzyskać dostęp do moich konsol, tak jak to robię każdego dnia. Jednak tym razem otrzymałem 88 konsol z innego konta. Miałem pełny dostęp do tych konsol, w taki sam sposób jak do swoich własnych, Zostało to zatrzymane dopiero, gdy wymusiłem…
Czytaj dalej »
Nasza nowa książka – Wprowadzenie do bezpieczeństwa IT sprzedała się już w liczbie ~8500 egzemplarzy :-) Jeśli ktoś się chce dowiedzieć o niej nieco więcej, zapraszam tutaj – znajdziesz tam przykładowy rozdział do pobrania oraz spis treści. Tymczasem mamy aż 20 książek do rozdania (z opcjonalną dedykacją od Michała Sajdaka)….
Czytaj dalej »
Jak czytamy w oświadczeniu: Agencje stojące za publikacją rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających eksploitacji, założyły, że SVR [Rosyjska Służba Wywiadu Zagranicznego] mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o zawarte…
Czytaj dalej »
Wg doniesień realizowane są już próby exploitacji, a załatane wersje biblioteki wskazane zostały tutaj. Ci którzy używają starszych wersji (Struts 2.0.0 – Struts 2.3.37 (EOL)) mają problem – bo dla nich nie wyszła łatka. Od strony technicznej podatne są ~formularze uploadu, można wyjść np. od zwykłego uploadu pliku txt, a…
Czytaj dalej »
WordPress to jeden z najpopularniejszych silników do zarządzania treścią. O ile krytyczne błędy w samym silniku zdarzają się coraz rzadziej, o tyle platforma ta umożliwia korzystanie z wielu pomocnych pluginów, co zwiększa powierzchnię ataku. 11 grudnia na Wordfence opublikowany został krytyczny błąd, zgłoszony w ramach programu bug bounty. Podatność zlokalizowana…
Czytaj dalej »
