Aktualności

Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system. Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia…

O temacie pisaliśmy niedawno, a obecnie o aktywnej eksploitacji ostrzega grupa NCC: Opis podatności jest tutaj: iControl REST unauthenticated remote command execution Więcej technikaliów można z kolei znaleźć w tym miejscu. Tak np. wygląda udana próba eksploitacji: Co ciekawe jednym z istotnych kroków (ominięcie uwierzytelnienia) odbywa się z wykorzystaniem podatności…

O temacie donosi m.in. Bleepingcomputer: Jak widać kwota okupu jest dość spora (chyba nawet największa w historii), a po timeoucie ma skoczyć do ~400000000 PLN. Z drugiej strony ponoć przy szybkiej wpłacie ma być zastosowany upust – 20%. Z kolei na polskim rynku również obserwujemy wzmożone infekcje ransomware. Jeśli ktoś…

Już w najbliższą środę (24.03.2021r. start 10:00 – czas trwania 60-90 minut) poprowadzę prelekcję o wyciekach danych oraz łamaniu haseł. Na maszynie uzbrojonej w kilka GPU, spróbuję złamać swoje hasło pochodzące z wycieku, potestujemy rozbrajanie zipów, plików MS Office czy hashy WPA2. Będzie również o nieco rzadziej wspominanych tematach, nie…

…to arsenał tajemniczej grupy (grup?), którą opisuje Google Project Zero. Exploity było kolportowane z dwóch serwerów, a osadzane w różnych (zhackowanych?) stronach. Co ciekawe nawet w momencie gdy jednak podatność została załatana w Androidzie, na serwerze pojawił się patch całego exploita – wykorzystano po prostu alternatywną podatność… Kampania była odpalona…

Czymże jest milion wobec dostępu na żywo do sekretów konkurencji – np. do Tesli? Równocześnie nie wszystkim chce się „bawić” w exploity, 0-daye i takie tam. Wystarczy odpowiednio „zmotywowany” pracownik mający dostęp do infrastruktury, którą ktoś chce zinfiltrować. Taką właśnie akcję uruchomił jakiś czas temu Rosjanin. Jeśli ktoś chce poczytać…

W pierwszej połowie marca 2021 u wszystkich użytkowników GitHuba wymuszono ponowne zalogowanie się, po tym jak część użytkowników zostawała nieoczekiwanie zalogowana na cudze konta. Wczoraj GitHub opublikował szczegóły tego błędu. Opisujemy na czym on polegał.

Ostatnio therecord.media opublikowało bardzo ciekawy wywiad z osobą po “ciemnej stronie mocy”, czyli z operatorem ransomware REvil. Link do całego wywiadu znajdziesz tutaj, a w tym artykule przedstawimy jego najciekawsze, naszym zdaniem, fragmenty oraz krótką genezę przestępczego modelu “ransomware as a service”. Sodinokibi (REvil) Zanim przejdziemy do REvil musimy zacząć…

Pamiętacie akcję z kryptowalutowym scamem od zweryfikowanych profili, takich jak Bill Gates, Apple czy Elon Musk ? Za wszystkim stał Graham Ivan Clark – 17-latek z Florydy. Graham za pomocą skutecznego ataku socjotechnicznego przejął konto pracownika, a następnie korzystając z wewnętrznego panelu Twittera, był w stanie uzyskać dostęp do innych…

Signal to darmowy, otwartoźródłowy komunikator dla systemów Android i iOS. Komunikator korzysta z szyfrowania end-to-end, dlatego twórcy aplikacji, jak i osoby trzecie, nie są w stanie odczytać twoich wiadomości, ani podsłuchiwać twoich rozmów telefonicznych. Na Sekuraku znajdziesz również poradnik dla osób nietechnicznych, który może pomoże wam lub waszym znajomym w…

O temacie informuje nasz czytelnik. Zakładasz firmę i otrzymujesz względnie poważnie wyglądające pismo: W zasadzie nie ma tutaj nic złego – można zapłacić 147 zł za wpis do względnie losowej bazy. Pytanie tylko po co? :-) –ms

Zerknijcie tutaj. Ktoś czytał SMSy innej osoby, a do całej operacji wystarczyło znać numer ofiary oraz mieć komercyjne konto w pewnej usłudze (koszt $16): I used a prepaid card to buy their $16 per month plan and then after that was done it let me steal numbers just by filling…

Jednym działa, innym nie działa. Microsoft pisze tak: Użytkownicy z kolei nie są zbyt szczęśliwi: W momencie pisania tego newsa, status.office.com informuje: Title: Users may be unable to access multiple Microsoft 365 services. User impact: Users may be unable to access multiple Microsoft 365 and Azure services, including the Service…

Ostatnio ogłosiliśmy na naszych profilach społecznościowych luźny konkurs – zaproponujcie definicję hackera. Poniżej kilka Waszych propozycji. Zacznijmy od definicji „z historią”: Pierwszym znaczeniem słowa „Hacker” było określenie pracownika fizycznego, którego zadaniem było usuwanie korzeni pozostałych po wykarczowanych drzewach. Dzisiejszy Haker został tak nazwany przez pewne analogie. Tamten grzebał w ziemi…

O temacie donosi Brian Krebs. Serwis został zamknięty przez służby jakiś czas temu. Dostęp do danych można było kupić w pakietach: a płatność mogła być m.in. realizowana kartą płatniczą. Jak wyciekły dane związane z płatnościami? Cytowany przez Krebsa badacz napisał tak: Przechodząc do rzeczy – FBI zapomniało odnowić jedną z…