Opis całej serii podatności możecie znaleźć tutaj (sam raport jest z 2017 roku, ale dopiero niedawno został opublikowany). Za znaleziska wypłacono aż $50 000 w ramach programu robaczywych nagród (ang. bug bounty – pozdrowienia dla fanów ortodoksyjnych tłumaczeń :-) Zaczęło się od serwisu service.teslamotors.com, gdzie każdy może wykupić dostęp. Okazało się, że…
Czytaj dalej »
Jeśli ktoś jakimś przypadkiem nie kojarzy jeszcze podatności XSS, powinien nadrobić zaległości. W obecnych czasach ten problem potrafi przerodzić się m.in. w RCE (wykonanie kodu) u ofiary. Świeżym przypadkiem ilustrującym problem jest Cisco Jabber – czyli wygodny, okienkowy komunikator: Wygląda jak normalna aplikacja, prawda? W zasadzie tak, tylko pod spodem…
Czytaj dalej »
Ostatnio coraz głośniej o grubych oszustwach ocierających się o cybersecurity czy socjotechnikę. Wczoraj pisaliśmy o akcji z duplikatem karty SIM (poszkodowany rolnik stracił ~400 000 PLN), dzisiaj dwa słowa o akcji socjotechnicznej, o której donosi świętokrzyska policja: Pod koniec lipca, 39-latka za pośrednictwem jednego z portali społecznościowych poznała mężczyznę, który…
Czytaj dalej »
Kolejny przypadek ataku SIM Swap opisuje Polsat News: Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych przez niego internetowych kont bankowych. W sumie wybrali 370 tys. zł. Udało im się to, bo wyrobili duplikat jego karty SIM. Atak zaczął się, gdy panu Zbigniewowi nagle przestał…
Czytaj dalej »
UODO doniósł o tym fakcie dość lakonicznie (szczegóły zapewne pojawią się ~na dniach): Dziś WSA w Warszawie potwierdził zasadność kary nałożonej przez Prezesa UODO na spółkę https://t.co/5oS4Wilqar. Szczegóły dot. nałożenia kary na https://t.co/5oS4Wilqar dostępne są pod linkiem: https://t.co/p31iYETNj9 — Urząd Ochrony Danych Osobowych (@UODOgov_pl) September 3, 2020 Chodzi o sprawę…
Czytaj dalej »
Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)…
Czytaj dalej »
Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość: Aplikacja Slacka opiera się o Electrona, zatem jest de facto aplikacją webową „udającą” aplikację desktopową. W normalnej przeglądarce webowej, JavaScript jest sandboxowany; nie ma więc możliwości…
Czytaj dalej »
Jeśli chciałbyś otrzymać raport dotyczący widoczności Twojej infrastruktury z poziomu Internetu czytaj dalej :-) Tym razem oferujemy Wam usługę przydatną zarówno dla małych jak i dużych firm. Najprostsza wersja rekonesansu zakończona ręcznie przygotowanym raportem to koszt od 5000 PLN netto oraz efekt w przeciągu ~tygodnia.
Czytaj dalej »
Pojedynczy przypadek czy hurtowa sprawa? O sporym problemie donosi jeden z użytkowników Wykopu: Trochę ponad tydzień temu zakupiłem sobie starter Play i od razu zarejestrowałem numer w sklepie. W domu instaluję aplikację Play24 w celu aktywacji promocyjnych 100GB. Ku mojemu zdziwieniu kod pin został wysłany na inny numer, niż ma…
Czytaj dalej »
Teraz kiedy puścimy jakieś śmieci na produkcję, będzie można powiedzieć – „dołączyliśmy do najlepszych” ;-) Najpierw mBank, teraz Microsoft: Doniesienia o testowych komunikatach w różnej liczbie, pojawiają się w zasadzie z całego świata, również z Polski. Microsoft na razie nie wie o co chodzi: Niektórzy sugerują, że może być to hack…
Czytaj dalej »
Jak donosi The Hackers News, Rosjanin jak gdyby nigdy nic wjechał do USA na wizie turystycznej a następnie zaproponował solidną łapówkę za instalację backdoora w infrastrukturze pewnej firmy. Na dalszym etapie całość miała służyć do propagacji ransomware: The FBI has arrested a Russian national who recently traveled to the United…
Czytaj dalej »
Ataki phishingowe to już codzienność, a obrona przed nimi może polegać wielu czynnikach. Jednym ze sposobów na skuteczne uchronienie się przed skutkami phishingu jest MFA, ale czy zawsze jest ono w pełni skuteczne? Uwierzytelnienie wieloskładnikowe (MFA) przedstawiane jest jako zabezpieczenie przed 99,9% ataków phishingowych (jak twierdzi Microsoft) i powinno być…
Czytaj dalej »
![W pełni modułowe, angażujące szkolenie z bezpieczeństwa IT dla pracowników biurowych od Sekuraka. [Cyber Awareness].](https://sekurak.pl/wp-content/uploads/2020/08/hacking222-1-150x150.jpeg "W pełni modułowe, angażujące szkolenie z bezpieczeństwa IT dla pracowników biurowych od Sekuraka. [Cyber Awareness].")
Proponujemy Wam aż 15 różnych tematów z obszaru bezpieczeństwa IT, omówionych w angażujący sposób (praktyczne pokazy), z aktualnymi przykładami – a całość bazująca na naszym wieloletnim doświadczeniu. Sami możecie wybrać interesujące Was moduły? Cena – od 19pln netto per osoba.
Czytaj dalej »
Koledż w Michigan postanowił walczyć z COVID za pomocą broni atomowej. W jej rolę wcieliła się appka, która urzeczywistnia chyba wszystkie czarne sny obrońców prywatności. Po pierwsze aplikacja jest obowiązkowa, po drugie śledzi lokalizację użytkowników w trybie 24/7: There’s a catch. The app is designed to track students’ real-time locations around the…
Czytaj dalej »
![Santander [USA] – błąd w oprogramowaniu bankomatów umożliwiał wypłatę większej kwoty, niż tej która była na karcie (np. przedpłaconej). Dziesiątki osób wykorzystywały podatność…](https://sekurak.pl/wp-content/uploads/2020/08/bankomaty-150x150.jpeg "Santander [USA] – błąd w oprogramowaniu bankomatów umożliwiał wypłatę większej kwoty, niż tej która była na karcie (np. przedpłaconej). Dziesiątki osób wykorzystywały podatność…")
ZDNet donosi: (…) criminal gangs appear to have found a bug in the software of Santander ATMs. The bug allowed members of criminal groups to use fake debit cards or valid preloaded debit cards to withdraw more funds from ATMs than the cards were storing. W USA aresztowano już dziesiątki…
Czytaj dalej »
