Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Aktualności

Bezpłatne, 3-godzinne praktyczne szkolenie z bezpieczeństwa IT dla administracji publicznej/edukacji/samorządów

11 maja 2020, 22:05 | W biegu | komentarzy 14
Bezpłatne, 3-godzinne praktyczne szkolenie z bezpieczeństwa IT dla administracji publicznej/edukacji/samorządów

Ostatnia chwila na zapisy :) już w najbliższą środę (13. maja 2020) o 11:00 startujemy nasze praktyczne 3-godzinne szkolenie. Zdalny kurs kierowany jest przede wszystkim do osób z IT (choć mniej techniczni zapewne również skorzystają – będzie masa pokazów praktycznych :) Uwaga, kurs dostępny będzie do późniejszego oglądnięcia – przez 72h…

Czytaj dalej »

Podał się za klienta banku, poprosił na infolinii o zmianę numeru telefonu do SMS-ów. Bank: OK. Z konta zniknęło 150 000 PLN

10 maja 2020, 15:55 | W biegu | komentarze 24
Podał się za klienta banku, poprosił na infolinii o zmianę numeru telefonu do SMS-ów. Bank: OK. Z konta zniknęło 150 000 PLN

Scenariusz ataku przed, którym ostrzega Policja podaliśmy w tytule. Zacytujmy większy fragment: Do jednego z banków zadzwonił mężczyzna, który przedstawił się jako właściciel konta. Poinformował pracownika banku, że ma problem z zalogowaniem się na swój rachunek. W trakcie weryfikacji danych mężczyzna oświadczył, że nie zgadza się numer telefonu znajdujący się…

Czytaj dalej »

Nowe rozporządzenie o przekazaniu spisu wyborców: „na informatycznych nośnikach danych”, „w edytowalnym pliku w formacie .xls albo .xlsx, bez hasła”

09 maja 2020, 21:39 | W biegu | komentarze 22
Nowe rozporządzenie o przekazaniu spisu wyborców: „na informatycznych nośnikach danych”, „w edytowalnym pliku w formacie .xls albo .xlsx, bez hasła”

Nowe rozporządzenie z dnia 9. maja 2020r „w sprawie przekazania spisu wyborców gminnej obwodowej komisji wyborczej oraz operatorowi wyznaczonemu w związku z przeprowadzeniem wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.” zawiera takie dość niepokojące fragmenty: Zakres przekazanych danych jest dość obszerny: 1) imię (imiona); 2) nazwisko; 3) imię ojca; 4) data urodzenia;…

Czytaj dalej »

Krytyczna podatność w Cisco ASA – można bez uwierzytelnienia kasować / czytać pewne pliki z urządzenia

09 maja 2020, 12:46 | W biegu | 1 komentarz
Krytyczna podatność w Cisco ASA – można bez uwierzytelnienia kasować / czytać pewne pliki z urządzenia

Tym razem mamy do czynienia z podatnoscią klasy Path Traversal: A vulnerability in the web services interface of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct directory traversal attacks and obtain read and delete access to sensitive…

Czytaj dalej »

Boisz się, że ktoś weźmie kredyt na Twoje dane? BIK daje bezpłatnie na 3 miesiące usługę alert kredytowy

07 maja 2020, 10:34 | W biegu | komentarzy 21
Boisz się, że ktoś weźmie kredyt na Twoje dane? BIK daje bezpłatnie na 3 miesiące usługę alert kredytowy

Schemat jest prosty. Ktoś w jakiś sposób pozyskuje Wasze dane i np. wykonuje dowód kolekcjonerski. Dalej może spróbować wziąć kredyt na Wasze dane (czasem tych kredytów jest kilka). Kiedy się o nim dowiecie? Zazwyczaj jak do Waszych drzwi zapuka komornik. Możemy o próbie oszustwa dowiedzieć się wcześniej. Banki czy inne firmy pożyczkowe…

Czytaj dalej »

Nowe kampanie atakujące e-commerce. Tym razem skimmer wykradający dane kart płatniczych klientów ukryty w… niewinnym faviconie.

06 maja 2020, 21:49 | W biegu | komentarze 2
Nowe kampanie atakujące e-commerce. Tym razem skimmer wykradający dane kart płatniczych klientów ukryty w… niewinnym faviconie.

Ciekawe badanie opisuje Malwarebytes. Zaczęło się od tego, że namierzono domenę myicons[.]net, z której favicony pobierało sporo sklepów bazujących na Magento: While reviewing our crawler logs, we noticed requests to a domain called myicons[.]net hosting various icons and, in particular, favicons. Several e-commerce sites were loading a Magento favicon from…

Czytaj dalej »

Za pomocą MMS-ów można przejąć wszystkie telefony Samsunga wyprodukowane od 2015 roku! W akcji nasz rodak j00ru

06 maja 2020, 20:06 | Aktualności | komentarzy 21
Za pomocą MMS-ów można przejąć wszystkie telefony Samsunga wyprodukowane od 2015 roku! W akcji nasz rodak j00ru

Zobaczcie tutaj: Today I’m happy to release new research I’ve been working on for a while: 0-click RCE via MMS in all modern Samsung phones (released 2015+), due to numerous bugs in a little-known custom „Qmage” image codec supported by Skia on Samsung devices. Exploita nie wymagającego żadnej interakcji ofiary…

Czytaj dalej »

Atakowanie i ochrona JWT (JSON Web Token) / problemy bezpieczeństwa Firebase – zapraszamy na prezentacje od sekuraka

06 maja 2020, 12:25 | W biegu | komentarze 2
Atakowanie i ochrona JWT (JSON Web Token) / problemy bezpieczeństwa Firebase – zapraszamy na prezentacje od sekuraka

Na 26.05.2020 mamy zaplanowane kolejne remote Sekurak Hacking Party, gdzie pojawią się dwie praktyczne prezentacje jak w tytule. Przypominamy, że istnieje możliwość zakupów biletów abonamentowych (wszystkie rSHP do końca lipca + dostęp do archiwum rSHP). Taki bilet od razu da wstęp na rSHP ósmego maja. Agenda rSHP 26.05.2020 (start o 20:00)…

Czytaj dalej »

Facebookowy konkurs – można „wygrać” telefon a raczej zasubskrybować „usługę wygrania” – za 70 EUR miesięcznie

06 maja 2020, 11:15 | W biegu | komentarze 3
Facebookowy konkurs – można „wygrać” telefon a raczej zasubskrybować „usługę wygrania” – za 70 EUR miesięcznie

Jeden z czytelników podesłał nam informację o akcji promowanej na polskim koncie FB mającym ćwierć miliona polubień, a polegającą na czyszczeniu magazynów (wiadomo, COVID ;-) Można wygrać telefon. No dobra, może nie wygrać a kupić za jedyne 1.5 EURO: Farming danych osobowych? Zapewne. Dalej dostępna jest (szemrana choć z kłódką…

Czytaj dalej »

remote Sekurak Hacking Party już za kilka dni

06 maja 2020, 09:53 | W biegu | komentarze 2
remote Sekurak Hacking Party już za kilka dni

Tym razem na remote Sekurak Hacking Party w trakcie dwóch godzin opowiemy o takich tematach: Łamanie / odzyskiwanie haseł do nietypowych miejsc (np. volumeny Veracrypt, pliki managerów haseł, inne popularne archiwa)  Kradzież tokenów do resetu hasła przez nagłówek Host – studium przypadku VPN ninja – czyli konfiguracja VPNów w praktyce…

Czytaj dalej »

Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]

05 maja 2020, 22:41 | W biegu | 0 komentarzy
Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]

Uff, prawie całego newsa udało mi się zmieścić w tytule ;-) W każdym razie historia jest na pewno pouczająca. Po co ktoś ma stosować jakieś zaawansowane hacki, super phishingi obchodzące 2FA czy inne ekwilibrystyki? Wystarczy czasem przekupić (być może niezbyt hojnie opłacanego) pracownika z supportu. Może „na chwile” przekaże swój…

Czytaj dalej »

Firefox 76 informuje, jeśli serwis który odwiedzasz miał wyciek

05 maja 2020, 20:32 | W biegu | 1 komentarz
Firefox 76 informuje, jeśli serwis który odwiedzasz miał wyciek

Nowe wydanie FF jest niemal zupełnie skupione na ciekawostkach z obszaru zarządzania hasłami. Po pierwsze mamy lepszą integrację systemem Firefox Monitor (współpracującym z haveibeenpwned). Jeśli odwiedzamy serwis, który niedawno miał wyciek otrzymamy tego typu komunikat: Spore zmiany mamy również w managerze haseł Lockwise. Po pierwsze mamy możliwość wygenerowania hasła podczas tworzenia konta…

Czytaj dalej »

Rządowa aplikacja ProteGo Safe będzie jednak zdecentralizowana oraz wykorzysta API Google/Apple. Co to oznacza dla użytkownika?

05 maja 2020, 19:13 | W biegu | komentarzy 6
Rządowa aplikacja ProteGo Safe będzie jednak zdecentralizowana oraz wykorzysta API Google/Apple. Co to oznacza dla użytkownika?

Historię samej aplikacji w kontekście rozwoju/bezpieczeństwa/prywatności można zobaczyć w nowo założonej sprawie – tutaj. Chyba najważniejszą informacją jest docelowe przejście do modelu zdecentralizowanego i używanie mocno restrykcyjnego API od Apple/Google, co należy traktować jako krok w dobrą stronę. Tutaj po raz kolejny wyjaśniamy działanie tego tajemniczego „API”. Z jednej strony iPhone-y/telefony…

Czytaj dalej »

Wyciek pakietu wyborczego w „jakości poligraficznej”. Takie fejki można organizować za trzy złote

05 maja 2020, 15:50 | W biegu | komentarze 4
Wyciek pakietu wyborczego w „jakości poligraficznej”. Takie fejki można organizować za trzy złote

Wiele mediów alarmuje o wycieku pdfa z pakietem wyborczym dostępnym do pobrania z domeny s3.bialystok.pl. Czy to rzeczywiście wyciek? Nie bardzo. Otóż każdy może zarejestrować poddomenę *.bialystok.pl, cena nie jest wygórowana (a pewnie można znaleźć tańsze oferty ;), a dostępność duża, np.: Po wykupieniu poddomeny można serwować tam już dowolną…

Czytaj dalej »