-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Aktualności

Dostępna lista 583 adresów MAC, które były celowane w backdoorze zaszytym w aktualizacji od ASUSa

29 marca 2019, 12:27 | W biegu | komentarzy 5

Może pamiętacie opisywaną przez nas ostatnio historię z malware, który był dystrybuowany w oficjalnej, podpisanej prawidłowym certyfikatem aktualizacji od ASUSa? Wg szacowań Kasperskiego malware pobrało około miliona osób, ale był on aktywowany tylko dla garstki. Pewna modyfikacja hashy SHA256 (z solą) adresów MAC ofiar została umieszczona w samej binarce, a…

Czytaj dalej »

SQL injection bez uwierzytelnienia w Magento – można pobrać całą bazę danych

29 marca 2019, 08:51 | W biegu | komentarze 3

Wiele osób twierdzi, że SQL injection umarło dawno temu i każdy wie jak się przed tym zabezpieczać. Z naszego doświadczenia podczas pentestów widzimy, że różnie z tym jest. Tym razem wykryto nie wymagający uwierzytelnienia SQL injection w najpopularniejszej globalnie platformie e-commerce – Magento. Oficjalnie twórcy chwalą się 300 000 sklepami korzystającymi…

Czytaj dalej »

Boeing wydał update oprogramowania do samolotów 737 MAX – ma zapobiec katastrofom

28 marca 2019, 18:16 | W biegu | komentarzy 11

Aktualizacja zawiera sporo istotnych elementów dotyczących bezpieczeństwa: The plane’s Maneuvering Characteristics Augmentation System, or MCAS, automated flight control system, will now receive data from both “angle of attack” sensors, instead of just one. Jeśli wszyscy myśleli, że istotne systemy są przynajmniej zdublowane w samolotach – mieli rację (choć nie pomyśleli,…

Czytaj dalej »

„Setki tysięcy ludzi” ma się zgłosić do serwisu. US CERT wydał ostrzeżenie – można im nadpisać pamięć.

28 marca 2019, 09:46 | W biegu | komentarzy 7

To nie jakiś news z przyszłości, a sprawa dotycząca wszczepianych urządzeń mających regulować pracę serca firmy Medtronic (podatnych jest aż kilkanaście linii urządzeń, szacunki liczby podatnych urządzeń mówią o 750 000). Podatność CVE-2019-6538, krytyczność 9.3/10 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H) umożliwia m.in. bezprzewodową (z bliskiej odległości – choć tą „bliskość” – z odpowiednim wzmocnieniem szacujemy na kilkadziesiąt metrów)…

Czytaj dalej »

Obowiązek informacyjny RODO – udowodnienie wysyłki maili – czy to jest w ogóle możliwe?

27 marca 2019, 21:25 | W biegu | komentarzy 15

W ostatnich dniach ponownie jest głośno o RODO. W ostatniej wysokiej karze poszło o brak wykonania obowiązku informacyjnego (wymaganego przez RODO), za pomocą poczty tradycyjnej lub telefonu. Wszyscy za to przechodzą dość szybko do porządku nad tematem wysyłki e-maili ze stosowną informacją o fakcie przetwarzania danych. I tu się zastanawiamy,…

Czytaj dalej »

Wiadomo na jaką spółkę UODO nałożył niemal milionową karę za naruszenie RODO

27 marca 2019, 17:15 | W biegu | komentarzy 8

Łukasz Olejnik wykonał prywatne dochodzenie, ale spółka Bisnode sama opublikowała komentarz do decyzji Urzędu (nałożona kara to niemal milion złotych), nie zgadzając się z nią: Żądanie dodatkowego wysłania informacji do 5,7 miliona adresów właścicieli spółek jednoosobowych oraz członków zarządów między innymi pocztą tradycyjną lub telefonicznie nie może być postrzegane jako…

Czytaj dalej »

Kolejne dwie firmy przemysłowe trafione przez Ransomware. Wg doniesień Norsk Hydro stracił 100 milionów PLN w tydzień

26 marca 2019, 19:56 | W biegu | komentarze 2

Motherboard donosi o dwóch kolejnych firmach przemysłowych, które miały paść ofiarą Ransomware. Na laptopie jednego z pracowników miała się pokazać taka informacja: Jako ciekawostkę warto wskazać jedną z domen, w której napastnicy mają maila – o2.pl. Choć na tej podstawie przypuszczanie, że mają oni jakieś powiązanie z Polską jest słabe….

Czytaj dalej »

Pierwsza w Polsce kara pieniężna za naruszenie RODO – prawie milion złotych

26 marca 2019, 17:07 | W biegu | komentarzy 7

Dokładna kwota to: 943 tys. zł. Naruszenie dotyczy braku obowiązku informacyjnego: Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych. Nie mogły więc one…

Czytaj dalej »

„Incydent bezpieczeństwa” w InPost – aktualizacja

25 marca 2019, 20:36 | W biegu | 0 komentarzy

Radio Kraków, które informowało niedawno o „incydencie bezpieczeństwa w InPost” przygotowało aktualizację swojego newsa doprecyzowując: By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy. oraz (co ważne) – jednocześnie zamieszczając przeprosiny – sprostowanie: Radio Kraków…

Czytaj dalej »

System aktualizacji ASUS-a złośliwie zainfekowany – zarażonych około miliona użytkowników (również w Polsce)

25 marca 2019, 18:28 | W biegu | komentarzy 7

Atak wykrył w styczniu Kasperski, który teraz publikuję trochę informacji – zaznacza jednocześnie że całe dochodzenie jeszcze trwa. Zaatkowana została usługa ASUS Live Update Utility, skąd są pobierane aktualizacje dla laptopów, PC-tów czy BIOS-ów. Sam malware podszywał się pod „krytyczną aktualizację” i posiadał prawidłowy podpis cyfrowy od ASUS-a. Trwająca od maja…

Czytaj dalej »

Alipay – świeża baza z 1,3 miliardami rekordów z częściowymi informacjami o transakcjach dostępna publicznie

23 marca 2019, 15:13 | W biegu | 1 komentarz

To ponownie nasza dawna przyjaciółka – MongoDB. Sama „tabela” alipay_trans_2019 posiada prawie 1,3 miliarda rekordów: Baza została zabezpieczona w godzinę od zgłoszenia, a jak wspominamy w tytule, to częściowe dane o transakcjach (np. nie ma przedmiotu transakcji) – w tym pewne dane osobowe. Cel bazy to prawdopodobnie budowanie profili użytkowników…

Czytaj dalej »

Wypuścił ransomware żeby promować youtubera. „Jeśli osiągnie 100M fanów, wypuszczę klucz deszyfrujący”.

23 marca 2019, 10:17 | W biegu | komentarzy 9

Taką akcję zaserwował jeden z fanów youtubera o – naszym zdaniem – wątpliwej reputacji. Ransomware został stworzony całkiem porządnie, obecnie wykrywa go około 50% antywirusów.: Ulubiony youtuber uzyska 100M subskrybentów – zostanie wypuszczony klucz deszyfrujący. Autor na szczęście zorientował się, że cała akcja jest nielegalna i grozić mu mogą spore…

Czytaj dalej »

Czy deserializacja XML-a w .NET jest niebezpieczna? Microsoft załatał podatność w Sharepoint dającą dostęp na serwer(y)

22 marca 2019, 16:07 | W biegu | 0 komentarzy

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na 'zwykłych’ XML-ach czy JSON-ach. Microsoft załatał tego typu…

Czytaj dalej »

Oprogramowanie do zarządzania krakowaniem/odzyskiwaniem haseł na GPU od Amazona

22 marca 2019, 11:51 | W biegu | komentarzy 7
Oprogramowanie do zarządzania krakowaniem/odzyskiwaniem haseł na GPU od Amazona

Ma to w sobie chyba wszystko: ładny interfejs graficzny, wybieranie liczby instancji AWS, na które rozpylany będzie proces łamania (z aktualizacją kosztów), wybór słowników, konkretnych algorytmów do łamania, limitu czasu na łamanie, aktualizacje statusu, itd: Twórcy zachwalają narzędzie, również jeśli chodzi o koszty – $22 za niemal 2 Terahashe na…

Czytaj dalej »