Pierwszy z trzech artykułów, który pokazuje świeże podatności u trzech znanych producentów VPN-ów. Żadna z luk nie wymaga posiadania konta i umożliwia wykonanie kodu w systemie operacyjnym, na którym pracuje VPN (podatność klasy RCE). Lukę można wykryć dość prosto (uwaga, nie róbcie tego na systemach produkcyjnych, bo zabija to usługę!)…
Czytaj dalej »
Reuters donosi o włamaniu na serwery bułgarskiego urzędu skarbowego: hackers had stolen millions of taxpayers’ financial data in an attack that one researcher said may have compromised nearly every adult’s personal records. Włamanie nastąpiło w okolicach końca czerwca 2019r. Atakujący twierdzi, że uzyskał dostęp do 110 baz danych zawierających „ściśle…
Czytaj dalej »
Wskazane zostały głównie dwa problemy: Brak odpowiedniej rozliczalności dotyczącej danych medycznych pacjentów (kto, kiedy, jaki dostęp uzyskiwał do danych) Brak wdrożonego dwuczynnikowego uwierzytelnienia przy dostępie do danych medycznych Nieco głębiej zakopana jest chyba ważniejsza przyczyna całej kontroli w szpitalu oraz nałożonej kary: On April 4, 2018, the Haga Hospital reported a…
Czytaj dalej »
Jeden obraz wart więcej niż tysiąc słów: Tak, rzeczywiście kolega siedzi i analizuje co pokazał mu nmap w dostępnej w mieszkaniu sieci WiFI: Running nmap on your @Airbnb network is a great way to find hidden cameras and remind yourself you need to improve your posture. Dla śmiałków – radę…
Czytaj dalej »
Dość agresywna akcja Amazonu kierowana do amerykańskich klientów. Mogą oni otrzymać $10 kredytu na zakupy jeśli… zgodzą się zainstalować specjalny dodatek do przeglądarki. Opis działania tego sypware-u (tzn. pluginu) może mrozić krew żyłach: For example, we collect and process the URL, page metadata, and limited page content of the website…
Czytaj dalej »
Co robi dobry badacz bezpieczeństwa po zakupie nowego samochodu, dajmy na to Tesli model 3? Oczywiście zaczyna niezwłocznie szukać podatności. Tak też stało się i w tym przypadku. Szło jednak kiepsko – żadnych format stringów poprzez podłączanie telefonu o nazwie %x%x%x%x, a nazwanie samochodu w dość specyficzny sposób też niewiele…
Czytaj dalej »
Kolejny scenariusz z administracji publicznej USA – tym razem na celowniku ransomware wylądowało amerykańskie hrabstwo LaPorte (nieopodal Chicago). No dobrze, są zaszyfrowane dyski [link via google.com w celu ominięcia restrykcji GDPR – przyp. sekurak], ale na szczęście był dostępny świeży backup. Tylko, że … serwer backupu również został zaszyfrowany przez ransomware (tym…
Czytaj dalej »
Co może być podejrzanego w Microsoft Office 365? Wymieniane są głównie trzy rzeczy: Zapisywanie danych w chmurze, która fizycznie znajduje się poza terytorium UE (choć wg RODO czy GDPR wcale tak nie musi być) – w tym chodzi tu o takie „kwiatki” (wysyłka dokumentów Worda, które są konwertowane na PDF…
Czytaj dalej »
Media rozpisują się o rzekomo dużym problemie w WhatsAppie i Telegramie. Tytuł: WhatsApp, Telegram had security flaws that let hackers change what you see. [WhatsApp i Telegram miał podatności umożliwiające hackerom zmianę tego co widzisz] brzmi dość groźnie, prawda? Spróbuję wyjaśnić całe zamieszanie w jak największym skrócie: WhatsApp zapisuje pliki…
Czytaj dalej »
Dzisiejsze przeglądarki i technologie webowe nie są już takie same jak kiedyś. Znacznie wzrosła też prędkość ładowania stron. Niestety, z nowoczesnymi witrynami pojawiły się również zagrożenia prywatności. Jakie to informacje? (prawie ;) Wszystkie znajdują się na stronie browserleaks.com. Oprócz podstawowych typu adresy IP komputera (w tym adres w sieci lokalnej),…
Czytaj dalej »
Dzisiaj nasi czytelnicy poinformowali nas o potencjalnym problemie z systemami Allegro. Otóż otrzymali maila z tytułem: Twoja sprzedaż może zostać tymczasowo wstrzymana ! Zaakceptuj zmiany w regulaminie! Co więcej, można było w pierwszym momencie odnieść wrażenie, że Allegro wysłało maila, dodając dziesiątki czy setki innych osób na CC(!) Wystarczy jednak…
Czytaj dalej »
Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….
Czytaj dalej »
Problemy z dostępnością czasem się zdarzają – nawet największym. Awarie są jednak usuwane dość szybko. Jednak w przypadku kosztującego około 10 miliardów EUR systemu GALILEO (europejskiego odpowiednika GPS) może czas zacząć się martwić. Na ledwo zipiącej stronie ze statusem systemu, mamy cały czas informację: Date of start event: 2019-07-12 01:50 NAGU…
Czytaj dalej »
360Vulcan organizuje co roku w Chinach CTF invite-only dla topowych teamów na świecie (na podstawie rankingu CTFTime). Pula nagród w tym roku wynosiła $100k USD, a polski Dragon Sector zajął drugie miejsce wygrywając $30 000. Gratulacje! :-) W CTF-ie mogą uczestniczyć tylko zaproszone ekipy, a konkurs jest o tyle nietypowy, że każdy…
Czytaj dalej »
Laxman Muthiyah miał stanowczo dobry dzień – w ramach programu Bug Bounty Facebook’a otrzymał $30.000 za możliwość przejęcia dowolnego konta na Instagramie. Gdy użytkownik zapomni swojego hasła, w ramach funkcjonalności odzyskania konta wysyłany jest 6-cyfrowy kod SMS. Potencjalny atakujący mógłby metodą siłową próbować wysłać milion zapytań HTTP – próbując wykorzystać…
Czytaj dalej »
