Aktualności

Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie: New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite…

Ciekawe (i ponoć pierwsze tego typu) badanie (nomen omen) dotyczące bezpieczeństwa urządzeń stosowanych w trakcie znieczulenia operacyjnego. Podatności wykryto w maszynach GE Aestiva oraz GE Aespire (modele 7100 / 7900): If exploited, the vulnerability would allow an attacker to silence alarms, alter date and time settings, adjust gas composition inputs, change…

O problemie pisaliśmy w krótki sposób kilka dni temu. TLDR: wejdźcie na https://regex101.com/ i wpiszcie ten fragment oryginalnego wyrażenia regularnego użytego przez Cloudflare w jednej z reguł WAF-a: .*(?:.*=.*) W „TEST STRING” możecie wpisać: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa; Silnik obsługujący wyrażenia regularne aby dopasować dość prosty i niedługi ciąg znaków potrzebuje wykonać około 7000 kroków!…

Amerykańska Federalna Komisja Handlu zatwierdziła w drodze głosowania gigantyczną grzywnę dla Facebooka w wysokości około 5 miliardów USD. Grzywna została „wypracowana” w formule ugody. New York Times zaznacza, że kara ta musi być zatwierdzona przez Departament Sprawiedliwości, choć najczęściej jest to tylko formalność: The deal still needs final approval from…

Tym razem zhackowana lub „zhackowana” została japońska giełda kryptowalut Bitpoint. the company said that hackers stole funds from both of its „hot” and „cold” wallets. This suggests the exchange’s network was thoroughly compromised. W wolnym tłumaczeniu – zostały oczyszczone gorące i zimne portfele i co nam zrobicie!? Straty to około…

„Jeśli popełniasz przestępstwo, uważaj na swój telefon” – radzą niektórzy. My z kolei radzimy inaczej – przestępstwa najlepiej nie popełniaj w ogóle. David Burton, szef jednej ze szkół średnich w amerykańskim Glenelg, wychodzi jeszcze lekko zaspany z samochodu aby rozpocząć kolejny pracowity dzień. Mija zadbany żywopłot, zauważając nieopodal splątany sznur….

Pozew sądowy Tesli. Były pracownik oskarżony o kradzież kodu źródłowego teslowego Autopilota – wg oskarżeń wysłał 300 000 plików na swój prywatny iCloud: The former employee was one of around 40 people with direct access to the source code for Autopilot, which is Tesla’s advanced driver assistance system. The company…

Jak pokazuje historia, SMS-y to nie jest idealna metoda dodatkowej autoryzacji transakcji finansowych. M.in. stąd już bardzo konkretne działania kilku konkretnych niemieckich banków: Postbank planuje wycofać się z SMS-ów do końca sierpnia Raiffeisen Bank, Volksbank, Consorsbank – w okolicach końca roku Deutsche Bank i Commerzbank (właściciel mBanku) – też idą w…

Ciekaowstka. Bohaterem tym razem jest taki oto sprzęt z możliwością kontroli z telefonu Krótka analiza problemów bezpieczeństwa – tutaj. W skrócie: There is no auth on the BLE communications between the device and the phone. Data can be sent to the device at any time as long as it is…

Celem dwóch nowych ransomware (QNAPCrypt i eCh0raix) są urządzenia klasy NAS firmy QNAP. Wektor ataku jest bardzo prosty: brute force na hasło SSH lub wykorzystanie znanych podatności. Łatwo rozpoznać infekcję, ponieważ zaszyfrowane algorytmem AES pliki otrzymują rozszerzenie .encrypt. Sam ransomware napisany jest w nowoczesnym języku Go. Bardzo możliwe, że twórca…

Właśnie załatano podatność klasy Server-Side Template Injection. Podatne są: Jira Server oraz Jira Data Center (od wersji 4.2 aż do 8.x). Podatność może zostać wykorzystana przez nieuwierzytelnionego użytkownika jeśli włączona jest opcja kontaktu z administratorami Jiry przez HTML-owy formularz (domyślnie ta opcja jest wyłączona, ale Atlassian rekomenduje sprawdzić czy w…

Ciekawostka. Policja zatrzymując ciężarówkę standardowo skontrolowała tachograf. Ale, że skończył się papier w tachografie, policjanci pobrali dane bezpośrednio z karty pamięci urządzenia, po czym okazało się że kierowca od kilku dobrych godzin cały czas „odpoczywa”. Po bardziej szczegółowej kontroli: Funkcjonariusze poznali nową, dotychczas nie znaną, metodę oszukiwania czasu pracy kierowcy….

Tym razem akcja dzieje się w Rumunii. Tamtejszy RODO nadzór właśnie ogłosił karę dla prawdopodobnie jednego z hoteli. Jaka była przewina ukaranego? Niezabezpieczenie w odpowiedni sposób papierowej listy osób, które zapłaciły za śniadanie. Lista ta została w sposób nieautoryzowany sfotografowana i umieszczona w Internecie: the deed: mishandling of clients’ personal data:…

Badacze z Kaspersky Lab informują o wykryciu nowego ransomware o nazwie Sodin. Tradycyjnie szyfruje pliki i żąda okupu za odszyfrowanie (płacenie nie jest zalecane, bo w ten sposób wspieramy przestępców). Wszystko wskazuje na to, że malware rozprowadzane jest jako usługa w modulu RaaS. Sodin korzysta z podatności CVE-2018-8453, która pozwala…

Niedawno pokazała się informacja o proponowanej kwocie kary dla British Airways (około 800mln PLN) – w związku z naruszeniem RODO. Kolejna firma na celowniku brytyjskiego ICO to Marriott. O ogromnym wycieku z sieci rezerwacji Marriotta (i hoteli powiązanych) pisaliśmy jakiś czas temu. Wyciekły informacje o kilkuset milionach osób. Na dodatek…