Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Aktualności

Snapchat: można było się zalogować na dowolnego użytkownika, znając jedynie jego user_id (podatność warta ~100000 zł)

16 września 2021, 19:55 | W biegu | 0 komentarzy
Snapchat: można było się zalogować na dowolnego użytkownika, znając jedynie jego user_id (podatność warta ~100000 zł)

Szczegóły możecie zobaczyć tutaj. Samo wykorzystanie podatności było banalne: najpierw wylogowujemy się (z listingu usunięto nieistotne w kontekście tekstu nagłówki), podmieniając user_id na ten ofiary. W odpowiedzi HTTP otrzymujemy token. POST /scauth/otp/droid/logout HTTP/1.1Host: gcp.api.snapchat.com {„user_id”:”████”,”device_id”:”███████”,”device_name”:”███████”} HTTP/1.1 200 OK {„status”:”SUCCESS”,”user_id”:”█████████”,”token”:”█████”,”expiry_hint”:████} Teraz wystarczyło zalogować się, podając dodatkowo w żądaniu zdobyty token i…

Czytaj dalej »

OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux

16 września 2021, 19:18 | W biegu | 0 komentarzy
OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux

W ciągu ostatnich kilku lat sporo mówi się o szeroko rozumianym cloud security (bezpieczeństwo w chmurze). Metodyka ta z pewnością niesie za sobą wiele zalet – wszak ochronę naszych danych powierzamy firmom z wielomilionowymi budżetami. Problem pojawia się wtedy, gdy ci, którzy się tego podjęli, nie do końca radzą sobie…

Czytaj dalej »

Microsoft udostępnił łatkę krytycznej podatności w Microsoft Office (CVE-2021-40444)

15 września 2021, 18:46 | W biegu | 1 komentarz
Microsoft udostępnił łatkę krytycznej podatności w Microsoft Office (CVE-2021-40444)

Tydzień temu informowaliśmy Was o krytycznej podatności w Microsoft Office (CVE-2021-40444), która umożliwia zdalne wykonanie kodu na urządzeniu ofiary: Co prawda domyślny tryb Protected View w MS Office jest w stanie skutecznie ochronić nasze urządzenie przed atakiem, lecz, zdaniem badaczy bezpieczeństwa, mechanizm ten można obejść na co najmniej kilka sposobów…

Czytaj dalej »

Najnowszy iOS łata podatność 0day wykorzystywaną przez Pegasusa. Łatajcie.

14 września 2021, 08:23 | W biegu | komentarzy 14
Najnowszy iOS łata podatność 0day wykorzystywaną przez Pegasusa. Łatajcie.

W sierpniu informowaliśmy Was o exploicie FORCEDENTRY, który umożliwiał operatorom Pegasusa zdalne zainfekowanie urządzenia ofiary przy użyciu spreparowanej wiadomości iMessage: Wyżej wymieniona podatność została załatana w najnowszej aktualizacji iPhone’a (iOS 14.8) oraz iPada (iPadOS 14.8): Oprócz luki FORCEDENTRY naprawiono również błąd typu use after free w WebKit, pozwalający na zdalne…

Czytaj dalej »

Europejski Miesiąc Cyberbezpieczeństwa – mamy dla Was garść propozycji

13 września 2021, 19:11 | Aktualności | komentarze 3
Europejski Miesiąc Cyberbezpieczeństwa – mamy dla Was garść propozycji

Jeśli nie słyszeliście jeszcze o Europejskim Miesiącu Cyberbezpieczeństwa – tutaj nieco więcej szczegółów. W ramach akcji proponujemy Wam kilka wydarzeń kierowanych zarówno do osób technicznych (IT) jak i pracowników biurowych. Część wydarzeń dostępna jest w formie otwartej (tj. możecie zapisać się sami), a wszystkie w formie zamkniętej (realizacja dla zamkniętych…

Czytaj dalej »

„30% Twoich środków na rachunku ROR zostanie upaństwowionych”. Nowe oszustwo.

10 września 2021, 10:26 | W biegu | komentarzy 5
„30% Twoich środków na rachunku ROR zostanie upaństwowionych”. Nowe oszustwo.

Pełna treść SMSa rozsyłanego przez oszustów wygląda tak: Nowy Ład, centralizacja, „ratowanie gospodarki narodowej” i na koniec upaństwowienie 30% wartości konta. Przedsiębiorca torpedowany z każdej strony takimi informacjami może w pierwszym odruchu bezsilności przelać pieniądze, na co liczą przestępcy. Zauważcie, że SMS wygląda jak wysłany z banku ING, jest też…

Czytaj dalej »

Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili w imieniu ofiary duplikat karty SIM…

10 września 2021, 09:33 | W biegu | komentarzy 35
Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili  w imieniu ofiary duplikat karty SIM…

O akcji donosi Policja, uzupełniając materiał o filmik, ukazujący wypłatę części skradzionych środków przez osobę zamieszaną w przestępstwo. Jak do tego doszło? Zacznijmy od końca. Powiedzmy, że ktoś posiada dane logowania do bankowości ofiary – nazwijmy ją roboczo panią Matyldą. Czy przestępca może przelać wszystkie pieniądze na swoje konta? No…

Czytaj dalej »

Zdalne wykonanie kodu w Burp Suite, czyli jak zhakować hakera

09 września 2021, 10:28 | W biegu | komentarze 3
Zdalne wykonanie kodu w Burp Suite, czyli jak zhakować hakera

Burp Suite to popularne narzędzie pozwalające na przeprowadzanie testów bezpieczeństwa aplikacji internetowych. Więcej na temat tego oprogramowania pisaliśmy w artykule z 2014 roku. Tymczasem badacze bezpieczeństwa z Noah Lab odkryli podatność, która pozwala na zdalne wykonanie kodu na urządzeniu użytkownika Burp Suite: Luka dotyczy wykorzystywania przez oprogramowanie bezokienkowej wersji przeglądarki…

Czytaj dalej »

OWASP Top 10 – edycja 2021. Idą duże zmiany.

09 września 2021, 09:39 | Aktualności | 0 komentarzy
OWASP Top 10 – edycja 2021. Idą duże zmiany.

OWASP Top Ten to często pierwszy dokument polecany osobom, które chcą bezboleśnie rozpocząć swoją przygodę z bezpieczeństwem aplikacji webowych. To 10 najistotniejszych kategorii problemów bezpieczeństwa w aplikacjach webowych: The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the…

Czytaj dalej »

McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

08 września 2021, 18:51 | W biegu | 0 komentarzy
McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

Monopoly VIP to gra udostępniana klientom McDonalda w Wielkiej Brytanii. W skrócie można wpisać tam kod dostępny po zakupie produktów i dzięki temu wygrać nagrody. Część osób, która rzeczywiście je wygrała, dostała w informującym o fakcie e-mailu pewien bonus: dane logowania do produkcyjnej/stagingowej bazy danych: Hasło do bazy w treści…

Czytaj dalej »

Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

08 września 2021, 17:00 | W biegu | 0 komentarzy
Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

Jeśli interesują Was szkolenia dedykowane programistom/testerom/pentesterom to zapraszamy do odwiedzenia naszego nowego projektu: Securitum Web Lab (https://weblab.securitum.pl/). Bezpieczeństwo frontendu aplikacji webowych to jedno ze szkoleń, które tam Wam proponujemy. Prowadzi je Michał Bentkowski, topowy pentester i badacz bezpieczeństwa – który do samego Google zgłosił przeszło 20 podatności, za które otrzymał…

Czytaj dalej »

Podatność w samochodach marki Honda – wg badacza można sprytnym atakiem bezprzewodowo otworzyć samochód

08 września 2021, 10:05 | W biegu | komentarze 4
Podatność w  samochodach marki Honda – wg badacza można sprytnym atakiem bezprzewodowo otworzyć samochód

Całkiem ciekawy, chociaż nie nowy sposób zdalnego ataku na samochody marki Honda został opisany w tym miejscu. To tzw. replay attack, który polega na kilkukrotnym lub opóźnionym wysyłaniu poprawnych danych. Według autora prawdopodobnie działa on w wypadku wszystkich modeli marek Honda/Acura wyposażonych w tę funkcję: This attack seems to affect…

Czytaj dalej »

Uwaga: podatność 0-day w Microsoft Office. Producent ostrzega o aktywnej eksploitacji!

08 września 2021, 09:57 | W biegu | 1 komentarz
Uwaga: podatność 0-day w Microsoft Office. Producent ostrzega o aktywnej eksploitacji!

Mowa o CVE-2021-40444. Atakujący przygotowują odpowiednie pliki .docx które po otwarciu przez ofiarę umożliwiają przejęcie jej komputera. Microsoft opisuje to w ten sposób: An attacker could craft a malicious ActiveX control to be used by a Microsoft Office document that hosts the browser rendering engine. The attacker would then have…

Czytaj dalej »

Aresztowano developera trojana bankowego TrickBot. Ucieczkę do Rosji uniemożliwiły lockdown i nieważny paszport…

07 września 2021, 15:49 | W biegu | 0 komentarzy
Aresztowano developera trojana bankowego TrickBot. Ucieczkę do Rosji uniemożliwiły lockdown i nieważny paszport…

TrickBot został zauważony po raz pierwszy w październiku 2016 roku i miał on postać trojana bankowego. Z czasem złośliwe oprogramowanie wzbogacono o nowe moduły, takie jak np. „dropper”, którego główną rolą jest zapewnienie „tylnej furtki” dla innego złośliwego oprogramowania. Z funkcji tej korzystało między innymi Ryuk Ransomware, znane z ataków…

Czytaj dalej »

Co każdy administrator powinien wiedzieć o bezpieczeństwie Windows? Zapraszamy na praktyczny cykl szkoleń od sekuraka

07 września 2021, 10:07 | W biegu | komentarze 2
Co każdy administrator powinien wiedzieć o bezpieczeństwie Windows? Zapraszamy na praktyczny cykl szkoleń od sekuraka

Znakiem rozpoznawczym Grześka Tworka (prowadzącego kurs o bezpieczeństwie Windows) jest maksimum praktyki, minimum teorii oraz rozległa wiedza z dziedziny bezpieczeństwa systemów windowsowych. Grzegorz w czasie ponaddwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do…

Czytaj dalej »