Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Aktualności

Nowa funkcja Spotify może ujawniać dane użytkowników

09 września 2025, 01:43 | W biegu | 0 komentarzy
Nowa funkcja Spotify może ujawniać dane użytkowników

Niedawno na Spotify pojawiła się nowa funkcja – wiadomości. Ma ona uczynić aplikację bardziej społecznościową i umożliwić użytkownikom kontaktowanie się na platformie. Wysyłanie wiadomości jest dostępne dla użytkowników wersji Free i Premium w niektórych krajach, pod warunkiem że ukończyli oni 16 rok życia. TLDR: Oprócz zastanawiającej koncepcji samych wiadomości w…

Czytaj dalej »

Mega Sekurak Hacking Party INTRO

04 września 2025, 09:54 | W biegu | 0 komentarzy
Mega Sekurak Hacking Party INTRO

Po raz pierwszy – przed najbardziej merytoryczną konferencją IT security w Polsce – pokazujemy Wam, dlaczego warto kupić bilet na październikowe wydarzenie!  Lubiani prelegenci w lightning talkach wprowadzą Was w konferencyjny klimat, by zachęcić do przyjazdu do Krakowa! 🔍Kiedy: 9 września o godz. 19:00 wpadajcie na MEGA praktyczne pokazy na…

Czytaj dalej »

Velociraptor i Visual Studio Code jako nowy wektor ataku: tunelowanie ruchu C2 przy użyciu legalnych narzędzi

04 września 2025, 09:07 | W biegu | 0 komentarzy
Velociraptor i Visual Studio Code jako nowy wektor ataku: tunelowanie ruchu C2 przy użyciu legalnych narzędzi

Zespół analityków CTU firmy Sophos podczas analizy powłamaniowej zidentyfikował nowy wektor ataku, w którym popularne oprogramowanie zostało wykorzystane do utworzenia tajnego kanału komunikacji. Cyberprzestępcy, za pomocą narzędzia Velociraptor (oprogramowanie przeznaczone do wykrywania, analizy i reagowania na incydenty) pobierali instalator Visual Studio Code (VSCode), a następnie korzystając z przełącznika tunnel instalowali…

Czytaj dalej »

Tajniki bezpieczeństwa sieci od topowych polskich hackerów! Pozycja absolutnie obowiązkowa dla każdego admina.

02 września 2025, 14:47 | Aktualności | komentarze 3
Tajniki bezpieczeństwa sieci od topowych polskich hackerów! Pozycja absolutnie obowiązkowa dla każdego admina.

W maju tego roku odpaliliśmy kurs, z którego jesteśmy naprawdę dumni. Netsecurity Master od sekuraka zgromadził podczas pierwszej edycji ponad 400 uczestników, którzy ocenili go na doskonałe 9,4/10. 9 października startujemy z drugą edycją szkolenia Netsecurity Master od sekuraka, której nie może przegapić żaden admin zamierzający jeszcze w tym roku…

Czytaj dalej »

Ucieczka z kontenera Docker na Windowsie przy pomocy SSRF

02 września 2025, 07:27 | W biegu | 1 komentarz
Ucieczka z kontenera Docker na Windowsie przy pomocy SSRF

Znacie to uczucie, gdy weryfikujecie założenia projektowe czy wdrożone polityki i coś się nie zgadza? Tego właśnie doznał użytkownik Dockera, który przez złe doświadczenia z wirtualizacją, postanowił sprawdzić izolację sieciową w kontenerach. TLDR: Badacz przez przypadek odkrył problem, pozwalający na przejęcie kontroli nad hostem, w sytuacji gdy wykorzystywany jest Docker…

Czytaj dalej »

Microsoft Teams jako wektor ataków phishingowych

01 września 2025, 09:13 | W biegu | 0 komentarzy
Microsoft Teams jako wektor ataków phishingowych

Team AXON opublikował raport na temat możliwości wykorzystania Microsoft Teams, jako wektora ataku phishingowego i początkowego dostępu do organizacji. Główną ścieżką dostępu ma być funkcja komunikacji zewnętrznej, wykorzystywana przez atakujących do nawiązania bezpośredniego kontaktu z wybranymi ofiarami. Sprawę mocno ułatwia fakt, że ta opcja jest domyślnie włączona w tenantach Microsoft…

Czytaj dalej »

PromptLock – pierwszy znany na świecie Ransomware stworzony przez AI. Czy jest się czego bać?

01 września 2025, 00:30 | W biegu | 0 komentarzy
PromptLock – pierwszy znany na świecie Ransomware stworzony przez AI. Czy jest się czego bać?

Anton Cherepanov, badacz bezpieczeństwa z firmy ESET podczas rutynowej analizy próbek wrzucanych na portal VirusTotal, odkrył nowy wariant malware. Jego uwagę zwrócił plik (kod napisany w Golang), zawierający odwołanie do modelu gpt-oss-20b oraz instrukcje sterujące (prompty), umożliwiające generowanie potencjalnie złośliwych skryptów bezpośrednio w systemie ofiary. Nowo wykryty malware został rozpoznany…

Czytaj dalej »

Aktywnie wykorzystywana krytyczna podatność w wirtualnej centrali FreePBX

01 września 2025, 00:19 | W biegu | 0 komentarzy
Aktywnie wykorzystywana krytyczna podatność w wirtualnej centrali FreePBX

Ataki na rozwiązania używane do świadczenia usług VoIP nie są niczym nowym. Wielokrotnie pisaliśmy też na łamach sekuraka na temat (nie)bezpieczeństwa wszelakich interfejsów webowych. Tym razem mamy połączenie jednego i drugiego. TLDR: – Wykryto krytyczną (CVSS 10.0) podatność w FreePBX, interfejsie webowym dla Asterisk – Podatność jest aktywnie wykorzystywana przez…

Czytaj dalej »

Scam na platformie Mastodon, obiecują weryfikację konta, kradną dane kart

01 września 2025, 00:13 | W biegu | 1 komentarz
Scam na platformie Mastodon, obiecują weryfikację konta, kradną dane kart

Rok temu opisywaliśmy działania, które wyglądały trochę jak próba phishingu na Mastodonie, a w praktyce były zabawą z platformą i żartem. Tym razem opisywane oszustwa są prawdziwe i mogą doprowadzić do utraty pieniędzy. TLDR: Dla przypomnienia, Mastodon, to oprogramowanie tworzące sieć społecznościową, która w Fediwersum miała być odpowiednikiem Twittera. Składa się ona z niezależnych instancji,…

Czytaj dalej »

Krytyczna podatność w Chrome. Znalazł ją agent AI

29 sierpnia 2025, 13:35 | W biegu | 0 komentarzy
Krytyczna podatność w Chrome. Znalazł ją agent AI

Google wydało 26 sierpnia wydało aktualizację Chrome (wersja 139.0.7258.154/.155 dla Windowsa, macOS i Linuxa oraz 139.0.7258.158 dla Androida), w której załatano krytyczną podatność typu Use-After-Free w silniku graficznym ANGLE (CVE-2025-9478). TLDR: Use-After-Free (UAF) to podatność związana z nieprawidłowym wykorzystaniem pamięci dynamicznej podczas działania programu. Występuje wtedy, gdy po zwolnieniu miejsca…

Czytaj dalej »

Proxyware malware w popularnych serwisach do pobierania filmów z YouTube – nowa kampania cyberprzestępców

28 sierpnia 2025, 21:51 | W biegu | komentarzy 16
Proxyware malware w popularnych serwisach do pobierania filmów z YouTube – nowa kampania cyberprzestępców

Cyberprzestępcy stają się coraz bardziej kreatywni w wymyślaniu nowych sposobów dystrybucji złośliwego oprogramowania. Najnowsza kampania, wykryta przez badaczy bezpieczeństwa z AhnLab Security Intelligence Center (ASEC) potwierdza ten trend. Tym razem, atakujący postanowili wykorzystać popularne serwisy do pobierania filmów z YouTube, w celi propagacji złośliwego oprogramowania typu proxyware. TLDR: Czym jest…

Czytaj dalej »

Druga największa kara od PUODO. Powodem skanowanie przez ING Bank Śląski dowodów osobistych

28 sierpnia 2025, 14:56 | W biegu | komentarzy 6
Druga największa kara od PUODO. Powodem skanowanie przez ING Bank Śląski dowodów osobistych

Banki od lat chętnie skanują dowody osobiste swoich klientów. Zazwyczaj jako przyczynę wymienia się wewnętrzne procedury bezpieczeństwa czy nawet wymogi prawne. Ostatnia (i notabene druga największa pod względem wysokości – pierwszą została ukarana Poczta Polska) kara nałożona przez UODO na ING Bank Śląski pokazuje, że takie działanie musi być uzasadnione…

Czytaj dalej »

FreeVPN.One potajemnie rejestruje zawartość ekranu. Ponad 100 000 instalacji w Chrome.

28 sierpnia 2025, 10:11 | W biegu | komentarze 2
FreeVPN.One potajemnie rejestruje zawartość ekranu. Ponad 100 000 instalacji w Chrome.

Wtyczka FreeVPN.One przez lata cieszyła się popularnością wśród użytkowników Chrome – posiadała oficjalny znaczek weryfikacji, wyróżnione miejsce w sklepie Google i ponad 100 tys. instalacji. Jego głównym celem miała być ochrona prywatności. Okazuje się jednak, że w rzeczywistości rozszerzenie stało się narzędziem do śledzenia użytkowników. TLDR: – Popularne rozszerzenie VPN…

Czytaj dalej »