Aktualności

Szczegóły na blogu Zimperium. Chodzi o model Xiaomi M365, na którym bazuje sporo innych sprzętów tego typu, i który ma możliwość komunikacji z zewnętrzną aplikacją mobilną poprzez Bluetooth. Z opisu podatności wynika, że hasło dostępowe jest wprawdzie wymagane aby komunikować się bezprzewodowo z hulajnogą, ale… sprawdzane jest tylko po stronie aplikacji…

Wczoraj serwis krn.pl rozsyłał takie wiadomości: Szanowni Państwo, w dniu 07-02-2019 r. doszło do ataku hackerskiego, w wyniku którego doszło do potencjalnego wycieku danych do Państwa kont na portalu: KRN.pl oraz forum.krn.pl: login (mail) oraz hasło (w zaszyfrowanej formie). Więcej informacji może zostać Państwu udzielonych pod adresem e-mail: kontakt@krnmedia.pl Konsekwencją…

Jak donosi serwis the Register, ktoś wystawił na sprzedaż paczkę 617 milionów kont (różne dane: maile, zahashowane hasła, daty urodzin, adresy…). Cena za cały pakiet oscyluje w okolicach $20 000. Lista wycieków poniżej: Dubsmash (162 million), MyFitnessPal (151 million), MyHeritage (92 million), ShareThis (41 million), HauteLook (28 million), Animoto (25…

Szczegóły tutaj, załatana wersja Dockera tutaj (18.09.2) The vulnerability allows a malicious container to (with minimal user interaction) overwrite the host runc binary and thus gain root-level code execution on the host. Prawdopodobnie muszą być spełnione dwie rzeczy: atakujący może startować kontenery (docker run) ze swoim obrazem kontener jest uruchamiany jako root…

Eksperyment z rozmachem – Rosja ma być odłączona od Internetu (w ramach procedury testowej, na jakiś czas). Całość została zaproponowana pod koniec zeszłego roku, a eksperyment ma na celu zebranie wniosków z realnego odłączenia. Wnioski z kolei mają wpłynąć na ostateczny wygląd ustaw. W draftach wspominanych ustaw, poza konieczną autonomią…

A więc w skrócie kubek wygląda tak: Ma on 300 ml i w ceramiczny sposób wypalonego sekuraka :) (nie znamy dokładnie nazwy tej techniki). Cena kubka to 30 PLN + koszty wysyłki. Obecnie mamy do sprzedania 60 kubków. Jak dokonać zakupu? Na stronie z biletami na mega sekurak hacking party…

Te nowe funkcje zauważono w deweloperskich wydaniach Firefoxa: Add cryptomining and fingerprinting protection options to custom content blocking preferences Chodzi oczywiście o strony webowe, które próbują kopać kryptowalutę w naszej przeglądarce (lub próbują nas namierzać w dość nietypowy sposób). Niektórzy wskazują nawet jak ma to wyglądać w interfejsie: Patrząc na…

Strona projektu tutaj. Repozytorium oprogramowania (OpenSource!) – tutaj. Poniżej – dłuższy filmik prezentujący projekt. Z ciekawostek – mamy tu np. „cloak mode” utrudniającą (uniemożliwiającą?) wszelakie „trackowanie” samochodu. Tzw. misja twórcy FreedomEV wygląda ambitnie: Enable full consumer control over the electric vehicle future Oprogramowanie wymaga posiadania roota na Tesli, ale i na…

O Shodanie i podobnych narzędziach pisaliśmy nie raz. Tym razem ktoś namierzył urządzenia znanej firmy produkującej m.in, sprzęt kontrolujący temperaturę – dostępne w Internecie. Interfejs przeglądarkowy + brak haseł (dla takich przypadków widzicie zrzuty ekranowe poniżej) lub domyślne hasła admina: nie wygląda to dobrze. W ramach demo, autorzy badania pokazali…

O ataku na spółkę Cenzin donosi RMF. Scenariusz miał być banalnie prosty: Do spółki przyszło kilka e-maili od osoby lub osób podszywających się pod czeskiego dostawcę broni. W korespondencji poinformowano o zmianie konta, na które Cenzin ma wpłacać pieniądze za dostawy. Osoby odpowiedzialne za finanse dokonały zmian w systemie płatności…

To dodatkowa, zupełnie nowa prezentacja na naszym mega sekurak hacking party. Zapisy tutaj. Prelekcja jest „nietechniczna” (na tyle na ile prelegent jest w stanie się powstrzymać od technikaliów) i nieco na luzie, o tym dlaczego prelegent jeszcze nie znudził się bezpieczeństwem IT.” Gynvael to jeden z laureatów nagrody Pwnie, którą…

Niedawno gruchnęła informacja o możliwości prostego podsłuchu iPhonów. Media ekscytują się głównie tym faktem, ale przy okazji najnowszego patcha na iOS (12.1.4) załatano również inne podatności 0-days, które były aktywnie wykorzystywane: Three out of the four vulnerabilities in the latest iOS advisory were exploited in the wild, yikes. Jak widać w świecie mobilnym…

W złożonych systemach dość trudno zadbać o stosowną kontrolę dostępu do danych (bardziej po ludzku – o implementację uprawnień). Taki problem wydarzył się niedawno w serwisie hackerone: Confidential data of users and limited metadata of programs and reports accessible via GraphQL. Czyli stosownym zapytaniem GraphQL można było pobrać w sposób…

To nie żarty, Szwajcaria właśnie odpala program publicznego hackowania e-wyborów. Pula nagród to 150 000 franków szwajcarskich. W zakresie są w pełni działające, testowe wybory: https://pit.evoting-test.ch/ – w dokładnie takiej konfiguracji jak planowana wersja produkcyjna. Cieszy również otwartość podejścia – dostępne są kody źródłowe, a wyniki swoich ataków będzie można opublikować….

Firefox bierze sobie do serca uwagi użytkowników – niedawno zaostrzenie kwestii dotyczących prywatności / trackerów, a już w marcu (Firefox 66) kompletne wyłączenie audio w filmach automatycznie uruchamianych na stronach WWW: Starting with the release of Firefox 66 for desktop and Firefox for Android, Firefox will block audible audio and…