Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

Aktualności

QuaDream: konkurencja Pegasusa posiadała możliwość niewidzialnego infekowania iPhoneów

03 lutego 2022, 16:44 | W biegu | 1 komentarz
QuaDream: konkurencja Pegasusa posiadała możliwość niewidzialnego infekowania  iPhoneów

Nie samym Pegasusem człowiek żyje ;-) Organizacji posiadających odpowiednią moc bojową, do stworzenia narzędzi alternatywnych do Pegasusa jest nie tak mało. Reuters donosi właśnie o firmie QuaDream: A flaw in Apple’s software exploited by Israeli surveillance firm NSO Group to break into iPhones in 2021 was simultaneously abused by a competing company,…

Czytaj dalej »

Wormhole hack. Ukradli równowartość grubo ponad 1 000 000 000 (miliarda) złotych!

03 lutego 2022, 11:11 | W biegu | komentarzy 12
Wormhole hack. Ukradli równowartość grubo ponad 1 000 000 000 (miliarda) złotych!

Wicie, rozumicie, maintenance! W świecie dookoła kryptowalut pachnie to hackiem. Zresztą Wormhole przyznaje to w tweecie powyżej. Co co chodzi z tym Wormhole? Platforma umożliwia wymianę kryptowalut na inne: Bridge portals use “smart contracts” on the Ethereum blockchain to convert an input cryptocurrency into a temporary internal token, which they…

Czytaj dalej »

„Skasowałem proda!” – kto nie miał takiej historii niech pierwszy rzuci kamieniem! ;-)

03 lutego 2022, 09:39 | W biegu | komentarzy 19
„Skasowałem proda!” – kto nie miał takiej historii niech pierwszy rzuci kamieniem! ;-)

Tutaj ciekawy wątek, zawierający historię ~adminów, którzy przypadkowo skasowali a to dysk produkcyjny, a to całą bazę. Na początek klasyka. Zapytanie na bazie (czasem z brakiem WHERE, albo złym WHERE). Niekiedy zdarzają się jeszcze inne błędy, które potrafią uratować sytuację (uffff :) Czasem jednak takich błędów nie ma (oops): Pamiętajcie,…

Czytaj dalej »

Na świat ma przyjść nowy człowiek. Jak na dobrego tatę przystało zakupił „monitoring dzidziusia”. A następnie zdobył na nim nieuwierzytelnionego roota :)

02 lutego 2022, 19:45 | W biegu | komentarzy 18
Na świat ma przyjść nowy człowiek. Jak na dobrego tatę przystało zakupił „monitoring dzidziusia”. A następnie zdobył na nim nieuwierzytelnionego roota :)

Kilka chwil temu opisywaliśmy przykład hackowania lamp akwariowych, teraz kolej na taki sprzęt: Przyszły tata, zakupił sprzęt, zakasał rękawy i przeszedł do dzieła. Najpierw skanowanie urządzenia nmapem: [przy okazji warto pamiętać, że nmap i tak skanuje domyślnie 1000 najpopularniejszych portów, więc przełącznik: –top-ports 1000 jest zbędny] Co ciekawego znajdowało się…

Czytaj dalej »

WebVM: maszyna wirtualna x86 działająca tylko w przeglądarce, bez serwera. Linux na pokładzie. Przetestujcie na żywo

01 lutego 2022, 20:45 | W biegu | komentarzy 6
WebVM: maszyna wirtualna x86 działająca tylko w przeglądarce, bez serwera. Linux na pokładzie. Przetestujcie na żywo

Opis projektu tutaj, interaktywne demo – pod tym adresem: https://webvm.io Jak widać, całość działa bez problemu również np. na Apple M1 (chociaż prędkość nie zachwyca :) Pamiętajcie, że wszystko działa w Waszej przeglądarce, bez żadnych komponentów serwerowych: Dodatkowo twórcy chwalą się, że na wirtualce można uruchamiać binarki z Debiana bez…

Czytaj dalej »

Enigmatyczne naruszenie bezpieczeństwa w polskim T-Mobile. System MIBOA i nieautoryzowany dostęp do danych.

01 lutego 2022, 20:14 | W biegu | komentarze 4
Enigmatyczne naruszenie bezpieczeństwa w polskim T-Mobile. System MIBOA i nieautoryzowany dostęp do danych.

Jeden z czytelników poinformował nas o wiadomości e-mail, którą otrzymał od T-Mobile (adres nadawcy: boa@t-mobile.pl; wytłuszczenie – sekurak): Zgodnie z wymaganiami Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Art. 174a ust.3) oraz Artykułu 34 RODO informuję, że z uwagi na powstały błąd po naszej stronie w samoobsługowym serwisie…

Czytaj dalej »

Krytyczna podatność w Sambie. Atakujący może zdalnie uzyskać uprawnienia root. CVE-2021-44142

31 stycznia 2022, 23:40 | W biegu | komentarze 3
Krytyczna podatność w Sambie. Atakujący może zdalnie uzyskać uprawnienia root. CVE-2021-44142

Informację o luce CVE-2021-44142, znalezionej przez znanego badacza Orange Tsai, przekazała ekipa Samby: This vulnerability allows remote attackers to execute arbitrary code as root on affected Samba installations that use the VFS module vfs_fruit. Podatność występuje w domyślnej konfiguracji wyżej wskazanego modułu, a jej CVSS score został określony na aż…

Czytaj dalej »

Oferują za darmo przedmioty. Wystarczy tylko… ale nie róbcie tego, bo stracicie konto na Facebooku

31 stycznia 2022, 22:05 | W biegu | komentarze 2
Oferują za darmo przedmioty. Wystarczy tylko… ale nie róbcie tego, bo stracicie konto na Facebooku

Czytelnik podesłał nam świeży przykład oszustwa: „Darmowy telewizor do odebrania, bo wyjeżdżam” – brzmi jak spora liczba klików (no dobra, dla niektórych brzmi od razu jak oszustwo). A co po wejściu na ogłoszenie? Strona mająca https i kłodkę (a jakże!) w przeglądarce, ale zdecydowanie nie będąca Facebookiem; wykradająca za to…

Czytaj dalej »

Dostała do zapłaty 268399,32 funtów za skromny obiad. Czy na podstawie tej historii namierzysz PIN tej pani?

31 stycznia 2022, 17:41 | W biegu | komentarzy 14
Dostała do zapłaty 268399,32 funtów za skromny obiad. Czy na podstawie tej historii namierzysz PIN tej pani?

Nieco sensacyjna historia, która miała miejsce już jakiś czas temu jest opisywana również tutaj: No więc jaki był PIN do karty płatniczej tej pani? Spoiler ;-). Może na koniec jeszcze jakiś wniosek dla nas? Sprawdzajcie kwotę, którą prezentuje Wam na terminalu płatniczym sprzedawca (szczególnie można się zdziwić przy płatności telefonem,…

Czytaj dalej »

Giga korporacja bierze na spytki twórcę curla (bo z niego korzysta :P). Odpowiedz nam w 24h!

31 stycznia 2022, 11:21 | Aktualności | komentarze 33
Giga korporacja bierze na spytki twórcę curla (bo z niego korzysta :P). Odpowiedz nam w 24h!

Nietypową wiadomość od pewnej korporacji otrzymał Daniel Stenberg, twórca m.in. narzędzia curl, czyli klienta HTTP działającego w terminalu. Firma o dochodach 500 miliardów dolarów „poprosiła” go o odpowiedź na osiem pytań dotyczących możliwego wpływu podatności Log4j na jeden z jego programów na licencji open source, który jest używany w tej…

Czytaj dalej »

Otrzymałeś maila ze swoim (prawdziwym) hasłem? Ktoś twierdzi, że włamał się na Twój komputer! Radzimy co robić.

31 stycznia 2022, 10:56 | W biegu | komentarzy 11
Otrzymałeś maila ze swoim (prawdziwym) hasłem? Ktoś twierdzi, że włamał się na Twój komputer! Radzimy co robić.

W przytłaczającej większości przypadków nie należy odpowiadać na tego maila (nikt się nie włamał na Twój komputer). Ale czy coś robić? Czytajcie dalej Jeden z czytelników przesłał nam właśnie informację o takim świeżym e-mailu: Temat nie jest nowy, ale schemat najprawdopodobniej cały czas działa, bo cyberzbiry cały czas próbują wyciągnąć od…

Czytaj dalej »