Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Aktualności

Jak można było mieć dostęp do dziesiątek tysięcy raportów z wypadków, w których brały udział samochody wypożyczone z Hertz? Zmieniając identyfikator w tym adresie: /accident-report/12345

19 września 2024, 11:02 | W biegu | komentarzy 7
Jak można było mieć dostęp do dziesiątek tysięcy raportów z wypadków, w których brały udział samochody wypożyczone z Hertz? Zmieniając identyfikator w tym adresie: /accident-report/12345

Uff, w zasadzie cała treść znaleziska zmieściła się w tytule ;-) co w pewien sposób świadczy o poziomie bezpieczeństwa aplikacji webowych w 2024 roku… Dla jasności cała historia wyglądała tak: najpierw badacz otrzymał maila z Hertz z informacją o swoim raporcie. W tym przypadku adres w aplikacji webowej wyglądał mniej…

Czytaj dalej »

Chcesz zostać mistrzem zabezpieczania aplikacji webowych? Zapraszamy na nowy kurs Websecurity Master od sekuraka!

18 września 2024, 22:04 | Aktualności | 0 komentarzy
Chcesz zostać mistrzem zabezpieczania aplikacji webowych? Zapraszamy na nowy kurs Websecurity Master od sekuraka!

Już za trzy tygodnie (8 października) startuje Websecurity Master – w naszej ocenie najbardziej kompleksowy kurs bezpieczeństwa aplikacji webowych w Polsce, pomyślany w swojej formule tak, że adresuje potrzeby zarówno początkujących jak i zaawansowanych w temacie. Kurs, z którego jesteśmy dumni i na który czekamy równie niecierpliwie jak spora grupa…

Czytaj dalej »

it-sa Expo&Congress: zapraszamy na ogromne targi cyberbezpieczeństwa w Europie!

17 września 2024, 08:24 | Aktualności | 0 komentarzy
it-sa Expo&Congress: zapraszamy na ogromne  targi cyberbezpieczeństwa w Europie!

W dniach 22–24 października liderzy, innowatorzy oraz eksperci branży CyberSec zgromadzą się w Norymberdze z okazji 15. edycji it-sa Expo&Congress. Rekordowa liczba ponad 800 wystawców zaprezentuje w tym roku swoje innowacyjne rozwiązania. Tegoroczne it-sa Expo&Congress będzie poświęcone gorącym tematom, takim jak proces wdrażania najnowszej unijnej Dyrektywy NIS-2. Zmiany legislacyjne mają…

Czytaj dalej »

Urządzenia domowe znów przegrywają z hackerami – łańcuch podatności w routerze TP-Link

17 września 2024, 00:53 | Aktualności | 0 komentarzy
Urządzenia domowe znów przegrywają z hackerami – łańcuch podatności w routerze TP-Link

W Redakcji doceniamy dobrą, hackerską robotę, dlatego zawsze śledzimy zawody z cyklu Pwn2Own. Oprócz standardowych ataków na hypervisory, przeglądarki czy samochody, dużą popularnością cieszą się eksploity na domowe urządzenia sieciowe oraz IoT. Niestety, gdy ogłaszane są wyniki, najczęściej nie ma informacji o tym, jakie dokładnie błędy zostały zidentyfikowane i wykorzystane…

Czytaj dalej »

Jak za $20 popsuć Internet przez WHOIS? Czyli nie zapomnijcie odnowić swojej domeny…

16 września 2024, 17:32 | W biegu | komentarzy 10
Jak za $20 popsuć Internet przez WHOIS? Czyli nie zapomnijcie odnowić swojej domeny…

Badacze z firmy watchTowr początkowo chcieli zgłębić ataki na klienta protokołu WHOIS. Aby to zrobić, musieli jednak przekierować ruch na swój serwer. Ponieważ ataki MiTM nie wydały im się szczególnie ciekawe, to poświęcili cenę butelki wody w hotelu w Vegas ($20) na zakup nieodnowionej domeny, która była wykorzystywana przez serwer…

Czytaj dalej »

Kolejny krytyczny błąd załatany w GitLabie

16 września 2024, 17:26 | W biegu | 1 komentarz
Kolejny krytyczny błąd załatany w GitLabie

Po dwóch miesiącach od poprzednich problemów, które opisywaliśmy, GitLab wydał kolejne poprawione wersje, zarówno Community Edition, jak i Enterprise Edition, oznaczone numerami 17.3.2, 17.2.5 oraz 17.1.7. Podobnie jak poprzednio, najpoważniejszy błąd, oznaczony symbolem CVE-2024-6678, pozwala – w pewnych okolicznościach, które nie zostały sprecyzowane w ogłoszeniu na stronie GitLab – na zdalne wykonanie…

Czytaj dalej »

Nieczyste zagrania w sporcie – jak zdalnie przewrócić cały peleton?

14 września 2024, 22:33 | Aktualności | komentarzy 17
Nieczyste zagrania w sporcie – jak zdalnie przewrócić cały peleton?

Kolarstwo to bardzo technologiczny sport. Profesjonalne rowery wyścigowe – np szosowe, mimo ograniczeń (np. wagowych nakładanych przez UCI) to efekty lat pracy inżynierów różnych dziedzin. Charakteryzują się minimalnymi oporami aerodynamicznymi, niską wagą i dużą sztywnością. Standardem w wyścigach tourowych są elektryczne grupy napędowe. Wbrew nazwie, nie są to napędy elektryczne,…

Czytaj dalej »

Uwaga, na nową sprytną metodę phishingu, którą zaczynają stosować przestępcy. W skrócie – złośliwa CAPTCHA.

13 września 2024, 21:34 | Aktualności | komentarze 4
Uwaga, na nową sprytną metodę phishingu, którą zaczynają stosować przestępcy. W skrócie – złośliwa CAPTCHA.

Ofiara na stronie, którą odwiedza, otrzymuje niby standardową prośbę potwierdzenia, że „jest człowiekiem” (czyli mechanizm CAPTCHA): Ale zwróć uwagę na niby niewinną instrukcję, która się pojawia przy tej okazji: 1. Naciśnij win+r2. Naciśnij ctrl+v3. Naciśnij enter Jak możesz się domyślać, najpierw złośliwa strona umieszcza coś w schowku systemowym ofiary (złośliwe…

Czytaj dalej »

Ktoś przejął / zainfekował 1300000 TV boxów w 197 krajach.

13 września 2024, 10:04 | W biegu | komentarzy 19
Ktoś przejął / zainfekował 1300000 TV boxów w 197 krajach.

Backdoor Android.Vo1d infekuje TV boxy, pracujące na niezaktualizowanych, starych wersjach Androida. Atakujący mają zdalny dostęp do administratora / roota na przejętych TV boxach. Potencjalnie to oznacza dostęp do plików, możliwość instalowania appek, czy dalszą infiltrację sieci ofiary. Na razie nie wiadomo jaki jest sposób infekcji (wskazuje się oczywiste podatności w…

Czytaj dalej »

Czy widzisz coś podejrzanego w tym adresie?

13 września 2024, 08:42 | Aktualności | komentarzy 10
Czy widzisz coś podejrzanego w tym adresie?

❌ Niepoprawna domena?❌ Literówka?❌ Dziwna litera z innego alfabetu?❌ Brak „kłódki” ? Nic z tych rzeczy ;-) Przy czym cała ta zawartość została wygenerowana statycznie (jako grafika), przez przestępców, próbujących nas zmylić. Dodatkowo, takiej „pięknej, złotej” kłodki nie przedstawia obecnie żadna przeglądarka. W skrócie, o akcji ostrzega właśnie CERT Orange….

Czytaj dalej »

Rodzina wylądowała w szpitalu. Zakupili książkę o grzybach, która była najpewniej napisana przez AI.

12 września 2024, 10:03 | W biegu | komentarzy 18
Rodzina wylądowała w szpitalu. Zakupili książkę o grzybach, która była najpewniej napisana przez AI.

Wg tej relacji również zdjęcia w książce były wygenerowane przez sztuczną inteligencję. Książka została użyta do identyfikacji grzybów na przechadzce, a po spożyciu rodzina wylądowała w szpitalu z zatruciem. W szczególności w książce można znaleźć takie „kwiatki”: In conclusion, morels are delicious mushrooms which can be consumed from August to…

Czytaj dalej »

Eksfiltracja danych dźwiękiem… monitora – kolejny atak typu side-channel

11 września 2024, 22:41 | W biegu | komentarze 3
Eksfiltracja danych dźwiękiem… monitora – kolejny atak typu side-channel

Ataki “bocznego kanału” (ang. side-channel) wykorzystują nieoczywiste poszlaki do eksploitacji systemu. Czytelnikom znane są pewnie metody ataków wykorzystujące pomiary zużycia prądu procesorów, czasu odpowiedzi aplikacji czy też wykonania poszczególnych niskopoziomowych operacji (np. kryptograficznych). Nieszablonowe techniki ataków typu side-channel opisywaliśmy już nie raz na sekuraku (polecamy ostatni artykuł o Yubikeyach). Tym…

Czytaj dalej »

Przejmują GeoServery, również w Polsce i kopią na nich kryptowalutę. Atakujący uzyskują również zdalny dostęp do serwera.

11 września 2024, 17:55 | W biegu | 0 komentarzy

Uwaga na krytyczną podatność CVE-2024-36401. Luka umożliwia na zdalne wykonanie kodu / poleceń na serwerze i nie wymaga żadnego uwierzytelnienia Sam exploit jest prosty i polega w zasadzie na ustawieniu pewnego parametru w żądaniu HTTP GET lub POST, na wartość: exec(java.lang.Runtime.getRuntime(),’touch /tmp/success2′) A dokładniej wygląda to tak: Atakujący w powyższym…

Czytaj dalej »

Zapraszamy na bezpłatną konferencję Banku Pocztowego. Cyberdojrzali.

10 września 2024, 21:08 | W biegu | 1 komentarz
Zapraszamy na bezpłatną konferencję Banku Pocztowego. Cyberdojrzali.

TLDR: zostaliśmy patronem medialnym wydarzenia Cyberdojrzali. 25 września 2024 r. w Warszawie, w Hotelu Sofitel Warszawa Victoria. Wejście bezpłatne, ale ograniczona liczba miejsc. Zapisy i szczegóły tutaj. Organizator pisze o wydarzeniu w ten sposób: cyberzagrożenia stają się coraz bardziej powszechne i wyrafinowane. Zapewne coraz częściej zdarza się nam odebrać podejrzany…

Czytaj dalej »

Poszukujemy szkoleniowców (szkolenia online, podajemy od razu widełki płacowe: 2kpln / ~2h).

10 września 2024, 12:52 | Aktualności | 1 komentarz
Poszukujemy szkoleniowców (szkolenia online, podajemy od razu widełki płacowe: 2kpln / ~2h).

Szukamy kolejnych trenerów do projektu https://sekurak.academy/ (edycja 2025). Jest to aktualizacja poprzedniego ogłoszenia. Tym razem doprecyzowujemy kilka elementów. Co oferujemy? Jakie obszary nas interesują? (wystarczy, że specjalizujesz się w jednym z tych obszarów) Jakie obszary nas nie interesują? (w tej rekrutacji) Czego oczekujemy? Jak aplikować? Prosimy o wysłanie do nas maila…

Czytaj dalej »