Jeśli ktoś posiadał rolę nauczyciela w Moodle (lub przechwycił takie konto), mógł wykonać swój kod w systemie operacyjnym. Jeśli ktoś nie wie – Moodle to w pewnym uproszczeniu platforma do e-learningu, dostępna z otwartym źrodłem. O popularności rozwiązania niech świadczą te statystyki (130 000 000 użytkowników, …, 900 000 000 quizów)….
Czytaj dalej »
Co dopiero pisaliśmy o kłódce Tapplock, skonstruowanej prawdopodobnie według zasady 'security by marketing’ ;) – a tymczasem pojawiły się nowe rewelacje w tym samym produkcie. Po pierwsze można było otrzymać dostęp do danych osobowych właściciela dowolnej kłódki – wystarczył id użytkownika (id są zwiększane o jeden :) Po drugie –…
Czytaj dalej »
GPG zapewne kojarzy się Wam z popularnym sposobem na szyfrowanie poczty – choć może być również używany w innych zastosowaniach (np. „zwykłe” szyfrowanie pliku). Właśnie ogłoszono podatność Sig Spoof, dotykającą GnuPG, ale też innych pakietów związanych m.in. z szyfrowaniem poczty: thunderbirdowy plugin Enigmail oraz GPGTools. O co chodzi w problemie? (który…
Czytaj dalej »
Chodzi o sieć sklepów z elektroniką należącą do firmy Dixons Carphone. Wyciekło prawie 6 milionów danych kart kredytowych – ale firma pociesza swoich klientów: tylko około 100 000 numerów można potencjalnie wykorzystać do fraudów (nie wyciekły numery CVV). Na dokładkę wyciekły dane osobowe około 1,2 miliona osób. Sprawie już przyglądają…
Czytaj dalej »
Interesujący przykład haktywisty, który właśnie na wielu telewizorach wyświetlił komunikat nawołujący do przekonania swoich przedstawicieli w Europarlamencie do głosowania na „nie” za nową ustawą dotyczącą praw autorskich. Technicznie, do akcji zostały użyte przejęte set-top boksy, do których podłączone są telewizory: Problematyczne są dwa artykuły: 11 – zwany czasem jako „Link…
Czytaj dalej »
Chodzi o możliwość wykonania kodu na komputerze ofiary. Wymagania to fizyczny dostęp do (zablokowanego) komputera. Technicznie hack wygląda w ten sposób.
Czytaj dalej »
Opis problemów z kłódką Taplock. W największym skrócie – mając MAC address interfejsu Bluetooth kłódki (rozgłaszany broadcastem) – można ją otworzyć. Bo właśnie „kluczem” który otwiera kłódkę jest adres MAC i wartości, które z niego zostały wyliczone: Yes. The only thing we need to unlock the lock is to know…
Czytaj dalej »
Ministerstwo Cyfryzacji oraz Centralny Ośrodek Informatyki informują o awarii / niedostępności wielu istotnych serwisów: http://Obywatel.gov.pl , http://Pz.gov.pl , http://Cepik.gov.pl , http://Epuap.gov.pl . Niedostępne są także systemy SRP, CEPiK oraz ePUAP Co ciekawe problem prawdopodobnie istniał już od piątku. Jeden z czytelników pisze do nas: gdy próbowałem wysłać zgłoszenie IOD, dopiero wieczorem udało się…
Czytaj dalej »
Ciekawy wpis pokazujący jedną z metod wyłudzania danych. Na drzwiach mieszkania przyczepiona jest kartka: Nie zastałem nikogo w mieszkaniu. Proszę o pilny kontakt! (tu numer telefonu) I dalej: Okazało się, że kartka to nic innego, jak kolejny sposób na tworzenie baz kontaktów i przeszukiwanie rynku nieruchomości. Dobre paniska, prawda? W końcu…
Czytaj dalej »
W telegraficznym skrócie: Ostrzeżenie o możliwości kradzieży środków przez API działające na porcie 8545 (niedomyślna konfiguracja; „This is not a bug, but a misuse of JSON-RPC.”) Pierwsze próby. Po paru miesiącach: Remember this old twitter we posted? Guess how much these guys have in their wallets? Check out this wallet address https://www.etherchain.org/account/0x957cd4ff9b3894fc78b5134a8dc72b032ffbc464#transactions……
Czytaj dalej »
Smutna historia bociana Kajtka. Najpierw polscy miłośnicy przyrody zamontowali na bocianie nadajnik, aby móc śledzić jego trasy przelotu: Jednak w kwietniu tego roku okazało się, że sygnał z nadajnika nagle się urwał. Może awaria? Nie, okazało się, że ktoś w Sudanie wyciągnął z urządzenia kartę SIM i wydzwonił z niej…
Czytaj dalej »
Jest to wiedza zarówno dotycząca zasadniczych problemów bezpieczeństwa w JWT, przejście po ciekawych podatnościach w bibliotekach. Mamy również dwudziestopunktową checklistę – co sprawdzić w kontekście bezpieczeństwa swojej implementacji.
Czytaj dalej »
Wczoraj zakończyliśmy nasz CTF na konferencji Confidence – który zresztą był jedną z kilku atrakcji które dla Was przygotowaliśmy w trakcie tego wydarzenia. Głównie nastawialiśmy się na transfer wiedzy – a prezentacja Artura Czyża o wysyłce SMSa i jego podmianie (kolejnym SMSem) była tak oblegana, że musieliśmy ją zorganizować po…
Czytaj dalej »
Opis podatności i przygotowania exploita. Jak wiemy antywirusy pracują z pełnymi uprawnieniami w systemie, więc podatności właśnie w nich mogą być wyjątkowo bolesne. Tak właśnie mieliśmy z antywirusowymi produktami F-Secure, gdzie przygotowanie odpowiednio złośliwego pliku RAR wykonywało kod na komputerze ofiary. Autor znaleziska zaprezentował ciekawe demo – okazuje się, że…
Czytaj dalej »
Chodzi o serwis MyHeritage. Umożliwia on m.in. przesłanie próbki DNA, którą to procedurę reklamuje się m.in. tak: Uncover your ethnic origins and find new relatives with our simple DNA test. Sam test kosztuje jedyne $59. Wyciekły dane (adresy e-mail + hashe haseł) wszystkich (92,283,889) użytkowników zarejestrowanych do października 2017 roku:…
Czytaj dalej »
