Ktoś zlokalizował konto admin@kremlin.ru w około 2 tysiącach baz MongoDB, które dostępne były (są) bez żadnych zabezpieczeń do Internetu. Konto znalazło się głównie w organizacjach w jakiś sposób związanych z Rosją. Od rosyjskiego Disneya, przez banki, aż po bazę ukraińskiego ministerstwa spraw wewnętrznych, w której wg doniesień przechowywano dane dotyczące…
Czytaj dalej »
Klonowanie to może niezbyt dokładny opis sytuacji, chodzi o technikę SIM swap, czyli z pozoru niewinną operację (halo halo, czy tu mój operator telco?, zgubiłem kartę SIM, ale chciałbym odzyskać swój numer, przypiszcie go do nowej karty). Teraz atakujący może np. odbierać SMS-y ofiar, którymi z kolei często wysyłane są…
Czytaj dalej »
Wyniki z naszego profilu FB (głosowało około 3000 osób) Wyniki z Twittera (głosowało 308 osób): Celowo nie pisaliśmy co wg nas oznacza 'cyberatak’. Bardziej chodziło o wrażenie przekazane przez naszych czytelników. Może wszyscy jesteśmy bardzo świadomi? Albo zbyt paranoiczni? Niektórzy wskazywali, że ciężko znaleźć w Polsce jakąś sensowną analizę ryzyka: czym może…
Czytaj dalej »
Akcja dzieje się na Węgrzech. Oskarżony najpierw zgłosił „poważną podatność” w stronie webowej największego węgierskiego operatora telekomunikacyjnego, po czym zgłosił ją do firmy. Z jednej strony firma zaprosiła go na spotkanie z wizją dalszej współpracy, ale sam hacker na miejscu miał wrażenie że nikomu nie zależy na załataniu dziur. W…
Czytaj dalej »
Jeden z szefów IT chińskiego banku zauważył ciekawą właściwość. Wypłaty gotówki nie były odnotowywane z logach w okolicach północy: Qin Qisheng, 43, a former manager in Huaxia Bank’s technology development centre in Beijing, spotted a loophole in the bank’s core operating system that meant cash withdrawals made around midnight were…
Czytaj dalej »
Największa giełda kryptowalut w Kanadzie (QuadrigaCX) nie ma dostępów do zdeponowanych kryptowalut klientów – szacunki ich wartości to około $180-190 milionów dolarów kanadyjskich. Co się wydarzyło? W skrócie – środki trzymane były w tzw. zimnym portfelu, do którego miał dostęp tylko szef firmy, który zmarł (firma dostarczyła certyfikat śmierci). Wprawdzie…
Czytaj dalej »
Jakiś czas temu mieliśmy aferę z wyciekiem danych kont użytkowników z jednej z firm umożliwiających poznanie swojego genetycznego pochodzenia. Tym razem Bloomberg donosi, że usługa FamilyTreeDNA mająca w swojej bazie setki milionów próbek DNA ludzi (firma była jedną z pierwszych, która zaczęła świadczyć tego typu usługi na świecie) dała dostęp do…
Czytaj dalej »
W największym skrócie, można do dokumentu wstawić „zwykły” hiperlink i zdefiniować w zdarzeniu mouseover uruchomienie skryptu Python. W źródle pliku ODT (dokładniej w jednym z plików, który znajduje się w ODT) mamy wtedy tego typu kod Z racji, że interpreter Pythona jest instalowany razem z LibreOffice, autor badania przygotował dokument…
Czytaj dalej »
Czy widzieliście kiedyś na żywo podsłuch klawiatury bezprzewodowej? Tak, często da się to zrobić i to dla uznawanych na rynku producentów. Taki przykład pokażemy na żywo w ramach naszego mega sekurak hacking party: wstęp teoretyczny prezentacja sprzętu kosztującego około 120 PLN który umożliwia tego typu zabawy konkretna klawiatura znanego producenta…
Czytaj dalej »
SMS jako drugi czynnik uwierzytelniający transakcję w banku. To w zasadzie standard, który z kolejnymi latami okazuje się mniej odporny na ataki. Jednym z ataków jest tzw. SIM swap, inny – to wykorzystanie słabości protokołu SS7. Tego typu atak na sieć telekomunikacyjną potwierdzono właśnie w Wielkiej Brytanii. Celem był Metro Bank…
Czytaj dalej »
Można już przeszukiwać bazę pod względem wycieku kont w tzw. kolekcjach #2-#5 – jak na razie nie znajdziecie tej ogromnej bazy w zasobach haveibeenpwned. Może więc warto zamówić raport dla swojego adresu e-mail? Linkowana baza zawiera przeszło 8 miliardów kont z ponad 800 wycieków. –ms
Czytaj dalej »
To premiera sekurakowego 300ml kubka: Ma on 300 ml i w ceramiczny sposób wypalonego sekuraka :) (nie znamy dokładnie nazwy tej techniki) Jak go zdobyć? Pierwsze 20 osób, które napiszą na szkolenia@securitum.pl + krótkie info (min. 2 zdania ;) skąd dowiedzieli się o sekuraku -> dostaną kubek bezpłatnie – przesyłka…
Czytaj dalej »
Firefox stawia na prywatność, w wersji 65 mamy dostępnych kilka ciekawostek chroniących nas przed nieprzyjaznym wzrokiem twórców witryn webowych. Po pierwsze możemy ustawić tryb 'strict’ jeśli chodzi o podejście do blokowania rozmaitych trackerów (to przygotowanie przed planowanym włączeniem domyślnie mocno restrykcyjnych blokad, m.in. uniemożliwiających w założeniu śledzenie użytkownika podczas jego…
Czytaj dalej »
Facetime to wygodna funkcja dostępna domyślnie w urządzeniach Apple – od telefonów po laptopy. Umożliwia ona zarówno połączenia wideo jak i czyste audio (Facetime audio). Świetną rzeczą jest na pewno szyfrowanie takich rozmów w trybie end-end, a całość wymaga jedynie dostępu do Internetu (koszty rozmów w „dziwnych” krajach!). A teraz…
Czytaj dalej »
Sam swojego rodzaju market sprzedający usługi testów wydajnościowych (czytaj DDoS), został „zwinięty” przez odpowiednie służby w zeszłym roku: webstresser.org is believed to have been the world’s biggest marketplace to hire DDoS services, having helped launched over 4 million attacks for as little as € 15.00 a month. Teraz Europol idzie…
Czytaj dalej »
