W biegu

Podatność o ksywce YellowKey wygląda mniej więcej tak: Kluczem jak widzicie są te specyficzne pliczki, które trzeba umieścić na swoim “hackerskim” pendrive, a które Windows interpretuje w ten sposób że daje dostęp do danych zabezpieczonych BitLockerem. Co ciekawe, po restarcie, który wspominam powyżej, pliczki z pendrive… znikają. Część osób sugeruje,…

Gość, który pokazał jakiś czas temu jak zdalnie oglądać kamery z robotycznych odkurzaczy DJI, tym razem zabrał się za elektroniczne niańki. Efekt? Mógł oglądać obrazy z kamer 1,1 miliona wideonianiek na całym świecie (też w Polsce). Schemat podatności był podobny jak w przypadku odkurzaczy – czyli serwer MQTT (kolejkowy) był…

Twórcy popularnego menadżera pobierania plików – JDownloader poinformowali o naruszeniu bezpieczeństwa swojej witryny internetowej. Atakującym udało się uzyskać nieautoryzowany dostęp do systemu zarządzania treścią (CMS), w wyniku czego linki prowadzące do niektórych instalatorów zostały podmienione na zainfekowane binarki.  TLDR: W przypadku systemu Windows incydent dotyczył wyłącznie linków Download Alternative Installer,…

Badacze z Guardio odkryli atak phishingowy na użytkowników Facebooka. A właściwie całą serię różnych ataków, w których sprytnie wykorzystano nieszkodliwe i wiarygodne narzędzia/usługi takie jak Netlify, Vercel, Canva i AppSheet. TLDR: Wszystko zaczynało się od maila, którego otrzymało wielu właścicieli kont Facebook Business: “Your Facebook account has been flagged for…

Wstęp W poprzednim artykule przyjrzeliśmy się parserowi JSONata — narzędziu, które dobrze sprawdza się tam, gdzie odpowiedzi z API Zabbixa wymagają czegoś więcej niż prostego filtrowania i projekcji pól. Pozwala ono zamknąć dość złożoną logikę w jednym miejscu, kosztem nieco trudniejszej składni. JSONata nie jest jednak jedynym sposobem na przetwarzanie…

Linus przy przy okazji publikacji kolejnego wydania jądra (7.1 RC4), odniósł się do zgłaszania podatności w jądrze przy użyciu narzędzi AI: Linus stwierdził, też że nie ma sensu traktować takich zgłoszeń jako “poufne” (jak to normalnie bywa ze zgłoszonymi podatnościami – zanim zostanie wydana łatka). To ułatwi koordynację pomiędzy różnymi…

Jak mawiają – jeden obraz wart jest więcej niż 1000 słów. Zatem obraz: Jak się domyślacie, ta informacja miała być przesłana w wiadomości prywatnej do pana Marszałka. Ale jakoś tak przypadkiem została opublikowana na facebookowym wallu (czyli publicznie była dostępna dla wszystkich). Smaczku dodaje to, że jak donosi Gazeta Wyborcza,…

Jeśli ktoś chce szybko nadrobić zaległości w temacie ostatnich ataków supply chain, to polecam spojrzeć tutaj (Axios), tutaj (Shai-Hulud), tutaj (Bitwarden Cli) czy tutaj (Mini Shai-Hulud – kampania która uderzyła w OpenAI). W każdym razie OpenAI informuje, że atakujący zaczęli wykradać dane logowania z zainfekowanych komputerów oraz uzyskiwać dostęp do…

Luka jest aktywnie wykorzystywana i dotyczy OWA (Outlook Web Access). Microsoft opisuje scenariusz ataku: ℹ️ Atakujący wysyła do ofiary odpowiednio spreparowanego mailaℹ️ Ofiara otwiera maila w przeglądarce webowej (tj. w OWA)ℹ️ Po wykonaniu pewnej akcji (np. najechaniu na jakiś element), po cichu wykonuje się kod JavaScript w przeglądarce ofiary [czyli mamy…

Zauważyliście, że w ostatnim czasie w Internecie nagle zrobiło się pełno “specjalistów od OSINT-u”? Konflikty zbrojne czy większe (lub mniejsze) afery przyciągają takie osoby, jak ćmy do ognia. Fachowcy “od wszystkiego” dziś nagrywają 60-sekundowe filmiki i popełniają pełne wyższości wpisy na X, jak “rozpracowali Kreml” i “kto wygrywa wojnę na…

Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w…

W dniach 20–21 maja zapraszamy na OSTATNIĄ edycję legendarnego szkolenia, które wychowało niejednego bezpiecznika: Wprowadzenie do bezpieczeństwa IT… …ostatnią w takiej formule, czyli dwóch dni intensywnego szkolenia. Dlaczego to szkolenie może mieć wpływ na Twoją karierę? Szkolenie jest idealne dla wszystkich, którzy chcą wejść w świat cyberbezpieczeństwa, poznać kluczowe pojęcia…

Badacze bezpieczeństwa z LayerX ujawnili kampanię obejmującą co najmniej 12 rozszerzeń do przeglądarek Chrome i Edge, które pod pozorem narzędzi do pobierania nagrań wideo z TikToka, zbierają dane o urządzeniach użytkowników. Dodatkowo dynamicznie pobierają konfigurację, dzięki czemu potencjalnie możliwe jest wprowadzanie zmian w działaniu wtyczki bez konieczności publikowania nowych wersji….

W 2023 roku około 59% publicznych serwerów pocztowych to właśnie Exim. Właśnie załatano oraz opublikowano szczegóły podatności o ksywce Dead Letter, dzięki której atakujący mogą wykonywać kod na serwerze (RCE), bez uwierzytelnienia, w pełni zdalnie. Luka CVE-2026-45185 otrzymała “wycenę” 9.8/10 w skali CVSS. Podatne są Eximy w wersjach od 4.97…

Daniel Stenberg uzyskał dostęp do Mythosa, który jeszcze nie jest dostępny publicznie. Nie jest dostępny publicznie, a media ochoczo podchwyciły narrację kolportowaną przez Anthropic. “To model AI, który jest zbyt niebezpieczny żeby go udostępnić publicznie”. No więc Mythos mielił, mielił i mielił 178 tysięcy linijek kodu curla. Ostatecznie znalazł pięć…