Aktualności

Boisz się, że ktoś weźmie kredyt na Twoje dane? BIK daje bezpłatnie na 3 miesiące usługę alert kredytowy

07 maja 2020, 10:34 | W biegu | komentarzy 20
Boisz się, że ktoś weźmie kredyt na Twoje dane? BIK daje bezpłatnie na 3 miesiące usługę alert kredytowy

Schemat jest prosty. Ktoś w jakiś sposób pozyskuje Wasze dane i np. wykonuje dowód kolekcjonerski. Dalej może spróbować wziąć kredyt na Wasze dane (czasem tych kredytów jest kilka). Kiedy się o nim dowiecie? Zazwyczaj jak do Waszych drzwi zapuka komornik. Możemy o próbie oszustwa dowiedzieć się wcześniej. Banki czy inne firmy pożyczkowe…

Czytaj dalej »

Nowe kampanie atakujące e-commerce. Tym razem skimmer wykradający dane kart płatniczych klientów ukryty w… niewinnym faviconie.

06 maja 2020, 21:49 | W biegu | komentarze 2
Nowe kampanie atakujące e-commerce. Tym razem skimmer wykradający dane kart płatniczych klientów ukryty w… niewinnym faviconie.

Ciekawe badanie opisuje Malwarebytes. Zaczęło się od tego, że namierzono domenę myicons[.]net, z której favicony pobierało sporo sklepów bazujących na Magento: While reviewing our crawler logs, we noticed requests to a domain called myicons[.]net hosting various icons and, in particular, favicons. Several e-commerce sites were loading a Magento favicon from…

Czytaj dalej »

Za pomocą MMS-ów można przejąć wszystkie telefony Samsunga wyprodukowane od 2015 roku! W akcji nasz rodak j00ru

06 maja 2020, 20:06 | Aktualności | komentarzy 20
Za pomocą MMS-ów można przejąć wszystkie telefony Samsunga wyprodukowane od 2015 roku! W akcji nasz rodak j00ru

Zobaczcie tutaj: Today I’m happy to release new research I’ve been working on for a while: 0-click RCE via MMS in all modern Samsung phones (released 2015+), due to numerous bugs in a little-known custom „Qmage” image codec supported by Skia on Samsung devices. Exploita nie wymagającego żadnej interakcji ofiary…

Czytaj dalej »

Atakowanie i ochrona JWT (JSON Web Token) / problemy bezpieczeństwa Firebase – zapraszamy na prezentacje od sekuraka

06 maja 2020, 12:25 | W biegu | 0 komentarzy
Atakowanie i ochrona JWT (JSON Web Token) / problemy bezpieczeństwa Firebase – zapraszamy na prezentacje od sekuraka

Na 26.05.2020 mamy zaplanowane kolejne remote Sekurak Hacking Party, gdzie pojawią się dwie praktyczne prezentacje jak w tytule. Przypominamy, że istnieje możliwość zakupów biletów abonamentowych (wszystkie rSHP do końca lipca + dostęp do archiwum rSHP). Taki bilet od razu da wstęp na rSHP ósmego maja. Agenda rSHP 26.05.2020 (start o 20:00)…

Czytaj dalej »

Facebookowy konkurs – można „wygrać” telefon a raczej zasubskrybować „usługę wygrania” – za 70 EUR miesięcznie

06 maja 2020, 11:15 | W biegu | komentarze 3
Facebookowy konkurs – można „wygrać” telefon a raczej zasubskrybować „usługę wygrania” – za 70 EUR miesięcznie

Jeden z czytelników podesłał nam informację o akcji promowanej na polskim koncie FB mającym ćwierć miliona polubień, a polegającą na czyszczeniu magazynów (wiadomo, COVID ;-) Można wygrać telefon. No dobra, może nie wygrać a kupić za jedyne 1.5 EURO: Farming danych osobowych? Zapewne. Dalej dostępna jest (szemrana choć z kłódką…

Czytaj dalej »

remote Sekurak Hacking Party już za kilka dni

06 maja 2020, 09:53 | W biegu | komentarze 2
remote Sekurak Hacking Party już za kilka dni

Tym razem na remote Sekurak Hacking Party w trakcie dwóch godzin opowiemy o takich tematach: Łamanie / odzyskiwanie haseł do nietypowych miejsc (np. volumeny Veracrypt, pliki managerów haseł, inne popularne archiwa)  Kradzież tokenów do resetu hasła przez nagłówek Host – studium przypadku VPN ninja – czyli konfiguracja VPNów w praktyce…

Czytaj dalej »

Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]

05 maja 2020, 22:41 | W biegu | 0 komentarzy
Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]

Uff, prawie całego newsa udało mi się zmieścić w tytule ;-) W każdym razie historia jest na pewno pouczająca. Po co ktoś ma stosować jakieś zaawansowane hacki, super phishingi obchodzące 2FA czy inne ekwilibrystyki? Wystarczy czasem przekupić (być może niezbyt hojnie opłacanego) pracownika z supportu. Może „na chwile” przekaże swój…

Czytaj dalej »

Firefox 76 informuje, jeśli serwis który odwiedzasz miał wyciek

05 maja 2020, 20:32 | W biegu | 1 komentarz
Firefox 76 informuje, jeśli serwis który odwiedzasz miał wyciek

Nowe wydanie FF jest niemal zupełnie skupione na ciekawostkach z obszaru zarządzania hasłami. Po pierwsze mamy lepszą integrację systemem Firefox Monitor (współpracującym z haveibeenpwned). Jeśli odwiedzamy serwis, który niedawno miał wyciek otrzymamy tego typu komunikat: Spore zmiany mamy również w managerze haseł Lockwise. Po pierwsze mamy możliwość wygenerowania hasła podczas tworzenia konta…

Czytaj dalej »

Rządowa aplikacja ProteGo Safe będzie jednak zdecentralizowana oraz wykorzysta API Google/Apple. Co to oznacza dla użytkownika?

05 maja 2020, 19:13 | W biegu | komentarzy 6
Rządowa aplikacja ProteGo Safe będzie jednak zdecentralizowana oraz wykorzysta API Google/Apple. Co to oznacza dla użytkownika?

Historię samej aplikacji w kontekście rozwoju/bezpieczeństwa/prywatności można zobaczyć w nowo założonej sprawie – tutaj. Chyba najważniejszą informacją jest docelowe przejście do modelu zdecentralizowanego i używanie mocno restrykcyjnego API od Apple/Google, co należy traktować jako krok w dobrą stronę. Tutaj po raz kolejny wyjaśniamy działanie tego tajemniczego „API”. Z jednej strony iPhone-y/telefony…

Czytaj dalej »

Wyciek pakietu wyborczego w „jakości poligraficznej”. Takie fejki można organizować za trzy złote

05 maja 2020, 15:50 | W biegu | komentarze 4
Wyciek pakietu wyborczego w „jakości poligraficznej”. Takie fejki można organizować za trzy złote

Wiele mediów alarmuje o wycieku pdfa z pakietem wyborczym dostępnym do pobrania z domeny s3.bialystok.pl. Czy to rzeczywiście wyciek? Nie bardzo. Otóż każdy może zarejestrować poddomenę *.bialystok.pl, cena nie jest wygórowana (a pewnie można znaleźć tańsze oferty ;), a dostępność duża, np.: Po wykupieniu poddomeny można serwować tam już dowolną…

Czytaj dalej »

Jak wejść w tematykę bezpieczeństwa aplikacji WWW? Kup książkę sekuraka, szkolenie dostaniesz gratis!

05 maja 2020, 13:39 | Aktualności | komentarzy 39
Jak wejść w tematykę bezpieczeństwa aplikacji WWW? Kup książkę sekuraka, szkolenie dostaniesz gratis!

Dla przypomnienia – nasza książka o bezpieczeństwie aplikacji webowych to świeże, blisko 800-stronicowe kompendium w temacie. Zdecydowanie nadaje się ona również do rozpoczęcia swojej przygody z bezpieczeństwem aplikacji (około 200 stron stanowią rozdziały wprowadzające). Udostępniamy też darmowe dwa rozdziały: wprowadzenie do protokołu HTTP oraz podatność XSS. Do tej pory sprzedało się…

Czytaj dalej »

Darmowy kurs o bezpieczeństwie IT dla instytucji samorządowych/rządowych/edukacyjnych/związanych z ochroną zdrowia/służb mundurowych.

05 maja 2020, 11:33 | W biegu | 0 komentarzy
Darmowy kurs o bezpieczeństwie IT dla instytucji samorządowych/rządowych/edukacyjnych/związanych z ochroną zdrowia/służb mundurowych.

Szkolenie o podstawach bezpieczeństwa kierowane jest przede wszystkim do osób z IT (choć mniej techniczni zapewne również skorzystają – będzie masa pokazów praktycznych :) Zdalne szkolenie startuje 13. maja o godzinie 11:00 i trwa około trzy godziny (formularz zapisu oraz agenda znajdują się poniżej). Jeśli macie znajomych z branż jak…

Czytaj dalej »

Wyciekło prawie 8 miliardów rekordów danych z francuskiego Le Figaro. Maile, dane diagnostyczne, hasła w MD5 i plaintext (!). Dotknięci subskrybenci oraz dziennikarze

04 maja 2020, 21:56 | W biegu | 0 komentarzy

Winowajcą jest ponownie nasz dobry znajomy – zupełnie niezabezpieczony Elasticsearch, dostępny do Internetu. Tym razem badacze zlokalizowali bazę zawierającą zarówno dane użytkowników/dziennikarzy jak i masę danych diagnostycznych. Wśród danych osobowych można było znaleźć: Emaile Imiona/Nazwiska Fizyczne adresy Hasła dla nowych użytkowników (w formie jawnej (!) oraz w formie MD5) Adresy IP…

Czytaj dalej »

Google i Apple na twardo zablokują geolokalizację w aplikacjach pokazujących ekspozycję na koronawirusa

04 maja 2020, 20:58 | W biegu | komentarze 3
Google i Apple na twardo zablokują geolokalizację w aplikacjach pokazujących ekspozycję na koronawirusa

O tym fakcie donosi Reuters. O aplikacjach i różnych modelach podejścia do badania ekspozycji na koronawirusa za pomocą aplikacji pisaliśmy niedawno. Wokół tematu nowych funkcji zapewnianych przez Apple/Google narosło też wiele nieporozumień, więc kilka słów dodatkowego wyjaśnienia. Na początek firmy udostępniają API (czyli w pewnym uproszczeniu zestaw funkcji dostępnych z…

Czytaj dalej »