Aktualności

HashiCorp Vault to popularne, otwartoźródłowe narzędzie do zarządzania poufnymi danymi, takimi jak klucze API, certyfikaty, hasła czy tokeny. Z racji przechowywanych danych, Vault jest cennym celem dla włamywaczy – uzyskanie dostępu do Vault pozwala na dostęp do wszystkich usług, do których sekrety są w nim przechowywane. TLDR: Badacze z firmy Cyata…

Badacze z firmy ESET informują, że podatność oznaczona symbolem CVE-2025-8088 jest aktywnie wykorzystywana przez powiązaną z Rosją grupę RomCom. Opisywana podatność została załatana w wersji WinRAR 7.13 i dotyczy wyłącznie systemów Windows. TLDR: Podatność wykorzystuje ADS systemu NTFS (ang. Alternate Data Streams, de facto Tomek Turba wskazywał ten problem na poprzednim Mega Sekurak Hacking…

W maju 2023 roku na Mega Sekurak Hacking Party odbyła się prelekcja Jak wygrywać CTF-y, przygotowana przez Gynvaela Coldwinda. Wykład otrzymał od głosujących maksymalną ocenę 5.0 za poziom merytoryczny! Za jedyny minus wszyscy zgodnie uznali to, że było… za krótko! 😊 20 sierpnia (online, godz. 18:00) powracamy z nową, rozszerzoną…

StarCraft: Brood War i jego następca StarCraft 2 to ikony gatunku RTS (strategii czasu rzeczywistego) oraz jedne z najważniejszych gier komputerowych w historii, które od dekad cieszą się aktywną społecznością i profesjonalną sceną e-sportową. Jednak StarCraft 2 stoi obecnie przed poważnymi problemami, które zagrażają jego dalszemu rozwojowi i funkcjonowaniu gry….

Producenci sprzętu sieciowego trafiają na łamy sekuraka stosunkowo często. Tym razem jednak nie informujemy o nowej podatności, a o wycieku informacji ze strony cisco.com. W przytoczonej publikacji prasowej, firma informuje o tym, że atakujący przy pomocy vishingu uzyskał dostęp do zewnętrznego systemu CRM (Customer Relationship Management). W wyniku analizy przeprowadzonej…

OpenAI poinformowało, że usunęło funkcję z ChataGPT, która umożliwiała użytkownikom zezwolenie na indeksowanie ich publicznych rozmów w wyszukiwarkach. Firma twierdzi, że był to krótkotrwały „eksperyment’” i wycofali się z niego po zauważeniu przypadków niezamierzonego dzielenia się, czasem mocno prywatną, korespondencją. Firma poinformowała również, że pracują nad usunięciem rozmów zaindeksowanych do…

Chemia, gra survivalowo-craftingowa stworzona przez studio Aether Forge Studios do niedawna dostępna jako early access na Steamie, została zainfekowana infostealerem. Według firmy zajmującej się analizą zagrożeń Prodaft, początkowy incydent miał miejsce 22 lipca, kiedy to grupa hackerska EncryptHub dodała do plików gry złośliwe oprogramowanie HijackLoader (plik CVKRUTNP.exe), które zapewnia przetrwanie infekcji…

Pytania o to, jak wygląda praca w ITsec i jak ją rozpocząć, padają w naszym kierunku bardzo często. Między innymi dlatego 24 lipca zorganizowaliśmy otwarte wydarzenie Zawód: pentester, podczas którego CISO Securitum – Maciej Szymczak i Tomek Turba, opowiadali o tym, jak wygląda praca pentestera, od czego zacząć, czego unikać…

Wielu z nas słyszało ostrzeżenia dotyczące zagrożeń płynących z podłączania telefonów do niezaufanych ładowarek. Dla przypomnienia, wykorzystywany był tam fakt posiadania przez smartfony tego samego złącza i do ładowania, i transferu danych. W związku z tym podłączenie kabla, który miał być podłączony do ładowarki, mogło prowadzić do umożliwienia transferu danych…

Nie raz wspominaliśmy na łamach sekuraka, o sukcesach polskich zespołów na światowej scenie konkursów Capture the Flag. Ostatnio informowaliśmy i zapraszaliśmy na CTF organizowany w ramach kwalifikacji do polskiego zespołu, który weźmie udział w zmaganiach na ECSC 2025. W tym roku, tak samo jak w zeszłym, chcielibyśmy zachęcić do gry w…

W wtorek Apple wypuściło łatkę bezpieczeństwa na wszystkie swoje urządzenia. Poprawki objęły podatność CVE-2025-6558 wykorzystywaną jako zero-day w przeglądarce Google Chrome. Luka znajdowała się w kodzie open-source WebKit, który jest wykorzystywany również w Safari. Temat poruszaliśmy w jednym z ostatnich artykułów, ale dla przypomnienia błąd dotyczył niewystarczającej walidacji niezaufanych danych wejściowych…

Cześć obecni i przyszli „bezpiecznicy”! Konkretna ekipa sekuraka ponownie rusza w Polskę! Sekurak Hacking Party odwiedzi tym razem miasto Gdańsk.  Zapomnijcie o nudnych pokazach slajdów. SHP to krótkie, intensywne imprezy, podczas których ekipa etycznych hackerów z sekuraka pokaże Wam, jak przechytrzyć cyberprzestępców. Będzie również możliwość pogadania i zbicia piątek! Wszystko…

Rumuńska firma Bitdefender opublikowała broszurę, w której informuje o załatanych niedawno podatnościach odnalezionych w kamerach chińskiego producenta Dahua. Badacze zaznaczają, że podczas wewnętrznego audytu firmy wytwarzającej te kamery ujawniono dłuższą listę podatnych urządzeń. Użytkownicy modeli: oraz (wszystkie firmware wydane przed 16.04.2025) powinni jak najszybciej dokonać aktualizacji urządzeń.  Wykryte podatności to…

Niedawno pisaliśmy o różnych aspektach bezpieczeństwa rozwiązania MCP. Jednak to nie wszystkie zagrożenia, z którymi muszą mierzyć się inżynierowie wdrażający rozwiązania oparte o AI. W przypadku dużych dostawców oczekiwania rozbudowy funkcjonalności są spore. Brak odpowiedniego modelowania zagrożeń, może okazać się krytyczny z punktu widzenia bezpieczeństwa. Badacze z Eye Research opisali…

Proton, znany z takich usług jak Proton Mail czy Proton VPN, zaprezentował nowy produkt: Lumo, narzędzie AI zaprojektowane z myślą o pełnej ochronie danych. Firma podkreśla, że Lumo nie przechowuje żadnych logów konwersacji po stronie serwera, nie wykorzystuje promptów użytkowników do trenowania modeli AI, stosuje szyfrowanie typu zero‑access, dzięki czemu nawet Proton…