Aktualności

Podał się za członka zarządu. „Na gębę” przelali mu równowartość około 120 milionów PLN [Nikkei]

02 listopada 2019, 12:00 | W biegu | 0 komentarzy
Podał się za członka zarządu. „Na gębę” przelali mu równowartość około 120 milionów PLN [Nikkei]

Niedawno pisaliśmy o ciekawym przekręcie wykorzystującym automatyczne generowanie głosu na podstawie próbek od ofiary – w tym przypadku „na prezesa” oszukano firmę na ok 1 mln PLN. Na „lewą fakturę” oszukano też nasz rodzimy LOT (ok 2.5 mln PLN – część udało się odzyskać). Tym razem mamy grubszą sprawę, bo…

Czytaj dalej »

Odpoczywasz, a być może w tym momencie atakowany jest Twój QNAP. Tworzą nowy tajemniczy botnet…

01 listopada 2019, 19:14 | W biegu | komentarze 2
Odpoczywasz, a być może w tym momencie atakowany jest Twój QNAP. Tworzą nowy tajemniczy botnet…

O operacji / malware nazwanej QSNATCH doniosła jako pierwsza fińska agencja związana z cyberbezpieczeństwem. Później dołączyły się Niemcy pisząc o 7000 infekcjach dysków sieciowych firmy QNAP tylko w tym kraju: Dokładna metoda infekcji nie jest znana, choć wiadomo że malware ma możliwość wykonywania dowolnego kodu na urządzeniach, wyłącza aktualizacje, kradnie…

Czytaj dalej »

Ktoś rozsyła lewe pisma od Urzędu Patentowego. Można stracić 2000zł

01 listopada 2019, 15:21 | W biegu | komentarzy 5
Ktoś rozsyła lewe pisma od Urzędu Patentowego. Można stracić 2000zł

Pismo jest dość niemal idealna kopią oryginalnego dokumentu (nie zgadza się numer konta na który trzeba wpłacać pieniądze: Skąd wiadomo do jakiej firmy przesłać taki dokument. Otóż okazuje się że: Urząd jest przez prawo zmuszony do publikowania podstawowych informacji o zgłaszanym znaku towarowy. Znajdują się tam również dane zgłaszającego. Zostaje tylko znaleźć…

Czytaj dalej »

Ukradli dane 57 milionów użytkowników Ubera (70 000 z Polski) i wymusili okup $100 000 (pod przykrywką Bug Bounty). Teraz zostali uznani winnymi.

01 listopada 2019, 13:03 | W biegu | 0 komentarzy
Ukradli dane 57 milionów użytkowników Ubera (70 000 z Polski) i wymusili okup $100 000 (pod przykrywką Bug Bounty). Teraz zostali uznani winnymi.

Miało być pięknie, od strony atakujących wszystko legalnie – za obietnicę wykasowania 57 milionów rekordów danych o użytkownikach Ubera mieli otrzymać nagrodę w ramach programu Bug Bounty. Pieniądze te zresztą dostali za pośrednictwem serwisu HackerOne (2016 r.). Nie ma danych – nie ma problemu, wtedy Uber nie poinformował o temacie…

Czytaj dalej »

To zwierze żywi się hashami WPA2… W Polsce ma je 17 użytkowników

01 listopada 2019, 12:33 | W biegu | komentarzy 5

Mowa o Pwnagotchi, które z jednej strony jest bezprzewodowym Bettercapem na sterydach. Z drugiej strony nawiązuje do popularnej niegdyś zabawki Tamagotchi. „Zwierze” nie tylko żywi się złapanymi z sieci handshake-ami WPA2 (można je łamać w trybie offline uzyskując dostęp do klucza do sieci WiFi), ale potrafi działać też dość agresywnie (np. odłączać…

Czytaj dalej »

Migiem aktualizujcie Chrome – po sieci panoszy się aktywnie wykorzystywany 0day

01 listopada 2019, 12:03 | W biegu | 0 komentarzy
Migiem aktualizujcie Chrome – po sieci panoszy się aktywnie wykorzystywany 0day

Informację o nowej wersji przeglądarki oraz podstawowe informacje o zlokalizowanych poważnych błędach podał Google. Błędy są na tyle istotne, że firma na razie nie podaje szczegółów technicznych, zasłaniając się (słusznie) bezpieczeństwem użytkowników: Access to bug details and links may be kept restricted until a majority of users are updated with a…

Czytaj dalej »

Szczytno: skłonił kobietę do założenia konta w bankowości elektronicznej z podpiętym swoim telefonem. Ledwo udało się uratować 800 000zł

30 października 2019, 23:31 | W biegu | komentarzy 5
Szczytno: skłonił kobietę do założenia konta w bankowości elektronicznej z podpiętym swoim telefonem. Ledwo udało się uratować 800 000zł

Dość mocną wręcz historię opisuje Tygodnik Szczytno. Mamy tu przykład oszustwa seniorki metodą na „policjanta”, ale że w akcji była kwota aż 800 000 zł, przestępca użył innego sposobu niż powiedzmy prośba o zapakowanie całej gotówki w reklamówki i wystawienie przed drzwi. Jak więc postanowiono wykraść 800 000 zł? Mężczyzna…

Czytaj dalej »

Burmistrz Aleksandrowa Kujawskiego ma zapłacić 40 000 zł kary za nieprzestrzeganie RODO

30 października 2019, 22:33 | W biegu | komentarzy 7
Burmistrz Aleksandrowa Kujawskiego ma zapłacić 40 000 zł kary za nieprzestrzeganie RODO

Treść decyzji UODO można przeczytać tutaj. W gąszczu informacji mogą zniknąć te najistotniejsze, czyli co było przyczyną nałożenia kary? Po pierwsze brak umów dotyczących powierzenia przetwarzania danych osobowych z firmami obsługującymi strony Urzędu na swoich serwerach: Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji…

Czytaj dalej »

Wyciek z forum prostytutek i ich klientów – hasła przechowywane bcrypt, a i tak udało się dużo z nich złamać!

30 października 2019, 17:28 | W biegu | komentarzy 17
Wyciek z forum prostytutek i ich klientów – hasła przechowywane bcrypt, a i tak udało się dużo z nich złamać!

Wyciek tej jest niby jak każdy inny, ale ma on w sobie kilka elementów wartych uwagi: Dość wrażliwa branża z całkiem pokaźną bazą wyciekniętych kont (prawie 300 000) Do ataku wykorzystano niedawno odkrytą lukę 0-day w vBulletin (czy 1-day), dającą możliwość dostępu na serwer bez uwierzytelnienia (nie było to najczęściej chyba wykorzystywane…

Czytaj dalej »

Szkolenie wprowadzenie do bezpieczeństwa IT – z 50% rabatem dla osób prywatnych i administracji publicznej

30 października 2019, 07:00 | W biegu | komentarze 4
Szkolenie wprowadzenie do bezpieczeństwa IT – z 50% rabatem dla osób prywatnych i administracji publicznej

W skrócie, zobaczcie na to szkolenie wprowadzające do tematyki bezpieczeństwa IT (2 dni, praktyczne pokazy). Na najbliższą edycję (Warszawa, 05-06.11.2019) możecie się zapisać korzystając aż z 50% rabatu (cena to 999 PLN netto), jeśli spełnicie dowolny z dwóch warunków poniżej: Skondensowane informacje o szkoleniu można znaleźć tutaj (ulotka idealna np….

Czytaj dalej »

Pegasusa używano do ataku na 1400 telefonów, korzystając z luki w WhatsApp. Facebook uruchamia pozew sądowy przeciwko NSO

29 października 2019, 22:23 | W biegu | komentarze 4
Pegasusa używano do ataku na 1400 telefonów, korzystając z luki w WhatsApp. Facebook uruchamia pozew sądowy przeciwko NSO

O sytuacji pisze Finantial Times, a alertuje dodatkowo @prywatnik. Na celowniku było około 1400 telefonów, a celem byli głównie dziennikarze oraz obrońcy praw człowieka: WhatsApp said it spent six months investigating the breach, discovering that attackers had used its service to target about 1,400 phones over a two-week period this…

Czytaj dalej »

Microsoft: jak Rosjanie przygotowują się do Igrzysk 2020? Np. hackując organizacje antydopingowe

29 października 2019, 19:47 | W biegu | komentarze 3
Microsoft: jak Rosjanie przygotowują się do Igrzysk 2020? Np. hackując organizacje antydopingowe

Mowa o grupie STRONT, zwanej też jako Fancy Bear/APT28. Jeśli ktoś chce zerknąć na przykładową akcję hakerską organizowaną przez tę grupę, niech zerknie tutaj: „Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!„. W każdym razie Microsoft donosi: At least 16 national and international sporting…

Czytaj dalej »

Książka sekuraka – pełen 13-stronicowy spis treści.

29 października 2019, 09:17 | W biegu | komentarze 2
Książka sekuraka – pełen 13-stronicowy spis treści.

Mowa o książce „Bezpieczeństwo aplikacji webowych„, której w ramach przedsprzedaży sprzedaliśmy około 3900 sztuk, w niecały miesiąc. Książka jest idealna dla osób, które chcą „coś” wiedzieć o bezpieczeństwie aplikacji webowych (programistów, testerów), ale też dla doświadczonych pentesterów – obiecujemy, że ci ostatni też poznają sporo ciekawych smaczków ;-) Tak czy…

Czytaj dalej »

Shark Jack – lepiej żebyś nie zobaczył tego urządzenia w swoim gniazdku sieciowym…

29 października 2019, 08:39 | W biegu | komentarzy 12
Shark Jack – lepiej żebyś nie zobaczył tego urządzenia w swoim gniazdku sieciowym…

Hak5 udostępniło kolejny ciekawy produkt nadający się idealnie do fizycznych testów bezpieczeństwa. Przechodzimy korytarzem, wpinamy Shark Jacka do gniazdka sieciowego. Jeśli wszystko gra (przede wszystkim urządzenie dostanie adres IP), możemy już zdalnie buszować po sieci: Do urządzenia zapewniony jest dostęp przez appkę mobilną, choć możemy użyć również po prostu ssh:…

Czytaj dalej »