Aktualności

Szokuje Was kwota, którą można wyłudzić od łatwowiernych ofiar, odpowiednie spreparowaną gadką? Zobaczmy najpierw „gadkę”: Po krótkiej znajomości mężczyzna zwrócił się z prośbą o pomoc, która polegać miała na umożliwieniu mu powrotu z Syrii do rodzinnego kraju. Problemem miał być brak możliwości zarządzania własnymi pieniędzmi, które zgromadził na koncie. Kobieta…

Wracamy do naszego znanego i lubianego cykl tekstów na sekuraku: czwartki z OSINT-em. TLDR: co tydzień, w czwartki będziemy publikować nowy tekst autorstwa Krzyśka Wosińskiego – dzisiaj część pierwsza (tak, piątek… :-). Przy okazji – jeśli nie chcesz przegapić żadnego odcinka, zapisz się poniżej (okazyjnie możemy Ci też podsyłać inne…

Tym razem ciekawa podatność ze świata webowego. Jeden z klientów Stripe otrzymał całkiem niezłą promocję – całkowity brak opłat od transakcji, ale tylko dla sumarycznej kwoty transakcji do $20000. Postanowił zaakceptować taką ofertę (przesłaną przez Stripe) ale jednocześnie przechwycić żądanie HTTP z przeglądarki za pomocą narzędzia Burp Suite. Następnie badacz…

Pełna praca dostępna jest w tym miejscu (Drone Security and the Mysterious Case of DJI’s DroneID). W skrócie: DJI udostępnia (tj. sprzedaje) służbom – np. analizującym przestrzeń powietrzną w okolicach lotnisk – urządzenie o nazwie AeroScope. Ma ono możliwość namierzania dronów (oraz ich operatorów). Jak to działa? Po badaniach okazało…

Od pewnego czasu prosiliście nas o wspólny event z VMware związany z obsługą ostatnich incydentów ransomware atakujących systemy ESXi (również w Polsce). Słuchamy Was, więc już 9 marca o godzinie 19:00, robimy wspólnie live streama 😊 Spotkanie robimy w modelu „płać ile chcesz”. Możecie wbić całkowicie za darmo, ale każde wsparcie…

Stosowna ustawa przeszła właśnie na drodze procedowania na kolejny poziom (dzisiaj pojawiły się stosowne dokumenty do wglądu) i najpewniej za moment trafi do Sejmu. Sama ustawa „o aplikacji mObywatel” jest dość żmudną lekturą, ale rząd przygotował nam TLDR, dostępny tutaj. Z najważniejszych elementów, które zapewnia procedowana ustawa: Jak widać nie…

Eset przedstawił analizę malware BlackLotus. To złośliwe oprogramowanie potrafi odpalić się we wczesnej fazie bootowania systemu, co z kolei umożliwia na ominięcie wielu standardowych metod ochrony oferowanych przez system operacyjny / hardware: However, running as a bootloader gives them almost the same capabilities as firmware implants, but without having to…

Drastyczna historia z końca lutego tego roku opisywana jest w tym miejscu. Przestępcy porwali auto z dwuletnim dzieckiem; matka zdążyła zadzwonić na policję, która natychmiast zareagowała dzwoniąc do Volksvagenowego Car-Net z prośbą o pilne zlokalizowanie samochodu. Co się wydarzyło później? Niestety doszło do opóźnienia, ponieważ volkswagenowy Car-Net stwierdził, że nie…

Na naszej grupie Sekurak na Facebooku jeden z naszych Czytelników zadał pytanie, jak to możliwe, że mając uwierzytelnianie dwuskładnikowe 2FA, ktoś był w stanie zhakować i przejąć strony, którymi zarządzał. Niestety jest kilka możliwych scenariuszy, które przedstawiamy poniżej. Zacznijmy od początku Zaczęło się od powiadomienia na Facebooku, że zaproszenie do…

Bank od dłuższego czasu pracował nad wprowadzeniem tego mechanizmu dwuczynnikowego logowania do bankowości elektronicznej: Obecnie wszystko wskazuje na to, że prace dobiegają końca i w okolicach Q2/Q3 2023 roku całość będzie gotowa. Bank w ten sposób odpowiedział na pytanie serwisu Cashless: Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego…

Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu). W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników: hacker zaatakował jednego z czterech inżynierów DevOps,…

Z geotrackerami jest jeden problem – mogą one być również używane do niezbyt chwalebnych celów – np. bywają pomocne w stalkowaniu osób czy kradzieży samochodów: Apple w swoich trackerach wprowadził funkcje, które pozwalają namierzyć AirTag, który znajduje się blisko mnie, ale nie jest mój. Działa to jednak w obie strony…

Łatwe klonowanie głosu na podstawie krótkiego nagrania głosu ofiary stało się w zasadzie standardem w ramach ostatniej rewolucji / nowinek (niepotrzebne skreślić) AI. Pisaliśmy o tym tutaj: Badacz bezpieczeństwa postanowił zrobić mały eksperyment: W środę zadzwoniłem na automatyczną linię obsługi mojego banku. Na początek bank poprosił mnie o powiedzenie własnymi…

O sprawie donosi Rzeczpospolita, a szczegóły decyzji UODO można zobaczyć tutaj: Środki organizacyjne i techniczne powinny się uzupełniać. Zaczęło się od zgłoszenia zagubienia dwóch nieszyfrowanych / prywatnych pendriveów przez pracowników Sądu Rejonowego Szczecin-Centrum. Sprawa była analizowana przez UODO, a teraz mamy decyzję – 30 000 zł kary: Zgłoszone przez administratora naruszenie ochrony…

Daniel przesłał nam taką historię: Kilka dni temu otrzymałem propozycję współpracy w zakresie konsultacji dotyczącej płatnej kampanii na FB od tego gościa https://lnkd[.]in/dqG_ieqr W wielkim skrócie. Na początku zwyczajna rozmowa, linki do profili, strony www. Zaproponowałem spotkanie na Google Meet, w odpowiedzi dostałem link do iCloud z materiałami do zapoznania się….