Aktualności

Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

02 września 2020, 14:45 | W biegu | komentarze 2
Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość: Aplikacja Slacka opiera się o Electrona, zatem jest de facto aplikacją webową „udającą” aplikację desktopową. W normalnej przeglądarce webowej, JavaScript jest sandboxowany; nie ma więc możliwości…

Czytaj dalej »

Recon od sekuraka – bądź krok przed konkurencją i hackerami. Zobacz ile można dowiedzieć się o Twojej infrastrukturze IT…

01 września 2020, 14:52 | Aktualności | komentarze 2
Recon od sekuraka – bądź krok przed konkurencją i hackerami. Zobacz ile można dowiedzieć się o Twojej infrastrukturze IT…

Jeśli chciałbyś otrzymać raport dotyczący widoczności Twojej infrastruktury z poziomu Internetu czytaj dalej :-) Tym razem oferujemy Wam usługę przydatną zarówno dla małych jak i dużych firm. Najprostsza wersja rekonesansu zakończona ręcznie przygotowanym raportem to koszt od 5000 PLN netto oraz efekt w przeciągu ~tygodnia.

Czytaj dalej »

Błąd w systemie Play – znienacka otrzymał dostęp do konta innej osoby. Widzi czyjąś historię połączeń, faktury…

27 sierpnia 2020, 11:18 | W biegu | komentarzy 11
Błąd w systemie Play – znienacka otrzymał dostęp do konta innej osoby. Widzi czyjąś historię połączeń, faktury…

Pojedynczy przypadek czy hurtowa sprawa? O sporym problemie donosi jeden z użytkowników Wykopu: Trochę ponad tydzień temu zakupiłem sobie starter Play i od razu zarejestrowałem numer w sklepie. W domu instaluję aplikację Play24 w celu aktywacji promocyjnych 100GB. Ku mojemu zdziwieniu kod pin został wysłany na inny numer, niż ma…

Czytaj dalej »

ęśą… Microsoft ma rozmach – omyłkowo puścił na cały świat testowe komunikaty na Teamsach. A może jednak hack?

27 sierpnia 2020, 11:04 | W biegu | komentarzy 10
ęśą… Microsoft ma rozmach – omyłkowo puścił na cały świat testowe komunikaty na Teamsach. A może jednak hack?

Teraz kiedy puścimy jakieś śmieci na produkcję, będzie można powiedzieć – „dołączyliśmy do najlepszych” ;-) Najpierw mBank, teraz Microsoft: Doniesienia o testowych komunikatach w różnej liczbie, pojawiają się w zasadzie z całego świata, również z Polski. Microsoft na razie nie wie o co chodzi: Niektórzy sugerują, że może być to hack…

Czytaj dalej »

Zatrzymano Rosjanina który zaoferował $1 000 000 pracownikowi amerykańskiej firmy – w zamian za zainstalowanie backdoora w sieci pracodawcy

26 sierpnia 2020, 22:36 | W biegu | komentarzy 7
Zatrzymano Rosjanina który zaoferował $1 000 000 pracownikowi amerykańskiej firmy – w zamian za zainstalowanie backdoora w sieci pracodawcy

Jak donosi The Hackers News, Rosjanin jak gdyby nigdy nic wjechał do USA na wizie turystycznej a następnie zaproponował solidną łapówkę za instalację backdoora w infrastrukturze pewnej firmy. Na dalszym etapie całość miała służyć do propagacji ransomware: The FBI has arrested a Russian national who recently traveled to the United…

Czytaj dalej »

Jak autorzy phishingu obchodzą wieloczynnikowe uwierzytelnienie?

26 sierpnia 2020, 11:50 | W biegu | komentarze 4
Jak autorzy phishingu obchodzą wieloczynnikowe uwierzytelnienie?

Ataki phishingowe to już codzienność, a obrona przed nimi może polegać wielu czynnikach. Jednym ze sposobów na skuteczne uchronienie się przed skutkami phishingu jest MFA, ale czy zawsze jest ono w pełni skuteczne? Uwierzytelnienie wieloskładnikowe (MFA) przedstawiane jest jako zabezpieczenie przed 99,9% ataków phishingowych (jak twierdzi Microsoft) i powinno być…

Czytaj dalej »

Uczelnia wyższa w USA nakazała studentom korzystania z koszmarnej appki anty-COVID. Trackowała lokalizację non stop, miała też banalną podatność dającą pełen dostęp do backendu…

20 sierpnia 2020, 10:11 | W biegu | komentarze 3
Uczelnia wyższa w USA nakazała studentom korzystania z koszmarnej appki anty-COVID. Trackowała lokalizację non stop, miała też banalną podatność dającą pełen dostęp do backendu…

Koledż w Michigan postanowił walczyć z COVID za pomocą broni atomowej. W jej rolę wcieliła się appka, która urzeczywistnia chyba wszystkie czarne sny obrońców prywatności. Po pierwsze aplikacja jest obowiązkowa, po drugie śledzi lokalizację użytkowników w trybie 24/7: There’s a catch. The app is designed to track students’ real-time locations around the…

Czytaj dalej »

Santander [USA] – błąd w oprogramowaniu bankomatów umożliwiał wypłatę większej kwoty, niż tej która była na karcie (np. przedpłaconej). Dziesiątki osób wykorzystywały podatność…

19 sierpnia 2020, 20:57 | W biegu | komentarze 3
Santander [USA] – błąd w oprogramowaniu bankomatów umożliwiał wypłatę większej kwoty, niż tej która była na karcie (np. przedpłaconej). Dziesiątki osób wykorzystywały podatność…

ZDNet donosi: (…) criminal gangs appear to have found a bug in the software of Santander ATMs. The bug allowed members of criminal groups to use fake debit cards or valid preloaded debit cards to withdraw more funds from ATMs than the cards were storing. W USA aresztowano już dziesiątki…

Czytaj dalej »

Przeszło 20 nagranych prezentacji od sekuraka (~20 godzin nagrań :-) Nie chcesz zostać w tyle w tematach ITsec – zerknij tutaj.

19 sierpnia 2020, 13:33 | W biegu | 0 komentarzy
Przeszło 20 nagranych prezentacji od sekuraka (~20 godzin nagrań :-) Nie chcesz zostać w tyle w tematach ITsec – zerknij tutaj.

Wszystkie tematy z tytułu mamy nagrane w ramach regularnego remote Sekurak Hacking Party (lista poniżej). Najbliższe wydarzenie jest 19.08.2020, 20:00 (jeszcze można się zapisać :) Jak uzyskać dostęp do wszystkich prezentacji poniżej oraz awansem – kolejnych? Wystarczy wykupić u nas dowolny abonament dostępowy na udział w rSHP. W abonamencie uzyskujecie dostęp…

Czytaj dalej »

Wyciek danych osobowych SANS – ktoś po cichu wykradał im e-maile… winny lewy dodatek do O365

12 sierpnia 2020, 12:57 | W biegu | komentarzy 5
Wyciek danych osobowych SANS – ktoś po cichu wykradał im e-maile… winny lewy dodatek do O365

SANS to prawdopodobnie znana większości osób zajmujących się bezpieczeństwem organizacja. Tymczasem parę dni temu opublikowała informację o pewnym incydencie bezpieczeństwa: On August 6th, as part of a systematic review of email configuration and rules we identified a suspicious forwarding rule and initiated our incident response process. This rule was found…

Czytaj dalej »

Gruba podatność w implementacji DP3T – jednego z systemów do contact tracingu COVID

11 sierpnia 2020, 14:05 | W biegu | komentarze 2
Gruba podatność w implementacji DP3T – jednego z systemów do contact tracingu COVID

DP-3T (pisaliśmy m.in. o nim jakiś czas temu) to jedno z bardziej dojrzałych rozwiązań do tzw. contact tracingu. Tymczasem niedawno załatano taką podatność: Missing signature validation of JWT when alg=none Podatność występowała w jednym z komponentów backendowych całości: When dp3t-sdk-backend is configured to check a JWT before uploading/publishing keys, it was…

Czytaj dalej »

0-day na vBulletin, możliwość wykonania dowolnego kodu

11 sierpnia 2020, 10:11 | W biegu | 0 komentarzy
0-day na vBulletin, możliwość wykonania dowolnego kodu

Dwa dni temu, Amir Etemadieh opublikował na swoim blogu posta, w którym opisuje błąd w systemie forum vBulletin. Exploitacja możliwa jest przez wykonanie prostego zapytania:

Podatność została zauważona dzięki analizie wcześniejszej podatności w tym samym silniku, oznaczonej symbolem CVE-2019-16759 (na Sekuraku też o niej wspominaliśmy). Jak na razie producent nie wydał…

Czytaj dalej »

Białoruś: odpalili blackout Internetu w trakcie wyborów. „Podstawy prawne [do takich działań] istnieją również w Polsce”

10 sierpnia 2020, 12:58 | W biegu | komentarzy 6
Białoruś: odpalili blackout Internetu w trakcie wyborów. „Podstawy prawne [do takich działań] istnieją również w Polsce”

Serwis Netblocks powiadomił w weekend o bardzo poważnym spadku dostępności Internetu na Białorusi: Network telemetry from the NetBlocks internet observatory confirm that internet connectivity in Belarus has been significantly disrupted as of Sunday 9 August 2020 amid tense presidential elections. Outages increased in severity through the day producing an information…

Czytaj dalej »