Aktualności

WordPress na celowniku. Zerodium oferuje ~ $300.000 za 0-day’a (RCE 0-click)

12 kwietnia 2021, 19:01 | W biegu | 1 komentarz
WordPress na celowniku. Zerodium oferuje ~ $300.000 za 0-day’a (RCE 0-click)

WordPress to najpopularniejszy system zarządzania treścią na świecie. Według danych W3Techs, firmy analizującej rynek IT, w maju 2018 aż 30,7% stron na świecie pracowało, wykorzystując WordPressa.  Na popularność CMS-a składa się wiele czynników. Dla osób nietechnicznych jest to świetne narzędzie ze względu na jego prostotę, z kolei dla firm i…

Czytaj dalej »

Plaga mandatów w Polsce. Ale takich, w wyniku których można stracić całą zawartość konta bankowego…

10 kwietnia 2021, 22:01 | W biegu | komentarzy 10
Plaga mandatów w Polsce. Ale takich, w wyniku których można stracić całą zawartość konta bankowego…

Jedna kampania, a masa najróżniejszych domen. Tutaj np. dostajecie SMS-a od nadawcy Mandaty24 + domena mandat9582[.]net. Chodzi o rzekomo niezapłacony mandat karny. Raptem 10 zł: Po kliknięciu na linka trafiamy na stronę z wyborem banku: Później pozbywamy się (na rzecz przestępców) danych dostępowych do banku: Dalej po uzyskaniu loginu/hasła/SMS-a –…

Czytaj dalej »

„Co złego to nie my” – oficjalne oświadczenie Facebook’a na temat wycieku (pardon – scrapingu) danych

09 kwietnia 2021, 22:50 | W biegu | komentarzy 7
„Co złego to nie my” – oficjalne oświadczenie Facebook’a na temat wycieku (pardon – scrapingu) danych

W wyniku nacisków medialnych, Facebook opublikował ostatnio oficjalne oświadczenie, odnosząc się do feralnego wycieku danych: W skrócie, Facebook twierdzi że nie został “zhackowany”, a dane pochodzą jedynie z “scrapingu”. Jest to pewna forma manipulacji, ponieważ stosowanie terminu “scraping” ma zmniejszyć “wagę” problemu, mimo że głównym problemem była funkcja “importowania kontaktów”,…

Czytaj dalej »

Zakupił C-4 żeby wysadzić data center Amazona w USA. Spotkała go jednak pewna niespodzianka…

09 kwietnia 2021, 22:14 | W biegu | komentarzy 18
Zakupił C-4 żeby wysadzić data center Amazona w USA. Spotkała go jednak pewna niespodzianka…

Aresztowany 28-latek, zwierzył się komuś na Signalu, że zamierza zakupić ładunek wybuchowy. Przy czym cel był dość „ambitny”: kill of about 70% of the internet. No więc Signal jest komunikatorem bezpiecznym, ale druga strona komunikacji może z otrzymaną wiadomością zrobić oczywiście wszystko. W każdym razie nasz Teksańczyk finalnie chciał zakupić…

Czytaj dalej »

Recon master #1. Poznaj tajniki rekonesansu infrastruktury IT (-20% last minute)

09 kwietnia 2021, 10:10 | Aktualności | komentarze 3
Recon master #1. Poznaj tajniki rekonesansu infrastruktury IT (-20% last minute)

Tymczasem idąc nieco od końca, kilka opinii uczestników o poprzedniej edycji: Polecam dla początkujących i zaawansowanych. Jeśli ktoś dopiero zaczyna swoją przygodę w reconie to jest to najlepsze i najbardziej przystępne źródło wiedzy jakie kiedykolwiek widziałem. Jestem pod wrażeniem ilości wiedzy, jaką człowiek jest w stanie zmieścić w 4h szkolenia….

Czytaj dalej »

BleedingTooth – dostępny jest exploit umożliwiający na zdalne wykonanie kodu na Linuksach (uprawnienia kernel, przez BlueTooth, bez interakcji ofiary)

08 kwietnia 2021, 17:39 | W biegu | komentarzy 14
BleedingTooth – dostępny jest exploit umożliwiający na zdalne wykonanie kodu na Linuksach (uprawnienia kernel, przez BlueTooth, bez interakcji ofiary)

Badacz z Google udostępnił szczegóły podatności oraz możliwości jej wyeksploitowania. Żeby być nieco bardziej dokładnym mówimy tutaj o całej serii podatności: BleedingTooth is a set of zero-click vulnerabilities in the Linux Bluetooth subsystem that can allow an unauthenticated remote attacker in short distance to execute arbitrary code with kernel privileges on…

Czytaj dalej »

Nadpływa kolejny kontenerowiec wycieku: LinkedIn? Udostępniono do pobrania dane zawierające 500 milionów profili (źrodło: scraping, całość płatna)

08 kwietnia 2021, 17:11 | W biegu | komentarzy 13
Nadpływa kolejny kontenerowiec wycieku: LinkedIn? Udostępniono do pobrania dane zawierające 500 milionów profili (źrodło: scraping, całość płatna)

Jeszcze kurz nie opadł po Facebooku, który trafił na pierwsze strony serwisów, a wygląda na to, że czeka nas kolejny, tym razem z LinkedIn. Archiwum zawierające dane rzekomo 500 milionów profilii LinkedIn zostało wystawione na sprzedaż na popularnym forum cyberprzestępców. 2 miliony rekordów zostało wystawione do wycieku jako próbka potwierdzająca…

Czytaj dalej »

Zoom. 0-day umożliwiający wykonanie dowolnego polecenia na komputerze ofiary bez żadnej interakcji jej strony. Badacze otrzymali ~ 769858 pln

07 kwietnia 2021, 21:57 | W biegu | 1 komentarz
Zoom. 0-day umożliwiający wykonanie dowolnego polecenia na komputerze ofiary bez żadnej interakcji jej strony. Badacze otrzymali ~ 769858 pln

Wydarzenie “Pwn2own” organizowane przez “Zero Day Initiative” trwa w najlepsze, a badacze pokazują coraz ciekawsze znaleziska. Niedawno Microsoft Teams, teraz na celowniku znalazł się Zoom – popularne oprogramowanie do wideokonferencji. Badacze bezpieczeństwa Daan Keuper oraz Thijs Alkemade wykorzystali kombinację 3 błędów do stworzenia 1 “solidnego” exploita. Dodatkowo, exploit nie wymaga…

Czytaj dalej »

Google Project Zero analizując „działania hackerów” przypadkowo ujawnił operację antyterrorystyczną

07 kwietnia 2021, 10:50 | Aktualności | komentarzy 6
Google Project Zero analizując „działania hackerów” przypadkowo ujawnił operację antyterrorystyczną

W marcu Google Project Zero opublikował analizę kampani tajemniczej grupy, korzystającej z szeregu 0-dayów: * Dziury wykorzystane w kampanii. Podatności dotyczą między innymi systemów Windows 10, Android czy iOS, a także Chrome’a,… Badacze podkreślali stopień zaawansowania kampanii, wspominając o metodach utrudniania analizy ataków czy nowatorskim podejściu do eksploitacji Chrome’a i…

Czytaj dalej »

Microsoft Teams. Pokazali exploita na podatność 0day. Nagroda: ~800 000 PLN

06 kwietnia 2021, 20:12 | W biegu | komentarzy 11
Microsoft Teams. Pokazali exploita na podatność 0day. Nagroda: ~800 000 PLN

Konkurs Zero Day Initiative się rozkręca, co dopiero pisaliśmy o grubej podatności 0day w Microsoft Exchange (ominięcie uwierzytelnienia, dostanie się na serwer), a tymczasem mamy kolejny efekt dość nietypowych zawodów: Widoczny na zrzucie „Attempt 1”, oznacza że exploit działa bardzo sprawnie i do skutecznego zadziałania wystarczyła tylko jedna próba. Jak…

Czytaj dalej »

Nowy 0-day na serwery Microsoft Exchange. Badacze otrzymali właśnie ~800000PLN…

06 kwietnia 2021, 17:48 | W biegu | komentarzy 5
Nowy 0-day na serwery Microsoft Exchange. Badacze otrzymali właśnie ~800000PLN…

Info sprzed dosłowni kilku minut. Tym razem nie damy Wam rekomendacji – łatajcie, bo łatać nie ma czego (o szczegółach buga nie wie jeszcze sam Microsoft, choć zapewne niebawem się dowiedzą). W akcji ponownie jest ekipa Devcore (ta od https://proxylogon.com/), więc można spodziewać się naprawdę ostrego efektu. Ostrego efektu, czyli…

Czytaj dalej »

Uzyskał dostęp na serwerze Starbucksa. Nagroda? Tylko ~20 000 PLN

06 kwietnia 2021, 16:48 | W biegu | komentarzy 5
Uzyskał dostęp na serwerze Starbucksa. Nagroda? Tylko ~20 000 PLN

Opis tematu możecie znaleźć tutaj. Na początek, w ramach rekonesansu, badacz wziął na cel pliki znajdujące się w katalogu /api Co ciekawe wykorzystał pewną sztuczkę działającą na serwerach IIS; mianowicie można użyć windowsowego ciągu ~1 do łatwego wykrywania nazw katalogów czy plików znajdujących się na serwerze (tutaj stosowny skaner). Przykładowo,…

Czytaj dalej »

Stracił 17 bitcoinów przez fałszywą aplikację w App Store

06 kwietnia 2021, 16:00 | Aktualności | komentarze 3
Stracił 17 bitcoinów przez fałszywą aplikację w App Store

Jakiś czas temu “The Washington Post” poinformował o dość nietypowych atakach na posiadaczy kryptowalut. Nietypowych, bo głównym “winowajcą” zamieszania jest App Store, ale przejdźmy do konkretów… Portfel sprzętowy Trezor Trezor to portfel sprzętowy, zapewniający zaawansowane zabezpieczenia do obsługi kluczy prywatnych Bitcoin i innych kryptowalut. Urządzenie zostało zaprojektowane w taki sposób,…

Czytaj dalej »

Czy Twój numer telefonu (+ inne dane) wyciekły z Facebooka? Można to już sprawdzić

06 kwietnia 2021, 11:44 | W biegu | komentarzy 11
Czy Twój numer telefonu (+ inne dane) wyciekły z Facebooka? Można to już sprawdzić

Dla przypomnienia chodzi o ten wyciek. Całość bazy zaimportował do siebie Troy Hunt i po praz pierwszy została w wyszukiwarce dodana opcja szukania po telefonie: https://haveibeenpwned.com/ Przypominamy, że w omawianym wycieku z FB wyciekły takie dane jak: nr telefonu (pojawia się on przy każdym rekordzie), ID użytkownika na Facebooku, Imię,…

Czytaj dalej »

Cheaty do gier, przestępstwa, szybkie auta oraz cybersec.

05 kwietnia 2021, 16:23 | Aktualności | komentarzy 13
Cheaty do gier, przestępstwa, szybkie auta oraz cybersec.

Jakiś czas temu chińska policja we współpracy z firmą Tencent aresztowała członków grupy przestępczej, zajmującej się wytwarzaniem i dystrybucją cheatów do gier. Warto dodać, że jest to jedno z „najgrubszych” aresztowań, a potwierdzeniem tego może być chociażby kolekcja sportowych aut należących do przestępców: Zrozumienie logistyki grupy przestępczej ułatwi ten film:…

Czytaj dalej »