-20% z kodem swieta-2021 -> Książka sekuraka o bezpieczeństwie aplikacji webowych (idealna również dla początkujących).

Aktualności

Wyciek danych z osobowych z portalu MIMUW (sprawdźcie też SPAM…)

18 listopada 2020, 16:35 | W biegu | komentarzy 9
Wyciek danych z osobowych z portalu MIMUW (sprawdźcie też SPAM…)

Od jednego z czytelników otrzymaliśmy e-mail rozesłany przez wydział Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego: Od: Powiadomienie UODO powiadomienie-uodo@mimuw.edu.plData: 18 listopada 2020 Temat: ***Spam*** Incydent naruszenia danych osobowych w portalu MIMUW (…) Na początek, jak widać po tytule, trochę odbiorców maila może w ogóle nie otrzymać, bo wpadnie on do…

Czytaj dalej »

Lewy „konsultant z banku” po rozmowie z krakowianką ukradł z jej konta 15 000 PLN

18 listopada 2020, 10:44 | W biegu | komentarzy 8
Lewy „konsultant z banku” po rozmowie z krakowianką ukradł z jej konta 15 000 PLN

Kolejnych wariantów na oszustwa jest obecnie tak dużo, że ciężko wybrać o czym ciekawym napisać („amerykański lekarz„, „na szczepionkę„, „na kucharza„). Pewnie nie raz, nie dwa dzwonił do Was „legalny” konsultant z banku, na starcie zadając kilka pytań. Przestępcy idą nieco dalej, bo: oszust dzwoni do wybranej osoby i przedstawia…

Czytaj dalej »

Polski serwis miał hasła przechowywane bezpiecznym bcryptem. Ile z nich udało się złamać w krótkim czasie? [dużo]

17 listopada 2020, 11:16 | W biegu | komentarzy 36
Polski serwis miał hasła przechowywane bezpiecznym bcryptem. Ile z nich udało się złamać w krótkim czasie? [dużo]

Niedawno informowaliśmy o wycieku z forum serwisu wakacje.pl. Dobra informacja jest taka, że hasła użytkowników przechowywane były w tym przypadku z wykorzystaniem bezpiecznego algorytmu bcrypt. Można zatem złamać co najwyżej pojedyncze hashe? Otóż niekoniecznie, jeden z serwisów udostępnia aktualne statystyki łamania: 29832 to całkowita liczba zaimportowanych hashy, z czego aż…

Czytaj dalej »

OSINT master #1: poszukiwanie informacji o osobach, miejscach i pojazdach

16 listopada 2020, 14:29 | Aktualności | komentarze 23
OSINT master #1: poszukiwanie informacji o osobach, miejscach i pojazdach

Startujemy z pierwszym odcinkiem naszego OSINT-owego kursu online, prowadzonym przez Krzysztofa Wosińskiego, autora serii OSINT hints. Sam Krzysiek o pierwszym odcinku skupionym na poszukiwaniu informacji o osobach, miejscach i pojazdach pisze tak: Czy zastanawiałeś się kiedyś, ile informacji osobistych można znaleźć w sieci i, co ważniejsze, jak łatwo można do nich…

Czytaj dalej »

Rzecznik Finansowy: niespodziewane tracisz sygnał w telefonie? Być może ktoś właśnie czyści Ci konto bankowe (SIM Swap)

16 listopada 2020, 12:13 | W biegu | komentarzy 7
Rzecznik Finansowy: niespodziewane tracisz sygnał w telefonie? Być może ktoś właśnie czyści Ci konto bankowe (SIM Swap)

Niedawno Rzecznik Finansowy opublikował takie ostrzeżenie: (…) chodzi o przestępstwa związane z podmianą kart SIM tzw. sim-swap-fraud, w wyniku których dwaj klienci Rzecznika stracili łącznie ponad 650 tys. zł. O SIM Swap pisaliśmy już kilka razy: Tutaj (Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych…

Czytaj dalej »

Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe

14 listopada 2020, 23:02 | W biegu | komentarze 2
Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe

Kilka osób przesłało nam treść informacji rozsyłanej przez serwis upacjenta[.].pl: (…) jesteśmy zobowiązani, by poinformować Państwa o incydencie, który miał miejsce 3 listopada 2020 r. Tego dnia doszło do nieuprawnionego i nielegalnego dostępu do systemu naszego dostawcy usług teleinformatycznych – firmy RIOT Agency. W konsekwencji dostęp do Państwa danych mogła…

Czytaj dalej »

Chrome łata dwa 0-daye, aktywnie exploitowane w Internecie. Łatajcie się

12 listopada 2020, 13:27 | W biegu | komentarze 2
Chrome łata dwa 0-daye, aktywnie exploitowane w Internecie. Łatajcie się

Co tu dużo pisać… możecie poczekać na automatyczną aktualizację, ew. wymusić ja wcześniej ręcznie (polecam). Google doniósł właśnie o załataniu dwóch poważnych luk (zwróćcie uwagę na ekspresowy czas od momentu zgłoszenia, do wydania łaty): High CVE-2020-16013: Inappropriate implementation in V8. Reported by Anonymous on 2020-11-09 High CVE-2020-16017: Use after free…

Czytaj dalej »

Co każdy administrator powinien wiedzieć o bezpieczeństwie Windows? Skondensowany kurs on-line od sekuraka

12 listopada 2020, 12:27 | Aktualności | komentarze 4
Co każdy administrator powinien wiedzieć o bezpieczeństwie Windows? Skondensowany kurs on-line od sekuraka

Grzesiek Tworek, 14-krotny laureat tytułu Most Valuable Professional od Microsoftu, czy prelegent BlackHat, przygotował dla Was intensywny, nowy kurs bezpieczeństwa Windows. Zapisy tutaj (na początek obowiązuje niższa cena – 299 PLN + VAT – zamiast 499 PLN + VAT). Windowsy serwerowe, Windowsy klienckie, esencja wiedzy żeby zacząć się sprawnie poruszać…

Czytaj dalej »

Wyciek z forum serwisu wakacje.pl

11 listopada 2020, 09:55 | Aktualności | komentarzy 5
Wyciek z forum serwisu wakacje.pl

Niedawno podczas pomocy paru innym osobom w temacie wycieków, natknąłem się na anons sprzedaży bazy danych pochodzącej z forum serwisu wakacje[.]pl Sprawa wydaje się być jasna, o podatności w vBulletin (wersje 5.x, aż do 5.5.4) ostrzegaliśmy parę miesięcy temu. Był to wtedy 0day, który umożliwiał RCE (wykonywanie poleceń w systemie…

Czytaj dalej »

Konkurs ofensywnego hackowania – Chińczycy zmasakrowali ~wszystko. Za sam atak na iPhone z najnowszym iOS zapłacono ~800 000 PLN

10 listopada 2020, 15:36 | W biegu | komentarzy 7
Konkurs ofensywnego hackowania – Chińczycy zmasakrowali ~wszystko. Za sam atak na iPhone z najnowszym iOS zapłacono ~800 000 PLN

Lista celów które zostały skutecznie wyeksploitowane w tegorocznycm Tianfu Cup jest imponująca. Wykonanie kodu poprzez Chrome, Firefoksa czy Safari (z wyskoczniem z sandboxa) – bardzo proszę. Wykonanie kodu na iPhone (najnowszy iOS + iPhone 11 Pro) – jak najbardziej (za ten wyczyn przyznano nagrodę $180 000). Coś na Androidzie –…

Czytaj dalej »

Ciekawe podatności w SmartTV firmy TCL opartych na Androidzie (dostępne też w Polsce)

10 listopada 2020, 11:41 | W biegu | komentarze 3
Ciekawe podatności w SmartTV firmy TCL opartych na Androidzie (dostępne też w Polsce)

Nieco przegadany opis problemów można znaleźć na blogu badacza. TCL to chińska firma, która niedawno weszła na podium światowej sprzedaży SmartTV. Co z podatnościami? Na początek, filesystem telewizora dostępny z sieci lokalnej. Otwartych portów widać tutaj dużo (po co aż tyle? po co jakiekolwiek otwarte? :) Na jednym z tym…

Czytaj dalej »

Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

07 listopada 2020, 21:42 | W biegu | komentarze 3
Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze  instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem? Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware: Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu…

Czytaj dalej »

Pokazał jak dostać się bez uwierzytelnienia do wyników testów na koronawirusa [jeden lab]

07 listopada 2020, 20:47 | W biegu | komentarze 3
Pokazał jak dostać się bez uwierzytelnienia do wyników testów na koronawirusa [jeden lab]

Nieco przypadkiem natknąłem się na ten wpis, który można sprowadzić do paru zrzutów ekranowych ;-) Jak na logowanie trochę mało pól, może identyfikator zlecenia jest względnie losowy? Nic z tego – to zwykłe, kolejne liczby naturalne. Autor (autorzy?) znaleziska postanowili zatem wybrać pewien numer zlecenia i popróbować kolejne daty urodzenia….

Czytaj dalej »