RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

Aktualności

Zhackował Google i wygrał $133337

22 marca 2021, 17:25 | W biegu | komentarze 2
Zhackował Google i wygrał $133337

Google w 2019 roku ogłosiło konkurs na najlepszą podatność w GCP (Google Cloud Platform), którą należało jeszcze dokładnie opisać w formie artykułu.  W pierwszej edycji konkursu zwycięzca zgarnął aż 100 000$. W 2020 pula nagród została zwiększona do 313 337$, a nagrodzonych zostało aż 6 badaczy. * Wykres przedstawiający liczbę…

Czytaj dalej »

Oszuści podają się za „służby walczące z przestępczością” i próbują ponownie oszukać osoby, które złapały się na przekręt z OLX

22 marca 2021, 17:20 | W biegu | komentarze 3
Oszuści podają się za „służby walczące z przestępczością” i próbują ponownie oszukać osoby, które złapały się na przekręt z OLX

O temacie wspomina CSIRT KNF: Przykładowa rozmowa może wyglądać tak: – [oszust] czy zostałeś doszukany z dostawą– [ofiara] a o co chodzi?– pracuję w dziale pomocy technicznej olx, Twój bank skontaktował się naszym działem wykroczeń. Zrobimy transakcję na zwrot gotówki i złapiemy przestępcę.– Dobra, pomogę– OK proszę wejdź na tę…

Czytaj dalej »

Nowy Jork. Apartament na Bronksie, a w środku zakładnicy. Policja wpuszcza do akcji psa-robota…

21 marca 2021, 21:23 | W biegu | komentarze 4
Nowy Jork. Apartament na Bronksie, a w środku zakładnicy. Policja wpuszcza do akcji psa-robota…

To absolutnie nie jest hipotetyczny przypadek, dokładnie taka historia wydarzyła się bowiem parę tygodni temu. Policja zdecydowała się na włączenie do akcji [tutaj video] Digidoga, ~31-kilowego psa-robota, z kamerami (widzą też w ciemności), światłami oraz z możliwością dwustronnej komunikacji. The police decided it was time to deploy Digidog, a 70-pound…

Czytaj dalej »

Nzyme – bezpłatny system wykrywający bandytów w Twojej sieci WiFi [IDS]

21 marca 2021, 18:50 | W biegu | komentarzy 7
Nzyme – bezpłatny system wykrywający bandytów w Twojej sieci WiFi [IDS]

Wykrywanie samych ataków, ale również fizyczne lokalizowanie ich źródła – to główne funkcje Nzyme. Całość możecie bezpłatnie pobrać tutaj (są też dostępne źródła). Na start potrzebna jest karta WiFi umiejąca pracować w trybie monitor (głównie chodzi o dostępność odpowiednich sterowników pod Linuksem) oraz prosty komputer – np. RPi. Prosta konfiguracja…

Czytaj dalej »

Wysłał Elonowi Muskowi 10 Bitcoinów – „do pomnożenia”. AAaaaaaarhh – to nie był prawdziwy Elon Musk!

21 marca 2021, 10:28 | W biegu | komentarzy 6

O prostym oszustwie donosi BBC: Jak widzicie, autor pierwszego tweeta jest prawdziwy, ale już osoba, która odpowiada poniżej z linkiem do oszustwa tylko wygląda na prawdziwą. Wprawdzie konto jest „zweryfikowane”, ale najpewniej przejęte oraz sprytnie udaje prawdziwego Musk-a. Okazja miała być świetna: wyślij max 20 BTC, otrzymasz z powrotem podwojoną…

Czytaj dalej »

Testy na produkcji. Miały być drobne porządki, ale skasowali profile/pliki „z wszystkich PCtów”. #uniwersystet-w-Nowej-Zelandii

21 marca 2021, 10:15 | W biegu | komentarzy 6
Testy na produkcji. Miały być drobne porządki, ale skasowali profile/pliki „z wszystkich PCtów”.  #uniwersystet-w-Nowej-Zelandii

Rzeczywiście może trochę bez sensu trzymać nad dyskach dane studentów, którzy już od dawna nie studiują. Student – wiadomo – lubi czasem pochomikować nieco więcej danych na uczelnianych komputerach, więc tym bardziej zysk będzie większy. Jednak coś poszło nie tak (jak to z operacją, którą wykonuje się od razu na…

Czytaj dalej »

Dania: 9000 osób nie dostało zaproszenia na szczepienie. Ich „PESEL” zaczynał się od zera…

20 marca 2021, 19:35 | W biegu | komentarze 4
Dania: 9000 osób nie dostało zaproszenia na szczepienie. Ich „PESEL” zaczynał się od zera…

Czyżby duńska służba zdrowia używała w procesie wysyłki zaproszeń na COVID-owe szczepienia Excela? Duński „PESEL” wygląda tak: DDMMYY-SSSS Jeśli teraz dzień urodzin (DD) zaczynał się od zera – zaproszenie nie było generowane: Jak widać powód był prosty – pierwsze zero było usuwane i powstawał numer, który się nie walidował… –ms

Czytaj dalej »

Wiecie ile może ukraść jedna organizacja cyberprzestępcza? Przeszło 500 milionów USD. Dwie kluczowe osoby zaangażowane w Infraud – skazane

20 marca 2021, 19:10 | W biegu | 1 komentarz
Wiecie ile może ukraść jedna organizacja cyberprzestępcza? Przeszło 500 milionów USD.  Dwie kluczowe osoby zaangażowane w Infraud – skazane

Infraud Organization była międzynarodową grupą przestępczą mającą na celu popełnianie cyberprzestępstw, głównie związanych z nieuprawnionym pozyskiwaniem dokumentów tożsamości, danych kart płatniczych oraz bankowości elektronicznej. Członkowie Infraud Organization popełnili przestępstwa na szkodę ponad 4 mln osób o łącznej wartości co najmniej 568 mln dolarów (z zamiarem do 2,2 mld dolarów), a…

Czytaj dalej »

Zdemolował system używany przez dział prawny Facebooka + mógł grzebać po sieci wewnętrznej. Nagroda: ~200 000 PLN

19 marca 2021, 22:24 | Aktualności | komentarzy 6
Zdemolował system używany przez dział prawny Facebooka + mógł grzebać po sieci wewnętrznej. Nagroda: ~200 000 PLN

Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system. Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia…

Czytaj dalej »

F5 BIG-IP/BIG-IQ – exploity odpalone, urządzenia są przejmowane. Alert o CVE-2021-22986

19 marca 2021, 21:19 | W biegu | 0 komentarzy
F5 BIG-IP/BIG-IQ – exploity odpalone, urządzenia są przejmowane. Alert o CVE-2021-22986

O temacie pisaliśmy niedawno, a obecnie o aktywnej eksploitacji ostrzega grupa NCC: Opis podatności jest tutaj: iControl REST unauthenticated remote command execution Więcej technikaliów można z kolei znaleźć w tym miejscu. Tak np. wygląda udana próba eksploitacji: Co ciekawe jednym z istotnych kroków (ominięcie uwierzytelnienia) odbywa się z wykorzystaniem podatności…

Czytaj dalej »

Wycieki, łamanie haseł na żywo, konkurs dla łamaczy z super nagrodami…Zapraszamy na naszą prezentację w ramach Cisco SecUniversity

19 marca 2021, 19:58 | W biegu | komentarzy 14
Wycieki, łamanie haseł na żywo, konkurs dla łamaczy z super nagrodami…Zapraszamy na naszą prezentację w ramach Cisco SecUniversity

Już w najbliższą środę (24.03.2021r. start 10:00 – czas trwania 60-90 minut) poprowadzę prelekcję o wyciekach danych oraz łamaniu haseł. Na maszynie uzbrojonej w kilka GPU, spróbuję złamać swoje hasło pochodzące z wycieku, potestujemy rozbrajanie zipów, plików MS Office czy hashy WPA2. Będzie również o nieco rzadziej wspominanych tematach, nie…

Czytaj dalej »

0daye na w pełni załatany Windows 10 + Chrome. 0daye na w pełni załatanego Androida. 0daye na iOS…

19 marca 2021, 18:08 | W biegu | 0 komentarzy
0daye na w pełni załatany Windows 10 + Chrome. 0daye na w pełni załatanego Androida. 0daye na iOS…

…to arsenał tajemniczej grupy (grup?), którą opisuje Google Project Zero. Exploity było kolportowane z dwóch serwerów, a osadzane w różnych (zhackowanych?) stronach. Co ciekawe nawet w momencie gdy jednak podatność została załatana w Androidzie, na serwerze pojawił się patch całego exploita – wykorzystano po prostu alternatywną podatność… Kampania była odpalona…

Czytaj dalej »

Rosjanin przekonywał milionem dolarów pracownika Tesli żeby zainstalował malware w firmie…

19 marca 2021, 17:12 | W biegu | komentarze 3
Rosjanin przekonywał milionem dolarów pracownika Tesli żeby zainstalował malware w firmie…

Czymże jest milion wobec dostępu na żywo do sekretów konkurencji – np. do Tesli? Równocześnie nie wszystkim chce się „bawić” w exploity, 0-daye i takie tam. Wystarczy odpowiednio „zmotywowany” pracownik mający dostęp do infrastruktury, którą ktoś chce zinfiltrować. Taką właśnie akcję uruchomił jakiś czas temu Rosjanin. Jeśli ktoś chce poczytać…

Czytaj dalej »