Zamów książkę sekuraka o bezpieczeństwo aplikacji www!

Aktualności

Przeszło 20 nagranych prezentacji od sekuraka (~20 godzin nagrań :-) Nie chcesz zostać w tyle w tematach ITsec – zerknij tutaj.

19 sierpnia 2020, 13:33 | W biegu | 0 komentarzy
Przeszło 20 nagranych prezentacji od sekuraka (~20 godzin nagrań :-) Nie chcesz zostać w tyle w tematach ITsec – zerknij tutaj.

Wszystkie tematy z tytułu mamy nagrane w ramach regularnego remote Sekurak Hacking Party (lista poniżej). Najbliższe wydarzenie jest 19.08.2020, 20:00 (jeszcze można się zapisać :) Jak uzyskać dostęp do wszystkich prezentacji poniżej oraz awansem – kolejnych? Wystarczy wykupić u nas dowolny abonament dostępowy na udział w rSHP. W abonamencie uzyskujecie dostęp…

Czytaj dalej »

Wyciek danych osobowych SANS – ktoś po cichu wykradał im e-maile… winny lewy dodatek do O365

12 sierpnia 2020, 12:57 | W biegu | komentarzy 5
Wyciek danych osobowych SANS – ktoś po cichu wykradał im e-maile… winny lewy dodatek do O365

SANS to prawdopodobnie znana większości osób zajmujących się bezpieczeństwem organizacja. Tymczasem parę dni temu opublikowała informację o pewnym incydencie bezpieczeństwa: On August 6th, as part of a systematic review of email configuration and rules we identified a suspicious forwarding rule and initiated our incident response process. This rule was found…

Czytaj dalej »

Gruba podatność w implementacji DP3T – jednego z systemów do contact tracingu COVID

11 sierpnia 2020, 14:05 | W biegu | komentarze 2
Gruba podatność w implementacji DP3T – jednego z systemów do contact tracingu COVID

DP-3T (pisaliśmy m.in. o nim jakiś czas temu) to jedno z bardziej dojrzałych rozwiązań do tzw. contact tracingu. Tymczasem niedawno załatano taką podatność: Missing signature validation of JWT when alg=none Podatność występowała w jednym z komponentów backendowych całości: When dp3t-sdk-backend is configured to check a JWT before uploading/publishing keys, it was…

Czytaj dalej »

0-day na vBulletin, możliwość wykonania dowolnego kodu

11 sierpnia 2020, 10:11 | W biegu | 0 komentarzy
0-day na vBulletin, możliwość wykonania dowolnego kodu

Dwa dni temu, Amir Etemadieh opublikował na swoim blogu posta, w którym opisuje błąd w systemie forum vBulletin. Exploitacja możliwa jest przez wykonanie prostego zapytania: POST /ajax/render/widget_tabbedcontainer_tab_panel HTTP/1.1 Host: nazwa_hosta.pl subWidgets[0][template]=widget_php&subWidgets[0][config][code]=phpinfo(); Podatność została zauważona dzięki analizie wcześniejszej podatności w tym samym silniku, oznaczonej symbolem CVE-2019-16759 (na Sekuraku też o niej wspominaliśmy). Jak…

Czytaj dalej »

Białoruś: odpalili blackout Internetu w trakcie wyborów. „Podstawy prawne [do takich działań] istnieją również w Polsce”

10 sierpnia 2020, 12:58 | W biegu | komentarzy 6
Białoruś: odpalili blackout Internetu w trakcie wyborów. „Podstawy prawne [do takich działań] istnieją również w Polsce”

Serwis Netblocks powiadomił w weekend o bardzo poważnym spadku dostępności Internetu na Białorusi: Network telemetry from the NetBlocks internet observatory confirm that internet connectivity in Belarus has been significantly disrupted as of Sunday 9 August 2020 amid tense presidential elections. Outages increased in severity through the day producing an information…

Czytaj dalej »

Zdobył ~50 000 PLN za zgłoszenie niewinnej podatności SSRF w Grafanie

08 sierpnia 2020, 13:40 | Aktualności | komentarze 4
Zdobył ~50 000 PLN za zgłoszenie niewinnej podatności SSRF w Grafanie

Z podatnością Server-Side Request Forgery (SSRF) bywa różnie – czasem właściciele systemu, który ma tę lukę wzruszają ramionami – niby brak impactu. Czasem jednak można otrzymać całkiem sowitą nagrodę i tak też było w tym przypadku. Przypomnijmy – SSRF to zmuszenie serwera (aplikacji) do wykonania żądania HTTP (lub innym protokołem)…

Czytaj dalej »

Bleeping Computer: Canon uderzony przez ransomware.

05 sierpnia 2020, 18:17 | W biegu | 0 komentarzy
Bleeping Computer: Canon uderzony przez ransomware.

Wg Bleeping Computer Canon został zainfekowany przez Maze. Obecnie niedostępna jest amerykańska strona korporacji: Ucierpiała też strona przechowująca zdjęcia użytkowników w cloudzie. Sama korporacja informuje, że utraciła zdjęcia użytkowników znajdujące się w serwisie image.canon, na pocieszenie ostały się miniaturki, choć i tych na razie nie można pobrać. Update: operatorzy Maze…

Czytaj dalej »

Awaria w mBanku i testowe powiadomienia na produkcji

05 sierpnia 2020, 15:36 | W biegu | komentarzy 26
Awaria w mBanku i testowe powiadomienia na produkcji

Ogromna liczba naszych czytelników raportuje nam taką oto niespodziankę: Sam też dostałem takie powiadomienia, co więcej w obecnej chwili [15:23, 5.08.2020] nie działa (lub działa bardzo wolno) logowanie do aplikacji mobilnej (przynajmniej na iOS). Nie działa również strona mbank.pl [update 16:55 5.08.2020 – strona zaczyna powoli działać] – stawiam tutaj…

Czytaj dalej »

Chcesz zobaczyć coś na żywo w temacie bezpieczeństwa aplikacji mobilnych? Zapraszamy na sekurak.tv

05 sierpnia 2020, 15:16 | W biegu | komentarze 3
Chcesz zobaczyć coś na żywo w temacie bezpieczeństwa aplikacji mobilnych? Zapraszamy na sekurak.tv

Jeśli ktoś jeszcze nie zna tematu sekurak.tv – zapraszamy jutro na nasz kanał (kto jeszcze nie dał suba i dzwonka – można nadrobić zaległości ;). O 19:00, 6. sierpnia Marek Rzepecki z Securitum pokaże pod tym linkiem w jak prosty sposób można było zaatakować pewną aplikację mobilną (czy raczej jej użytkowników) i…

Czytaj dalej »

Namierzyli ~1000 podatnych VPNów na całym świecie i udostępnili sieci do przejęcia przez ransomware. Na celowniku banki, instytucje rządowe, … Są również instytucje z Polski

05 sierpnia 2020, 11:39 | W biegu | 0 komentarzy
Namierzyli ~1000 podatnych VPNów na całym świecie i udostępnili sieci do przejęcia przez ransomware. Na celowniku banki, instytucje rządowe, … Są również instytucje z Polski

Chodzi o podatne rozwiązania VPN – Pulse Secure. Ktoś kojarzony z Rosją udostępnił 1800 adresów IP, gdzie można znaleźć te podatne rozwiązania. Jako bonus dorzucone zostały dodatkowe dane (typu loginy i hasła w plaintext – więcej o tym za chwilę): A well-known Russian-speaking Threat Actor shared details of over 1800 IPs…

Czytaj dalej »

Unia Europejska nałożyła sankcje za cyberataki. Na czarnej liście jednostka z Korei Północnej – za skuteczny atak m.in. na polską Komisję Nadzoru Finansowego

04 sierpnia 2020, 15:01 | W biegu | komentarze 2
Unia Europejska nałożyła sankcje za cyberataki. Na czarnej liście jednostka z Korei Północnej – za skuteczny atak m.in. na polską Komisję Nadzoru Finansowego

Umieszczenie złośliwego pliku na stronach KNF miało miejsce w 2017 roku. Europejska machina biurokratyczna mieli dość powoli, ale w końcu wymieliła sankcje. Jak czytamy: Chosun Expo udzielił finansowego, technicznego lub materialnego wsparcia na rzecz serii cyberataków i ułatwił serię cyberataków, wywołujących poważne skutki, pochodzących spoza Unii i stanowiących zewnętrzne zagrożenie dla…

Czytaj dalej »

Ktoś zaciągnął na prezydenta Otwocka kredyty o wysokości 40 000 PLN. Poszkodowany: być może problemem był wyciek z SGGW

04 sierpnia 2020, 14:06 | W biegu | komentarze 2
Ktoś zaciągnął na prezydenta Otwocka kredyty o wysokości 40 000 PLN. Poszkodowany: być może problemem był wyciek z SGGW

Kradzież tożsamości i powiązane z tym zaciąganie kredytów na konta ofiar to sprawa, która dość często się w Polsce powtarza. Tym razem RMF donosi: Oszuści posługując się moimi danymi osobowymi wzięli na mnie łącznie prawie 40 tys. pożyczki – powiedział prezydent Otwocka Jarosław Margielski. Poinformował, że sprawą zajmuje się prokuratura. „W…

Czytaj dalej »

Poufne dokumenty z analizy smoleńskiej były zaszyfrowane. Prof. Kazimierz Nowaczyk złamał hasło, które brzmiało: dupa (!)

04 sierpnia 2020, 13:36 | W biegu | komentarzy 11
Poufne dokumenty z analizy smoleńskiej były zaszyfrowane. Prof. Kazimierz Nowaczyk złamał hasło, które brzmiało: dupa (!)

Dość sensacyjną informację ustami profesora Kazimierz Nowaczyka zaserwowała nam telewizja Republika (i cytują dalej inne media) : Komisja Millera dokonała analizy i zebrała dokumenty medyczne wyłącznie załogi samolotu i co dziwnie się składa, gen. Błasika, co mnie zaskoczyło. Ale zaszokowało mnie co innego – że te materiały zostały utajnione i dokumenty…

Czytaj dalej »