Wicie, rozumicie, maintenance! W świecie dookoła kryptowalut pachnie to hackiem. Zresztą Wormhole przyznaje to w tweecie powyżej. Co co chodzi z tym Wormhole? Platforma umożliwia wymianę kryptowalut na inne: Bridge portals use “smart contracts” on the Ethereum blockchain to convert an input cryptocurrency into a temporary internal token, which they…
Czytaj dalej »
Tutaj ciekawy wątek, zawierający historię ~adminów, którzy przypadkowo skasowali a to dysk produkcyjny, a to całą bazę. Na początek klasyka. Zapytanie na bazie (czasem z brakiem WHERE, albo złym WHERE). Niekiedy zdarzają się jeszcze inne błędy, które potrafią uratować sytuację (uffff :) Czasem jednak takich błędów nie ma (oops): Pamiętajcie,…
Czytaj dalej »
Kilka chwil temu opisywaliśmy przykład hackowania lamp akwariowych, teraz kolej na taki sprzęt: Przyszły tata, zakupił sprzęt, zakasał rękawy i przeszedł do dzieła. Najpierw skanowanie urządzenia nmapem: [przy okazji warto pamiętać, że nmap i tak skanuje domyślnie 1000 najpopularniejszych portów, więc przełącznik: –top-ports 1000 jest zbędny] Co ciekawego znajdowało się…
Czytaj dalej »
Badacz opisuje znalezioną przez siebie lukę tutaj. Opis luki może wydawać się nieco enigmatyczny: This researcher pointed out that HelloSign’s Google Drive doc export feature had a URL parsing issue that could allow extra parameters to be passed to Google Drive API. By making use of an extra parameter in…
Czytaj dalej »
Opis projektu tutaj, interaktywne demo – pod tym adresem: https://webvm.io Jak widać, całość działa bez problemu również np. na Apple M1 (chociaż prędkość nie zachwyca :) Pamiętajcie, że wszystko działa w Waszej przeglądarce, bez żadnych komponentów serwerowych: Dodatkowo twórcy chwalą się, że na wirtualce można uruchamiać binarki z Debiana bez…
Czytaj dalej »
Jeden z czytelników poinformował nas o wiadomości e-mail, którą otrzymał od T-Mobile (adres nadawcy: boa@t-mobile.pl; wytłuszczenie – sekurak): Zgodnie z wymaganiami Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Art. 174a ust.3) oraz Artykułu 34 RODO informuję, że z uwagi na powstały błąd po naszej stronie w samoobsługowym serwisie…
Czytaj dalej »
Informację o luce CVE-2021-44142, znalezionej przez znanego badacza Orange Tsai, przekazała ekipa Samby: This vulnerability allows remote attackers to execute arbitrary code as root on affected Samba installations that use the VFS module vfs_fruit. Podatność występuje w domyślnej konfiguracji wyżej wskazanego modułu, a jej CVSS score został określony na aż…
Czytaj dalej »
Czytelnik podesłał nam świeży przykład oszustwa: „Darmowy telewizor do odebrania, bo wyjeżdżam” – brzmi jak spora liczba klików (no dobra, dla niektórych brzmi od razu jak oszustwo). A co po wejściu na ogłoszenie? Strona mająca https i kłodkę (a jakże!) w przeglądarce, ale zdecydowanie nie będąca Facebookiem; wykradająca za to…
Czytaj dalej »
Krótka odpowiedź: UPnP. Ale zaraz, zaraz – odpowie ktoś kto mniej więcej kojarzy ten protokół – przecież komunikację UPnP można wykonać tylko z LAN-u (jeśli dane urządzenie obsługuje ten protokół). No więc jak się okazało już jakiś czas temu – nie zawsze. Niektóre urządzenia pozwalają na inicjację komunikacji UPnP z…
Czytaj dalej »
Nieco sensacyjna historia, która miała miejsce już jakiś czas temu jest opisywana również tutaj: No więc jaki był PIN do karty płatniczej tej pani? Spoiler ;-). Może na koniec jeszcze jakiś wniosek dla nas? Sprawdzajcie kwotę, którą prezentuje Wam na terminalu płatniczym sprzedawca (szczególnie można się zdziwić przy płatności telefonem,…
Czytaj dalej »
Nietypową wiadomość od pewnej korporacji otrzymał Daniel Stenberg, twórca m.in. narzędzia curl, czyli klienta HTTP działającego w terminalu. Firma o dochodach 500 miliardów dolarów „poprosiła” go o odpowiedź na osiem pytań dotyczących możliwego wpływu podatności Log4j na jeden z jego programów na licencji open source, który jest używany w tej…
Czytaj dalej »
W przytłaczającej większości przypadków nie należy odpowiadać na tego maila (nikt się nie włamał na Twój komputer). Ale czy coś robić? Czytajcie dalej Jeden z czytelników przesłał nam właśnie informację o takim świeżym e-mailu: Temat nie jest nowy, ale schemat najprawdopodobniej cały czas działa, bo cyberzbiry cały czas próbują wyciągnąć od…
Czytaj dalej »
Dla przestępców nie ma czasu odpoczynku, co więcej – gdy jedni świętują, drudzy próbują łowić ofiary. Tym razem CERT Polska donosi o tego typu nieprawdziwej informacji rozpylanej na Facebooku: Po wejściu na video „jest już tylko jeden krok” – czyli strona udająca Facebooka prosi nas o podanie danych do logowania:…
Czytaj dalej »
Ciekawostka. Nie ma co zbyt wiele opowiadać o projekcie, przetestujcie go sami: https://hughchen.github.io/qr_image/ (kod źródłowy). Przykładowy efekt końcowy: Inny przykładowy kod: ~Michał Sajdak
Czytaj dalej »
Nowa kampania (o której donoszą nam czytelnicy – dzięki!) ma kilka różnych wariantów. Przy okazji zobaczcie od kogo niby przychodzi ten SMS…: Co się dzieje dalej? Ofiara wybiera bank: Po wyborze banku, zbierane są różne dane (w zależności od banku): login/hasło/SMS wysłany podczas logowania/PESEL/PIN do appki mobilnej: Dla pewności –…
Czytaj dalej »
