Idzie nowe. Przestępcy typują odpowiednio dobre samochody, które znajdują się np. na publicznym parkingu, przyczepiają do nich swojego AirTaga, a następnie obserwują gdzie mieszka właściciel – bo zapewne stamtąd będzie można auto na spokojnie ukraść: since September 2021, officers have investigated five incidents where suspects have placed small tracking devices…
Czytaj dalej »
MonoX Finance pisze, że winny jest błąd w smart kontrakcie. Dla laików – wymiana kryptowaluty (MONO token) na nią samą, powodowała nieoczekiwany wzrost jej wartości. Teraz zapętlić i mamy wysokiej wartości walutę (token), za którą możemy kupić coś innego. No więc kupili. W sumie za około 125 000 000 zł:…
Czytaj dalej »
Przekręty na Blika raczej kojarzą nam się z małymi kwotami, a chyba najpopularniejsze są akcje „na znajomego”. Przestępcy przejmują komuś konto np. na Facebooku, a następnie wysyłają wiadomości do znajomych, opisując rzekomy problem (potrzebuję szybko zapłacić Blikiem, zapomniałem pieniędzy, a stoję przy kasie;). Ekipa Blika pisała już o takich akcjach…
Czytaj dalej »
O temacie donosi Reuters: iPhone-y co najmniej dziewięciu pracowników amerykańskiego Departamentu Stanu (amerykańscy urzędnicy pracujący w Ugandzie lub zajmujący się od strony dyplomacji tym krajem) zostały zhackowanie przez nieznanych napastników, którzy użyli Pegasusa Apple Inc iPhones of at least nine U.S. State Department employees were hacked by an unknown assailant…
Czytaj dalej »
Jak już pewnie słyszeliście 6 grudnia będzie MEGA bo mamy Mega Sekurak Hacking Party. Ponad 9 godzin super merytorycznej wiedzy, pokazy hackingu na żywo, świeża wiedza od najlepszych. Mamy już 1 300 zapisanych osób! Jesteś uczestnikiem? Sprawdź swoją skrzynkę pocztową – wysłaliśmy już do Ciebie informacje organizacyjne. Chcesz być uczestnikiem?…
Czytaj dalej »
![Hackerzy ukradli równowartość ~500 000 000 PLN (w kryptowalutach). Jak doszło do włamu? Pozyskali klucz API.[BadgerDAO]](https://sekurak.pl/wp-content/uploads/2020/04/btc-123-150x150.jpeg "Hackerzy ukradli równowartość ~500 000 000 PLN (w kryptowalutach). Jak doszło do włamu? Pozyskali klucz API.[BadgerDAO]")
Ten atak był chyba nawet prostszy, niż przykłady wizualizowane w wielu filmach: it appears someone injected a malicious script into BadgerDAO’s frontend after compromising an API key for BadgerDAO’s Cloudflare account. No więc kradzież klucza API do Cloudflare, zasilenie CDNa swoim złośliwym skryptem i…: The malicious script basically tricked people…
Czytaj dalej »
Bleepingcomputer donosi o false positive, który mógł/może być zgłaszany przez Microsoft Defender for Endpoint: Microsoft działa z poprawkami problemu, a Wam zalecamy spokój: We are working to resolve an issue where some customers may have experienced a series of false-positive detections. This issue has been resolved for cloud-connected customers.” –…
Czytaj dalej »
Do włamania doszło na początku tego roku. Obecnie postawiono zarzuty Mikołajowi Sharp – byłemu (obecnie) pracownikowi. The Record relacjonuje: He used work AWS and GitHub credentials to access the company’s network and download gigabytes of proprietary data. He tried to extort the company for 50 BTC ($2 million) in January…
Czytaj dalej »
Kiedy za temat zabiera się Tavis Ormandy, wiadomo że będzie grubo. Tym razem (CVE-2021-43527) czytamy: I’ve discovered a critical vulnerability in Network Security Services (NSS). NSS is the Mozilla project’s cross-platform cryptography library. W skrócie – można przygotować podpis cyfrowy, który będzie większy niż maksymalny który przewiduje biblioteka, i mamy…
Czytaj dalej »
Zaczęło się od tego Tweeta: Co dość szybko spotkało się z taką ripostą: No więc czy rzeczywiście jeden z trolli przypadkiem chcąc wkleić na TT obrazek, zdradził jego dość kompromitującą ścieżkę? OPSEC fail? Namierzona farma rządowych trolli? A może „farma” będąca tylko uroczym baitem? Tego typu śmieszki były już wrzucane…
Czytaj dalej »
W tym artykule opisuję niebezpieczne użycie zmiennej $request_uri w Apache APISIX ingress controller. Moja praca zaowocowała zgłoszeniem błędu bezpieczeństwa, który otrzymał numer CVE-2021-43557. Zacznijmy od tego, czym jest Apache APISIX: „… to dynamiczna brama API (ang. API gateway) o wysokiej wydajności. Ma ona duże możliwości konfiguracji w zakresie kształtowania ruchu,…
Czytaj dalej »
Nasze mega sekurak hacking party już za kilka dni (6.12.2021). W dużym skrócie agenda przedstawia się następująco (zero nachalnego marketingu, same konkrety, pełen dzień tematów związanych z bezpieczeństwem IT, konkurs CTF drugiego dnia): Netgear – CTF w pudełku?! Prototype Pollution – czyli jak zatruć aplikację XSS-em OSINT – historia prawdziwa…
Czytaj dalej »
Wpis z serii ciekawostki. Przechodząc szybko do sedna – wdrożenie projektu jest wstępnie proponowane na rok 2025, a ma być poprzedzone badaniami, które właśnie się rozpoczynają: The VR test will asses driving, cognitive, and memory skills using a VR headset, close to how virtual reality technology is used in dementia…
Czytaj dalej »
Ostatnio pisaliśmy o dość nietypowym ataku na klientów mBanku (nie mylić z mBạnkiem) – zobaczcie na adres URL z „dziwną” literą ạ: Mamy też kolejny wariant, który wykorzystuje trochę nietypową literę n – czyli tę: mbaņk Paweł Piekutowski informuje również jeszcze o innym ataku – tym razem celem byli/są biznesowi…
Czytaj dalej »
Ciekawostka. Jeśli ktoś jeszcze nie zna projektu TempestSDR – polecam spojrzeć tutaj: This project is a software toolkit for remotely eavesdropping video monitors using a Software Defined Radio (SDR) receiver. It exploits compromising emanations from cables carrying video signals. Projekt ma na celu umożliwienie podsłuchiwania monitorów za pomocą SDR-a: wyłapuje…
Czytaj dalej »
