Aktualności

Jak czytamy tutaj, metoda była dość brutalna, a jednocześnie skuteczna: (…) jak wynika ze zgłoszenia, które przyjęli policjanci ze Żnina, doszło do uszkodzenia obudowy bankomatu, a następnie przecięcia kabli oraz podłączenia do niego urządzenia typu black box, za pośrednictwem którego przekazywane były komendy wypłaty gotówki. Ta nietypowa metoda, bezsprzecznie wymagająca…

27 lipca odbyła się konferencja prasowa na temat cyberbezpieczeństwa, w której udział wzięli: premier Mateusz Morawiecki, minister spraw wewnętrznych i administracji Mariusz Kamiński oraz pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński. Zapis całej konferencji jest już dostępny na YouTubie: Morawiecki, powołując się na coraz bardziej agresywne działania grup cyberprzestępczych, takich jak…

Zgłaszający tego buga otrzymał od Shopify grubą nagrodę w wysokości $50 000. W dużym skrócie, badacz badał publicznie dostępną appkę dla MacOS, w której znalazł zaszyty klucz API do GitHuba. Klucz z kolei dał pełen dostęp do (prywatnych i publicznych) repozytoriów kodu należących do Shopify. W oryginale opis wygląda tak:…

Tydzień temu informowaliśmy Was o dużej aktualizacji iOS 14.7, w której załatano aż 37 podatności: Firma Apple wzięła sobie do serca problem z łańcuchem exploitów 0-day wykorzystywanym w „dziczy”, gdyż w poniedziałek doczekaliśmy się kolejnych poprawek – iOS i iPad 14.7.1  oraz macOS Big Sur 11.5.1: Zarówno w przypadku macOS,…

Podatność CVE-2021-3438 została odkryta niedawno, bo 18 lutego, ale w kodach źródłowych sterowników znajdowała się od 16 lat. Dotyczy ona jedynie starszych modeli drukarek HP, Samsung i Xerox. Niestety nie oznacza to, że luka nie jest poważna, bo obejmuje stosunkowo popularne modele (łącznie około 400). Wykorzystanie podatności pozwala na podniesienie…

Na początku lipca informowaliśmy Was o ataku na firmę Kaseya, która dostarcza oprogramowanie do zarządzania IT: Przestępcy za odszyfrowanie danych zażądali horrendalnej kwoty 70 milionów dolarów: Sytuacja stała się jeszcze bardziej napięta po tajemniczym „zniknięciu” grupy: Według przedstawiciela innej grupy ransomware’owej operatorzy REvil otrzymali swoiste ultimatum od lokalnych władz, zmuszające…

Tutaj prawdopodobna przyczyna, którą Akamai opisuje tak: Investigating – We are aware of an emerging issue with the Edge DNS service. We are actively investigating the issue. If you have questions or are experiencing impact due to this issue, please contact Akamai Technical Support. In the interest of time, we…

Od poniedziałku użytkownicy iPhone’ów oraz iPadów mogą cieszyć się aktualizacją 14.7 systemu iOS. Zawiera ona łatki do szeregu krytycznych podatności bezpieczeństwa, pozwalających między innymi na zdalne wykonanie kodu oraz eskalację uprawnień: Poprawka obejmuje również opisywany przez nas błąd z hotspotem o SSID „%p%s%s%s%s%n”, za sprawą którego nasz iPhone nie był…

Chodzi o atak który miał miejsce w marcu tego roku, a ofiarą był jeden z większych ubezpieczycieli w USA – CNA Financial. Wg relacji, jeden z pracowników pobrał „fałszywą aktualizację przeglądarki” z (o dziwo) normalnego serwisu (może wstrzyknięta złośliwa reklama?). Następnie atakujący podnieśli uprawnienia do administratora. Następnie rekonesans i pełne…

Ostatnio znane oprogramowanie do inwigilacji ponownie stało się tematem artykułów. Wbrew pozorom zwykły obywatel przypuszczalnie nie musi obawiać się infekcji Pegasusem. Utrzymanie jego „lokalnej” infrastruktury wymaga sporych nakładów finansowych, więc to oprogramowanie jest w pewnym sensie zarezerwowane dla najistotniejszych celów. Zdecydowanie większe zagrożenie stanowi zwykły malware. Natomiast dowiadujemy się kilku…

Miejcie rękę na pulsie w temacie łatania luki CVE-2021-33909. Techniczny opis podatności dostępny jest tutaj, a badacze z Qualysa dodają, że podatność istnieje od 2014 roku (Linux 3.16). Na razie opublikowali prostego PoC exploita (crash), ale niebawem ma pokazać się pełen exploit. Luka, jak wspomniałem w tytule, umożliwia eskalację uprawnień…

Już w najbliższy piątek o 09:00 Michał Bentkowski poprowadzi unikalne szkolenie o wykorzystaniu nowoczesnych mechanizmów przeglądarkowych w celu lepszego zabezpieczenia aplikacji webowych. W ostatnich latach twórcy przeglądarek wprowadzili szereg mechanizmów, które pozwalają na lepsze zabezpieczenie aplikacji WWW przed atakami i pozwalają na lepsze zabezpieczenie danych użytkowników. Niektóre z nich są…

Ostatnie miesiące nie były najlepsze dla Microsoftu – jeśli mówimy o błędach bezpieczeństwa – czego żywym dowodem jest znalezisko Jonasa Lykkegraarda: Badacz odkrył trywialny błąd, który pozwala nieuprzywilejowanemu użytkownikowi na odczytanie plików SAM, SYSTEM czy SECURITY. Innymi słowy – zwykły użytkownik, nie będący administratorem, jest w stanie odczytać sekrety systemu,…

PAP donosi o następującym oszustwie: 5 mln zł zniknęło z lokaty założonej przez gminę Konstancin Jeziorna w jednym z banków – podaje portal piasecznonews.pl. Nie wiem, czy uda się odzyskać te pieniądze – komentuje burmistrz Kazimierz Jańczuk. Jak czytamy, pod koniec marca gmina założyła w jednym z banków lokatę na…

Jakiś czas temu pisaliśmy o ciekawym znalezisku badacza bezpieczeństwa Carla Schou: Dołączenie do hotspota o SSID „%p%s%s%s%s%n” sprawiało, że nasz iPhone nie był w stanie nawiązać połączenia z Wi-Fi, nawet jeśli został on ponownie uruchomiony lub gdy nazwa feralnego hotspota została zmieniona. Według Carla wykorzystanie wyżej wspomnianego błędu w praktyce…