Aktualności

GEDIA to spora niemiecka firma działająca w branży motoryzacyjnej (dostarczają rozmaite komponenty) – mają fabryki na trzech kontynentach (również w Polsce). Niedawno dowiedzieliśmy, że firma została zainfekowana ransomware. Niby nic wielkiego, ale pojawiła się również groźba ujawnienia danych – w przypadku kiedy GEDIA nie zapłaci okupu. Nie zapłaciła – więc…

Kara nałożona na operatora telekomunikacyjnego TIM została oczywiście wyrażona w Euro (dokładna kwota to: 27,802,946)  i dotyczyła licznych uchybień  –  w tym za wydzwanianie do ludzi z telefonicznym spamem – mimo wyraźnego sprzeciwu konkretnej osoby (ach, skąd my to znamy): (…) reception of unwanted promotional calls made without consent or despite…

Na pierwszy rzut oka ostatnia panika związana z nowym koronawirusem nie ma nic wspólnego z bezpieczeństwem IT. No ale na każdej panice niektórzy próbują się obłowić – niektórzy sprzedają maski ochronne na twarz w absurdalnych cenach, inni z kolei uruchamiają sklepy oferujące „szczepionkę” na 2019-nCoV: Cena jest niemała bo 0.1 BTC (~3700…

Nowe wydanie znanej nam dystrybucji wprowadza raczej kilka drobnych zmian i usprawnień, choć niektórzy brak domyślnego logowania na roota (root/toor) i przejście na niżej uprzywilejowanego (kali/kali) mogą traktować jako rewolucję. Ciekawostka to dostępność Kali Nethunter Rootless (edycja na smatfony), która nie wymaga roota (choć ma oczywiście pewne ograniczenia). Dodano też…

Opis wartego $2000 znaleziska można znaleźć tutaj. Przykładowy plik video wygląda np. tak:

a cała magia dzieje się w trakcie konwersji, np.: ffmpeg -i podatny_plik.mp4 -o wynik.avi, która jest wykonywana automatycznie po uploadzie pliku od użytkownika. „Dziwna” zawartość pliku graficznego to użycie pewnej ciekawej funkcji od Apple (HTTP Live Streaming). Co więcej podatność…

Niedawno udostępniono wersję 1.0 nowej dokumentacji od OWASP – API Security Top Ten. Mamy tutaj 10 najczęstszych/najgroźniejszych klas podatności w API (REST-owych). Najwięcej miejsca poświęcono problemom związanym z uwierzytelnianiem / autoryzacją. Mamy również całkiem osobne, ciekawe przypadki jak choćby Mass Assignment czy tematykę Rate Limiting. Nie można też zapomnieć o całej klasyce…

Tytułowe pieniądze to nagroda w bug bounty, przyznana za znalezienie klucza API w jednym publicznych repozytoriów kodu Starbucksa: vinothkumar discovered a publicly available Github repository containing a Starbucks JumpCloud API Key which provided access to internal system information. Co można było uzyskać posiadając klucz do JumpCloud-a? Jeśli ktoś nie zna…

W stosowny oświadczeniu Microsoft opisuje całą sprawę w niezbyt jasny sposób. „Wewnętrzna baza” (czy była dostępna z zewnątrz?), „większość rekordów nie posiadało danych osobowych” (ale dane osobowe stanowiły 1 czy raczej 49% całej bazy?), czy aby pobrać dane wymagane było jakieś uwierzytelnienie? Więcej precyzyjnych informacji można jednak odnaleźć w tym miejscu….

Zapraszamy do udziału w kolejnej edycji SEMAFORA – konferencji dotyczącej bezpieczeństwa i audytu. Temat przewodni nadchodzącej edycji to „Nowe technologie – nowe zagrożenia„.  W programie znajdą się tematy oparte wokół takich zagadnień jak m.in.: przemysł 4.0, telemedycyna, bezpieczeństwo sieci i użytkowników w technologii 5G, robotyzacja, AI i systemy autonomiczne, nowe…

Clearview AI to marzenie każdej ze służb. Wrzucasz zdjęcie dowolnej osoby, a dostajesz w wyniku inne zdjęcia badanego osobnika, które gdziekolwiek pokazały się w Internecie (wraz z informacją gdzie): Clearview AI, devised a groundbreaking facial recognition app. You take a picture of a person, upload it and get to see…

Można się trochę kłócić czy dane wyciekły czy zostały udostępnione świadomie; w każdym razie zdnet donosi: A hacker has published this week a massive list of Telnet credentials for more than 515,000 servers, home routers, and IoT (Internet of Things) „smart” devices. Wg relacji dane te są / były wykorzystywane…

W zeszłym roku zorganizowaliśmy całodniowe wydarzenie związane z bezpieczeństwem (pojawiło się aż 1300 osób!). Krótka relacja filmowa tutaj, dłuższa – w tym miejscu; Po archiwalne prezentacje można sięgnąć tutaj. Cały event podsumował trafnie jeden z uczestników: Merytorycznie, widowiskowo, bez sztampy Kolejna, całodniowa edycja MEGA sekurak hacking party, odbywa się 16 marca 2020 roku w Krakowie. Podobnie jak w poprzednim…

O załatanym parę dni temu problemie pisaliśmy tutaj. Dla uniknięcia wątpliwości – podatność dotyczy tylko Windowsów 10 (oraz 2016/2019 server). Wcześniejsze wersje (np. Windows 7) nie są podatne, bo nie posiadają obsługi pewnych parametrów, które okazały się problematyczne w przypadku obsługi ECDSA. Bardziej techniczne wyjaśnienie całego problemu możecie znaleźć tutaj czy…

To kolejny krok mający gdzieś wypośrodkować: bezpieczeństwo, wygodę i koszty. Google od jakiegoś czasu umożliwia logowanie swoim pracownikom z wykorzystaniem kluczy sprzętowych. Co więcej, zmniejszyło to liczbę skutecznych ataków phishingowych skutkujących przejęciem konta do 0 (zera!). Tego typu logowanie dostępne jest też dla klientów zewnętrznych, jednak część osób narzeka na…

Dość szczegółowy opis dostępny jest tutaj. Różne podatności występują w obu „wirtualnych” urządzeniach udostępnianych przez producenta (zarówno dla Windows jak i w przypadku Linuksa). Cisco w opisie łaty (jest ich kilka) pisze np. tak: Multiple vulnerabilities in the authentication mechanisms of Cisco Data Center Network Manager (DCNM) could allow an unauthenticated, remote…