Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: 2fa

Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

29 grudnia 2023, 13:47 | Teksty | komentarzy 5
Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

Przeprowadzanie testów penetracyjnych wymaga użycia istniejących rozwiązań, które w sposób znaczący mogą ułatwić pracę audytora. W przypadku aplikacji internetowej cenne jest rozpoznanie struktury katalogów lub odnalezienie plików, które mogą wzbudzić zainteresowanie testera. W tym celu stosuje się takie narzędzia jak: • ffuf,• dirbuster,• gobuster. Podczas omawianego pentestu, użyłem narzędzia ffuf…

Czytaj dalej »

Jak w praktyce przełamać dwuczynnikowe uwierzytelnienie? Zobaczcie tę prawdziwą historię włamania, która obfituje w… pomysłowość atakujących.

25 września 2023, 19:28 | W biegu | komentarzy 9
Jak w praktyce przełamać dwuczynnikowe uwierzytelnienie? Zobaczcie tę prawdziwą historię włamania, która obfituje w… pomysłowość atakujących.

Żeby nie przedłużać, przejdźmy od razu do rzeczy. Ciekawą historię włamania do swojej infrastruktury IT opisuje firma Retool. Zaczęło się od kampanii celowanych SMSów, w których atakujący podszywali się pod pracowników IT – „ten tego, coś jest nie tak z Twoim kontem, co może wpłynąć na dostępność Twojego ubezpieczenia zdrowotnego”:…

Czytaj dalej »

Można było ominąć logowanie kluczem sprzętowym 2FA do Cloudflare. Prosty trick…

19 września 2023, 16:00 | W biegu | komentarze 3
Można było ominąć logowanie kluczem sprzętowym 2FA do Cloudflare. Prosty trick…

Spójrzcie na tę podatność opublikowaną w serwisie HackerOne, zatytuowaną dość lakonicznie: 2FA Bypass. Czytamy tutaj: Dashboard Cloudflare umożliwia użytkownikom konfigurowanie uwierzytelniania dwuskładnikowego przy użyciu klucza bezpieczeństwa. Błąd w systemie uwierzytelniania umożliwiał pozyskanie kodów odzyskiwania (używanych do odzyskania dostępu do konta w przypadku utraty klucza bezpieczeństwa) – po podaniu prawidłowej nazwy…

Czytaj dalej »

Twitter wyłącza 2FA (dwuczynnikowe uwierzytelnienie) oparte na SMSach… zostaje ono tylko dla subskrybentów

18 lutego 2023, 09:57 | W biegu | komentarzy 10
Twitter wyłącza 2FA (dwuczynnikowe uwierzytelnienie) oparte na SMSach… zostaje ono tylko dla subskrybentów

Szczegóły można zobaczyć tutaj: Chociaż historycznie popularne, 2FA oparte na SMSach, było niekiedy omijane. Dlatego od dziś nie będziemy już zezwalać konfigurację 2FA opartego o SMSy, chyba że konto jest subskrybentem Twitter Blue. Dostępność SMS 2FA dla Twitter Blue może się różnić w zależności od kraju i operatora (w Polsce…

Czytaj dalej »

Pokazał jak ominąć dwuczynnikowe uwierzytelnienie (2FA) na Facebooku. Wystarczyło co nieco pobruteforsować. Nagroda: $27000

01 lutego 2023, 15:05 | W biegu | komentarzy 6
Pokazał jak ominąć dwuczynnikowe uwierzytelnienie (2FA) na Facebooku. Wystarczyło co nieco pobruteforsować. Nagroda: $27000

Podatność została zlokalizowana w Accounts Center, gdzie można było dodać do swojego konta numer telefonu. Na telefon wysyłany był 6-cyfrowy kod potwierdzający, że dana osoba jest właścicielem numeru. Ale – i tu dochodzimy do istoty problemu – Facebook (czy raczej Meta) nie zaimplementował mechanizmu anty-bruteforce. Zatem: Wybranie numeru telefonu konta-celu…

Czytaj dalej »

Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google

02 stycznia 2023, 11:20 | Aktualności | komentarze 52
Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google

W zasadzie wszystko zawarte jest w tytule, ale może jednak nazbyt skrótowo ;-) W każdym razie Rafał w tym wątku zgłosił nam swoją historię: Zaczęło się od poszukiwania w google strony GIMPa. Wyglądało to mniej więcej tak: Spoko, tylko strona na którą kierowała reklama wyglądała tak: Najpewniej w instalce był…

Czytaj dalej »

Logowanie do konta Google: można używać iPhone jako sprzętowego klucza 2FA

16 stycznia 2020, 12:28 | W biegu | komentarze 2
Logowanie do konta Google: można używać iPhone jako sprzętowego klucza 2FA

To kolejny krok mający gdzieś wypośrodkować: bezpieczeństwo, wygodę i koszty. Google od jakiegoś czasu umożliwia logowanie swoim pracownikom z wykorzystaniem kluczy sprzętowych. Co więcej, zmniejszyło to liczbę skutecznych ataków phishingowych skutkujących przejęciem konta do 0 (zera!). Tego typu logowanie dostępne jest też dla klientów zewnętrznych, jednak część osób narzeka na…

Czytaj dalej »

Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

10 października 2019, 09:26 | W biegu | 1 komentarz
Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

Zapewne wielu z Was zna tę popularną opcję na Twitterze czy Facebooku (i w wielu innych serwisach): aby zalogować się, należy poza loginem i hasłem podać również unikalny kod wysyłany SMS-em do użytkownika. Operacja wymaga wcześniejszego podania serwisowi numeru telefonu, który ma być wykorzystywany tylko w celach zwiększenia bezpieczeństwa. Tymczasem…

Czytaj dalej »

FBI publikuje ostrzeżenie o przełamywaniu mechanizmów 2FA przez cyberprzestępców

08 października 2019, 12:03 | W biegu | komentarzy 6
FBI publikuje ostrzeżenie o przełamywaniu mechanizmów 2FA przez cyberprzestępców

Najpierw dobra informacja, jeśli nie używasz 2FA, nikt nie może więc przełamać tego mechanizmu ;-)) To oczywiście żart, bo korzystanie z dwu-czy wieloczynnikowego uwierzytelnienia jest zdecydowanie zalecane. Najczęstszym przykładem tego typu zabezpieczenia jest znana wszystkim z banków konieczność wprowadzenia dodatkowego kodu (najczęściej przesyłanego SMS-em) przy autoryzacji przelewów (jak więc widać…

Czytaj dalej »

Jak warto dbać o bezpieczeństwo? Wyniki ankiety sekuraka

14 września 2019, 13:13 | W biegu | komentarze 2

Ostatnio w ramach badania na naszych kanałach społecznościowych sprawdzaliśmy, jakie czynności w zakresie bezpieczeństwa IT są najważniejsze dla osób mocno związanych z IT, jak również pozostałych użytkowników.  W ankiecie wzięło 1638 osób, a jak widać poniżej, wśród czytelników sekuraka dominują osoby związane z IT, a te które nie wiedzą nic…

Czytaj dalej »

Stracił $100 000 w kryptowalutach – kolejny przykład ataku SIM swap

21 maja 2019, 11:06 | W biegu | komentarze 3

TLDR: nagle stracił sygnał GSM w swoim telefonie. Ale niczego złego się nie spodziewał. Tymczasem atakujący resetował hasła – najpierw do głównej skrzynki pocztowej ofiary, później do rozmaitych kont, które umożliwiały logowanie z wykorzystaniem głównego adresu mailowego: Finalnie, ktoś przejął konto ofiary w serwisie Coinbase, po czym ukradł z niego…

Czytaj dalej »