Pełen opis problemu możecie zobaczyć tutaj. Historia związana jest z nowym interfejsem Facebooka (tzw. FB5). Tutaj można było stworzyć nową (testową) stronę, a następnie utworzyć do niej użytkownika: Na razie nie ma żadnej podatności, ale po kliknięciu przycisku Create Username można było przechwycić żądanie HTTP (np. w Burp Suite) i wpisać…
Czytaj dalej »
Jeśli Orange Tsai coś napisze, to jest to od razu uderzenie z Grubej Berty ;-) Tym razem mamy opis podatności klasy unauthenticated RCE w systemie MDM MobileIron. Dla przypomnienia systemy klasy Mobile Device Management to klucz do królestwa urządzeń mobilnych w całej firmie. Z jednej strony to właśnie w tym miejscu…
Czytaj dalej »
Trochę naszych czytelników pyta nas zaniepokojonych o co chodzi z takim dość dziwnym przyznajmy popupem pojawiającym się najczęściej przy ikonie chatu : Na razie nie ma o tym wielu szczegółowych informacji – poza tym wątkiem, gdzie najczęściej wskazuje się na pewną ukrytą funkcję Facebooka (która prawdopodobnie powinna być dostępna tylko…
Czytaj dalej »
W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…
Czytaj dalej »
Wiele serwisów podgrzewa kolejną aferę: „iOS Facebook app ‘secretly using camera’ while scrolling feed” czy „Facebook is secretly using your iPhone’s camera as you scroll your feed„. Błąd ujawnia się tylko na aplikacji mobilnej Facebooka, w wersji na iPhone (tylko na systemach iOS 13): Found a @facebook #security & #privacy…
Czytaj dalej »Czytelnik doniósł nam o nowej, popularnej kampanii na Facebooku która wygląda np. tak (przykład: https://m.facebook[.]com/story.php?story_fbid=2228191223969654&id=100003363936319 Zasięgu można tylko pozazdrościć: Ci którzy skuszą się na wejście na stronę opisującą porwanie, będą mogli zobaczyć film z całej akcji, który jednak ze względu na drastyczne sceny wymaga potwierdzenia swojego wieku (18 lat). A to…
Czytaj dalej »Od poniedziałku (29.07.2019) obserwuję wśród moich znajomych na Facebooku posty, które można streścić “Nie klikajcie linków do Blika, to wirus”. W tym przypadku przyczyną nie jest złośliwe oprogramowanie. To znany przynajmniej od stycznia phishing na “dopłatę BLIK”. Schemat ataku niezależnie od fałszywego adresu zawsze jest podobny. Zobaczmy, jak wygląda w…
Czytaj dalej »Amerykańska Federalna Komisja Handlu zatwierdziła w drodze głosowania gigantyczną grzywnę dla Facebooka w wysokości około 5 miliardów USD. Grzywna została „wypracowana” w formule ugody. New York Times zaznacza, że kara ta musi być zatwierdzona przez Departament Sprawiedliwości, choć najczęściej jest to tylko formalność: The deal still needs final approval from…
Czytaj dalej »Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…
Czytaj dalej »Oskarżony Litwin właśnie przyznał się do winy, formalny wyrok zostanie ogłoszony w USA w lipcu tego roku. Maksymalny wymiar kary, który mu grozi to 30 lat więzienia. Sprawa sięga aż 2013 roku, a schemat działania był dość prosty. W oświadczeniu wydanym przez departament sprawiedliwości USA czytamy tak: From 2013 through 2015,…
Czytaj dalej »Dzisiaj z różnym skutkiem nie działają usługi oferowane przez Facebooka. Dużo osób nie może zmieniać statusu, lubić komentarzy, postów czy wręcz zalogować się. Facebook w tym ostatnim przypadku wyświetla dość niepozorny komunikat: Wracasz za „parę minut”, ale przecież wyraźnie znowu jest napisane – powinien być dostępny dopiero „za parę minut”…
Czytaj dalej »Może takie miejsce się przyda? Planujemy tam publikować tematy, które normalnie nie pojawią się na sekuraku, czasem AMA, prosimy też o podrzucanie Waszych ciekawych tematów do dyskusji. To ostatnie jest głównym celem istnienia grupy – mamy całkiem sporo doświadczonych w interesującym nas temacie czytelników. A co tysiące głów to nie…
Czytaj dalej »A jedynie zmniejsza trochę jej skuteczność. Przekonała się o tym pani Aleksandra: Aleksandra Korolova has turned off Facebook’s access to her location in every way that she can. She has turned off location history in the Facebook app and told her iPhone that she “Never” wants the app to get her location….
Czytaj dalej »… czy to bug czy ficzer? :) Ostatnio udało się załatać problem, który uniemożliwiał skasowanie konta na Facebooku użytkownikom którzy utworzyli „dużą liczbę postów”. Podatność ponoć została już załatana, przy okazji Facebook zwiększył też dany sobie czas potrzebny do ostatecznego usunięcia konta – z 14 do 30 dni. –ms
Czytaj dalej »Wczoraj pisaliśmy o hacku na Facebooka (aktywnie wykorzystywana przez napastników podatność, umożliwiająca przejmowanie kont). Pisało też o tym bardzo wiele światowych serwisów – m.in. Associated Press czy Guardian. Co w tym nietypowego? Ano to że, systemy bezpieczeństwa FB wykrywały ww. posty o temacie jako „spam”, a następnie je blokowały. No więc…
Czytaj dalej »