Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: twitter

Twitterowe konto amerykańskiej agencji SEC zhackowane. Opublikowali fejkową informację o zatwierdzeniu Bitcoin ETFów. Kurs BTC wystrzelił

10 stycznia 2024, 11:07 | W biegu | 1 komentarz
Twitterowe konto amerykańskiej agencji SEC zhackowane. Opublikowali fejkową informację o zatwierdzeniu Bitcoin ETFów. Kurs BTC wystrzelił

Fejkowy wpis na profilu SEC (Komisja Papierów Wartościowych i Giełd) wyglądał jak poniżej i mówił o akceptacji Bitcoin ETFów przez Komisję. Tzn. wpis był prawdziwy, tyle że opublikowany przez osoby, które przejęły konto SEC: Jak donosi Reuters, wpis był dostępny niecałe 20 minut i to najpewniej on spowodował wystrzał kursu…

Czytaj dalej »

Podatność XSS w Twitterze. Zdenerwowany badacz udostępnił PoCa. Klikasz w linka i masz przejęte konto

16 grudnia 2023, 11:25 | W biegu | komentarze 4
Podatność XSS w Twitterze. Zdenerwowany badacz udostępnił PoCa. Klikasz w linka i masz przejęte konto

Program Bug Bounty łatwo rozpocząć, trudniej jest nim sprawnie zarządzać i nawiązywać dobre relacje z badaczami bezpieczeństwa. Stawką może być full disclosure na własnej platformie o czym przekonał się X (dawniej Twitter).  Użytkownik @rabbit_2333 umieścił 11.12.2023 r. post z PoC-em do reflected XSS-a.  PoC zawierał link do portalu analytics.twitter.com, który…

Czytaj dalej »

Twitter wyłącza 2FA (dwuczynnikowe uwierzytelnienie) oparte na SMSach… zostaje ono tylko dla subskrybentów

18 lutego 2023, 09:57 | W biegu | komentarzy 10
Twitter wyłącza 2FA (dwuczynnikowe uwierzytelnienie) oparte na SMSach… zostaje ono tylko dla subskrybentów

Szczegóły można zobaczyć tutaj: Chociaż historycznie popularne, 2FA oparte na SMSach, było niekiedy omijane. Dlatego od dziś nie będziemy już zezwalać konfigurację 2FA opartego o SMSy, chyba że konto jest subskrybentem Twitter Blue. Dostępność SMS 2FA dla Twitter Blue może się różnić w zależności od kraju i operatora (w Polsce…

Czytaj dalej »

Wyciek czy raczej scrapping emaili kont twitterowych. Udostępnili ~200 milionów rekordów do pobrania. Możesz sprawdzić czy Twój jest w bazie.

07 stycznia 2023, 10:55 | W biegu | 0 komentarzy
Wyciek czy raczej scrapping emaili kont twitterowych. Udostępnili ~200 milionów rekordów do pobrania.  Możesz sprawdzić czy Twój jest w bazie.

Wyciek brzmi groźnie, ale zawsze warto sprawdzać co dokładnie wyciekło (i kiedy ;) W każdym razie na jednym z forów pojawiły się linki do bazy, a także demo tego co wyciekło: Jak widać, są to ~tylko emaile podpięte do danego konta twitterowego. Chociaż oczywiście czasem w połączeniu z dalszym OSINTem,…

Czytaj dalej »

C:\Users\BiuroPiSRzeszów\Desktop\Obrazki\na_twittera\po_zdradzilopolakow-2442.jpg

01 grudnia 2021, 18:28 | W biegu | komentarzy 18
C:\Users\BiuroPiSRzeszów\Desktop\Obrazki\na_twittera\po_zdradzilopolakow-2442.jpg

Zaczęło się od tego Tweeta: Co dość szybko spotkało się z taką ripostą: No więc czy rzeczywiście jeden z trolli przypadkiem chcąc wkleić na TT obrazek, zdradził jego dość kompromitującą ścieżkę? OPSEC fail? Namierzona farma rządowych trolli? A może „farma” będąca tylko uroczym baitem? Tego typu śmieszki były już wrzucane…

Czytaj dalej »

Nastolatek odpowiedzialny za “włam” na Twittera skazany na 3 lata więzienia

18 marca 2021, 20:00 | W biegu | komentarze 2
Nastolatek odpowiedzialny za “włam” na Twittera skazany na 3 lata więzienia

Pamiętacie akcję z kryptowalutowym scamem od zweryfikowanych profili, takich jak Bill Gates, Apple czy Elon Musk ? Za wszystkim stał Graham Ivan Clark – 17-latek z Florydy. Graham za pomocą skutecznego ataku socjotechnicznego przejął konto pracownika, a następnie korzystając z wewnętrznego panelu Twittera, był w stanie uzyskać dostęp do innych…

Czytaj dalej »

Giveaway od “Elona Muska”, czyli jak prostym sposobem ukradli ~1 000 000 PLN

17 lutego 2021, 10:20 | W biegu | komentarzy 16
Giveaway od “Elona Muska”, czyli jak prostym sposobem ukradli ~1 000 000 PLN

Elon Musk to amerykański przedsiębiorca i filantrop, założyciel lub współzałożyciel przedsiębiorstw PayPal, SpaceX, Tesla, Neuralink i Boring Company, pochodzący z RPA. Obecnie jest dyrektorem generalnym i technicznym w SpaceX, dyrektorem generalnym i głównym architektem w Tesla Inc. Jest również jednym z najbogatszych ludzi na świecie. Elon a kryptowaluty Elon korzysta…

Czytaj dalej »

Hasło do twitterowego konta Donalda Trumpa brzmiało tak… (+ brak 2FA) [Update: Twitter oraz Biały Dom dementują]

22 października 2020, 20:05 | W biegu | komentarzy 5
Hasło do twitterowego konta Donalda Trumpa brzmiało tak… (+ brak 2FA) [Update: Twitter oraz Biały Dom dementują]

maga2020! [patrz jednak aktualizację na końcu newsa – Twitter oraz Biały Dom dementują] Proste do zapamiętania, chwytliwe w razie wycieku czy hacku :-) W każdym razie o haśle maga2020! donoszą m.in. holenderskie portale newsowe. Victor Gevers, który wg doniesień uzyskał dostęp na konto Trumpa, był dodatkowo mocno zdziwiony brakiem włączonego dwuczynnikowego uwierzytelnienia:…

Czytaj dalej »

Ćwierkając w czasie i przestrzeni, czyli analiza geolokalizacji wpisów na Twitterze

22 września 2020, 09:39 | Aktualności | 0 komentarzy
Ćwierkając w czasie i przestrzeni, czyli analiza geolokalizacji wpisów na Twitterze

Dzisiaj chciałbym skupić się na wpisach Twitterowych pod kątem zawartych w nich metadanych. Nie mam tutaj na myśli wyciągania geolokalizacji na podstawie danych EXIF ze zdjęć, bo te są automatycznie usuwane przed ich opublikowaniem, ale o obserwowaniu lokalizacji dodawanej do tweetów oraz czasu, kiedy te są dodawane. Domyślnie w naszym…

Czytaj dalej »

Uwaga, masowe przejmowanie kont na Twitterze: Elon Musk, Bill Gates, duże giełdy kryptowalut. Propagują sprytny scam…

15 lipca 2020, 22:54 | W biegu | komentarzy 6
Uwaga, masowe przejmowanie kont na Twitterze: Elon Musk, Bill Gates, duże giełdy kryptowalut. Propagują sprytny scam…

Zacznijmy od paru zrzutów ekranowych:   Co może być przyczyną – ciężko powiedzieć, choć niektórzy sugerują, że może to być przejęty dostęp do konta jednego z pracowników Twittera: Exclusive : this is likely the panel of the compromised Twitter employee! pic.twitter.com/Nj8E3KhIHV — Under the Breach (@UnderTheBreach) July 15, 2020 Na…

Czytaj dalej »

Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

10 października 2019, 09:26 | W biegu | 1 komentarz
Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

Zapewne wielu z Was zna tę popularną opcję na Twitterze czy Facebooku (i w wielu innych serwisach): aby zalogować się, należy poza loginem i hasłem podać również unikalny kod wysyłany SMS-em do użytkownika. Operacja wymaga wcześniejszego podania serwisowi numeru telefonu, który ma być wykorzystywany tylko w celach zwiększenia bezpieczeństwa. Tymczasem…

Czytaj dalej »

Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

06 października 2019, 21:57 | W biegu | komentarzy 7
Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

Zobaczcie na tego dość niepokojącego, ale zarazem niewiele mówiącego tweeta: #SilniRazem trwa atak wirusowy na naszą wspólnotę. Nie otwierajcie wiadomości prywatnych z linkiem. One nie pochodzą od waszych znajomych. To wirus ‼️‼️‼️ Podajcie dalej 🔁 — Koalicja Obywatelska ✌️🇵🇱 (@KObywatelska) October 6, 2019 Co to za tajemniczy „wirus”? W dużym…

Czytaj dalej »

Rozbił w drobny pył kilkanaście serwerów VPN Twittera. Ominięte dwuczynnikowe uwierzytelnienie, hasła w plaintext i dostęp na root

10 sierpnia 2019, 20:57 | Aktualności | komentarzy 8
Rozbił w drobny pył kilkanaście serwerów VPN Twittera. Ominięte dwuczynnikowe uwierzytelnienie, hasła w plaintext i dostęp na root

A to wszystko za sprawą paru krytycznych podatności w rozwiązaniu Pulse Secure (SSL VPN). Historycznie wyglądało to tak: badacze zgłosili do producenta problemy. Poczekali na patcha, poczekali 30 dni i sprawdzili czy Twitter (i parę innych dużych firm) załatało się. W przypadku Twittera było to 13 serwerów. Uzbrojeni w jeszcze dymiące…

Czytaj dalej »