Tag: wyciek

TLDR: Dostępne bez żadnego logowania API aplikacji asystent[.]ai / Minerva. Listowanie użytkowników, szczegóły użytkowników (w tym hashe haseł), pliki wysyłane przez użytkowników, konwersacje z AI. Aby zobaczyć te dane, wystarczyła zwykła przeglądarka. Przykład wyniku zwracanego przez https://api.asystent[.]ai/users/ Ale po kolei. 23.11.2025 czytelnik zgłosił nam niepokojącą serię podatności w rozwiązaniu asystent[.]ai…

Chodzi o appkę Filevine – “AI Legal Assistant”. Badacz bezpieczeństwa (aka hacker) popatrzył trochę w źródła javascript na pewnej domenie Filevine, znalazł tam pewien endpoint API. Endpoint dostępny był bez uwierzytelnienia i umożliwiał wyszukiwanie dowolnych “projektów prawnych” stworzonych w appce przez innych użytkowników. Wystarczyło podać nazwę projektu. No OK, ale…

Dodatkowo lekarz z Wrocławia informuje o wycieku danych: “Dane Państwa – imię, nazwisko, płeć, adres, PESEL, w niektórych przypadkach numer telefonu, a także dane medyczne z wizyt dermatologicznych, były gromadzone w zewnętrznym lekarskim programie gabinetowym Medfile, do którego w wyniku cyberataku nastąpił nieuprawniony dostęp. W wyniku ataku na dane niektórych…

OpenAI zamieściło wpis informujący o “incydencie bezpieczeństwa” związanym z platformą Mixpanel – dostawcy usług analitycznych dla produktów OpenAI. Na wstępie podkreślamy ważną informację – nadużycie dotyczyło systemów Mixpanel, którego OpenAI jest klientem. Naruszenie nie dotknęło systemów OpenAI takich jak historia czatów, informacje o wykorzystaniu API, poświadczeń (hasła, klucze API) czy…

Doniesienia na temat problemów z bezpieczeństwem w świecie IoT znajdują się już w naszym stałym repertuarze, jednak opleceni coraz gęstszą siecią sprzętu zaliczanego do tej grupy często nie zdajemy sobie sprawy skąd czyhają kolejne zagrożenia. Tym razem pochylimy się nad raportem zespołu Quokka. Badacze wzięli na warsztat popularne cyfrowe ramki…

Rozwiązania do automatycznego formatowania i upiększania kodu są popularne wśród programistów. Istnieją też narzędzia, które pozwalają na przetwarzanie (ładne formatowanie, usuwanie zbędnych znaków w celu zmniejszenia objętości) danych zawartych w strukturach typu JSON czy XML. Nie ma w tym nic złego, o ile operacje tego typu wykonywane są lokalnie. Istnieją jednak serwisy, które pozwalają na przetwarzanie…

Marcin zgłosił nam prostą do wykorzystania lukę / podatność. Otóż wykonywał badania w Wielkopolskim Centrum Medycyny Pracy i w jednym z systemów zaciekawił go numer, który był widoczny w źródle HTML, a był związany z wykonywaniem badania. Zmienił ten numer o jeden i… otrzymał dostęp do wyników badań innego pacjenta….

Jeden z naszych czytelników przesłał do nas wiadomość, zawierającą m.in. takie informacje: Przed publikacją notki, zadaliśmy pytania Totalizatorowi Sportowemu; otrzymaliśmy po ~krótkim czasie następujące odpowiedzi: [sekurak] Czy incydentem bezpieczeństwa objęci zostali wszyscy pracownicy/współpracownicy (lub większość) – czy np. tylko niewielki ich procent? [Totalizator Sportowy – TS] Incydent dotyczył danych niewielkiej…

Zgłosił się do nas czytelnik z pewnej bardzo dużej firmy, który zauważył że tysiące prawdziwych faktur z jego firmy może pobrać każdy, kto zna zaledwie NIP firmy. Numer NIP posiada każda firma w Polsce i można go łatwo zlokalizować (np. prostym zapytaniem Google). W tym momencie potrzebujemy krótkiego wyjaśnienia czym…

Już 26 listopada 2025 odbędzie się bezpłatne wydarzenie skierowane do nauczycieli. Tematem przewodnim będą cyberbezpieczeństwo oraz kluczowe kompetencje. Regionalny Ośrodek Doskonalenia Nauczycieli i Informacji Pedagogicznej “WOM” organizuje szkolenie dla nauczycieli. W trakcie szkolenia Uczestnicy będą mogli zapoznać się z szansami i ryzykami jakie niesie ze sobą korzystanie z cyfrowego świata, w…

Jeden z badaczy Neo Security zauważył dziwnie wyglądającą odpowiedź HTTP na żądanie typu HEAD. Tego typu żądanie pozwala uzyskać podstawowe informacje o danym zasobie bez pobierania go. W tym przypadku serwer zwrócił odpowiedź z nagłówkiem Content-Length wskazującym, że plik ma 4 terabajty. TLDR: – Badacz z Neo Security odkrył publicznie…

Na portalu ransomware.live pojawiła się informacja o ataku na firmę Svenska Kraftnät – szwedzkiego operatora sieci przesyłowej energii elektrycznej. Za incydent odpowiada grupa Everest, znana z działalności w środowisku rosyjskojęzycznych grup cyberprzestępczych. Na jednym z forów w darknecie opublikowała licznik, po upływie którego wykradzione dane mają zostać ujawnione. Mowa o…

Ostatnie dni przynoszą wiele informacji o incydentach bezpieczeństwa w różnych firmach. Przeglądając informacje o bieżących wydarzeniach, natrafiliśmy na wątek polskiej firmy finansowej, działającej w zakresie pożyczek oraz kart kredytowych – SuperGrosz.  TLDR: Na jednym z forów dla cyberprzestępców, ktoś zamieścił informacje o zrzucie bazy danych, zawierającej 1,4 miliona rekordów, które…

To nie będzie łatwy poranek dla właścicieli sklepów prowadzonych na platformie e-commerce sky-shop.pl. Od rana, platforma prowadzi akcję informacyjną, dotyczącą ataku, który został wykryty 28.10.2025 r.  Sky-Shop rozesłał wiadomość e-mail do swoich klientów, w której obszernie informuje o zaistniałym incydencie. Według przeprowadzonej analizy powłamaniowej, do ataku miało dojść 19.10.2025, kiedy…

Nieznani atakujący uzyskali dostęp do danych Kansas City National Security Campus (KCNSC), czyli podmiotu podlegający Narodowej Administracji Bezpieczeństwa Jądrowego (NNSA). Powodem były podatności w Microsoft SharePoint, o których pisaliśmy już w lipcu. TLDR: Wyciek dotyczył zakładu produkującego zdecydowaną większość niejądrowych komponentów do amerykańskiej broni jądrowej w ramach NNSA, agencji Departamentu…