-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: wyciek

Odwołujesz się anonimowo do API. Podajesz login użytkownika i dostajesz jego… hasha hasła :D A to nie koniec tej szalonej historii buga w realnej aplikacji.

06 lutego 2024, 11:40 | W biegu | komentarzy 10
Odwołujesz się anonimowo do API. Podajesz login użytkownika i dostajesz jego… hasha hasła :D A to nie koniec tej szalonej historii buga w realnej aplikacji.

Troy Hunt opublikował na swoim blogu ciekawy artykuł opisujący incydent, który przydarzył się Spoutible – portalowi społecznościowemu, który został założony przez osoby związane wcześniej z Twitterem na kanwie sagi przejęcia portalu przez E. Muska.  Wycieki danych z API to nic nowego, często zdarza się, że źle zaprojektowana i wdrożona autoryzacja…

Czytaj dalej »

NSA przyznaje się do kupowania danych użytkowników online

31 stycznia 2024, 09:35 | W biegu | komentarze 2
NSA przyznaje się do kupowania danych użytkowników online

NSA przyznało się do kupowania historii danych przeglądania w celu identyfikacji stron internetowych i aplikacji używanych przez Amerykanów. Działanie to miało na celu obejście restrykcji prawnych, ponieważ pozyskanie takich informacji wprost wymagałoby nakazu sądowego.  Stanowi to oczywiście naruszenie prywatności, szczególnie że na podstawie zachowań w sieci można profilować użytkowników, a…

Czytaj dalej »

Wykryto nieoczekiwany „brak dysku twardego w jednym z komputerów” na oddziale kardiologii. Szpital wojewódzki we Włocławku zgłasza możliwy wyciek danych.

17 stycznia 2024, 10:26 | W biegu | komentarze 2
Wykryto nieoczekiwany „brak dysku twardego w jednym z komputerów” na oddziale kardiologii. Szpital wojewódzki we Włocławku zgłasza możliwy wyciek danych.

Szpital informuje o problemie w piśmie dostępnym tutaj. Z jego treści dowiadujemy się: W dniu 11.01.2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku(dalej: ADO) ujawnił utratę jednego z nośników danych. Nośnik ten co do zasady był terminalemdostępowym do aplikacji i nie służył do przechowywania danych osobowych,…

Czytaj dalej »

Wysłali e-mail phishingowy do prawdziwych odbiorców mailingu Pulsu Biznesu. Całość została wysłana z prawdziwej domeny pb.pl. Co się wydarzyło?

18 grudnia 2023, 13:14 | W biegu | komentarzy 17
Wysłali e-mail phishingowy do prawdziwych odbiorców mailingu Pulsu Biznesu. Całość została wysłana z prawdziwej domeny pb.pl. Co się wydarzyło?

Kilka dni temu czytelnicy poinformowali nas o nietypowym mailu, który wyglądał mniej więcej tak: Nasi stali czytelnicy zapewne od razu zorientują się, że ten mailing to scam. W formie klasycznego oszustwa „na dopłatę do przesyłki”. Tj. link z „potwierdzeniem wysyłki” kierował do złośliwej strony próbującej wyłudzać dane finansowe (fałszywa bramka…

Czytaj dalej »

Wyciek wrażliwych danych medycznych oraz osobowych z ALAB Laboratoria. Można sprawdzić czy Twoje dane wyciekły.

27 listopada 2023, 22:35 | W biegu | komentarzy 35
Wyciek wrażliwych danych medycznych oraz osobowych z ALAB Laboratoria. Można sprawdzić czy Twoje dane wyciekły.

O wycieku napisała kompleksowo Zaufana Trzecia Strona, sama dotknięta firma przygotowała stosowne oświadczenie. Ne tę chwilę nie mamy więcej do dodania, a w skrócie: Interface na razie nie jest super oczywisty. Aby sprawdzić czy Twoje dane znalazły się w ostatnim wycieku z ALAB Laboratoria – wystarczy: a) zalogować się w…

Czytaj dalej »

Citrix Bleed – uważajcie na podatność umożliwiającą przejmowanie urządzeń Citrix NetScaler. CVE-2023-4966

27 października 2023, 11:38 | W biegu | 0 komentarzy
Citrix Bleed – uważajcie na podatność umożliwiającą przejmowanie urządzeń Citrix NetScaler. CVE-2023-4966

Podatność została już załatana, a opisana jest dość niewinnie, tj. jako: „Sensitive information disclosure„. Coż to za „sensytywne informacje”, których wyciek zasługuje aż na ocenę 9.4/10 jeśli chodzi o skalę krytyczności? Okazuje się, że naprawdę prostym żądaniem HTTP (odpowiednio duża liczba znaków w nagłówku HTTP Host), można pobrać fragmenty pamięci…

Czytaj dalej »

Oferują na sprzedaż rzekomy „wyciek” z danymi osobowymi związanymi z Krajowym Systemem Cyberbezpieczeństwa (KSC Forum). Tyle że ta oferta sprzedaży… jest bezczelnym scamem.

11 lipca 2023, 13:28 | W biegu | 0 komentarzy
Oferują na sprzedaż rzekomy „wyciek” z danymi osobowymi związanymi z Krajowym Systemem Cyberbezpieczeństwa (KSC Forum). Tyle że ta oferta sprzedaży… jest bezczelnym scamem.

TL;DR – Dostajesz e-mail z przykładowymi danymi które wyglądają na wycieknięte. Co robisz? Nasz Czytelnik zachował zimną krew. Poniżej nasza analiza wskazująca na ciekawy rodzaj scamu. Jeden z naszych Czytelników – Marcin, otrzymał e-mail z którego wynikało, że firma ResearchReach[.]co oferuje mu możliwość zakupu “bazy klientów” wydarzenia “KSC Forum 2023”….

Czytaj dalej »

Mateusz otrzymał przesyłkę od pewnej firmy. Jako wypełnienie użyto „wydruków transakcji z Allegro”.

04 czerwca 2023, 17:01 | W biegu | komentarzy 17
Mateusz otrzymał przesyłkę od pewnej firmy. Jako wypełnienie użyto „wydruków transakcji z Allegro”.

Po co używać dedykowanego wypełnienia zawartości przesyłki, jak można zrobić swojego rodzaju recykling wydruków zawierających dane osobowe? Taki przypadek opisuje Mateusz: Wypełnienie zostało wprawdzie przed użyciem „trochę pocięte”, ale przypomina to użycie najtańszej niszczarki, albo i nawet nie niszczarki… Swoją drogą, niszczarki mają najczęściej określoną tzw. klasę niszczenia dokumentów. Tutaj…

Czytaj dalej »

Ogromny wyciek czy wydmuszka? Co wiemy o ostatnim incydencie z milionami polskich haseł

31 maja 2023, 16:12 | W biegu | komentarzy 13
Ogromny wyciek czy wydmuszka? Co wiemy o ostatnim incydencie z milionami polskich haseł

Obserwujemy trochę skrajnych podejść jeśli chodzi o temat, który jako pierwszy opisała Z3S. Tutaj możesz sprawdzić czy Twoje dane znalazły się w wycieku. Rzeczywiście w sieci pojawiła się duża baza (czy raczej plik) zwierający dane należące w dużej mierze do polskich użytkowników (m.in. adresy / loginy / hasła). Warto jednak…

Czytaj dalej »

ING informuje o wycieku danych kart płatniczych. Najprawdopodobniej chodzi o jeden ze ~sklepów

27 maja 2023, 19:40 | W biegu | komentarze 42
ING informuje o wycieku danych kart płatniczych. Najprawdopodobniej chodzi o jeden ze ~sklepów

Czytelnicy informują nas o takim SMSie, który otrzymuje część klientów banku ING: Wg innej relacji ING podaje nieco więcej informacji na chacie: Otrzymaliśmy alert o tym, że u jednego z merchantów/sprzedawców nastąpił wyciek danych. Dlatego wysłaliśmy SMS z taką informacją oraz profilaktycznie zablokowaliśmy kartę i dodatkowo: „nie mogą poinformować skąd…

Czytaj dalej »

Toyota informuje o incydencie. Dane lokalizacyjne przeszło 2 milionów samochodów, nagrania z ich kamer były dostępne przez kilka lat bez uwierzytelnienia

13 maja 2023, 12:20 | W biegu | komentarze 4
Toyota informuje o incydencie. Dane lokalizacyjne przeszło 2 milionów samochodów, nagrania z ich kamer były dostępne przez kilka lat bez uwierzytelnienia

Tłumaczenie oryginalnego oświadczenia dostępne jest w tym miejscu. Rozpoczyna się ono mniej więcej tak: It turned out that some of the data managed by Toyota Connected Co., Ltd. (hereafter referred to as our company) was open to the public due to misconfiguration of the cloud environment. The period during which…

Czytaj dalej »

DPD informuje o „nieuprawnionym ujawnieniu numerów telefonów”. Do incydentu miało w infrastrukturze bramki SMS, z której DPD korzysta.

21 kwietnia 2023, 20:00 | W biegu | komentarzy 12
DPD informuje o „nieuprawnionym ujawnieniu numerów telefonów”. Do incydentu miało w infrastrukturze bramki SMS, z której DPD korzysta.

Dużo czytelników informuje nas o takim SMSie: Dociekliwi mogą zaznaczyć, że nazwę nadawcy takiego SMSa można sfałszować, lecz raczej wierzymy że wiadomość jest autentyczna. W komunikacie jest (przynajmniej na tę chwilę) informacja o wycieku samego „numeru telefonu”, co też nie jest jakąś ogromną tragedią. Podejrzewamy, że większość Polaków otrzymała kiedyś…

Czytaj dalej »

LastPass: „atakujący zhackowali komputer jednego z naszych pracowników, zainstalowali keyloggera” [nowe szczegóły dotyczące poprzedniego ataku]

28 lutego 2023, 09:48 | W biegu | komentarzy 11
LastPass: „atakujący zhackowali komputer jednego z naszych pracowników, zainstalowali keyloggera” [nowe szczegóły dotyczące poprzedniego ataku]

Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu). W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników: hacker zaatakował jednego z czterech inżynierów DevOps,…

Czytaj dalej »

Prawie 3 milionowa kara dla Morele.net za naruszenie RODO – do kasacji. Spółka wygrała w NSA

11 lutego 2023, 20:18 | W biegu | komentarzy 31
Prawie 3 milionowa kara dla Morele.net za naruszenie RODO – do kasacji. Spółka wygrała w NSA

Sprawa rozpoczęła się w 2018 roku, kiedy doszło do dużego wycieku danych użytkowników (~2.2 milionów rekordów). UODO nałożyło wtedy dość wysoką karę pienieżną, którą później podtrzymał Wojewódzki Sąd Administracyjny: Jak jednak donosi właśnie Dziennik Gazeta Prawna: Wyrok w sprawie skargi kasacyjnej złożonej przez spółkę Morele.net zapadł na posiedzeniu niejawnym, dlatego…

Czytaj dalej »