Tag: wyciek

Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

21 lipca 2018, 13:10 | W biegu | komentarzy 6
Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

Pieczołowicie budowana wysokiej klasy opieka medyczna, centralnie dostępne dane o pacjentach. A tu nagle atak skutkujący kradzieżą danych osobowych około 1,5 miliona ludzi. Czy zostały wykradzione dane medyczne? Z jednej strony jest informacja tylko o danych osobowych, ale również czytamy: information on the outpatient dispensed medicines of about 160,000 of…

Czytaj dalej »

admin:admin zawsze w cenie – dostęp do 2 milionów linijek kodu operatora telco

10 lipca 2018, 13:27 | W biegu | 1 komentarz

Sprawa była opisana już nieco wcześniej, ale dopiero teraz autor znaleziska pokazał szczegóły. Owe szczegóły to dosyć odważne poczynania w ramach niezamówionych pentestów systemów IT największego operatora telco w Wielkiej Brytanii. Najpierw rekonesans domen, łącznie z optymalizacją w formie zrobienia screenshotów na usługach http. Potem namierzenie domeny: sonarqube.intdigital.ee.co.uk – gdzie dostępne było…

Czytaj dalej »

Kradzież źródeł softwareu do zdalnego przejmowania telefonów / cena $50 000 000 (płatność w kryptowalutach)

05 lipca 2018, 13:56 | W biegu | komentarze 4

Chodzi o byłego pracownika izraelskiej firmy NSO, zajmującej się dystrybucją ofensywnych narzędzi do hackingu. Kto ma najwięcej środków na „takie narzędzia”? Oczywiście rządy i to one są głównym klientem NSO. Dla pewności – celem jest walka z przestępczością i terrorem: (…) provides authorized governments with technology that helps them combat terror…

Czytaj dalej »

Jak kraść to setki milionów… (mega wyciek z firmy Exactis)

28 czerwca 2018, 10:35 | W biegu | komentarze 3

W największym skrócie chodzi o około 2 TB danych zawierających ok 340 milionów rekordów.  Bazę udało się znaleźć w publicznie dostępnej (bez uwierzytelnienia) instancji Elasticsearcha. Samą instancję z kolei wskazał Shodan. W bazie mamy około 230 milionów rekordów o osobach (dla pocieszenia – z USA), zawierających dość istotne dane osobowe:…

Czytaj dalej »

Już niedługo Firefox poinformuje Cię o wycieku Twoich haseł (Firefox Monitor)

26 czerwca 2018, 11:09 | W biegu | komentarze 2

A wszystko w wyniku współpracy Mozilli z Troyem Huntem. O podobnych funkcjach pisaliśmy niedawno w kontekście 1Password, z którym twórca havaibeenopwned.com cały czas rozwija współpracę. Wracając do Firefoksa, jest mowa o „narzędziu” które nazywa się Firefox Monitor, ale dokładniejsze poczytanie materiałów od Mozilli, wskazuje, że najprawdopodobniej będzie to po prostu wbudowana…

Czytaj dalej »

TLBleed – kradną 256 bitowy klucz kryptograficzny w 17 sekund

22 czerwca 2018, 14:27 | W biegu | komentarzy 12

Pełne szczegóły zostaną przedstawione na Blackhacie: We present TLBleed, a novel side-channel attack that leaks information out of Translation Lookaside Buffers (TLBs). TLBleed shows a reliable side channel without relying on the CPU data or instruction caches. This therefore bypasses several proposed CPU cache side-channel protections. Our TLBleed exploit successfully…

Czytaj dalej »

Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase

21 czerwca 2018, 13:59 | W biegu | 0 komentarzy

Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia: Firebase is one of the most popular backend database technologies for…

Czytaj dalej »

Wyciekły dane prawie 6 milionów osób – największy wyciek po wprowadzeniu RODO/GDPR

14 czerwca 2018, 19:07 | W biegu | komentarze 3

Chodzi o sieć sklepów z elektroniką należącą do firmy Dixons Carphone. Wyciekło prawie 6 milionów danych kart kredytowych – ale firma pociesza swoich klientów: tylko około 100 000 numerów można potencjalnie wykorzystać do fraudów (nie wyciekły numery CVV). Na dokładkę wyciekły dane osobowe około 1,2 miliona osób. Sprawie już przyglądają…

Czytaj dalej »

Anonimowo można było namierzać lokalizację niemal wszystkich telefonów komórkowych w USA

18 maja 2018, 00:16 | W biegu | komentarze 2

Brian Krebs donosi o podatności w API firmy LocationSmart:  it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…

Czytaj dalej »

Manager haseł 1Password podpowiada czy jakieś z Twoich haseł nie zostało skompromitowane

10 maja 2018, 14:44 | W biegu | komentarzy 12

Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć:   Cofając…

Czytaj dalej »

Wyciekały dane osobowe uczestników konferencji o bezpieczeństwie organizowanej RSA

23 kwietnia 2018, 18:18 | W biegu | 0 komentarzy

Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA  była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można…

Czytaj dalej »

Można było pobrać dane milionów klientów – wystarczyło umieć… dodawać

03 kwietnia 2018, 11:43 | W biegu | komentarze 3

Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!). Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze,…

Czytaj dalej »

Baza przeszło pół miliarda unikalnych haseł do pobrania

22 lutego 2018, 22:19 | W biegu | komentarzy 11

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Czytaj dalej »
Strona 1 z 41234