Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę. W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów: In addition to exposing near real-time data about packages…
Czytaj dalej »
Baza jednej z amerykańskich firm telco została zlokalizowana z wykorzystaniem… shodana. Żeby było ciekawiej, bez żadnego zabezpieczenia dostępna była w Internecie Kibana – czyli interfejs umożliwiający łatwe wyszukiwanie w Elasticsearch. I dalej, znając już konkrety adres, każdy mógł realizować zapytania np. po numerach telefonu: Badacz, który odkrył problem uzyskał też…
Czytaj dalej »
Najpierw wybucha afera z hackiem British Airways. Zarówno klasyczny jak i mobilny serwis umożliwiający płatności był zhackowany przez dwa tygodnie. Prawdopodobnie została wykorzystana tutaj w pewien sposób zmodyfikowana biblioteka JavaScriptowa Modernizr. Obecnie liczba dotycząca wykradzionych danych została zaktualizowana. Są to dane kart kredytowych (często pełne – łącznie z datami ważności…
Czytaj dalej »
Ostatnio coraz więcej osób pisze do nas z prośbą o radę: dostają maila ze swoim prawdziwym hasłem (czasem w tytule maila, czasem w mailu) z prośbą o wpłatę określonej kwoty w Bitcoinach (po wpłacie, dane które rzekomo wyciekły zostaną usunięte lub alternatywnie – przynajmniej nie będą opublikowane). Taka wiadomość wygląda…
Czytaj dalej »
Jeden obraz wart jest więcej niż tysiąc słów. Patrzcie więc…:
Czytaj dalej »
W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…
Czytaj dalej »
Czy kogoś dziwi kamera w samochodzie? Raczej nie. A sprawdzacie czy kamera nie jest przypadkiem skierowana na nas? Raczej nie. Za to pewnie zdziwilibyście się, widząc siebie na żywo, na Twitchu, jadących taksówką. To właśnie robił jeden z kierowców Ubera w USA. Jak to w taksówkach – były całujące się pary,…
Czytaj dalej »
Pieczołowicie budowana wysokiej klasy opieka medyczna, centralnie dostępne dane o pacjentach. A tu nagle atak skutkujący kradzieżą danych osobowych około 1,5 miliona ludzi. Czy zostały wykradzione dane medyczne? Z jednej strony jest informacja tylko o danych osobowych, ale również czytamy: information on the outpatient dispensed medicines of about 160,000 of…
Czytaj dalej »
Sprawa była opisana już nieco wcześniej, ale dopiero teraz autor znaleziska pokazał szczegóły. Owe szczegóły to dosyć odważne poczynania w ramach niezamówionych pentestów systemów IT największego operatora telco w Wielkiej Brytanii. Najpierw rekonesans domen, łącznie z optymalizacją w formie zrobienia screenshotów na usługach http. Potem namierzenie domeny: sonarqube.intdigital.ee.co.uk – gdzie dostępne było…
Czytaj dalej »
Chodzi o byłego pracownika izraelskiej firmy NSO, zajmującej się dystrybucją ofensywnych narzędzi do hackingu. Kto ma najwięcej środków na „takie narzędzia”? Oczywiście rządy i to one są głównym klientem NSO. Dla pewności – celem jest walka z przestępczością i terrorem: (…) provides authorized governments with technology that helps them combat terror…
Czytaj dalej »
W największym skrócie chodzi o około 2 TB danych zawierających ok 340 milionów rekordów. Bazę udało się znaleźć w publicznie dostępnej (bez uwierzytelnienia) instancji Elasticsearcha. Samą instancję z kolei wskazał Shodan. W bazie mamy około 230 milionów rekordów o osobach (dla pocieszenia – z USA), zawierających dość istotne dane osobowe:…
Czytaj dalej »
A wszystko w wyniku współpracy Mozilli z Troyem Huntem. O podobnych funkcjach pisaliśmy niedawno w kontekście 1Password, z którym twórca havaibeenopwned.com cały czas rozwija współpracę. Wracając do Firefoksa, jest mowa o „narzędziu” które nazywa się Firefox Monitor, ale dokładniejsze poczytanie materiałów od Mozilli, wskazuje, że najprawdopodobniej będzie to po prostu wbudowana…
Czytaj dalej »
Pełne szczegóły zostaną przedstawione na Blackhacie: We present TLBleed, a novel side-channel attack that leaks information out of Translation Lookaside Buffers (TLBs). TLBleed shows a reliable side channel without relying on the CPU data or instruction caches. This therefore bypasses several proposed CPU cache side-channel protections. Our TLBleed exploit successfully…
Czytaj dalej »
Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia: Firebase is one of the most popular backend database technologies for…
Czytaj dalej »
Chodzi o sieć sklepów z elektroniką należącą do firmy Dixons Carphone. Wyciekło prawie 6 milionów danych kart kredytowych – ale firma pociesza swoich klientów: tylko około 100 000 numerów można potencjalnie wykorzystać do fraudów (nie wyciekły numery CVV). Na dokładkę wyciekły dane osobowe około 1,2 miliona osób. Sprawie już przyglądają…
Czytaj dalej »
