Tag: wyciek

Chodzi o serwis MyHeritage. Umożliwia on m.in. przesłanie próbki DNA, którą to procedurę reklamuje się m.in. tak: Uncover your ethnic origins and find new relatives with our simple DNA test. Sam test kosztuje jedyne $59. Wyciekły dane (adresy e-mail + hashe haseł) wszystkich (92,283,889) użytkowników zarejestrowanych do października 2017 roku:…

Brian Krebs donosi o podatności w API firmy LocationSmart:  it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…

Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć:   Cofając…

Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA  była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można…

Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!). Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze,…

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Całość planowana jest w porozumieniu z Troyem Huntem, który udostępnia serwis haveibeenpwned. Komunikat mógłby wyglądać np. tak: I docelowo całość ma przede wszystkim uwypuklić konieczność zmiany swojego hasła na takiej domenie. –ms

Błąd występował w API znajdującym się tutaj: wsg.t-mobile.com (poza e-mailami, i numerami IMSI – można było pobrać i inne dane – patrz koniec posta). Podatność została zgłoszona i w niecałe 24 godziny załatana (badacz, który poinformował o problemie otrzymał $1000 w ramach bug bounty). Ale to nie koniec historii, okazuje się…

Sami zainteresowani (Disqus) dowiedzieli się o hacku… po 5 latach. Wyciekły: m.in.: e-maile, nazwy użytkowników, oraz hasła (hashowane SHA1 z solą – tutaj Disqus przyznaje, że dotyczyło to około 1/3 wspominanych w tytule użytkowników). Ludzie, którzy są dotknięci problemem otrzymali ponoć e-mail z prośbą o wymuszoną zmianę hasła, a my…

Struts to popularna biblioteka (framework?), znana zapewne wielu fanom Javy. Znana jest ona również badaczom bezpieczeństwa, bowiem historia podatności jest tutaj dość pokaźna. Co ma XML do zdalnego wykonania kodu? Otóż podatność zasadza się na wykorzystaniu automatycznie wykorzystywanej deserializacji XML-a, przez komponent XStream wykorzystywany w Struts2. Ale o RCE czającym się…

Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…

Na wykopie afera, serwis docer.pl umożliwia na upload plików (np. pdf, doc, itp) i dzielenie się nimi ze znajomymi: „Wygrywaj dokumenty i dziel się z innymi tym co naprawdę kochasz!” – głosi hasło serwisu. Ale co jeśli ktoś wgra tam dokument który jest poufny? Ma problem – bo dostępny jest…

Niby wszystko gra, nieco po cichu i domyślnie zgadzamy się na przekazanie maili do naszych kontaktów. Jednak obrońców prywatności może to niepokoić, szczególnie że dane da się hurtem wyeksportować do pliku CSV (zawierającego w wielu przypadkach też numery telefonów) i w dużej ilości są to maile prywatne / telefony prywatne. Czasem…

Podatność okryta przez Roberta Święckiego, i właśnie załatana (w wersji 2.4.27). Pierwszy problem (score 7.4 w skali CVSSv2) umożliwia na otrzymanie fragmentu zawartości pamięci z serwera, wysyłając odpowiednie nagłówki do serwera korzystającego z modułu mod_auth_digest. Pamiętacie Heartbleed? Stąd i robocza nazwa podatności mini-Apache-bleed: The value placeholder in [Proxy-]Authorization headers of type…

Znany również w Polsce serwis Zomato, powiadomił o wycieku 17 milionów rekordów o kontach użytkowników (w tym hashowane hasła). Serwis thehackernews ujął to nieco dosadniej: Choć początkowo sądzono że wyciek nastąpił w wyniku działania insidera, później jednak się okazało że niekoniecznie. Osoba która wykradła dane przekazała szczegóły do Zomato, oraz obiecała…