A wszystko w wyniku współpracy Mozilli z Troyem Huntem. O podobnych funkcjach pisaliśmy niedawno w kontekście 1Password, z którym twórca havaibeenopwned.com cały czas rozwija współpracę. Wracając do Firefoksa, jest mowa o „narzędziu” które nazywa się Firefox Monitor, ale dokładniejsze poczytanie materiałów od Mozilli, wskazuje, że najprawdopodobniej będzie to po prostu wbudowana…
Czytaj dalej »
Pełne szczegóły zostaną przedstawione na Blackhacie: We present TLBleed, a novel side-channel attack that leaks information out of Translation Lookaside Buffers (TLBs). TLBleed shows a reliable side channel without relying on the CPU data or instruction caches. This therefore bypasses several proposed CPU cache side-channel protections. Our TLBleed exploit successfully…
Czytaj dalej »
Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia: Firebase is one of the most popular backend database technologies for…
Czytaj dalej »
Chodzi o sieć sklepów z elektroniką należącą do firmy Dixons Carphone. Wyciekło prawie 6 milionów danych kart kredytowych – ale firma pociesza swoich klientów: tylko około 100 000 numerów można potencjalnie wykorzystać do fraudów (nie wyciekły numery CVV). Na dokładkę wyciekły dane osobowe około 1,2 miliona osób. Sprawie już przyglądają…
Czytaj dalej »
Chodzi o serwis MyHeritage. Umożliwia on m.in. przesłanie próbki DNA, którą to procedurę reklamuje się m.in. tak: Uncover your ethnic origins and find new relatives with our simple DNA test. Sam test kosztuje jedyne $59. Wyciekły dane (adresy e-mail + hashe haseł) wszystkich (92,283,889) użytkowników zarejestrowanych do października 2017 roku:…
Czytaj dalej »
Brian Krebs donosi o podatności w API firmy LocationSmart: it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…
Czytaj dalej »
Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć: Cofając…
Czytaj dalej »
Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można…
Czytaj dalej »
Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!). Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze,…
Czytaj dalej »
Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…
Czytaj dalej »
Całość planowana jest w porozumieniu z Troyem Huntem, który udostępnia serwis haveibeenpwned. Komunikat mógłby wyglądać np. tak: I docelowo całość ma przede wszystkim uwypuklić konieczność zmiany swojego hasła na takiej domenie. –ms
Czytaj dalej »
Błąd występował w API znajdującym się tutaj: wsg.t-mobile.com (poza e-mailami, i numerami IMSI – można było pobrać i inne dane – patrz koniec posta). Podatność została zgłoszona i w niecałe 24 godziny załatana (badacz, który poinformował o problemie otrzymał $1000 w ramach bug bounty). Ale to nie koniec historii, okazuje się…
Czytaj dalej »
Sami zainteresowani (Disqus) dowiedzieli się o hacku… po 5 latach. Wyciekły: m.in.: e-maile, nazwy użytkowników, oraz hasła (hashowane SHA1 z solą – tutaj Disqus przyznaje, że dotyczyło to około 1/3 wspominanych w tytule użytkowników). Ludzie, którzy są dotknięci problemem otrzymali ponoć e-mail z prośbą o wymuszoną zmianę hasła, a my…
Czytaj dalej »
Struts to popularna biblioteka (framework?), znana zapewne wielu fanom Javy. Znana jest ona również badaczom bezpieczeństwa, bowiem historia podatności jest tutaj dość pokaźna. Co ma XML do zdalnego wykonania kodu? Otóż podatność zasadza się na wykorzystaniu automatycznie wykorzystywanej deserializacji XML-a, przez komponent XStream wykorzystywany w Struts2. Ale o RCE czającym się…
Czytaj dalej »
Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…
Czytaj dalej »