Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Tag: wyciek

Grupa klientów PGE Obrót otrzymała nie swoje faktury – mamy stanowisko Spółki

13 lutego 2025, 11:26 | W biegu | komentarzy 5
Grupa klientów PGE Obrót otrzymała nie swoje faktury – mamy stanowisko Spółki

Użytkownik serwisu Wykop o nicku @dese zauważył, że otrzymał mailowo fakturę od PGE Obrót. Według jego relacji wiadomość nie wyglądała podejrzanie oraz zawierała poprawne informacje (np. numer klienta). Okazało się jednak, że załączony dokument był wystawiony na inną osobę i zawierał inne dane – adres, taryfę a także zeszłoroczne zużycie…

Czytaj dalej »

Wyciekły dane klientów sieci hoteli: Marriott, Hilton, Hyatt, … Winny zewnętrzny dostawca.

20 stycznia 2025, 09:08 | W biegu | komentarze 4
Wyciekły dane klientów sieci hoteli: Marriott, Hilton, Hyatt, … Winny zewnętrzny dostawca.

Jak podaje Bleepingcomputer, ~zhackowali zewnętrznego dostawcę tych hoteli – firmę Otelier, zapewniającego aplikację-usługę wspierającą zarządzanie hotelami. Na początek hackerzy uzyskali dostęp do loginu / hasła pracownika Otelier – to pozwoliło im uzyskać dostęp do firmowego serwera Atlassian (Jira / Confluence). Dane logowania zostały pozyskane z tzw. infostealera (czyli jeden z…

Czytaj dalej »

Poważna podatność w OpenVPN Connect – mogły wyciec klucze prywatne użytkowników

08 stycznia 2025, 12:59 | W biegu | komentarze 2
Poważna podatność w OpenVPN Connect – mogły wyciec klucze prywatne użytkowników

Zaczynają się pojawiać informacje o podatności CVE-2024-8474 dotykającej OpenVPN Connect do wersji 3.5.0 (włącznie)  – darmowego, wieloplatformowego klienta rozwijanego przez OpenVPN Inc. Wedle opublikowanych zgłoszeń, logi aplikacyjne mogą zawierać profil konfiguracyjny oraz przede wszystkim, niezaszyfrowany klucz prywatny użytkownika. Podatność wyceniono na 7.5 w skali CVSS.  Atakujący posiadający dostęp do takowych…

Czytaj dalej »

Fizyczne lokalizacje ~800000 samochodów elektrycznych dostępne były ~publicznie. Terabajty danych. Jak do tego doszło?

30 grudnia 2024, 09:02 | Aktualności | komentarzy 19
Fizyczne lokalizacje ~800000 samochodów elektrycznych dostępne były ~publicznie. Terabajty danych. Jak do tego doszło?

Jak czytamy w prezentacji niemieckich badaczy: 1. Udało się odnaleźć „ciekawą domenę” (adres internetowy), używaną przez jedną ze spółek grupy Volkswagen (narzędzie: subfinder) 2. Na tej domenie badacze wykonali atak 'bruteforce’ na dostępne tam publicznie katalogi/pliki (narzędzie: feroxbuster lub gobuster) 3. Odnaleźli tam pozostawioną „konsolę debug” – czyli /actuator/heapdump❗ 4….

Czytaj dalej »

Na jednym SQL Injection „zarobili” $75 000 000.

14 listopada 2024, 09:07 | W biegu | komentarze 2
Na jednym SQL Injection „zarobili” $75 000 000.

Czy raczej… ukradli. W każdym razie chodzi o podatność SQL Injection w systemie MOVEit MFT („bezpieczny” transfer plików – appka/system wykorzystywana przez wiele globalnych korporacji), CVE-2023-34362. Do masowych ataków na MOVEit MFT doszło w 2023 roku, a wg doniesień firmy Coveware, grupa ransomware CloP mogła na całej akcji „zarobić” 75-100…

Czytaj dalej »

Zhackowano Internet Archive. Wyciek ~31 milionów rekordów z danymi logowania

10 października 2024, 09:02 | W biegu | komentarzy 10
Zhackowano Internet Archive. Wyciek ~31 milionów rekordów z danymi logowania

Na razie nie wiadomo jak doszło do wycieku, w każdym razie ktoś udostępnił ~6GB plik zawierający dane logowania (w szczególności hasła bcrypt, e-maile). Najwyraźniej atakującym udało się też uzyskać dostęp do modyfikacji treści samego serwisu web.archive.org – wg relacji odwiedzający widzieli taki popup w JavaScript: I rzeczywiście, dane te już…

Czytaj dalej »

Od dzisiaj obowiązuje zastrzeżenie PESEL. W szczególności nikt nie weźmie na Twoje dane kredytu. Ale czy to zadziała w każdym przypadku…?

01 czerwca 2024, 10:38 | W biegu | komentarzy 6
Od dzisiaj obowiązuje zastrzeżenie PESEL. W szczególności nikt nie weźmie na Twoje dane kredytu. Ale czy to zadziała w każdym przypadku…?

Od dzisiaj banki / telkomy / czy notariusze będą musieli respektować Twoje zastrzeżenie: ✅ Nikt nie weźmie na Ciebie lewego kredytu✅ Nikt nie wyrobi duplikatu Twojej karty SIM (czyli nie będzie mógł nagle przejąć Twoich SMSów / Twojego numeru)✅ Nikt nie sprzeda Ci mieszkania (tak, były takie przypadki w Polsce)✅…

Czytaj dalej »

Ticketmaster potwierdza hack. Niektórzy piszą o kradzieży danych nawet 560 000 000 klientów.

01 czerwca 2024, 09:50 | W biegu | komentarze 3
Ticketmaster potwierdza hack. Niektórzy piszą o kradzieży danych nawet 560 000 000 klientów.

Garść szczegółów możemy znaleźć w dość suchej notce przesłanej do amerykańskiego regulatora: W dniu 20 maja 2024 r. firma Live Nation Entertainment, Inc. zidentyfikowała nieautoryzowane działania w zewnętrznym środowisku bazy danych w chmurze zawierającym dane Spółki (głównie z jej spółki zależnej Ticketmaster L.L.C.) i rozpoczęła dochodzenie z udziałem wiodących firm…

Czytaj dalej »

Używasz Postmana? Zwróć uwagę czy nie udostępniasz sekretów

30 kwietnia 2024, 12:05 | W biegu | komentarze 2
Używasz Postmana? Zwróć uwagę czy nie udostępniasz sekretów

Narzędzia takie jak Postman ułatwiają deweloperom nie tylko budowanie i testowanie API, ale także współdzielenie pogrupowanych zbiorów zapytań i ich konfiguracji (adresy URL, parametry, rodzaje uwierzytelnienia, nagłówki etc) w postaci tzw. kolekcji. Dzięki temu dokumentowanie interfejsów programistycznych aplikacji webowych jest bardzo proste, co przyspiesza rozwój oraz zachęca innych deweloperów do…

Czytaj dalej »

Prudential ofiarą… wycieku danych

09 kwietnia 2024, 07:46 | W biegu | komentarze 2
Prudential ofiarą… wycieku danych

Można zaryzykować pewnie stwierdzenie, że każdej większej firmie zdarzył się lub zdarzy wyciek danych i tak oto do listy firm, które mają to już za sobą można dopisać firmę ubezpieczeniową Prudential. Okazuje się, że w lutym doszło do wycieku ponad 36 000 poufnych informacji. Dokładnie zdarzenie wykryto 5 lutego i…

Czytaj dalej »

OWASP ostrzega przed wyciekiem

04 kwietnia 2024, 10:35 | W biegu | 1 komentarz
OWASP ostrzega przed wyciekiem

OWASP ostrzega swoich członków przed możliwym wyciekiem danych – zagrożone są osoby, które należały do organizacji pomiędzy 2006 a 2014 rokiem i w tym czasie dostarczyły swoje CV. Organizacja OWASP miała świadomość, że doszło do wycieku ze starego serwera wiki od lutego, ale poinformowali o nim dopiero w piątek 29…

Czytaj dalej »

Fujitsu – japoński gigant branży technologicznej informuje o wycieku

19 marca 2024, 17:37 | W biegu | komentarze 3
Fujitsu – japoński gigant branży technologicznej informuje o wycieku

Firma Fujitsu sławna jest na całym świecie między innymi za sprawą produkcji półprzewodników, sprzętu komputerowego oraz części usługowej swojej działalności, jak i R&D. Firma działa w ponad stu krajach na całym świecie. Parę dni temu na swojej stronie spółka poinformowała o wykryciu złośliwego oprogramowania na niektórych komputerach firmowych. Przeprowadzone wewnętrzne…

Czytaj dalej »

Odwołujesz się anonimowo do API. Podajesz login użytkownika i dostajesz jego… hasha hasła :D A to nie koniec tej szalonej historii buga w realnej aplikacji.

06 lutego 2024, 11:40 | W biegu | komentarzy 10
Odwołujesz się anonimowo do API. Podajesz login użytkownika i dostajesz jego… hasha hasła :D A to nie koniec tej szalonej historii buga w realnej aplikacji.

Troy Hunt opublikował na swoim blogu ciekawy artykuł opisujący incydent, który przydarzył się Spoutible – portalowi społecznościowemu, który został założony przez osoby związane wcześniej z Twitterem na kanwie sagi przejęcia portalu przez E. Muska.  Wycieki danych z API to nic nowego, często zdarza się, że źle zaprojektowana i wdrożona autoryzacja…

Czytaj dalej »

NSA przyznaje się do kupowania danych użytkowników online

31 stycznia 2024, 09:35 | W biegu | komentarze 2
NSA przyznaje się do kupowania danych użytkowników online

NSA przyznało się do kupowania historii danych przeglądania w celu identyfikacji stron internetowych i aplikacji używanych przez Amerykanów. Działanie to miało na celu obejście restrykcji prawnych, ponieważ pozyskanie takich informacji wprost wymagałoby nakazu sądowego.  Stanowi to oczywiście naruszenie prywatności, szczególnie że na podstawie zachowań w sieci można profilować użytkowników, a…

Czytaj dalej »