Garść szczegółów możemy znaleźć w dość suchej notce przesłanej do amerykańskiego regulatora: W dniu 20 maja 2024 r. firma Live Nation Entertainment, Inc. zidentyfikowała nieautoryzowane działania w zewnętrznym środowisku bazy danych w chmurze zawierającym dane Spółki (głównie z jej spółki zależnej Ticketmaster L.L.C.) i rozpoczęła dochodzenie z udziałem wiodących firm…
Czytaj dalej »
Narzędzia takie jak Postman ułatwiają deweloperom nie tylko budowanie i testowanie API, ale także współdzielenie pogrupowanych zbiorów zapytań i ich konfiguracji (adresy URL, parametry, rodzaje uwierzytelnienia, nagłówki etc) w postaci tzw. kolekcji. Dzięki temu dokumentowanie interfejsów programistycznych aplikacji webowych jest bardzo proste, co przyspiesza rozwój oraz zachęca innych deweloperów do…
Czytaj dalej »
Można zaryzykować pewnie stwierdzenie, że każdej większej firmie zdarzył się lub zdarzy wyciek danych i tak oto do listy firm, które mają to już za sobą można dopisać firmę ubezpieczeniową Prudential. Okazuje się, że w lutym doszło do wycieku ponad 36 000 poufnych informacji. Dokładnie zdarzenie wykryto 5 lutego i…
Czytaj dalej »
OWASP ostrzega swoich członków przed możliwym wyciekiem danych – zagrożone są osoby, które należały do organizacji pomiędzy 2006 a 2014 rokiem i w tym czasie dostarczyły swoje CV. Organizacja OWASP miała świadomość, że doszło do wycieku ze starego serwera wiki od lutego, ale poinformowali o nim dopiero w piątek 29…
Czytaj dalej »
Firma Fujitsu sławna jest na całym świecie między innymi za sprawą produkcji półprzewodników, sprzętu komputerowego oraz części usługowej swojej działalności, jak i R&D. Firma działa w ponad stu krajach na całym świecie. Parę dni temu na swojej stronie spółka poinformowała o wykryciu złośliwego oprogramowania na niektórych komputerach firmowych. Przeprowadzone wewnętrzne…
Czytaj dalej »
Troy Hunt opublikował na swoim blogu ciekawy artykuł opisujący incydent, który przydarzył się Spoutible – portalowi społecznościowemu, który został założony przez osoby związane wcześniej z Twitterem na kanwie sagi przejęcia portalu przez E. Muska. Wycieki danych z API to nic nowego, często zdarza się, że źle zaprojektowana i wdrożona autoryzacja…
Czytaj dalej »
NSA przyznało się do kupowania historii danych przeglądania w celu identyfikacji stron internetowych i aplikacji używanych przez Amerykanów. Działanie to miało na celu obejście restrykcji prawnych, ponieważ pozyskanie takich informacji wprost wymagałoby nakazu sądowego. Stanowi to oczywiście naruszenie prywatności, szczególnie że na podstawie zachowań w sieci można profilować użytkowników, a…
Czytaj dalej »
Szpital informuje o problemie w piśmie dostępnym tutaj. Z jego treści dowiadujemy się: W dniu 11.01.2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku(dalej: ADO) ujawnił utratę jednego z nośników danych. Nośnik ten co do zasady był terminalemdostępowym do aplikacji i nie służył do przechowywania danych osobowych,…
Czytaj dalej »
Kilka dni temu czytelnicy poinformowali nas o nietypowym mailu, który wyglądał mniej więcej tak: Nasi stali czytelnicy zapewne od razu zorientują się, że ten mailing to scam. W formie klasycznego oszustwa „na dopłatę do przesyłki”. Tj. link z „potwierdzeniem wysyłki” kierował do złośliwej strony próbującej wyłudzać dane finansowe (fałszywa bramka…
Czytaj dalej »
O wycieku napisała kompleksowo Zaufana Trzecia Strona, sama dotknięta firma przygotowała stosowne oświadczenie. Ne tę chwilę nie mamy więcej do dodania, a w skrócie: Interface na razie nie jest super oczywisty. Aby sprawdzić czy Twoje dane znalazły się w ostatnim wycieku z ALAB Laboratoria – wystarczy: a) zalogować się w…
Czytaj dalej »
Podatność została już załatana, a opisana jest dość niewinnie, tj. jako: „Sensitive information disclosure„. Coż to za „sensytywne informacje”, których wyciek zasługuje aż na ocenę 9.4/10 jeśli chodzi o skalę krytyczności? Okazuje się, że naprawdę prostym żądaniem HTTP (odpowiednio duża liczba znaków w nagłówku HTTP Host), można pobrać fragmenty pamięci…
Czytaj dalej »
TL;DR – Dostajesz e-mail z przykładowymi danymi które wyglądają na wycieknięte. Co robisz? Nasz Czytelnik zachował zimną krew. Poniżej nasza analiza wskazująca na ciekawy rodzaj scamu. Jeden z naszych Czytelników – Marcin, otrzymał e-mail z którego wynikało, że firma ResearchReach[.]co oferuje mu możliwość zakupu “bazy klientów” wydarzenia “KSC Forum 2023”….
Czytaj dalej »
Po co używać dedykowanego wypełnienia zawartości przesyłki, jak można zrobić swojego rodzaju recykling wydruków zawierających dane osobowe? Taki przypadek opisuje Mateusz: Wypełnienie zostało wprawdzie przed użyciem „trochę pocięte”, ale przypomina to użycie najtańszej niszczarki, albo i nawet nie niszczarki… Swoją drogą, niszczarki mają najczęściej określoną tzw. klasę niszczenia dokumentów. Tutaj…
Czytaj dalej »
Obserwujemy trochę skrajnych podejść jeśli chodzi o temat, który jako pierwszy opisała Z3S. Tutaj możesz sprawdzić czy Twoje dane znalazły się w wycieku. Rzeczywiście w sieci pojawiła się duża baza (czy raczej plik) zwierający dane należące w dużej mierze do polskich użytkowników (m.in. adresy / loginy / hasła). Warto jednak…
Czytaj dalej »
Czytelnicy informują nas o takim SMSie, który otrzymuje część klientów banku ING: Wg innej relacji ING podaje nieco więcej informacji na chacie: Otrzymaliśmy alert o tym, że u jednego z merchantów/sprzedawców nastąpił wyciek danych. Dlatego wysłaliśmy SMS z taką informacją oraz profilaktycznie zablokowaliśmy kartę i dodatkowo: „nie mogą poinformować skąd…
Czytaj dalej »
