Tag: wyciek

Mega wyciek z sieci hotelowej Marriott (w paczce też Sheraton/Westin i inne). Wyciekły dane 500 milionów osób!

30 listopada 2018, 16:54 | W biegu | komentarzy 7

Wyciekły dane z centralnego systemu rezerwacji sieci hotelowej Marriott. Najpierw okazało się, że ktoś wysłał zaszyfrowane dane z sieci centralnego systemu rezerwacji Starwood. Poźniej Marriott-owi (czy raczej zatrudnionym przez niego specjalistom) udało się te dane odszyfrować: The company recently discovered that an unauthorized party had copied and encrypted information, and took…

Czytaj dalej »

Aplikacja do zamawiania masaży leczniczych – wyciekły dane (również wrażliwe) przeszło 300 000 użytkowników

29 listopada 2018, 19:57 | W biegu | komentarze 2

Jak to w wielu startupach bywa – security ma najniższy priorytet. Braku bezpieczeństwa w końcu nie widać gołym okiem. No chyba, że przydarzy się wyciek. Taka sytuacja miała miejsce w przypadku aplikacji Urban Massage. Jak widać, można z tej usługi – będącej swego rodzaju Uberem dla fizjoterapeutów – skorzystać bez…

Czytaj dalej »

Amerykańska poczta dziurawa jak szwajcarski ser. Przez API można było czytać / zmieniać dane 60 milionów użytkowników

21 listopada 2018, 22:17 | W biegu | komentarze 4

Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę. W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów: In addition to exposing near real-time data about packages…

Czytaj dalej »

Kody 2FA, kody resetu hasła – 26 milionów SMS-ów mógł przeczytać każdy!

17 listopada 2018, 12:10 | W biegu | 0 komentarzy

Baza jednej z amerykańskich firm telco została zlokalizowana z wykorzystaniem… shodana. Żeby było ciekawiej, bez żadnego zabezpieczenia dostępna była w Internecie Kibana – czyli interfejs umożliwiający łatwe wyszukiwanie w Elasticsearch.  I dalej, znając już konkrety adres, każdy mógł realizować zapytania np. po numerach telefonu: Badacz, który odkrył problem uzyskał też…

Czytaj dalej »

British Airways – hack jest coraz większy. Dane klientów nie są bezpieczne…

29 października 2018, 11:51 | W biegu | komentarze 4

Najpierw wybucha afera z hackiem British Airways. Zarówno klasyczny jak i mobilny serwis umożliwiający płatności był zhackowany przez dwa tygodnie. Prawdopodobnie została wykorzystana tutaj w pewien sposób zmodyfikowana biblioteka JavaScriptowa Modernizr. Obecnie liczba dotycząca wykradzionych danych została zaktualizowana. Są to dane kart kredytowych (często pełne – łącznie z datami ważności…

Czytaj dalej »

„Potencjalny” wyciek prywatnych danych 500 000 użytkowników Google+

08 października 2018, 22:16 | W biegu | komentarze 4

W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…

Czytaj dalej »

Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

21 lipca 2018, 13:10 | W biegu | komentarzy 6
Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

Pieczołowicie budowana wysokiej klasy opieka medyczna, centralnie dostępne dane o pacjentach. A tu nagle atak skutkujący kradzieżą danych osobowych około 1,5 miliona ludzi. Czy zostały wykradzione dane medyczne? Z jednej strony jest informacja tylko o danych osobowych, ale również czytamy: information on the outpatient dispensed medicines of about 160,000 of…

Czytaj dalej »

admin:admin zawsze w cenie – dostęp do 2 milionów linijek kodu operatora telco

10 lipca 2018, 13:27 | W biegu | 1 komentarz

Sprawa była opisana już nieco wcześniej, ale dopiero teraz autor znaleziska pokazał szczegóły. Owe szczegóły to dosyć odważne poczynania w ramach niezamówionych pentestów systemów IT największego operatora telco w Wielkiej Brytanii. Najpierw rekonesans domen, łącznie z optymalizacją w formie zrobienia screenshotów na usługach http. Potem namierzenie domeny: sonarqube.intdigital.ee.co.uk – gdzie dostępne było…

Czytaj dalej »

Kradzież źródeł softwareu do zdalnego przejmowania telefonów / cena $50 000 000 (płatność w kryptowalutach)

05 lipca 2018, 13:56 | W biegu | komentarze 4

Chodzi o byłego pracownika izraelskiej firmy NSO, zajmującej się dystrybucją ofensywnych narzędzi do hackingu. Kto ma najwięcej środków na „takie narzędzia”? Oczywiście rządy i to one są głównym klientem NSO. Dla pewności – celem jest walka z przestępczością i terrorem: (…) provides authorized governments with technology that helps them combat terror…

Czytaj dalej »

Jak kraść to setki milionów… (mega wyciek z firmy Exactis)

28 czerwca 2018, 10:35 | W biegu | komentarze 3

W największym skrócie chodzi o około 2 TB danych zawierających ok 340 milionów rekordów.  Bazę udało się znaleźć w publicznie dostępnej (bez uwierzytelnienia) instancji Elasticsearcha. Samą instancję z kolei wskazał Shodan. W bazie mamy około 230 milionów rekordów o osobach (dla pocieszenia – z USA), zawierających dość istotne dane osobowe:…

Czytaj dalej »