Tag: wyciek

Wykradanie pamięci z GPU z wykorzystaniem przeglądarki

02 grudnia 2018, 11:53 | W biegu | komentarze 4

Ciekawa (choć mająca już parę lat) praca, pokazująca kilka problemów z bezpieczeństwem zarówno jeśli chodzi o karty NVIDIA jak i AMD. O co dokładniej chodzi? Normalnie jeśli system operacyjny przydziela nam pamięć, jest ona czyszczona. Inaczej dostawalibyśmy ‚losowe’ (ale mogące zawierać istotne elementy) fragmenty pamięci należące do innych użytkowników / procesów….

Czytaj dalej »

Mega wyciek z sieci hotelowej Marriott (w paczce też Sheraton/Westin i inne). Wyciekły dane 500 milionów osób!

30 listopada 2018, 16:54 | W biegu | komentarzy 7

Wyciekły dane z centralnego systemu rezerwacji sieci hotelowej Marriott. Najpierw okazało się, że ktoś wysłał zaszyfrowane dane z sieci centralnego systemu rezerwacji Starwood. Poźniej Marriott-owi (czy raczej zatrudnionym przez niego specjalistom) udało się te dane odszyfrować: The company recently discovered that an unauthorized party had copied and encrypted information, and took…

Czytaj dalej »

Aplikacja do zamawiania masaży leczniczych – wyciekły dane (również wrażliwe) przeszło 300 000 użytkowników

29 listopada 2018, 19:57 | W biegu | komentarze 2

Jak to w wielu startupach bywa – security ma najniższy priorytet. Braku bezpieczeństwa w końcu nie widać gołym okiem. No chyba, że przydarzy się wyciek. Taka sytuacja miała miejsce w przypadku aplikacji Urban Massage. Jak widać, można z tej usługi – będącej swego rodzaju Uberem dla fizjoterapeutów – skorzystać bez…

Czytaj dalej »

Amerykańska poczta dziurawa jak szwajcarski ser. Przez API można było czytać / zmieniać dane 60 milionów użytkowników

21 listopada 2018, 22:17 | W biegu | komentarze 4

Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę. W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów: In addition to exposing near real-time data about packages…

Czytaj dalej »

Kody 2FA, kody resetu hasła – 26 milionów SMS-ów mógł przeczytać każdy!

17 listopada 2018, 12:10 | W biegu | 0 komentarzy

Baza jednej z amerykańskich firm telco została zlokalizowana z wykorzystaniem… shodana. Żeby było ciekawiej, bez żadnego zabezpieczenia dostępna była w Internecie Kibana – czyli interfejs umożliwiający łatwe wyszukiwanie w Elasticsearch.  I dalej, znając już konkrety adres, każdy mógł realizować zapytania np. po numerach telefonu: Badacz, który odkrył problem uzyskał też…

Czytaj dalej »

British Airways – hack jest coraz większy. Dane klientów nie są bezpieczne…

29 października 2018, 11:51 | W biegu | komentarze 4

Najpierw wybucha afera z hackiem British Airways. Zarówno klasyczny jak i mobilny serwis umożliwiający płatności był zhackowany przez dwa tygodnie. Prawdopodobnie została wykorzystana tutaj w pewien sposób zmodyfikowana biblioteka JavaScriptowa Modernizr. Obecnie liczba dotycząca wykradzionych danych została zaktualizowana. Są to dane kart kredytowych (często pełne – łącznie z datami ważności…

Czytaj dalej »

„Potencjalny” wyciek prywatnych danych 500 000 użytkowników Google+

08 października 2018, 22:16 | W biegu | komentarze 4

W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…

Czytaj dalej »

Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

21 lipca 2018, 13:10 | W biegu | komentarzy 6
Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

Pieczołowicie budowana wysokiej klasy opieka medyczna, centralnie dostępne dane o pacjentach. A tu nagle atak skutkujący kradzieżą danych osobowych około 1,5 miliona ludzi. Czy zostały wykradzione dane medyczne? Z jednej strony jest informacja tylko o danych osobowych, ale również czytamy: information on the outpatient dispensed medicines of about 160,000 of…

Czytaj dalej »

admin:admin zawsze w cenie – dostęp do 2 milionów linijek kodu operatora telco

10 lipca 2018, 13:27 | W biegu | 1 komentarz

Sprawa była opisana już nieco wcześniej, ale dopiero teraz autor znaleziska pokazał szczegóły. Owe szczegóły to dosyć odważne poczynania w ramach niezamówionych pentestów systemów IT największego operatora telco w Wielkiej Brytanii. Najpierw rekonesans domen, łącznie z optymalizacją w formie zrobienia screenshotów na usługach http. Potem namierzenie domeny: sonarqube.intdigital.ee.co.uk – gdzie dostępne było…

Czytaj dalej »