Tag: wyciek

Kradzież źródeł softwareu do zdalnego przejmowania telefonów / cena $50 000 000 (płatność w kryptowalutach)

05 lipca 2018, 13:56 | W biegu | komentarze 4

Chodzi o byłego pracownika izraelskiej firmy NSO, zajmującej się dystrybucją ofensywnych narzędzi do hackingu. Kto ma najwięcej środków na „takie narzędzia”? Oczywiście rządy i to one są głównym klientem NSO. Dla pewności – celem jest walka z przestępczością i terrorem: (…) provides authorized governments with technology that helps them combat terror…

Czytaj dalej »

Jak kraść to setki milionów… (mega wyciek z firmy Exactis)

28 czerwca 2018, 10:35 | W biegu | komentarze 3

W największym skrócie chodzi o około 2 TB danych zawierających ok 340 milionów rekordów.  Bazę udało się znaleźć w publicznie dostępnej (bez uwierzytelnienia) instancji Elasticsearcha. Samą instancję z kolei wskazał Shodan. W bazie mamy około 230 milionów rekordów o osobach (dla pocieszenia – z USA), zawierających dość istotne dane osobowe:…

Czytaj dalej »

Już niedługo Firefox poinformuje Cię o wycieku Twoich haseł (Firefox Monitor)

26 czerwca 2018, 11:09 | W biegu | komentarze 2

A wszystko w wyniku współpracy Mozilli z Troyem Huntem. O podobnych funkcjach pisaliśmy niedawno w kontekście 1Password, z którym twórca havaibeenopwned.com cały czas rozwija współpracę. Wracając do Firefoksa, jest mowa o „narzędziu” które nazywa się Firefox Monitor, ale dokładniejsze poczytanie materiałów od Mozilli, wskazuje, że najprawdopodobniej będzie to po prostu wbudowana…

Czytaj dalej »

TLBleed – kradną 256 bitowy klucz kryptograficzny w 17 sekund

22 czerwca 2018, 14:27 | W biegu | komentarzy 12

Pełne szczegóły zostaną przedstawione na Blackhacie: We present TLBleed, a novel side-channel attack that leaks information out of Translation Lookaside Buffers (TLBs). TLBleed shows a reliable side channel without relying on the CPU data or instruction caches. This therefore bypasses several proposed CPU cache side-channel protections. Our TLBleed exploit successfully…

Czytaj dalej »

Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase

21 czerwca 2018, 13:59 | W biegu | 0 komentarzy

Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia: Firebase is one of the most popular backend database technologies for…

Czytaj dalej »

Wyciekły dane prawie 6 milionów osób – największy wyciek po wprowadzeniu RODO/GDPR

14 czerwca 2018, 19:07 | W biegu | komentarze 3

Chodzi o sieć sklepów z elektroniką należącą do firmy Dixons Carphone. Wyciekło prawie 6 milionów danych kart kredytowych – ale firma pociesza swoich klientów: tylko około 100 000 numerów można potencjalnie wykorzystać do fraudów (nie wyciekły numery CVV). Na dokładkę wyciekły dane osobowe około 1,2 miliona osób. Sprawie już przyglądają…

Czytaj dalej »

Anonimowo można było namierzać lokalizację niemal wszystkich telefonów komórkowych w USA

18 maja 2018, 00:16 | W biegu | komentarze 2

Brian Krebs donosi o podatności w API firmy LocationSmart:  it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…

Czytaj dalej »

Manager haseł 1Password podpowiada czy jakieś z Twoich haseł nie zostało skompromitowane

10 maja 2018, 14:44 | W biegu | komentarzy 12

Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć:   Cofając…

Czytaj dalej »

Wyciekały dane osobowe uczestników konferencji o bezpieczeństwie organizowanej RSA

23 kwietnia 2018, 18:18 | W biegu | 0 komentarzy

Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA  była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można…

Czytaj dalej »

Można było pobrać dane milionów klientów – wystarczyło umieć… dodawać

03 kwietnia 2018, 11:43 | W biegu | komentarze 3

Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!). Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze,…

Czytaj dalej »

Baza przeszło pół miliarda unikalnych haseł do pobrania

22 lutego 2018, 22:19 | W biegu | komentarzy 11

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Czytaj dalej »

T-Mobile (USA) – bug umożliwiający pobranie m.in. numeru IMSI / e-mail ofiary – posiadając jedynie jej numer telefonu

11 października 2017, 14:02 | W biegu | 0 komentarzy

Błąd występował w API znajdującym się tutaj: wsg.t-mobile.com (poza e-mailami, i numerami IMSI – można było pobrać i inne dane – patrz koniec posta). Podatność została zgłoszona i w niecałe 24 godziny załatana (badacz, który poinformował o problemie otrzymał $1000 w ramach bug bounty). Ale to nie koniec historii, okazuje się…

Czytaj dalej »

Disqus zhackowany – przejęto dane przeszło 17 000 000 użytkowników

07 października 2017, 10:08 | W biegu | komentarzy 6

Sami zainteresowani (Disqus) dowiedzieli się o hacku… po 5 latach. Wyciekły: m.in.: e-maile, nazwy użytkowników, oraz hasła (hashowane SHA1 z solą – tutaj Disqus przyznaje, że dotyczyło to około 1/3 wspominanych w tytule użytkowników). Ludzie, którzy są dotknięci problemem otrzymali ponoć e-mail z prośbą o wymuszoną zmianę hasła, a my…

Czytaj dalej »