Tag: wyciek

320 milionów haseł z realnych włamań – do sprawdzenia on-line lub pobrania

04 sierpnia 2017, 11:40 | W biegu | komentarzy 11

Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…

Czytaj dalej »

LinkedIn ujawnia kontaktom Wasze prywatne maile i telefony

22 lipca 2017, 10:12 | W biegu | komentarze 2

Niby wszystko gra, nieco po cichu i domyślnie zgadzamy się na przekazanie maili do naszych kontaktów. Jednak obrońców prywatności może to niepokoić, szczególnie że dane da się hurtem wyeksportować do pliku CSV (zawierającego w wielu przypadkach też numery telefonów) i w dużej ilości są to maile prywatne / telefony prywatne. Czasem…

Czytaj dalej »

mini-Apache-bleed – poważna podatność w serwerze http Apache – wyciek pamięci z serwera

14 lipca 2017, 09:46 | W biegu | komentarze 3

Podatność okryta przez Roberta Święckiego, i właśnie załatana (w wersji 2.4.27). Pierwszy problem (score 7.4 w skali CVSSv2) umożliwia na otrzymanie fragmentu zawartości pamięci z serwera, wysyłając odpowiednie nagłówki do serwera korzystającego z modułu mod_auth_digest. Pamiętacie Heartbleed? Stąd i robocza nazwa podatności mini-Apache-bleed: The value placeholder in [Proxy-]Authorization headers of type…

Czytaj dalej »

Zomato – dane 17 milionów kont wyciekły. Kup teraz!

19 maja 2017, 00:09 | W biegu | 1 komentarz

Znany również w Polsce serwis Zomato, powiadomił o wycieku 17 milionów rekordów o kontach użytkowników (w tym hashowane hasła). Serwis thehackernews ujął to nieco dosadniej: Choć początkowo sądzono że wyciek nastąpił w wyniku działania insidera, później jednak się okazało że niekoniecznie. Osoba która wykradła dane przekazała szczegóły do Zomato, oraz obiecała…

Czytaj dalej »

Jak można było poznać lokalizację samochodu znając tylko numer rejestracji? Jednym requestem HTTP…

12 maja 2017, 16:24 | W biegu | 0 komentarzy

Usługi dające niższe ubezpieczenie samochodowe w zamian za konieczność instalacji urządzenia monitorującego w samochodzie – to już znamy. Czy tego typu systemy zrealizowane są bezpiecznie? Np. we Włoszech – niekoniecznie. Jeden z badaczy pokazał, że odpowiednim requestem HTTP do webserwisu można było pobrać ostatnie 20 lokalizacji samochodu o danym numerze…

Czytaj dalej »

Z NSA wyciekła seria exploitów na Windows

15 kwietnia 2017, 10:58 | W biegu | komentarze 3

Spis treści tutaj – bardziej przystępny opis tutaj, mięso – tutaj. Microsoft twierdzi że wszystko jest już połatane, inni piszą że jest masakra bo exploity zadziałały w zasadzie na wszystkie Windowsy testowane w LAB (ale być może nie były one patchowane przed testem?). Sprawę nieco ratuje fakt, że przede wszystkim exploitowany był protokół…

Czytaj dalej »

Nowy wyciek: NSA hackowało SWIFT – system komunikacji międzybankowej na całym świecie

15 kwietnia 2017, 10:41 | W biegu | komentarzy 10

W wyniku najnowszego wycieku z NSA – autorstwa grupy Shadows Brokers – mamy dostępną sporą kolekcję plików zebranych w kategorię SWIFT. Są tu hasła, schematy sieci czy konfiguracje urządzeń sieciowych lub schematy ataku. Co dokładniej zostało zaatakowane? Jedno z biur SWIFT – EastNets zapewniające bankom dostęp do samego systemu (w Polsce jest to np….

Czytaj dalej »

Wyciekło 1,4 miliarda adresów e-mail. Część powiązanych z adresami IP i adresami fizycznymi

06 marca 2017, 21:22 | W biegu | komentarzy 7

Backupy jak wiadomo trzeba robić. Warto je również testować, ale także nie udostępniać publicznie. Jest to oczywiste? Niby tak, ale to właśnie przypadkowe, publiczne udostępnienie backupu spowodowało jeden z większych wycieków danych osobowych w historii. Zmieniać hasła na Skype, Hiphata i do wszystkiego. Chyba nas haknęli. To w wolnym tłumaczeniu…

Czytaj dalej »

Lotnisko udostępniało ~760GB swoich backupów. Publicznie. Bez hasła.

26 lutego 2017, 15:37 | W biegu | komentarze 2

Problemem okazał się dysk sieciowy – widoczny zresztą jeszcze na Shodanie. Wśród danych międzynarodowego lotniska Stewart International Airport – w stanie Nowy Jork, były np. loginy / hasła do systemów w wewnętrznej sieci. Może to być dodatkowo problematyczne, bo również inne lotniska, korzystające z tych samym systemów IT, mogą mieć… te…

Czytaj dalej »

Oficjalne forum Wiedźmina zhackowane – wyciekło prawie 2 000 000 haseł

31 stycznia 2017, 20:36 | W biegu | komentarze 3

Troy Hunt rozwijający serwis haveibeenpwned poinformował dzisiaj o wykradzeniu danych prawie 1,9 miliona kont z forum CD Projekt RED, co czyni ten wyciek jednym z większych w branży gier. Sami zainteresowani również dzisiaj potwierdzili że potencjalny wyciek, okazał się realnym. Trochę podejrzanie brzmi tylko zapewnienie o bezpieczeństwie solonego … MD5 w…

Czytaj dalej »

Skrypt wyciągający tony (meta)danych z API Twittera – można przeanalizować dowolne konto

30 stycznia 2017, 11:40 | W biegu | 0 komentarzy

Ostatnio pisaliśmy o interfejsie webowym, w którym można uzyskać pewne metadane z dowolnego konta na Twitterze. Dzisiaj ktoś opublikował konkretny skrypt w pythonie, uderzający do API Twittera i wyciągający z niego metadane (można to zrobić na @dowolnym_koncie_twittera). Przykład pojedynczego tweeta (jak widać jest tam więcej niż 140 znaków :P) Oraz fragment wyniku…

Czytaj dalej »

Zbadaj dowolne konto na Twitterze pod względem wycieków – geolokalizacja, używane klienty, metadane w obrazkach…

18 stycznia 2017, 11:45 | W biegu | komentarzy 5

A wszystko za jednym kliknięciem (no dobra, kilkoma), w on-lineowym narzędziu Tinfoleak. Zobaczmy na start jedną z polskich osobistości w świecie showbiznesu. Nie daję pełnego linka do profilu:P Ale jak widać fajnie podróżuje: Mamy też super dokładne koordynaty konkretnych wpisów – z linkem do Google Maps :) Jak ktoś chce…

Czytaj dalej »