Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

W biegu

„Pomożemy Panu wypłacić bitcoiny” – mamy filmik z nagraniem oszustwa:

17 września 2021, 11:33 | W biegu | komentarzy 6

Na Sekuraku zazwyczaj publikujemy artykuły, w których opisujemy mniej lub bardziej skomplikowane błędy bezpieczeństwa i ostrzegamy przed nimi. Tym razem, dzięki życzliwości naszego czytelnika i zarazem szkoleniowca, Grzegorza Tworka, możemy przedstawić Wam nietypowy wariant popularnego oszustwa „na AnyDesk”. W omawianym przez nas przypadku przestępca dzwoni do ofiary, informując ją o…

Czytaj dalej »

Udało im się wstrzyknąć fejkowego newsa o współpracy Walmarta z Litecoin. Kurs LTC poszybował o 20%

17 września 2021, 08:50 | W biegu | 0 komentarzy
Udało im się wstrzyknąć fejkowego newsa o współpracy Walmarta z Litecoin. Kurs LTC poszybował o 20%

Temat relacjonuje Bitdefender. Najpierw komuś udało się przemycić fejkowego newsa do serwisu GlobalNewsWire. Stamtąd podchwycił temat CNBC czy nawet Reuters. O dziwo informację zretweetował nawet sam Litecoin: Jak można się domyślić, od dużych serwisów newsowych, dużo innych serwisów newsowych zaczęło kopiować informację, co spowodowało skokowy wzrost wartości LTC o około…

Czytaj dalej »

Bitdefender opublikował dekryptor ransomware’a REvil

17 września 2021, 08:38 | W biegu | 0 komentarzy
Bitdefender opublikował dekryptor ransomware’a REvil

Szantażowanie firmy Apple, atak na największego dostawcę mięsa na świecie (JBS) czy incydent z Acerem – REvil z pewnością można zaliczyć do jednej z najskuteczniejszych grup ransomware’owych ostatnich lat. Dobra passa grupy została jednak przerwana za sprawą głośnego wydarzenia związanego z oprogramowaniem Kaseya, w wyniku którego dane 200 firm zostały…

Czytaj dalej »

Snapchat: można było się zalogować na dowolnego użytkownika, znając jedynie jego user_id (podatność warta ~100000 zł)

16 września 2021, 19:55 | W biegu | 0 komentarzy
Snapchat: można było się zalogować na dowolnego użytkownika, znając jedynie jego user_id (podatność warta ~100000 zł)

Szczegóły możecie zobaczyć tutaj. Samo wykorzystanie podatności było banalne: najpierw wylogowujemy się (z listingu usunięto nieistotne w kontekście tekstu nagłówki), podmieniając user_id na ten ofiary. W odpowiedzi HTTP otrzymujemy token. POST /scauth/otp/droid/logout HTTP/1.1Host: gcp.api.snapchat.com {„user_id”:”████”,”device_id”:”███████”,”device_name”:”███████”} HTTP/1.1 200 OK {„status”:”SUCCESS”,”user_id”:”█████████”,”token”:”█████”,”expiry_hint”:████} Teraz wystarczyło zalogować się, podając dodatkowo w żądaniu zdobyty token i…

Czytaj dalej »

OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux

16 września 2021, 19:18 | W biegu | 0 komentarzy
OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux

W ciągu ostatnich kilku lat sporo mówi się o szeroko rozumianym cloud security (bezpieczeństwo w chmurze). Metodyka ta z pewnością niesie za sobą wiele zalet – wszak ochronę naszych danych powierzamy firmom z wielomilionowymi budżetami. Problem pojawia się wtedy, gdy ci, którzy się tego podjęli, nie do końca radzą sobie…

Czytaj dalej »

Microsoft udostępnił łatkę krytycznej podatności w Microsoft Office (CVE-2021-40444)

15 września 2021, 18:46 | W biegu | 1 komentarz
Microsoft udostępnił łatkę krytycznej podatności w Microsoft Office (CVE-2021-40444)

Tydzień temu informowaliśmy Was o krytycznej podatności w Microsoft Office (CVE-2021-40444), która umożliwia zdalne wykonanie kodu na urządzeniu ofiary: Co prawda domyślny tryb Protected View w MS Office jest w stanie skutecznie ochronić nasze urządzenie przed atakiem, lecz, zdaniem badaczy bezpieczeństwa, mechanizm ten można obejść na co najmniej kilka sposobów…

Czytaj dalej »

Najnowszy iOS łata podatność 0day wykorzystywaną przez Pegasusa. Łatajcie.

14 września 2021, 08:23 | W biegu | komentarzy 14
Najnowszy iOS łata podatność 0day wykorzystywaną przez Pegasusa. Łatajcie.

W sierpniu informowaliśmy Was o exploicie FORCEDENTRY, który umożliwiał operatorom Pegasusa zdalne zainfekowanie urządzenia ofiary przy użyciu spreparowanej wiadomości iMessage: Wyżej wymieniona podatność została załatana w najnowszej aktualizacji iPhone’a (iOS 14.8) oraz iPada (iPadOS 14.8): Oprócz luki FORCEDENTRY naprawiono również błąd typu use after free w WebKit, pozwalający na zdalne…

Czytaj dalej »

„30% Twoich środków na rachunku ROR zostanie upaństwowionych”. Nowe oszustwo.

10 września 2021, 10:26 | W biegu | komentarzy 5
„30% Twoich środków na rachunku ROR zostanie upaństwowionych”. Nowe oszustwo.

Pełna treść SMSa rozsyłanego przez oszustów wygląda tak: Nowy Ład, centralizacja, „ratowanie gospodarki narodowej” i na koniec upaństwowienie 30% wartości konta. Przedsiębiorca torpedowany z każdej strony takimi informacjami może w pierwszym odruchu bezsilności przelać pieniądze, na co liczą przestępcy. Zauważcie, że SMS wygląda jak wysłany z banku ING, jest też…

Czytaj dalej »

Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili w imieniu ofiary duplikat karty SIM…

10 września 2021, 09:33 | W biegu | komentarze 34
Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili  w imieniu ofiary duplikat karty SIM…

O akcji donosi Policja, uzupełniając materiał o filmik, ukazujący wypłatę części skradzionych środków przez osobę zamieszaną w przestępstwo. Jak do tego doszło? Zacznijmy od końca. Powiedzmy, że ktoś posiada dane logowania do bankowości ofiary – nazwijmy ją roboczo panią Matyldą. Czy przestępca może przelać wszystkie pieniądze na swoje konta? No…

Czytaj dalej »

Zdalne wykonanie kodu w Burp Suite, czyli jak zhakować hakera

09 września 2021, 10:28 | W biegu | komentarze 3
Zdalne wykonanie kodu w Burp Suite, czyli jak zhakować hakera

Burp Suite to popularne narzędzie pozwalające na przeprowadzanie testów bezpieczeństwa aplikacji internetowych. Więcej na temat tego oprogramowania pisaliśmy w artykule z 2014 roku. Tymczasem badacze bezpieczeństwa z Noah Lab odkryli podatność, która pozwala na zdalne wykonanie kodu na urządzeniu użytkownika Burp Suite: Luka dotyczy wykorzystywania przez oprogramowanie bezokienkowej wersji przeglądarki…

Czytaj dalej »

McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

08 września 2021, 18:51 | W biegu | 0 komentarzy
McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

Monopoly VIP to gra udostępniana klientom McDonalda w Wielkiej Brytanii. W skrócie można wpisać tam kod dostępny po zakupie produktów i dzięki temu wygrać nagrody. Część osób, która rzeczywiście je wygrała, dostała w informującym o fakcie e-mailu pewien bonus: dane logowania do produkcyjnej/stagingowej bazy danych: Hasło do bazy w treści…

Czytaj dalej »

Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

08 września 2021, 17:00 | W biegu | 0 komentarzy
Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

Jeśli interesują Was szkolenia dedykowane programistom/testerom/pentesterom to zapraszamy do odwiedzenia naszego nowego projektu: Securitum Web Lab (https://weblab.securitum.pl/). Bezpieczeństwo frontendu aplikacji webowych to jedno ze szkoleń, które tam Wam proponujemy. Prowadzi je Michał Bentkowski, topowy pentester i badacz bezpieczeństwa – który do samego Google zgłosił przeszło 20 podatności, za które otrzymał…

Czytaj dalej »

Podatność w samochodach marki Honda – wg badacza można sprytnym atakiem bezprzewodowo otworzyć samochód

08 września 2021, 10:05 | W biegu | komentarze 4
Podatność w  samochodach marki Honda – wg badacza można sprytnym atakiem bezprzewodowo otworzyć samochód

Całkiem ciekawy, chociaż nie nowy sposób zdalnego ataku na samochody marki Honda został opisany w tym miejscu. To tzw. replay attack, który polega na kilkukrotnym lub opóźnionym wysyłaniu poprawnych danych. Według autora prawdopodobnie działa on w wypadku wszystkich modeli marek Honda/Acura wyposażonych w tę funkcję: This attack seems to affect…

Czytaj dalej »

Uwaga: podatność 0-day w Microsoft Office. Producent ostrzega o aktywnej eksploitacji!

08 września 2021, 09:57 | W biegu | 1 komentarz
Uwaga: podatność 0-day w Microsoft Office. Producent ostrzega o aktywnej eksploitacji!

Mowa o CVE-2021-40444. Atakujący przygotowują odpowiednie pliki .docx które po otwarciu przez ofiarę umożliwiają przejęcie jej komputera. Microsoft opisuje to w ten sposób: An attacker could craft a malicious ActiveX control to be used by a Microsoft Office document that hosts the browser rendering engine. The attacker would then have…

Czytaj dalej »

Aresztowano developera trojana bankowego TrickBot. Ucieczkę do Rosji uniemożliwiły lockdown i nieważny paszport…

07 września 2021, 15:49 | W biegu | 0 komentarzy
Aresztowano developera trojana bankowego TrickBot. Ucieczkę do Rosji uniemożliwiły lockdown i nieważny paszport…

TrickBot został zauważony po raz pierwszy w październiku 2016 roku i miał on postać trojana bankowego. Z czasem złośliwe oprogramowanie wzbogacono o nowe moduły, takie jak np. „dropper”, którego główną rolą jest zapewnienie „tylnej furtki” dla innego złośliwego oprogramowania. Z funkcji tej korzystało między innymi Ryuk Ransomware, znane z ataków…

Czytaj dalej »