Rich Communication Services (RCS) to forma komunikacji będąca połączeniem SMS-ów i komunikatorów internetowych – wiadomości tekstowe wysyłane są przez internet, zamiast przez standardową sieć operatora. Możliwe jest także przesyłanie załączników. Aby skorzystać z RCS, musi wspierać je nasz operator, ale w Polsce robi to większość dużych telekomów. TLDR: Dotychczas wiadomości…
Czytaj dalej »
Powoli upada przekonanie, że dyplom z informatyki jest jedyną przepustką do świata technologii. Branża IT, jak żadna inna, wypracowała bowiem mechanizmy weryfikacji kompetencji, nierzadko ponad formalne wykształcenie. Dziś liczy się pasja, chęć rozwoju, konkretne umiejętności miękkie i umiejętności praktyczne, które przecież nabyć można na szkoleniach, kursach, webinarach czy podczas samodzielnej…
Czytaj dalej »
Cała Polska już kojarzy panią radną z Radomia, która przypadkiem wrzuciła na fejsa prywatną prośbę do marszałka o posadę w radzie nadzorczej szpitala… dla męża mechanika samochodowego. Zdecydowanie wpadka aspirująca do miana klasyka. Niedawno doszła “specjalistka” od AI, która w Rzeszowie próbowała wyłudzić zwrot za pizzę z salami. Zdjęcie przerobiła…
Czytaj dalej »
Capital Pizza Rzeszów informuje Jedna z Pań zamówiła dwie pizze z salami, po czym postanowiła zgłosić do portalu, że salami „magicznie zniknęło” i należy się zwrot pieniędzy. Problem w tym, że do usuwania salami został zatrudniony Chat GPT, który jak to AI — czasem lubi zrobić mały glitch, zmiana cięcia…
Czytaj dalej »
Czy jedno kliknięcie wystarczy, aby całe środowisko AI wpadło w ręce cyberprzestępców? W przypadku Open WebUI odpowiedź brzmi tak. Jak pokazał badacz bezpieczeństwa Metin Yunus Kandemir, wykryta podatność (Stored XSS) pozwala na przejęcie pełnej kontroli nad platformą przy minimalnej interakcji ze strony użytkownika. TLDR: Błąd występuje w implementacji funkcji przetwarzającej…
Czytaj dalej »
Podatność o ksywce YellowKey wygląda mniej więcej tak: Kluczem jak widzicie są te specyficzne pliczki, które trzeba umieścić na swoim “hackerskim” pendrive, a które Windows interpretuje w ten sposób że daje dostęp do danych zabezpieczonych BitLockerem. Co ciekawe, po restarcie, który wspominam powyżej, pliczki z pendrive… znikają. Część osób sugeruje,…
Czytaj dalej »
Gość, który pokazał jakiś czas temu jak zdalnie oglądać kamery z robotycznych odkurzaczy DJI, tym razem zabrał się za elektroniczne niańki. Efekt? Mógł oglądać obrazy z kamer 1,1 miliona wideonianiek na całym świecie (też w Polsce). Schemat podatności był podobny jak w przypadku odkurzaczy – czyli serwer MQTT (kolejkowy) był…
Czytaj dalej »
Twórcy popularnego menadżera pobierania plików – JDownloader poinformowali o naruszeniu bezpieczeństwa swojej witryny internetowej. Atakującym udało się uzyskać nieautoryzowany dostęp do systemu zarządzania treścią (CMS), w wyniku czego linki prowadzące do niektórych instalatorów zostały podmienione na zainfekowane binarki. TLDR: W przypadku systemu Windows incydent dotyczył wyłącznie linków Download Alternative Installer,…
Czytaj dalej »
Jak mawiają – jeden obraz wart jest więcej niż 1000 słów. Zatem obraz: Jak się domyślacie, ta informacja miała być przesłana w wiadomości prywatnej do pana Marszałka. Ale jakoś tak przypadkiem została opublikowana na facebookowym wallu (czyli publicznie była dostępna dla wszystkich). Smaczku dodaje to, że jak donosi Gazeta Wyborcza,…
Czytaj dalej »
Jeśli ktoś chce szybko nadrobić zaległości w temacie ostatnich ataków supply chain, to polecam spojrzeć tutaj (Axios), tutaj (Shai-Hulud), tutaj (Bitwarden Cli) czy tutaj (Mini Shai-Hulud – kampania która uderzyła w OpenAI). W każdym razie OpenAI informuje, że atakujący zaczęli wykradać dane logowania z zainfekowanych komputerów oraz uzyskiwać dostęp do…
Czytaj dalej »
Luka jest aktywnie wykorzystywana i dotyczy OWA (Outlook Web Access). Microsoft opisuje scenariusz ataku: ℹ️ Atakujący wysyła do ofiary odpowiednio spreparowanego mailaℹ️ Ofiara otwiera maila w przeglądarce webowej (tj. w OWA)ℹ️ Po wykonaniu pewnej akcji (np. najechaniu na jakiś element), po cichu wykonuje się kod JavaScript w przeglądarce ofiary [czyli mamy…
Czytaj dalej »
W dniach 20–21 maja zapraszamy na OSTATNIĄ edycję legendarnego szkolenia, które wychowało niejednego bezpiecznika: Wprowadzenie do bezpieczeństwa IT… …ostatnią w takiej formule, czyli dwóch dni intensywnego szkolenia. Dlaczego to szkolenie może mieć wpływ na Twoją karierę? Szkolenie jest idealne dla wszystkich, którzy chcą wejść w świat cyberbezpieczeństwa, poznać kluczowe pojęcia…
Czytaj dalej »
Badacze bezpieczeństwa z LayerX ujawnili kampanię obejmującą co najmniej 12 rozszerzeń do przeglądarek Chrome i Edge, które pod pozorem narzędzi do pobierania nagrań wideo z TikToka, zbierają dane o urządzeniach użytkowników. Dodatkowo dynamicznie pobierają konfigurację, dzięki czemu potencjalnie możliwe jest wprowadzanie zmian w działaniu wtyczki bez konieczności publikowania nowych wersji….
Czytaj dalej »
W 2023 roku około 59% publicznych serwerów pocztowych to właśnie Exim. Właśnie załatano oraz opublikowano szczegóły podatności o ksywce Dead Letter, dzięki której atakujący mogą wykonywać kod na serwerze (RCE), bez uwierzytelnienia, w pełni zdalnie. Luka CVE-2026-45185 otrzymała “wycenę” 9.8/10 w skali CVSS. Podatne są Eximy w wersjach od 4.97…
Czytaj dalej »
We wrześniu 2025 pisaliśmy o kampanii Shai-Hulud, w ramach której infekowano paczki npm. Wszystko wskazuje na to, że kampania nie tylko wciąż trwa, ale też doczekała się wersji dla PyPI – umieszczającej złośliwy kod w pakietach Python. Badacze bezpieczeństwa z OX Security odkryli złośliwe aktualizacje pakietów Lightning (PyPI) oraz intercom-client…
Czytaj dalej »
