Swego czasu popularna była kampania mailowa, w której dowiadywaliśmy się ze napastnik ma dostęp do naszego komputera, a w ramach uwiarygodnienia przesyłane było nasze realne hasło (pozyskane z jednego z wycieków). Od czasu do czasu jest ona wznawiana (również w polskiej wersji językowej), ale obecnie mamy też coś nowego. Tym…
Czytaj dalej »
Z naszych doświadczeń z realizacją testów bezpieczeństwa (robimy ich ponad 300 rocznie) wynika, że w 2020 roku SQL injection ma się cały czas bardzo dobrze. To znaczy może i niekiedy dajmy na to frameworki, coś a coś blokują, jednak podatność cały czas dość często występuje zarówno zarówno w małych jak…
Czytaj dalej »
Epoka koronawirusa chyba sprzyja przetępcom. Co dopiero pisaliśmy o oszustwie na amerykańskiego żołnierza (skradziono 350 000 PLN), czy o rolniku, z którego konta wyczyszczono ~400 000 PLN. Teraz czas na coś nowego – dziennik.pl donosi o oszustwie na kryptowalutę, w wyniku którego 82-latek stracił 60 000 PLN. Możecie zapytać –…
Czytaj dalej »
Niektórzy zastanawiają się czy w krótkim czasie można uzyskać nieautoryzowany dostęp do rozwiązania e-commerce, inni rozmyślają nad RODO (w końcu wskazuje ono na regularne testowanie bezpieczeństwa). W każdym razie proponujemy Wam pełną symulację ataku na sklep (tzw. testy penetracyjne czy audyt bezpieczeństwa, a jako efekt przedstawiamy raport, który wskazuje następujące…
Czytaj dalej »
Jeśli ktoś jakimś przypadkiem nie kojarzy jeszcze podatności XSS, powinien nadrobić zaległości. W obecnych czasach ten problem potrafi przerodzić się m.in. w RCE (wykonanie kodu) u ofiary. Świeżym przypadkiem ilustrującym problem jest Cisco Jabber – czyli wygodny, okienkowy komunikator: Wygląda jak normalna aplikacja, prawda? W zasadzie tak, tylko pod spodem…
Czytaj dalej »
Ostatnio coraz głośniej o grubych oszustwach ocierających się o cybersecurity czy socjotechnikę. Wczoraj pisaliśmy o akcji z duplikatem karty SIM (poszkodowany rolnik stracił ~400 000 PLN), dzisiaj dwa słowa o akcji socjotechnicznej, o której donosi świętokrzyska policja: Pod koniec lipca, 39-latka za pośrednictwem jednego z portali społecznościowych poznała mężczyznę, który…
Czytaj dalej »
Kolejny przypadek ataku SIM Swap opisuje Polsat News: Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych przez niego internetowych kont bankowych. W sumie wybrali 370 tys. zł. Udało im się to, bo wyrobili duplikat jego karty SIM. Atak zaczął się, gdy panu Zbigniewowi nagle przestał…
Czytaj dalej »
UODO doniósł o tym fakcie dość lakonicznie (szczegóły zapewne pojawią się ~na dniach): Dziś WSA w Warszawie potwierdził zasadność kary nałożonej przez Prezesa UODO na spółkę https://t.co/5oS4Wilqar. Szczegóły dot. nałożenia kary na https://t.co/5oS4Wilqar dostępne są pod linkiem: https://t.co/p31iYETNj9 — Urząd Ochrony Danych Osobowych (@UODOgov_pl) September 3, 2020 Chodzi o sprawę…
Czytaj dalej »
Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)…
Czytaj dalej »
Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość: Aplikacja Slacka opiera się o Electrona, zatem jest de facto aplikacją webową „udającą” aplikację desktopową. W normalnej przeglądarce webowej, JavaScript jest sandboxowany; nie ma więc możliwości…
Czytaj dalej »
Pojedynczy przypadek czy hurtowa sprawa? O sporym problemie donosi jeden z użytkowników Wykopu: Trochę ponad tydzień temu zakupiłem sobie starter Play i od razu zarejestrowałem numer w sklepie. W domu instaluję aplikację Play24 w celu aktywacji promocyjnych 100GB. Ku mojemu zdziwieniu kod pin został wysłany na inny numer, niż ma…
Czytaj dalej »
Teraz kiedy puścimy jakieś śmieci na produkcję, będzie można powiedzieć – „dołączyliśmy do najlepszych” ;-) Najpierw mBank, teraz Microsoft: Doniesienia o testowych komunikatach w różnej liczbie, pojawiają się w zasadzie z całego świata, również z Polski. Microsoft na razie nie wie o co chodzi: Niektórzy sugerują, że może być to hack…
Czytaj dalej »
Jak donosi The Hackers News, Rosjanin jak gdyby nigdy nic wjechał do USA na wizie turystycznej a następnie zaproponował solidną łapówkę za instalację backdoora w infrastrukturze pewnej firmy. Na dalszym etapie całość miała służyć do propagacji ransomware: The FBI has arrested a Russian national who recently traveled to the United…
Czytaj dalej »
Ataki phishingowe to już codzienność, a obrona przed nimi może polegać wielu czynnikach. Jednym ze sposobów na skuteczne uchronienie się przed skutkami phishingu jest MFA, ale czy zawsze jest ono w pełni skuteczne? Uwierzytelnienie wieloskładnikowe (MFA) przedstawiane jest jako zabezpieczenie przed 99,9% ataków phishingowych (jak twierdzi Microsoft) i powinno być…
Czytaj dalej »
Koledż w Michigan postanowił walczyć z COVID za pomocą broni atomowej. W jej rolę wcieliła się appka, która urzeczywistnia chyba wszystkie czarne sny obrońców prywatności. Po pierwsze aplikacja jest obowiązkowa, po drugie śledzi lokalizację użytkowników w trybie 24/7: There’s a catch. The app is designed to track students’ real-time locations around the…
Czytaj dalej »