Na 26.05.2020 mamy zaplanowane kolejne remote Sekurak Hacking Party, gdzie pojawią się dwie praktyczne prezentacje jak w tytule. Przypominamy, że istnieje możliwość zakupów biletów abonamentowych (wszystkie rSHP do końca lipca + dostęp do archiwum rSHP). Taki bilet od razu da wstęp na rSHP ósmego maja. Agenda rSHP 26.05.2020 (start o 20:00)…
Czytaj dalej »
Jeden z czytelników podesłał nam informację o akcji promowanej na polskim koncie FB mającym ćwierć miliona polubień, a polegającą na czyszczeniu magazynów (wiadomo, COVID ;-) Można wygrać telefon. No dobra, może nie wygrać a kupić za jedyne 1.5 EURO: Farming danych osobowych? Zapewne. Dalej dostępna jest (szemrana choć z kłódką…
Czytaj dalej »
Tym razem na remote Sekurak Hacking Party w trakcie dwóch godzin opowiemy o takich tematach: Łamanie / odzyskiwanie haseł do nietypowych miejsc (np. volumeny Veracrypt, pliki managerów haseł, inne popularne archiwa) Kradzież tokenów do resetu hasła przez nagłówek Host – studium przypadku VPN ninja – czyli konfiguracja VPNów w praktyce…
Czytaj dalej »
![Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]](https://sekurak.pl/wp-content/uploads/2020/05/support-150x150.png "Gra online mająca 100 mln userów miesięcznie: resetowanie haseł, dostęp do danych osobowych, banowanie graczy, sprzedawanie im przedmiotów czy wyłączanie im 2FA. Mega hack? Nie – ktoś po prostu przekupił pracownika supportu [roblox]")
Uff, prawie całego newsa udało mi się zmieścić w tytule ;-) W każdym razie historia jest na pewno pouczająca. Po co ktoś ma stosować jakieś zaawansowane hacki, super phishingi obchodzące 2FA czy inne ekwilibrystyki? Wystarczy czasem przekupić (być może niezbyt hojnie opłacanego) pracownika z supportu. Może „na chwile” przekaże swój…
Czytaj dalej »
Nowe wydanie FF jest niemal zupełnie skupione na ciekawostkach z obszaru zarządzania hasłami. Po pierwsze mamy lepszą integrację systemem Firefox Monitor (współpracującym z haveibeenpwned). Jeśli odwiedzamy serwis, który niedawno miał wyciek otrzymamy tego typu komunikat: Spore zmiany mamy również w managerze haseł Lockwise. Po pierwsze mamy możliwość wygenerowania hasła podczas tworzenia konta…
Czytaj dalej »
Historię samej aplikacji w kontekście rozwoju/bezpieczeństwa/prywatności można zobaczyć w nowo założonej sprawie – tutaj. Chyba najważniejszą informacją jest docelowe przejście do modelu zdecentralizowanego i używanie mocno restrykcyjnego API od Apple/Google, co należy traktować jako krok w dobrą stronę. Tutaj po raz kolejny wyjaśniamy działanie tego tajemniczego „API”. Z jednej strony iPhone-y/telefony…
Czytaj dalej »
Wiele mediów alarmuje o wycieku pdfa z pakietem wyborczym dostępnym do pobrania z domeny s3.bialystok.pl. Czy to rzeczywiście wyciek? Nie bardzo. Otóż każdy może zarejestrować poddomenę *.bialystok.pl, cena nie jest wygórowana (a pewnie można znaleźć tańsze oferty ;), a dostępność duża, np.: Po wykupieniu poddomeny można serwować tam już dowolną…
Czytaj dalej »
Szkolenie o podstawach bezpieczeństwa kierowane jest przede wszystkim do osób z IT (choć mniej techniczni zapewne również skorzystają – będzie masa pokazów praktycznych :) Zdalne szkolenie startuje 13. maja o godzinie 11:00 i trwa około trzy godziny (formularz zapisu oraz agenda znajdują się poniżej). Jeśli macie znajomych z branż jak…
Czytaj dalej »
![Wyciągają w banalny sposób loginy/hasła od uczniów i nauczycieli. Fałszywy portalibrus[.]pl](https://sekurak.pl/wp-content/uploads/2020/05/librus1-150x150.png "Wyciągają w banalny sposób loginy/hasła od uczniów i nauczycieli. Fałszywy portalibrus[.]pl")
CERT Polska ostrzega o nowej akcji. Tym razem mamy do czynienia z podstawioną stroną bardzo popularnego w szkołach serwisu Librus (tylko w jeden z ostatnich tygodni serwis zanotował prawie 700 milionów odsłon i plasuje się aż na #12 pozycji w Polsce jeśli chodzi o popularność serwisów WWW). W Librus Synergia…
Czytaj dalej »
Winowajcą jest ponownie nasz dobry znajomy – zupełnie niezabezpieczony Elasticsearch, dostępny do Internetu. Tym razem badacze zlokalizowali bazę zawierającą zarówno dane użytkowników/dziennikarzy jak i masę danych diagnostycznych. Wśród danych osobowych można było znaleźć: Emaile Imiona/Nazwiska Fizyczne adresy Hasła dla nowych użytkowników (w formie jawnej (!) oraz w formie MD5) Adresy IP…
Czytaj dalej »
O tym fakcie donosi Reuters. O aplikacjach i różnych modelach podejścia do badania ekspozycji na koronawirusa za pomocą aplikacji pisaliśmy niedawno. Wokół tematu nowych funkcji zapewnianych przez Apple/Google narosło też wiele nieporozumień, więc kilka słów dodatkowego wyjaśnienia. Na początek firmy udostępniają API (czyli w pewnym uproszczeniu zestaw funkcji dostępnych z…
Czytaj dalej »
Tym razem podatność była warta ~10 000 PLN. Zaczęło się od subdomain takeover, w wyniku czego można było hostować dowolny content z domeny: devrel.roblox.com. O co chodzi w subdomain takeover? W skrócie: Lokalizujemy poddomenę firmy X, która nie jest już obsługiwana (choć wpis w DNS został). „nie jest już obsługiwana” ? Tj….
Czytaj dalej »
Wg Alexy Tokpedia znajduje się obecnie na 173 miejscu globalnie jeśli chodzi o odwiedzalność serwisów. Niedawno udostępniono w ramach „demo” bazę aż 15 milionów kont. Mamy tu e-maile, hasła (SHA-384 bez soli), daty urodzenia i jeszcze kilka innych danych: Pełna baza (91 milionów rekordów), którą udało się pozyskać, jest sprzedawana…
Czytaj dalej »
Często rozmaite formularze wymagają podania e-maila. Oczywiście istnieją usługi generujące tymczasowe e-maile, ale czasem ich obsługa jest nieco pracochłonna. Tymczasem Mozilla proponuje super wygodne rozwiązanie. Wypełniasz formularz, jednym kliknięciem generujesz nowy tymczasowy e-mail (z auto forwardem na Twoją normalną skrzynkę). Jeśli nie chcesz otrzymywać dalszych maili na alias, łatwo go blokujesz….
Czytaj dalej »
Często wiadomości o dopłatach, czy np. o przymusowym odkażaniu paczki wysyłane są jako zupełnie generyczne. Tymczasem mamy nową kampanię wysyłającą spersonalizowane SMS-y (źródło telefonów w połączeniu z imieniem to zapewne jeden z wycieków…): Co po kliknięciu (czy raczej tapnięciu) w link? „Opłata za odkażenie” to raptem 50 groszy. Tak przynajmniej…
Czytaj dalej »
