W biegu

Tym razem podatność była warta ~10 000 PLN. Zaczęło się od subdomain takeover, w wyniku czego można było hostować dowolny content z domeny: devrel.roblox.com. O co chodzi w subdomain takeover? W skrócie: Lokalizujemy poddomenę firmy X, która nie jest już obsługiwana (choć wpis w DNS został). „nie jest już obsługiwana” ? Tj….

Wg Alexy Tokpedia znajduje się obecnie na 173 miejscu globalnie jeśli chodzi o odwiedzalność serwisów. Niedawno udostępniono w ramach „demo” bazę aż 15 milionów kont. Mamy tu e-maile, hasła (SHA-384 bez soli), daty urodzenia i jeszcze kilka innych danych: Pełna baza (91 milionów rekordów), którą udało się pozyskać, jest sprzedawana…

Często rozmaite formularze wymagają podania e-maila. Oczywiście istnieją usługi generujące tymczasowe e-maile, ale czasem ich obsługa jest nieco pracochłonna. Tymczasem Mozilla proponuje super wygodne rozwiązanie. Wypełniasz formularz, jednym kliknięciem generujesz nowy tymczasowy e-mail (z auto forwardem na Twoją normalną skrzynkę). Jeśli nie chcesz otrzymywać dalszych maili na alias, łatwo go blokujesz….

Często wiadomości o dopłatach, czy np. o przymusowym odkażaniu paczki wysyłane są jako zupełnie generyczne. Tymczasem mamy nową kampanię wysyłającą spersonalizowane SMS-y (źródło telefonów w połączeniu z imieniem to zapewne jeden z wycieków…): Co po kliknięciu (czy raczej tapnięciu) w link? „Opłata za odkażenie” to raptem 50 groszy. Tak przynajmniej…

Szkolenie podstawy bezpieczeństwa IT dla administracji publicznej, w praktyczny sposób wprowadza w tematykę częstych podatności/problemów z bezpieczeństwem. Całość przeznaczona jest głównie dla osób z IT, choć nie ma wymagań aby znać się na bezpieczeństwie. W kursie mogą uczestniczyć również zainteresowane bezpieczeństwem IT. Termin / Miejsce / Prowadzący Termin 13 maja,…

Vice donosi o wątku, który niedawno ujrzał światło dzienne: jeden z pracowników NSO – firmy rozwijającej Pegasusa, wyjechał  na delegację do Emiratów Arabskich. Cel: support dla jednego z klientów. Support supportem, ale pracownik postanowił użyć instancji Pegasusa, którą serwisował do zainfekowania a następnie monitorowania telefonu swojej ukochanej (a przynajmniej wytypowanej na…

Informację przekazał RMF: Jak dowiedzieli się reporterzy RMF FM, Agencja Bezpieczeństwa Wewnętrznego ma zbadać sprawę wycieku pakietu wyborczego. Działań służb domaga się Poczta Polska, bo taki wyciek stawia pod znakiem zapytania bezpieczeństwo powszechnych wyborów kopertowych przygotowywanych w pośpiechu – o czym od wielu dni ostrzegają eksperci. Skany pakietu jako pierwszy opublikował Stanisław Żółtek…

Checkpoint donosi o ciekawym ataku (najprawdopodobniej kierowanym na konkretną firmę). Tym razem trafiona została „korporacja operująca w wielu krajach”, a zainfekowanych zostało aż 75% urządzeń mobilnych pracowników – w skrócie: masakra. MDM (Mobile Device Management) to dla przypomnienia zcentralizowany system umożliwiający zarządzenie flotą mobilnych urządzeń. Jeśli mamy ich w firmie…

Autor reklamuje dodatek jak przydatne narzędzie dla red teamów (ofensywnych ekip, które w legalny sposób atakują organizacje na ich prośby). Po instalacji dodatku u ofiary, jej Chrome działa jako pełnoprawne proxy: A (cursed) Chrome-extension implant that turns victim Chrome browsers into fully-functional HTTP proxies. By using the proxies this tool…

Chcecie zobaczyć naprawdę ostrą inwazję w prywatność? Oto ona. CNN donosi o instalacji przez chińskie władze kamer monitoringu skierowanych na drzwi wejściowe osób objętych kwarantanną: Although there is no official announcement stating that cameras must be fixed outside the homes of people under quarantine, it has been happening in some…

Najwyraźniej opisywane przez nas przekazywanie danych osobowych Poczcie Polskiej (na potrzeby wyborów) jak po grudzie. Dane więc zostały przekazane inną drogą – jak donosi Rzeczpospolita: Państwowy operator już 22 kwietnia otrzymał za zgodą ministra cyfryzacji dane z rejestru PESEL potrzebne do przygotowania wyborów prezydenta – tę informację potwierdził resort cyfryzacji. To oznacza,…

Chodzi o Huiying Medical, a napastnicy wystawili na sprzedaż wspomniane dane za ledwo 4 BTC. Diagnostyka w tym przypadku jest dość nietypowa, bo odbywa się z wykorzystaniem tomografii komputerowej, a wyniki analizuje AI. Ponoć skuteczność tej metody to aż 96%. Wycieknięte dane zostały podzielone na kilka kategorii: Users — 1.5 MB…

Zgłoszenie możecie znaleźć tutaj. Problem występował przy przenoszeniu zgłoszenia (issue) z jednego projektu do drugiego. Kiedy w oryginalnym zgłoszeniu mieliśmy wskazaną ścieżkę do pliku na serwerze, podczas kopiowania był on przenoszony do docelowego projektu. Wystarczyło więc przygotować zgłoszenie i w jego opisie dać np. taką zawartość:  Po przeniesieniu zgłoszenia,…

Wystarczyło wysłać odpowiedni obrazek ofierze na chacie aby finalnie zdobyć jej token do API. Sam token umożliwia z kolei na takie operacje: lets you send messages, read messages, create groups, add new users or remove users from groups, change permissions in groups, etc. W skrócie masakra, w szczególności że operacja…

WP relacjonuje: W ramach akcji sieć obiecywała, że przy zakupie 20 produktów trzy można dostać gratis. Jednak prawdopodobnie przez błąd systemu kasowego z paragonu znikały… trzy najdroższe produkty. (…)Rekordziści płacili 20 zł za towary warte ponad 1000 zł. (…) jeśli ktoś kupił więc 20 lizaków po 99 groszy i np. elektronikę…