Wyciek tej jest niby jak każdy inny, ale ma on w sobie kilka elementów wartych uwagi: Dość wrażliwa branża z całkiem pokaźną bazą wyciekniętych kont (prawie 300 000) Do ataku wykorzystano niedawno odkrytą lukę 0-day w vBulletin (czy 1-day), dającą możliwość dostępu na serwer bez uwierzytelnienia (nie było to najczęściej chyba wykorzystywane…
Czytaj dalej »
W skrócie, zobaczcie na to szkolenie wprowadzające do tematyki bezpieczeństwa IT (2 dni, praktyczne pokazy). Na najbliższą edycję (Warszawa, 05-06.11.2019) możecie się zapisać korzystając aż z 50% rabatu (cena to 999 PLN netto), jeśli spełnicie dowolny z dwóch warunków poniżej: Skondensowane informacje o szkoleniu można znaleźć tutaj (ulotka idealna np….
Czytaj dalej »
O sytuacji pisze Finantial Times, a alertuje dodatkowo @prywatnik. Na celowniku było około 1400 telefonów, a celem byli głównie dziennikarze oraz obrońcy praw człowieka: WhatsApp said it spent six months investigating the breach, discovering that attackers had used its service to target about 1,400 phones over a two-week period this…
Czytaj dalej »
Mowa o grupie STRONT, zwanej też jako Fancy Bear/APT28. Jeśli ktoś chce zerknąć na przykładową akcję hakerską organizowaną przez tę grupę, niech zerknie tutaj: „Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!„. W każdym razie Microsoft donosi: At least 16 national and international sporting…
Czytaj dalej »
Mowa o książce „Bezpieczeństwo aplikacji webowych„, której w ramach przedsprzedaży sprzedaliśmy około 3900 sztuk, w niecały miesiąc. Książka jest idealna dla osób, które chcą „coś” wiedzieć o bezpieczeństwie aplikacji webowych (programistów, testerów), ale też dla doświadczonych pentesterów – obiecujemy, że ci ostatni też poznają sporo ciekawych smaczków ;-) Tak czy…
Czytaj dalej »
Hak5 udostępniło kolejny ciekawy produkt nadający się idealnie do fizycznych testów bezpieczeństwa. Przechodzimy korytarzem, wpinamy Shark Jacka do gniazdka sieciowego. Jeśli wszystko gra (przede wszystkim urządzenie dostanie adres IP), możemy już zdalnie buszować po sieci: Do urządzenia zapewniony jest dostęp przez appkę mobilną, choć możemy użyć również po prostu ssh:…
Czytaj dalej »
![Jesteś uczniem? Możesz legalnie pohackować i wygrać $$$ [CTF]](https://sekurak.pl/wp-content/uploads/2019/10/Zrzut-ekranu-2019-10-29-o-07.14.58-150x150.png "Jesteś uczniem? Możesz legalnie pohackować i wygrać $$$ [CTF]")
Inicjatywa dostępna jest tutaj: https://153plus1.pl/. Jan Kostrzewa, Dyrektor Biura Bezpieczeństwa w Ministerstwie Sprawiedliwości pisze o projekcie tak: Pomysł wziął się z obserwacji, że choć Polacy odnoszą niemałe sukcesy w ogólnoświatowych zawodach CTF, to sama formuła nie jest jeszcze szeroko rozpowszechniona w naszym kraju. Dragon Sektor czy P4 regularnie walczą o podium…
Czytaj dalej »
Nietypową sytuację z Mińska Mazowieckiego relacjonuje Polsat. W skrócie: Szedłem z pokoju do kuchni i usłyszałem nietypowy szum. (…) Po kilku minutach zauważałem wypływ wody spod wanny. Zamknąłem zawory na pionie. Awaria zdarzyła się pod kafelkami, które odbudowują wannę, zawinił przewód – opowiada pan Daniel. Zdarza się prawda? Zazwyczaj o…
Czytaj dalej »
Krótka, ale dość niemiła i dla niektórych zaskakująca historia: 24-latek był pracownikiem wypożyczalni samochodów. Dzięki temu miał dostęp do bazy danych klientów. Wykorzystując te dane zakładał firmy, następnie występował do banku o przyznanie debetu lub kredytu. Pożyczki brał też w instytucjach para bankowych. Dodał, że dotychczas policja ustaliła 10 pokrzywdzonych,…
Czytaj dalej »
Temat zahaczający o socjotechnikę nie jest całkiem nowy, ale kolejne ekipy próbują tego tricku: Podjeżdżają pod dom i obiecują szybką naprawę po kosztach. W tym przypadku miało to być 250 zł. Po wykonanej usłudze, jak się następnie okazało, miała to być kwota c. 5000 zł, czyli wielokrotnie przewyższająca umówione wcześniej…
Czytaj dalej »
Ciekawe i zarazem aktualne od wielu lat spostrzeżenie. Przykłady lokalizacji samochodów w Google w Polsce? Proszę bardzo: tutaj mamy samochód o niezamazanej tablicy rejestracyjnej: ZS 451KG. Proste zapytanie do Google Images: Może dla odmiany policja? Proszę bardzo (HPC A938) – możemy już zobaczyć kilka akcji z udziałem tego samochodu: Czy…
Czytaj dalej »
Międzynarodową stronę BBC można oglądać tutaj: bbcnewsv2vjtpsuy.onion (może przydać się Tor Browser). Posunięcie ma na celu ominięcie cenzury – wskazywane są tutaj wprost takie kraje jak: Chiny, Iran czy Wietnam. I rzeczywiście mamy w tym przypadku piękny przykład podążania za jednym ze sztandarowych haseł przyświecających projektowi Tor: Defend yourself against tracking and surveillance….
Czytaj dalej »
Pomysł na hotel dość ciekawy…Tymczasem jeden z gości doniósł że można jeden z robotów (znajdujących się w pokoju) wgrać nieautoryzowany własny kod, który zapewni zdalny dostęp do streamu video z pokoju: It has been a week, so I am dropping an 0day. The bed facing Tapia robot deployed at the…
Czytaj dalej »
Ożywa kampania która była już realizowana parę miesięcy temu. Jeden z czytelników podesłał nam taką relację (opublikowaną na jednej z facebookowych grup): No właśnie, przedłużenie bezpłatnej przecież usługi za jedyne 300 zł ? Fakturka za takę usługę też wygląda na grubymi nićmi szytą: Płatność u kuriera… hmmmm. Z jednej strony…
Czytaj dalej »
![Office365 – jak bruteforcować poprawne e-maile? [phishing!]](https://sekurak.pl/wp-content/uploads/2019/10/jest2-150x150.png "Office365 – jak bruteforcować poprawne e-maile? [phishing!]")
Ciekawe spostrzeżenie w formie gotowego skryptu można zobaczyć tutaj. Microsoft udostępnia pewien endpoint API, który zwraca informację czy dany adres e-mail jest dostępny w ramach Office365 czy nie: /autodiscover/autodiscover.json/v1.0/{EMAIL}?Protocol=Autodiscoverv1 Odpowiedź HTTP 200 oznacza, że e-mail jest zarejestrowany. Co ciekawe nie wymaga to podania nazwy firmy, nie ma ograniczenia na liczbę…
Czytaj dalej »
