W biegu

Podatność o której pisaliśmy parę miesięcy temu dotyka wprawdzie Windowsa 7 (i niższych), ale umożliwia bez żadnej interakcji ofiary na otrzymanie pełnego dostępu administracyjnego na atakowanej maszynie. Sytuację pogarsza fakt, że w Metasploicie od jakiegoś czasu gotowy jest exploit na lukę. Tymczasem ktoś rzeczywiście zaczął atakować systemy dostępne z Internetu…

Podejrzewam, że 99.9% czytelników sekuraka klika na 'Nie pozwalaj’ w takim przypadku: W Firefoksie od stycznia 2020 nie trzeba będzie klikać, bo… takie popupy w ogóle się nie pokażą. ZDNET donosi się że o ew. możliwości zapisania się na spamik ;) będzie nas informowała mała ikonka na pasku URL. Brawo…

Niedawno pisaliśmy o ciekawym przekręcie wykorzystującym automatyczne generowanie głosu na podstawie próbek od ofiary – w tym przypadku „na prezesa” oszukano firmę na ok 1 mln PLN. Na „lewą fakturę” oszukano też nasz rodzimy LOT (ok 2.5 mln PLN – część udało się odzyskać). Tym razem mamy grubszą sprawę, bo…

O operacji / malware nazwanej QSNATCH doniosła jako pierwsza fińska agencja związana z cyberbezpieczeństwem. Później dołączyły się Niemcy pisząc o 7000 infekcjach dysków sieciowych firmy QNAP tylko w tym kraju: Dokładna metoda infekcji nie jest znana, choć wiadomo że malware ma możliwość wykonywania dowolnego kodu na urządzeniach, wyłącza aktualizacje, kradnie…

Pismo jest dość niemal idealna kopią oryginalnego dokumentu (nie zgadza się numer konta na który trzeba wpłacać pieniądze: Skąd wiadomo do jakiej firmy przesłać taki dokument. Otóż okazuje się że: Urząd jest przez prawo zmuszony do publikowania podstawowych informacji o zgłaszanym znaku towarowy. Znajdują się tam również dane zgłaszającego. Zostaje tylko znaleźć…

Miało być pięknie, od strony atakujących wszystko legalnie – za obietnicę wykasowania 57 milionów rekordów danych o użytkownikach Ubera mieli otrzymać nagrodę w ramach programu Bug Bounty. Pieniądze te zresztą dostali za pośrednictwem serwisu HackerOne (2016 r.). Nie ma danych – nie ma problemu, wtedy Uber nie poinformował o temacie…

Mowa o Pwnagotchi, które z jednej strony jest bezprzewodowym Bettercapem na sterydach. Z drugiej strony nawiązuje do popularnej niegdyś zabawki Tamagotchi. „Zwierze” nie tylko żywi się złapanymi z sieci handshake-ami WPA2 (można je łamać w trybie offline uzyskując dostęp do klucza do sieci WiFi), ale potrafi działać też dość agresywnie (np. odłączać…

Informację o nowej wersji przeglądarki oraz podstawowe informacje o zlokalizowanych poważnych błędach podał Google. Błędy są na tyle istotne, że firma na razie nie podaje szczegółów technicznych, zasłaniając się (słusznie) bezpieczeństwem użytkowników: Access to bug details and links may be kept restricted until a majority of users are updated with a…

Dość mocną wręcz historię opisuje Tygodnik Szczytno. Mamy tu przykład oszustwa seniorki metodą na „policjanta”, ale że w akcji była kwota aż 800 000 zł, przestępca użył innego sposobu niż powiedzmy prośba o zapakowanie całej gotówki w reklamówki i wystawienie przed drzwi. Jak więc postanowiono wykraść 800 000 zł? Mężczyzna…

Treść decyzji UODO można przeczytać tutaj. W gąszczu informacji mogą zniknąć te najistotniejsze, czyli co było przyczyną nałożenia kary? Po pierwsze brak umów dotyczących powierzenia przetwarzania danych osobowych z firmami obsługującymi strony Urzędu na swoich serwerach: Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji…

Wyciek tej jest niby jak każdy inny, ale ma on w sobie kilka elementów wartych uwagi: Dość wrażliwa branża z całkiem pokaźną bazą wyciekniętych kont (prawie 300 000) Do ataku wykorzystano niedawno odkrytą lukę 0-day w vBulletin (czy 1-day), dającą możliwość dostępu na serwer bez uwierzytelnienia (nie było to najczęściej chyba wykorzystywane…

W skrócie, zobaczcie na to szkolenie wprowadzające do tematyki bezpieczeństwa IT (2 dni, praktyczne pokazy). Na najbliższą edycję (Warszawa, 05-06.11.2019) możecie się zapisać korzystając aż z 50% rabatu (cena to 999 PLN netto), jeśli spełnicie dowolny z dwóch warunków poniżej: Skondensowane informacje o szkoleniu można znaleźć tutaj (ulotka idealna np….

O sytuacji pisze Finantial Times, a alertuje dodatkowo @prywatnik. Na celowniku było około 1400 telefonów, a celem byli głównie dziennikarze oraz obrońcy praw człowieka: WhatsApp said it spent six months investigating the breach, discovering that attackers had used its service to target about 1,400 phones over a two-week period this…

Mowa o grupie STRONT, zwanej też jako Fancy Bear/APT28. Jeśli ktoś chce zerknąć na przykładową akcję hakerską organizowaną przez tę grupę, niech zerknie tutaj: „Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!„. W każdym razie Microsoft donosi: At least 16 national and international sporting…

Mowa o książce „Bezpieczeństwo aplikacji webowych„, której w ramach przedsprzedaży sprzedaliśmy około 3900 sztuk, w niecały miesiąc. Książka jest idealna dla osób, które chcą „coś” wiedzieć o bezpieczeństwie aplikacji webowych (programistów, testerów), ale też dla doświadczonych pentesterów – obiecujemy, że ci ostatni też poznają sporo ciekawych smaczków ;-) Tak czy…