Tak twierdzą partnerzy biznesowi Microsoft, którzy otrzymywali zapisy rozmów. Za “podsłuch” w Xbox One odpowiadały wirtualne asystentki Cortana oraz Kinect. Niestety, nie tylko zapytania do nich były nagrywane. Microsoft sugeruje, że nie można jednoznacznie określić użytkownika wyłącznie na podstawie jego głosu. Mamy trochę inne zdanie, ale oficjalne oświadczenie już zostało…
Czytaj dalej »
Warto mieć świadomość nowej kampanii wykorzystującej prosty fakt: często kiedy otrzymacie maila w odpowiednim formacie, wasz dostawca poczty (np. Gmail) tworzy w waszym kalendarzu odpowiednie wydarzenie. A co jeśli wyślemy tych wydarzeń dużo? Może dostawca poczty uzna to za spam, ale wydarzenie i tak się utworzy? Tak przynajmniej pisze jeden…
Czytaj dalej »
EU CERT wydał właśnie ostrzeżenie o wzmożonych atakach, które są obserwowane w ostatnich dniach: Although the vulnerabilities have been reported to the vendors much earlier, and they have since been fixed, many services remain unpatched. Recently, significant amount of scanning and exploitation could be seen in the wild. Hence, it…
Czytaj dalej »
Kiedyś pisaliśmy o syberyjskim pomyśle podłączeniu koparek Bitcointów do grzejników (przy tanim prądzie, ogrzewanie niemal za darmo :). Teraz również historia „ze wschodu”. Pracownik lub pracownicy Południowoukraińskej Elektrownii Jądrowej podłączyli część wewnętrznej sieci do Internetu żeby móc sprawnie kopać walutę: Ukrainian authorities are investigating a potential security breach at a local nuclear…
Czytaj dalej »
Squid to cały czas dość popularny system będący przede wszystkich proxy cacheującym. Ekipa Trend Micro wykryła w tym roku podatność klasy (heap) buffer overflow, umożliwiającą nawet przejęcie serwera bez żadnego uwierzytelnienia – wystarczy „zwykłe” żądanie HTTP: Successful exploitation will result in the attacker being able to execute arbitrary code with…
Czytaj dalej »
Czytelnik doniósł nam o nowej, popularnej kampanii na Facebooku która wygląda np. tak (przykład: https://m.facebook[.]com/story.php?story_fbid=2228191223969654&id=100003363936319 Zasięgu można tylko pozazdrościć: Ci którzy skuszą się na wejście na stronę opisującą porwanie, będą mogli zobaczyć film z całej akcji, który jednak ze względu na drastyczne sceny wymaga potwierdzenia swojego wieku (18 lat). A to…
Czytaj dalej »
Wygląda intrygująco, prawda? Dane dostępowe działają, a środki na koncie wyglądają na nietknięte. Jest jedynie mały problem, żeby wypłacić środki trzeba wpłacić stosunkowo niewielką kwotę w BTC – np. 0.01 BTC. I przechodzimy do (*) cała akcja – jak może się już domyślacie – to dosyć sprytny fraud. –ms
Czytaj dalej »
Chodzi o sklep Guitar Center: Jesteśmy największym sklepem wysyłkowym sprzedającym instrumenty muzyczne w Polsce. Miesięcznie realizujemy kilka tysięcy zamówień online dla polskich klientów oraz kupujących z Czech, Słowacji, Węgier, Litwy, ostatnio także z Norwegii, Irlandii, Anglii i Niemiec. Sklep wydał stosowne oświadczenie (informację uzyskaliśmy z dwóch niezależnych źródeł): Informujemy, że…
Czytaj dalej »
Tytuł może ciutkę zbyt dramatyczny, ale „skoordynowany atak ransomware, który dotknął 20 agencji rządowych” (niektórzy piszą o 23) to też nie jest fraszka. Do akcji zaprzęgnięto specjalne cyber jednostki armii (Texas Military Department) Currently, DIR, the Texas Military Department, and the Texas A&M University System’s Cyberresponse and Security Operations Center teams…
Czytaj dalej »
Idąc od końca – Jailbreak na najnowszy iOS (12.4) dostępny jest tutaj. Apple z niewiadomych przyczyn ’odłatało’ podatność wykrytą we wcześniejszej wersji systemu (12.3) – co oznacza, że obecnie ma ona status 0-day (a może 100+ day? bo jest ona znana od przeszło 100 dni). Jeśli ktoś chciałby mieć roota…
Czytaj dalej »
Klasyka: resetujesz hasło i otrzymujesz je mailem w formie jawnej. Oznacza to dwie rzeczy – hasło jest przechowywane po stronie serwerowej w formie odwracalnej (nie w formie np. bezpiecznego hasha), często po prostu w formie jawnej. Samo też hasło przesłane w tej formie należy uznać za wycieknięte. Jaką odpowiedź na…
Czytaj dalej »
Eksperymentalny projekt Michała Bentkowskiego z sekuraka. Nie potrzeba instalacji, działajcie i komentujcie :-) TLDR: aplikacja hasło składające się z kilku następujących po sobie słów (w razie potrzeby można je rozdzielić dodatkowo konkretnym znakiem np. – czy usunąć polskie literki): –ms
Czytaj dalej »
Chodzi o bezpieczeństwo domowych urządzeń IoT. No dobra, nie każdy ma router czy access point pod biurkiem, ale rozumiecie o co chodzi ;-) Jak było 15 lat temu było niezbezpiecznie, tak jest: Even worse, CITL researchers found no clear progress in any protection category over time, said Zatko. Researchers documented…
Czytaj dalej »
Interesujące badanie niemieckiego magazynu c’t. Najpierw okazało się że antywirus od Kasperskiego wstrzykiwał w odwiedzane strony fragment kodu HTML: Samo to w sobie nie jest zabawne, ponieważ JavaScript działający w kontekście naszej przeglądarki mógłby zrobić wszystko (no dobra, jeśli mamy antywirusa to jego właściciele tak czy siak mogą zrobić z…
Czytaj dalej »
Biometryka kojarzy się z bezpieczeństwem, bezpieczne też powinny być systemy kontroli dostępu fizycznego. To wszystko prawda chyba że… nie jest kompletnie zabezpieczony jakiś komponent systemu dostępny do tego z Internetu. VPNMentor raportuje o dostępnej publicznie bazie ElasticSearch (dane z systemu Biostar 2), skąd udało się pobrać takie dane jak: Dane…
Czytaj dalej »
