W biegu

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

W najnowszej wersji Burp Suite 2.1.01 pojawiła się obsługa WebSocket w Burp Repeater! Wykorzystajmy testową aplikację, aby zobaczyć nową funkcjonalność w akcji.

Reuters donosi o włamaniu na serwery bułgarskiego urzędu skarbowego: hackers had stolen millions of taxpayers’ financial data in an attack that one researcher said may have compromised nearly every adult’s personal records. Włamanie nastąpiło w okolicach końca czerwca 2019r. Atakujący twierdzi, że uzyskał dostęp do 110 baz danych zawierających „ściśle…

Wskazane zostały głównie dwa problemy: Brak odpowiedniej rozliczalności dotyczącej danych medycznych pacjentów (kto, kiedy, jaki dostęp uzyskiwał do danych) Brak wdrożonego dwuczynnikowego uwierzytelnienia przy dostępie do danych medycznych Nieco głębiej zakopana jest chyba ważniejsza przyczyna całej kontroli w szpitalu oraz nałożonej kary: On April 4, 2018, the Haga Hospital reported a…

Jeden obraz wart więcej niż tysiąc słów: Tak, rzeczywiście kolega siedzi i analizuje co pokazał mu nmap w dostępnej w mieszkaniu sieci WiFI: Running nmap on your @Airbnb network is a great way to find hidden cameras and remind yourself you need to improve your posture. Dla śmiałków – radę…

Dość agresywna akcja Amazonu kierowana do amerykańskich klientów. Mogą oni otrzymać $10 kredytu na zakupy jeśli… zgodzą się zainstalować specjalny dodatek do przeglądarki. Opis działania tego sypware-u (tzn. pluginu) może mrozić krew żyłach: For example, we collect and process the URL, page metadata, and limited page content of the website…

Media rozpisują się o rzekomo dużym problemie w WhatsAppie i Telegramie. Tytuł: WhatsApp, Telegram had security flaws that let hackers change what you see. [WhatsApp i Telegram miał podatności umożliwiające hackerom zmianę tego co widzisz] brzmi dość groźnie, prawda? Spróbuję wyjaśnić całe zamieszanie w jak największym skrócie: WhatsApp zapisuje pliki…

Dzisiejsze przeglądarki i technologie webowe nie są już takie same jak kiedyś. Znacznie wzrosła też prędkość ładowania stron. Niestety, z nowoczesnymi witrynami pojawiły się również zagrożenia prywatności. Jakie to informacje? (prawie ;) Wszystkie znajdują się na stronie browserleaks.com. Oprócz podstawowych typu adresy IP komputera (w tym adres w sieci lokalnej),…

Dzisiaj nasi czytelnicy poinformowali nas o potencjalnym problemie z systemami Allegro. Otóż otrzymali maila z tytułem: Twoja sprzedaż może zostać tymczasowo wstrzymana ! Zaakceptuj zmiany w regulaminie! Co więcej, można było w pierwszym momencie odnieść wrażenie, że Allegro wysłało maila, dodając dziesiątki czy setki innych osób na CC(!) Wystarczy jednak…

Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….

360Vulcan organizuje co roku w Chinach CTF invite-only dla topowych teamów na świecie (na podstawie rankingu CTFTime). Pula nagród w tym roku wynosiła $100k USD, a polski Dragon Sector zajął drugie miejsce wygrywając $30 000. Gratulacje! :-) W CTF-ie mogą uczestniczyć tylko zaproszone ekipy, a konkurs jest o tyle nietypowy, że każdy…

Laxman Muthiyah miał stanowczo dobry dzień – w ramach programu Bug Bounty Facebook’a otrzymał $30.000 za możliwość przejęcia dowolnego konta na Instagramie. Gdy użytkownik zapomni swojego hasła, w ramach funkcjonalności odzyskania konta wysyłany jest 6-cyfrowy kod SMS. Potencjalny atakujący mógłby metodą siłową próbować wysłać milion zapytań HTTP – próbując wykorzystać…

Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie: New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite…

Ciekawe (i ponoć pierwsze tego typu) badanie (nomen omen) dotyczące bezpieczeństwa urządzeń stosowanych w trakcie znieczulenia operacyjnego. Podatności wykryto w maszynach GE Aestiva oraz GE Aespire (modele 7100 / 7900): If exploited, the vulnerability would allow an attacker to silence alarms, alter date and time settings, adjust gas composition inputs, change…

Amerykańska Federalna Komisja Handlu zatwierdziła w drodze głosowania gigantyczną grzywnę dla Facebooka w wysokości około 5 miliardów USD. Grzywna została „wypracowana” w formule ugody. New York Times zaznacza, że kara ta musi być zatwierdzona przez Departament Sprawiedliwości, choć najczęściej jest to tylko formalność: The deal still needs final approval from…