W biegu

To nie jakiś news z przyszłości, a sprawa dotycząca wszczepianych urządzeń mających regulować pracę serca firmy Medtronic (podatnych jest aż kilkanaście linii urządzeń, szacunki liczby podatnych urządzeń mówią o 750 000). Podatność CVE-2019-6538, krytyczność 9.3/10 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H) umożliwia m.in. bezprzewodową (z bliskiej odległości – choć tą „bliskość” – z odpowiednim wzmocnieniem szacujemy na kilkadziesiąt metrów)…

W ostatnich dniach ponownie jest głośno o RODO. W ostatniej wysokiej karze poszło o brak wykonania obowiązku informacyjnego (wymaganego przez RODO), za pomocą poczty tradycyjnej lub telefonu. Wszyscy za to przechodzą dość szybko do porządku nad tematem wysyłki e-maili ze stosowną informacją o fakcie przetwarzania danych. I tu się zastanawiamy,…

Łukasz Olejnik wykonał prywatne dochodzenie, ale spółka Bisnode sama opublikowała komentarz do decyzji Urzędu (nałożona kara to niemal milion złotych), nie zgadzając się z nią: Żądanie dodatkowego wysłania informacji do 5,7 miliona adresów właścicieli spółek jednoosobowych oraz członków zarządów między innymi pocztą tradycyjną lub telefonicznie nie może być postrzegane jako…

Motherboard donosi o dwóch kolejnych firmach przemysłowych, które miały paść ofiarą Ransomware. Na laptopie jednego z pracowników miała się pokazać taka informacja: Jako ciekawostkę warto wskazać jedną z domen, w której napastnicy mają maila – o2.pl. Choć na tej podstawie przypuszczanie, że mają oni jakieś powiązanie z Polską jest słabe….

Dokładna kwota to: 943 tys. zł. Naruszenie dotyczy braku obowiązku informacyjnego: Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych. Nie mogły więc one…

Radio Kraków, które informowało niedawno o „incydencie bezpieczeństwa w InPost” przygotowało aktualizację swojego newsa doprecyzowując: By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy. oraz (co ważne) – jednocześnie zamieszczając przeprosiny – sprostowanie: Radio Kraków…

Atak wykrył w styczniu Kasperski, który teraz publikuję trochę informacji – zaznacza jednocześnie że całe dochodzenie jeszcze trwa. Zaatkowana została usługa ASUS Live Update Utility, skąd są pobierane aktualizacje dla laptopów, PC-tów czy BIOS-ów. Sam malware podszywał się pod „krytyczną aktualizację” i posiadał prawidłowy podpis cyfrowy od ASUS-a. Trwająca od maja…

To ponownie nasza dawna przyjaciółka – MongoDB. Sama „tabela” alipay_trans_2019 posiada prawie 1,3 miliarda rekordów: Baza została zabezpieczona w godzinę od zgłoszenia, a jak wspominamy w tytule, to częściowe dane o transakcjach (np. nie ma przedmiotu transakcji) – w tym pewne dane osobowe. Cel bazy to prawdopodobnie budowanie profili użytkowników…

Taką akcję zaserwował jeden z fanów youtubera o – naszym zdaniem – wątpliwej reputacji. Ransomware został stworzony całkiem porządnie, obecnie wykrywa go około 50% antywirusów.: Ulubiony youtuber uzyska 100M subskrybentów – zostanie wypuszczony klucz deszyfrujący. Autor na szczęście zorientował się, że cała akcja jest nielegalna i grozić mu mogą spore…

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na 'zwykłych’ XML-ach czy JSON-ach. Microsoft załatał tego typu…

Ma to w sobie chyba wszystko: ładny interfejs graficzny, wybieranie liczby instancji AWS, na które rozpylany będzie proces łamania (z aktualizacją kosztów), wybór słowników, konkretnych algorytmów do łamania, limitu czasu na łamanie, aktualizacje statusu, itd: Twórcy zachwalają narzędzie, również jeśli chodzi o koszty – $22 za niemal 2 Terahashe na…

No dobrze, może to lekka przesada, że „fejkowy” ma przecież aż 500 sygnatur wirusów ;-) W najdroższej opcji są dożywotnie aktualizacje bazy wirusów, ale serwer updateów nie działa – podobnie jak strona producenta: Dla pewności – produkt i jego tańsze odmiany cały czas jest dostępny w Google Play. Opinie są…

Brian Krebs przynosi mrożącą krew w żyłach wiadomość: Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned. Była też możliwość wyszukania rekordów zawierających te hasła przez pracowników Facebooka i…

Oskarżony Litwin właśnie przyznał się do winy, formalny wyrok zostanie ogłoszony w USA w lipcu tego roku. Maksymalny wymiar kary, który mu grozi to 30 lat więzienia. Sprawa sięga aż 2013 roku, a schemat działania był dość prosty. W oświadczeniu wydanym przez departament sprawiedliwości USA czytamy tak: From 2013 through 2015,…

Bardziej techniczni napiszą – żaden – wystarczy mieć w miarę porządny telefon, nie zmieniać domyślnych ustawień bezpieczeństwa, nie instalować appek z zewnętrznych źródeł i wykonywać aktualizacje. Bardziej skrupulatni polecą wykonać dodatkowe dobezpieczenie ustawień na telefonie (hardening) – dokument CIS_Google_Android_Benchmark_v1.2.0.pdf to prawie 100 stronicowa książeczka dotycząca dobezpieczenia Androida 9.0.x (są też benchmarki…