Firma Upserve chyba słusznie uruchomiła program bug bounty. Niedawno mieli zaskakującą podatność umożliwiającą reset hasła dowolnemu użytkownikowi na znaną atakującemu wartość, teraz mamy może coś jeszcze ciekawszego – tworząc zamówienie można było zmniejszyć jego finalna kwotę: The total amount of an order could be modified by including an item with a negative…
Czytaj dalej »
Światełko w tunelu, mogące w końcu doprowadzić do skutecznego pozbycia się spamu telefonicznego: Do Urzędu Ochrony Konkurencji i Konsumentów zgłaszały się osoby, które skarżyły się na niechciane telefony od operatora telekomunikacyjnego – Netii. Urząd przeanalizował zgłoszenia od konsumentów i rozmowy sprzedażowe, które prowadzili z nimi konsultanci. Wynikało z nich, że Netia…
Czytaj dalej »
Klienckie VPN-y wyrosły w ostatnich latach jak grzyby po deszczu. Ale czy instalując tego typu rozwiązanie zastanawialiście się jaka firma (i w jakim kraju operująca) stoi za nim? Ciekawą analizę przygotował VPN Pro – analizując często niejawną przynależność konkretnych rozwiązań do jednej firmy-matki. Wersja skrócona raportu dostępna jest tutaj. Można się…
Czytaj dalej »
Firma Eurofins została zaatakowana przez ransomware około miesiąca temu (mowa jest dotknięciu nim oddziałów firmy w wielu krajach); od tego czasu brytyjska policja wstrzymała współpracę, a jest ona naprawdę potężna (firma obsługuje co roku przeszło 70 000 spraw!): Since the attack, police have halted all work with Eurofins, which normally processes…
Czytaj dalej »
Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…
Czytaj dalej »
Świeża analiza w tym miejscu. Po zautomatyzowanej analizie firmware urządzenia Cisco SG250 Smart Switch badaczy frapowało pytanie „kim jest tajemniczy gary.wu1(at)huawei.com ?” widoczny na jednym z certyfikatów (warto zauważyć, że do certyfikatu udało się również znaleźć klucz prywatny): Badacze zgłosili tę ciekawostkę do Cisco, które opublikowało stosowną informację. Tutaj z kolei…
Czytaj dalej »
Tych, którzy myśleli, że to nasz rządowy poradnik – niestety musimy rozczarować. Dokument (z czerwca tego roku) został opracowany przez rząd australijski, ale jest na tyle ogólny, że skorzystać z niego może w zasadzie każdy. Mamy tutaj proste modelowanie ryzyk czy przygotowanie sprzętu przed podróżą (niby oczywiste rzeczy jak: przygotowanie mechanizmu…
Czytaj dalej »
Teoria i praktyka tutaj. Praca aktualizuje w znaczny sposób obecne osiągnięcia, które były ograniczane przez sam algorytm: Compression bombs that use the zip format must cope with the fact that DEFLATE, the compression algorithm most commonly supported by zip parsers, cannot achieve a compression ratio greater than 1032. Jak widać powyżej, można…
Czytaj dalej »
Ciekawe pytanie o zachowanie Windows 95: I was playing Hypnospace Outlaw, a game about a retro-themed OS. This OS has a peculiar behavior that when loading a webpage, wiggling the mouse cursor will load the page faster. Ktoś odpowiada, tak tak, to znany ficzer (to znaczy bug) Windowsów w dawniejszych…
Czytaj dalej »
Ciekawa (standardowa ;) podatność (czy seria podatności) w kontrolerze: ZipaMicro Z-Wave Controller Model #ZM.ZWUS. Urządzenie to jest stosowane we wdrożeniach inteligentnych domów – m.in. w kwestii otwierania drzwi do mieszkań czy domów. I taki scenariusz przeanalizowali badacze. Po pierwsze okazało się, że hub posiada jeden zahardkodowany klucz na roota. Użycie…
Czytaj dalej »
Cloudflare podał informację o 30 minutowej, globalnej awarii w tym miejscu: Starting at 1342 UTC today we experienced a global outage across our network that resulted in visitors to Cloudflare-proxied domains being shown 502 errors (“Bad Gateway”). The cause of this outage was deployment of a single misconfigured rule within…
Czytaj dalej »
Reklamy na stronach internetowych bywają irytujące (szczególnie jeśli sprawiają, że treść nie jest widoczna). Sposób jest prosty: wystarczy plugin je blokujący, np. uBlock Origin lub wbudowany w antywirusa. Niektórym osobom jednak reklamy nie przeszkadzają, poza tym istnieją strony, które “wymuszają” wyłączenie adblocków (Outlook podczas używania blokera reklam “sztucznie” ogranicza obszar…
Czytaj dalej »
Chodzi o granicę z Kirgistanem, a inspekcji poddawane są zarówno Androidy jak i iPhone-y: Border guards are taking their phones and secretly installing an app that extracts emails, texts and contacts, as well as information about the handset itself. Jak widać, appka nie robi nic groźnego ;)) Choć szczerze mówiąc,…
Czytaj dalej »
Chodzi o temat, o którym pisaliśmy niedawno w kontekście dowodów kolekcjonerskich. Stosowna ustawa, która wchodzi w życie 12 lipca ogólnie zabrania kopiowania „dokumentów publicznych” – przy czym są np. pewne wyłączenia. Definicja mówi: replika dokumentu publicznego – odwzorowanie lub kopia wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu…
Czytaj dalej »
Niedawno Riviera Beach zapłaciło 62 BTC (choć kto wie czy w akcji nie byli negocjatorzy), kolejnym razem (Lake City, Floryda) przestępcy byli łaskawsi – żądali tylko 42 BTC, które zostały zapłacone (a pracownik który kliknął „feralnego maila” – zwolniony): For several days after computer systems were paralyzed by a ransomware attack,…
Czytaj dalej »
