W biegu

Media rozpisują się o rzekomo dużym problemie w WhatsAppie i Telegramie. Tytuł: WhatsApp, Telegram had security flaws that let hackers change what you see. [WhatsApp i Telegram miał podatności umożliwiające hackerom zmianę tego co widzisz] brzmi dość groźnie, prawda? Spróbuję wyjaśnić całe zamieszanie w jak największym skrócie: WhatsApp zapisuje pliki…

Dzisiejsze przeglądarki i technologie webowe nie są już takie same jak kiedyś. Znacznie wzrosła też prędkość ładowania stron. Niestety, z nowoczesnymi witrynami pojawiły się również zagrożenia prywatności. Jakie to informacje? (prawie ;) Wszystkie znajdują się na stronie browserleaks.com. Oprócz podstawowych typu adresy IP komputera (w tym adres w sieci lokalnej),…

Dzisiaj nasi czytelnicy poinformowali nas o potencjalnym problemie z systemami Allegro. Otóż otrzymali maila z tytułem: Twoja sprzedaż może zostać tymczasowo wstrzymana ! Zaakceptuj zmiany w regulaminie! Co więcej, można było w pierwszym momencie odnieść wrażenie, że Allegro wysłało maila, dodając dziesiątki czy setki innych osób na CC(!) Wystarczy jednak…

Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….

360Vulcan organizuje co roku w Chinach CTF invite-only dla topowych teamów na świecie (na podstawie rankingu CTFTime). Pula nagród w tym roku wynosiła $100k USD, a polski Dragon Sector zajął drugie miejsce wygrywając $30 000. Gratulacje! :-) W CTF-ie mogą uczestniczyć tylko zaproszone ekipy, a konkurs jest o tyle nietypowy, że każdy…

Laxman Muthiyah miał stanowczo dobry dzień – w ramach programu Bug Bounty Facebook’a otrzymał $30.000 za możliwość przejęcia dowolnego konta na Instagramie. Gdy użytkownik zapomni swojego hasła, w ramach funkcjonalności odzyskania konta wysyłany jest 6-cyfrowy kod SMS. Potencjalny atakujący mógłby metodą siłową próbować wysłać milion zapytań HTTP – próbując wykorzystać…

Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie: New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite…

Ciekawe (i ponoć pierwsze tego typu) badanie (nomen omen) dotyczące bezpieczeństwa urządzeń stosowanych w trakcie znieczulenia operacyjnego. Podatności wykryto w maszynach GE Aestiva oraz GE Aespire (modele 7100 / 7900): If exploited, the vulnerability would allow an attacker to silence alarms, alter date and time settings, adjust gas composition inputs, change…

Amerykańska Federalna Komisja Handlu zatwierdziła w drodze głosowania gigantyczną grzywnę dla Facebooka w wysokości około 5 miliardów USD. Grzywna została „wypracowana” w formule ugody. New York Times zaznacza, że kara ta musi być zatwierdzona przez Departament Sprawiedliwości, choć najczęściej jest to tylko formalność: The deal still needs final approval from…

Tym razem zhackowana lub „zhackowana” została japońska giełda kryptowalut Bitpoint. the company said that hackers stole funds from both of its „hot” and „cold” wallets. This suggests the exchange’s network was thoroughly compromised. W wolnym tłumaczeniu – zostały oczyszczone gorące i zimne portfele i co nam zrobicie!? Straty to około…

Pozew sądowy Tesli. Były pracownik oskarżony o kradzież kodu źródłowego teslowego Autopilota – wg oskarżeń wysłał 300 000 plików na swój prywatny iCloud: The former employee was one of around 40 people with direct access to the source code for Autopilot, which is Tesla’s advanced driver assistance system. The company…

Jak pokazuje historia, SMS-y to nie jest idealna metoda dodatkowej autoryzacji transakcji finansowych. M.in. stąd już bardzo konkretne działania kilku konkretnych niemieckich banków: Postbank planuje wycofać się z SMS-ów do końca sierpnia Raiffeisen Bank, Volksbank, Consorsbank – w okolicach końca roku Deutsche Bank i Commerzbank (właściciel mBanku) – też idą w…

Ciekaowstka. Bohaterem tym razem jest taki oto sprzęt z możliwością kontroli z telefonu Krótka analiza problemów bezpieczeństwa – tutaj. W skrócie: There is no auth on the BLE communications between the device and the phone. Data can be sent to the device at any time as long as it is…

Celem dwóch nowych ransomware (QNAPCrypt i eCh0raix) są urządzenia klasy NAS firmy QNAP. Wektor ataku jest bardzo prosty: brute force na hasło SSH lub wykorzystanie znanych podatności. Łatwo rozpoznać infekcję, ponieważ zaszyfrowane algorytmem AES pliki otrzymują rozszerzenie .encrypt. Sam ransomware napisany jest w nowoczesnym języku Go. Bardzo możliwe, że twórca…

Właśnie załatano podatność klasy Server-Side Template Injection. Podatne są: Jira Server oraz Jira Data Center (od wersji 4.2 aż do 8.x). Podatność może zostać wykorzystana przez nieuwierzytelnionego użytkownika jeśli włączona jest opcja kontaktu z administratorami Jiry przez HTML-owy formularz (domyślnie ta opcja jest wyłączona, ale Atlassian rekomenduje sprawdzić czy w…