Ciekawe rozwiązanie, które będzie testowane na produkcji (realni klienci, realne środku, realne terminale) w jednym z brytyjskich banków. Rozwiązanie wygląda podobnie jak np. Apple Pay powiązane z telefonem, który ma czytnik biometryczny (wybieram płatność, potwierdzam za pomocą skanu palca lub Face ID, przykładam urządzenie do terminala (NFC), płatność zakończona. Tylko……
Czytaj dalej »
Ten post jest na tyle istotny, że warto dla niego napisać nawet jednozdaniowego newsa. Opisuje on kilka ataków na nowoczesne sieci Windows – w tym działający od wielu lat Kerbroasting. W skrócie, po posiadaniu dowolnego konta w sieci Windows (można je pozyskać np. za pomocą wykorzystania WPAD) można namierzyć konkretne…
Czytaj dalej »
Po okresie testów – usługa jest dostępna z 2.5GB limitem. Uploadujesz plik (jest on wysyłany do clouda firefoksowego w formie zaszyfrowanej), w wyniku otrzymujesz zwykły URL. URL umożliwia pobranie pliku (istnieje też możliwość zabezpieczenia pliku extra hasłem). Proste, wygodne i zbudowane z myślą o bezpieczeństwie i prywatności użytkowników: With Send,…
Czytaj dalej »
Jeśli ktoś zna tematykę JWT (JSON Web Token), to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych. Zobaczmy więc na podatność CVE-2019-7644:…
Czytaj dalej »
Baza Mongo z danymi niemal 2 milionów osób. Trudno powiedzieć do czego system był wykorzystywany – na pewno ma jednak podtekst matrymonialny. Składająca się informacji o samych kobietach struktura na następujący skład: single [89%], rozwiedzione [10%], wdowy [1%] Najmłodsza ma 15 lat, najstarsza 95. Mamy tutaj takie dane jak: wiek,…
Czytaj dalej »
Wielu z was zapewne spotkało się z sytuacją kiedy poprawka Windowsów na tyle dużo popsuła, że system nie chce ponownie wystartować. Sam Microsoft pisze tak: Windows automatically installs updates to keep your device secure and running at peak efficiency. Occasionally, these updates can fail due to incompatibility or issues in new…
Czytaj dalej »
Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy…
Czytaj dalej »
W oryginalnej wersji wyglądało to tak: for ( ; ; ) { window.alert(„ ∧_∧ ババババ\n( ・ω・)=つ≡つ\n(っ ≡つ=つ\n`/ )\n(ノΠU\n何回閉じても無駄ですよ~ww\nm9(^Д^)プギャー!!\n byソル (@0_Infinity_)”) } Policja przesłuchała młodą dziewczynę – w tle dość poważne zarzuty, gdzie pojawiają się takie frazy jak „unauthorized malicious program” czy „criminal act”. Nie skończyło się tylko na problemach 13-latki – policja postanowiła też…
Czytaj dalej »
Może takie miejsce się przyda? Planujemy tam publikować tematy, które normalnie nie pojawią się na sekuraku, czasem AMA, prosimy też o podrzucanie Waszych ciekawych tematów do dyskusji. To ostatnie jest głównym celem istnienia grupy – mamy całkiem sporo doświadczonych w interesującym nas temacie czytelników. A co tysiące głów to nie…
Czytaj dalej »
Jeśli ktoś porusza się w świecie korporacyjnym, zapewne słyszał o firmie Citrix. Donosi ona o włamaniu do swojej wewnętrznej sieci – o czym zostali poinformował przez FBI. Co dokładnie się stało? Pełnych informacji jeszcze nie ma, choć jest mowa o kradzieży wewnętrznych dokumentów. Niektórzy potwierdzają ilość na 6-10 TB poufnych informacji,…
Czytaj dalej »
Najpierw 0-day na Chrome, teraz 0-day na Windows. Google pisze, że błąd jest wykorzystywalny na Windows 7 (najprawdopodobniej nie da się go użyć na Windows 10). Problem polega na możliwości eskalacji uprawnień do SYSTEM z poziomu zwykłego użytkownika. Połączenie powyższych dwóch bugów może dać taki efekt: ofiara klika na linka…
Czytaj dalej »
Ot dzień jak co dzień. 150 GB baza Mongo wystawiona bez uwierzytelnienia do Internetu. Ktoś ją pobrał, a w środku mamy 763 milionów unikalnych maili. Jako bonus pojawiają się też takie elementy jak telefony, adresy. Jest też osobny, dość enigmatyczny zbiór o nazwie businessLeads, który prawdopodobnie zawiera m.in. informacje o…
Czytaj dalej »
Chodzi o dwie bardzo popularne firmy (+ te same rozwiązania, tylko subbrandowane): Viper oraz Pandora Viper is the world’s best selling vehicle security and remote start brand. We use cutting-edge technology to make sure you are in control, providing range and features you can count on every time. Jak przystało na…
Czytaj dalej »
Cisco załatało krytyczny bug (9.8/10 w skali CVSS) w kilku urządzeniach. Jest to seria urządzeń dla małych biur (small office), która ma jednak oferować wysokie bezpieczeństwo: Highly Secure Connectivity for Small Offices Jeśli posiadacie takie urządzenie, zaaplikujcie łatę wydana przez producenta. Podatność istnieje w panelu webowym do zarządzania urządzeniem i…
Czytaj dalej »
Piorunujące info tu. Repozytorium na GitHubie – tutaj. Przypominajka poniżej: Po co Microsoft wykonuje taki krok? Może to balon próbny przed większymi inicjatywami tego typu? Sami piszą tak: Our goal is to build an even better user experience in partnership with the community. Dla pewności – kalkulator będzie przechodził testy…
Czytaj dalej »
