W biegu

Ponoć dilerzy samochodowi nie zarabiają na sprzedaży aut a na serwisie. Może taki sam model biznesowy przyświecał osobie wykonującej pewne zlecenia dla Siemensa (choć dilerzy sami raczej nie wprowadzają usterek…). David Tinley, został uznany winnym wprowadzenia „bomby logicznej” do plików excel, w których Siemens zarządza zleceniami: The spreadshees included custom scripts that…

Od pewnego czasu ataki klasy SIM swap to już nie ciekawostka. Jak czytamy na stronach prokuratury: Prokuratura Okręgowa w Ostrowie Wielkopolskim prowadzi postępowanie przeciwko członkom zorganizowanej grupy przestępczej, którzy przełamując zabezpieczenia sieci internetowej jednego z banków świadczących usługi bankowości elektronicznej, dokonali nieuprawnionych wypłat środków pieniężnych z kont podmiotów gospodarczych z…

Na początek wiele mediów, relacjonując tę podatność wpadło w nieco owczy pęd pisząc o Remote Code Execution w Proftpd: Luka czasem może doprowadzić do RCE, ale nie tyle w samym serwerze FTP co np. w web serwerze. Dlaczego? Podatność umożliwia kopiowanie plików na serwerze nawet jeśli nie mamy żadnych uprawnień…

TLDR: prawie każdy sensowny telefon ma wbudowany akcelerometr. Każdy sensowny telefon posiada również wbudowany głośnik. Głośnik powoduje wibracje, akcelerometr je wykrywa. Wystarczy appka, która przetworzy dane z akcelerometru na konkretne słowa – tutaj praca pokazująca całą operację: Temat jest o tyle ciekawy, że dostęp do akcelerometru ma często bez żadnych…

Podatność zgłoszona w ramach programu bug bounty. Historia jest krótka ale pouczająca (ile to razy słyszeliśmy, że SQL injection to jakaś stara podatność i nigdzie jej nie można znaleźć?). Dostępny plik WSDL definiujący endpointy API – w tym testowe funkcje (całość w domenie starbucks.com.cn) SQL injection w jednej z funkcji Wstrzyknięcie…

Ktoś się chyba zdenerwował na Nadgryzione Jabłko.  iOS dostępny na iPhony / iPady właśnie otrzymał aktualizację do wersji 12.4, która zawiera potężną liczbę aktualizacji bezpieczeństwa. Mamy tutaj co najmniej kilka błędów klasy remote code execution, w tym dość zaskakujący w Facetime: Impact: A remote attacker may be able to cause arbitrary…

Jak pisze Gazeta Wyborcza: Parę dni temu prezes Urzędu Ochrony Konkurencji i Konsumentów ukarał firmę VGET Polska za oszukiwanie konsumentów. Ma zapłacić 2,7 mln zł kary. Spółka zajmuje się sprzedażą podczas pokazów pseudomedycznych urządzeń; VitronMed, VitronMagnetic, VitroMag oraz Aplikatora Pola Magnetycznego*. Firma zaprasza konsumentów na pokazy telefonicznie, a akcje telemarketingowe…

Nagły wzrost popularność rosyjskiej aplikacji stanowi okazję dla przestępców. Kaspersky Lab wykrył, że mobilny trojan MobiDash podszywa się pod aplikację FaceApp. Jego działanie przypomina schemat działania typowego adware: (…) użytkownik widzi komunikat o błędzie. Wyświetlane informacje sugerują, że pobrana aplikacja została odinstalowana. Komunikat ten jest sfałszowany – w rzeczywistości szkodliwy…

Taka ciekawostka: Edge apparently sends the full URL of pages you visit (minus a few popular sites) to Microsoft. And, in contrast to documentation, includes your very non-anonymous account ID (SID). Wygląda na to że Edge wysyła pełen URL stron które odwiedzać (nie robi tego tylko dla garstki popularnych serwisów)…

Jeśli jesteście podsłuchiwani (np. w ten sposób), to prawdopodobnie otrzymacie taką informację: Strona bazuje na funkcjach udostępnianych HTTP/2 serwer Caddy.  Który z kolei wykorzystuje teorię opisaną w pracy: The Security Impact of HTTPS Interception. Życzymy: –ms

Ciekawa podatność, zgłoszona przez niemiecki CERT. „Ausführen beliebigen Programmcodes” to nieco szorstkie „Remote Code Exection” – czyli wykonanie dowolnego kodu w OS ofiary (z uprawnieniami użytkownika VLC). Z jednej strony problem wygląda na bardzo poważny (CVSS Base score 9.8/10) z drugiej strony Niemcy klasyfikują go z zagrożeniem 'High’ – nie…

WebRTC w kontekście prywatności opisany został w tym artykule, a skutki jego stosowania w przeglądarkach tutaj. W skrócie: ta technologia pozwala na bezpośrednią komunikację pomiędzy przeglądarkami, a przy okazji może ujawnić nasz prawdziwy, publiczny adres IP (czasami pomimo VPN) czasami również adres lokalny. Właśnie z tego powodu WebRTC powinien być…

Ta nieprzyjemna akcja cieszy sporą popularnością. Mamy możliwych kilka wariantów, np. taki (niektórzy w domenie .tk widzą uwiarygodnienie całej historii), każdy z nich jednak najprawdopodobniej doprowadzi do próby wyczyszczenia Waszego konta. Nie klikajcie w żaden z tego typu linków! Nasi czytelnicy przesyłają kolejne odmiany tego samego „pomysłu”: Po wejściu lądujemy…

Zobaczcie na ten dość dziwny komunikat, o który pytają nas zaalarmowani czytelnicy: Maila od WizzAir otrzymały osoby zarówno z Polski jak i zagraniczni klienci. Na razie nie posiadamy zbyt wielu szczegółów, choć linia lotnicza uspokaja: there was no data breach, but we still recommend you to have your pass reset….

Ekipa Slacka pisze o wprowadzonym właśnie wymuszeniu zmiany hasła dla niewielkiej grupy użytkowników. Chodzi o incydent który miał miejsce w 2015 roku. Atakujący pobrali wtedy min. zahashowane hasła. Atak ten był o tyle ciekawy, że napastnikom udało się również wstrzyknąć fragment kodu, który na żywo pobierał hasła użytkowników w plaintext (np….