O Shodanie i podobnych narzędziach pisaliśmy nie raz. Tym razem ktoś namierzył urządzenia znanej firmy produkującej m.in, sprzęt kontrolujący temperaturę – dostępne w Internecie. Interfejs przeglądarkowy + brak haseł (dla takich przypadków widzicie zrzuty ekranowe poniżej) lub domyślne hasła admina: nie wygląda to dobrze. W ramach demo, autorzy badania pokazali…
Czytaj dalej »
O ataku na spółkę Cenzin donosi RMF. Scenariusz miał być banalnie prosty: Do spółki przyszło kilka e-maili od osoby lub osób podszywających się pod czeskiego dostawcę broni. W korespondencji poinformowano o zmianie konta, na które Cenzin ma wpłacać pieniądze za dostawy. Osoby odpowiedzialne za finanse dokonały zmian w systemie płatności…
Czytaj dalej »
To dodatkowa, zupełnie nowa prezentacja na naszym mega sekurak hacking party. Zapisy tutaj. Prelekcja jest „nietechniczna” (na tyle na ile prelegent jest w stanie się powstrzymać od technikaliów) i nieco na luzie, o tym dlaczego prelegent jeszcze nie znudził się bezpieczeństwem IT.” Gynvael to jeden z laureatów nagrody Pwnie, którą…
Czytaj dalej »
Niedawno gruchnęła informacja o możliwości prostego podsłuchu iPhonów. Media ekscytują się głównie tym faktem, ale przy okazji najnowszego patcha na iOS (12.1.4) załatano również inne podatności 0-days, które były aktywnie wykorzystywane: Three out of the four vulnerabilities in the latest iOS advisory were exploited in the wild, yikes. Jak widać w świecie mobilnym…
Czytaj dalej »
W złożonych systemach dość trudno zadbać o stosowną kontrolę dostępu do danych (bardziej po ludzku – o implementację uprawnień). Taki problem wydarzył się niedawno w serwisie hackerone: Confidential data of users and limited metadata of programs and reports accessible via GraphQL. Czyli stosownym zapytaniem GraphQL można było pobrać w sposób…
Czytaj dalej »
To nie żarty, Szwajcaria właśnie odpala program publicznego hackowania e-wyborów. Pula nagród to 150 000 franków szwajcarskich. W zakresie są w pełni działające, testowe wybory: https://pit.evoting-test.ch/ – w dokładnie takiej konfiguracji jak planowana wersja produkcyjna. Cieszy również otwartość podejścia – dostępne są kody źródłowe, a wyniki swoich ataków będzie można opublikować….
Czytaj dalej »
Firefox bierze sobie do serca uwagi użytkowników – niedawno zaostrzenie kwestii dotyczących prywatności / trackerów, a już w marcu (Firefox 66) kompletne wyłączenie audio w filmach automatycznie uruchamianych na stronach WWW: Starting with the release of Firefox 66 for desktop and Firefox for Android, Firefox will block audible audio and…
Czytaj dalej »
No dobra, nie taki zwykły ;) musi mieć w środku stosownego exploita. W każdym razie w lutowej paczce aktualizacji dla Androida, Google wskazał m.in. paczkę (a dokładniej trzy) podatności w subsystemie Framework, oznaczone jako Critical RCE (zdalne wykonanie kodu): The most severe vulnerability in this section could enable a remote…
Czytaj dalej »
Dodaliśmy trochę biletów promo na nasze wydarzenie: „Bilet standard – akcja zabierz kumpla”. Można je kupować w paczkach po dwa, a druga osoba dostaje realnie bilet za 50% :) PS Absolutnie każdy bilet ma w cenie porządny lunch, przerwę kawową i paczkę gadgetów. Dla przypomnienia: obecnie mamy zapisanych 820 (płatnych) osób…
Czytaj dalej »
Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…
Czytaj dalej »
U nas do zdobycia jak zawsze topowa wiedza :) A żeby Was zbytnio nie spamować, podrzucam tylko dwa świeże komentarze z ankiet, które uczestnicy wypełniają po szkoleniach: Wiem, że moja ankieta wygląda jakbym nie przyłożył się do wykonania, ale ja naprawdę jestem aż tak zadowolony. Najlepsze szkolenie na jakim byłem…
Czytaj dalej »
Ktoś zlokalizował konto admin@kremlin.ru w około 2 tysiącach baz MongoDB, które dostępne były (są) bez żadnych zabezpieczeń do Internetu. Konto znalazło się głównie w organizacjach w jakiś sposób związanych z Rosją. Od rosyjskiego Disneya, przez banki, aż po bazę ukraińskiego ministerstwa spraw wewnętrznych, w której wg doniesień przechowywano dane dotyczące…
Czytaj dalej »
Klonowanie to może niezbyt dokładny opis sytuacji, chodzi o technikę SIM swap, czyli z pozoru niewinną operację (halo halo, czy tu mój operator telco?, zgubiłem kartę SIM, ale chciałbym odzyskać swój numer, przypiszcie go do nowej karty). Teraz atakujący może np. odbierać SMS-y ofiar, którymi z kolei często wysyłane są…
Czytaj dalej »
Wyniki z naszego profilu FB (głosowało około 3000 osób) Wyniki z Twittera (głosowało 308 osób): Celowo nie pisaliśmy co wg nas oznacza 'cyberatak’. Bardziej chodziło o wrażenie przekazane przez naszych czytelników. Może wszyscy jesteśmy bardzo świadomi? Albo zbyt paranoiczni? Niektórzy wskazywali, że ciężko znaleźć w Polsce jakąś sensowną analizę ryzyka: czym może…
Czytaj dalej »
Akcja dzieje się na Węgrzech. Oskarżony najpierw zgłosił „poważną podatność” w stronie webowej największego węgierskiego operatora telekomunikacyjnego, po czym zgłosił ją do firmy. Z jednej strony firma zaprosiła go na spotkanie z wizją dalszej współpracy, ale sam hacker na miejscu miał wrażenie że nikomu nie zależy na załataniu dziur. W…
Czytaj dalej »
