Jeden z czytelników podesłał nam tę informację. To notatka po spotkaniu przedstawicieli grupy G7, w której mowa jest o walce z terroryzmem. Czytamy tu m.in: Encourage Internet companies to establish lawful access solutions for their products and services, including data that is encrypted, for law enforcement and competent authorities to…
Czytaj dalej »
Straty których doznały banki w wyniku działalności grupy są szacowane na nawet miliard USD. Tymczasem okazało się, że już w 2017 roki ktoś z rosyjskiego adresu IP, zuploadował kody źródłowe (+ trochę dodatkowych narzędzi) na Virustotal. Archiwa rar dostępne są tutaj: pierwsza część, druga część. Sam kod źródłowy to około…
Czytaj dalej »
Nokia wydała niedawno aktualizację oprogramowania (v4.22) mającą na celu usprawnić działanie zintegrowanego z ekranem czytnika linii papilarnych. Tymczasem jeden użytkownik zauważył coś dziwnego. Można odblokować jego telefon palcem zupełnie innej osoby lub nawet paczką gumy do żucia: Video of the fingerprint sensor unlocking phone with a packet of chewing gum…
Czytaj dalej »
Podłączasz telefon do samochodu (Bluetoothem) i chcesz słuchać ulubionych podcastów. Wszystko jest OK do momentu gdy w tytule nie ma znaku %. Nie każdy też procent rebootuje system audio: zidentyfikowani winowajcy to np. %n %N %In (a pierwszym PoC-em był normalny podcast: 99% Invisible). Najprawdopodobniej jest to podatność typu format…
Czytaj dalej »
Te wszystkie rzeczy na naszym zaktualizowanym szkoleniu z bezpieczeństwa API REST (prezentacja ma już czternaste rozszerzenie; treść cały czas jest uzupełniana o aktualne problemy!). Kurs przeznaczony jest przede wszystkim dla programistów / testerów – ale z wiedzy garściami korzystają też pentesterzy. Nie będziemy Was zalewać pozytywnymi opiniami o szkoleniu –…
Czytaj dalej »
Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial: Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak…
Czytaj dalej »
Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich). W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie…
Czytaj dalej »
Wipro zatrudnia przeszło 170 000 pracowników i działa również w Polsce. Nierzadko realizuje kontrakty o znaczeniu krytycznym dla całych krajów (np. National Grid w US czy UK). Brian Krebs relacjonuje doniesienia wielu niezależnych źródeł o hacku infrastruktury Wipro: Wipro is investigating reports that its own IT systems have been hacked…
Czytaj dalej »
Dla nikogo chyba dziwnym nie jest fakt, że Google zbiera informacje o lokalizacji telefonów (np. poprzez Google Maps). Może nieco bardziej zastanawiające jest to, że gigant przechowuje te dane w bazie Sensorvault, która częściowo może być (i jest) udostępniana różnym służbom. New York Times pisze o tzw. „geofence warrants”. Czyli np….
Czytaj dalej »
Właśnie wydano nową wersję Tomcata (w kilku liniach). Oficjalny opis potrafi postawić włosy na głowie: Important: Remote Code Execution on Windows CVE-2019-0232 Jeśli poczytamy dalej, dowiemy się że podatny jest moduł CGI (który jest domyślnie wyłączony). Konfiguracji Tomcat+CGI+Windows raczej nie będzie zbyt wiele, stąd ograniczona liczba ofiar… Jeśli z kolei…
Czytaj dalej »
Francuski oddział jednostki zajmującej się zwalczaniem terroryzmu w Internecie wysłał do serwisu archive.org nakaz zablokowania sporej liczby „contentu terrorystycznego”. Mail wysłany był z domeny @europol.europa.eu, a czas na usunięcie linków dość liberalny (24h). Wg właśnie procesowanego prawa EU ma to być 1h i maksymalna kara aż 4% globalnego obrotu firmy. Problem…
Czytaj dalej »
Doczekaliśmy się kolejnej, już trzeciej, edycji konferencji x33fcon. I jak co roku w Gdyni na początku maja (6-7) zjadą się zespoły Red i Blue z całego świata. x33fcon to impreza międzynarodowa, w całości w języku angielskim, a my kolejny raz jesteśmy ich partnerami. Dla chętnych mamy kod zniżkowy (sekurak.Bohfu6nu), uprawniający…
Czytaj dalej »
Świat obiegła mrożąca krew w żyłach wiadomość: w próbce 1500 hoteli (z 54 krajów), około 67% „wycieka” m.in. dane osobowe do zewnętrznych domen: Symantec found that 67% of hotel websites are leaking guests’ booking and personal details Tekst mimo, że napisany momentami średnio (niezaszyfrowane linki („Unencrypted links”) to np. linki…
Czytaj dalej »
Na razie niewiele wiemy, poza tym że: 1) ambasada anulowała azyl 2) Julian został aresztowany w Londynie – jako podstawę wymieniono prośbę o ekstradycję do USA: Julian Assange has been further arrested in relation to an extradition warrant on behalf of the United States authorities. He remains in custody at…
Czytaj dalej »
WPA3 miało być super bezpieczne, a tymczasem przeżywa choroby wieku dziecięcego. Wśród kilku różnych, nowych ataków mamy dość sprawną metodę łamania hasła dostępowego: The resulting attacks are efficient and low cost. For example, to brute-force all 8-character lowercase passwords, we require less than 40 handshakes and 125$ worth of Amazon…
Czytaj dalej »
