To nie jakiś news z przyszłości, a sprawa dotycząca wszczepianych urządzeń mających regulować pracę serca firmy Medtronic (podatnych jest aż kilkanaście linii urządzeń, szacunki liczby podatnych urządzeń mówią o 750 000). Podatność CVE-2019-6538, krytyczność 9.3/10 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H) umożliwia m.in. bezprzewodową (z bliskiej odległości – choć tą „bliskość” – z odpowiednim wzmocnieniem szacujemy na kilkadziesiąt metrów)…
Czytaj dalej »
W ostatnich dniach ponownie jest głośno o RODO. W ostatniej wysokiej karze poszło o brak wykonania obowiązku informacyjnego (wymaganego przez RODO), za pomocą poczty tradycyjnej lub telefonu. Wszyscy za to przechodzą dość szybko do porządku nad tematem wysyłki e-maili ze stosowną informacją o fakcie przetwarzania danych. I tu się zastanawiamy,…
Czytaj dalej »
Łukasz Olejnik wykonał prywatne dochodzenie, ale spółka Bisnode sama opublikowała komentarz do decyzji Urzędu (nałożona kara to niemal milion złotych), nie zgadzając się z nią: Żądanie dodatkowego wysłania informacji do 5,7 miliona adresów właścicieli spółek jednoosobowych oraz członków zarządów między innymi pocztą tradycyjną lub telefonicznie nie może być postrzegane jako…
Czytaj dalej »
Motherboard donosi o dwóch kolejnych firmach przemysłowych, które miały paść ofiarą Ransomware. Na laptopie jednego z pracowników miała się pokazać taka informacja: Jako ciekawostkę warto wskazać jedną z domen, w której napastnicy mają maila – o2.pl. Choć na tej podstawie przypuszczanie, że mają oni jakieś powiązanie z Polską jest słabe….
Czytaj dalej »
Dokładna kwota to: 943 tys. zł. Naruszenie dotyczy braku obowiązku informacyjnego: Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych. Nie mogły więc one…
Czytaj dalej »
Radio Kraków, które informowało niedawno o „incydencie bezpieczeństwa w InPost” przygotowało aktualizację swojego newsa doprecyzowując: By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy. oraz (co ważne) – jednocześnie zamieszczając przeprosiny – sprostowanie: Radio Kraków…
Czytaj dalej »
Atak wykrył w styczniu Kasperski, który teraz publikuję trochę informacji – zaznacza jednocześnie że całe dochodzenie jeszcze trwa. Zaatkowana została usługa ASUS Live Update Utility, skąd są pobierane aktualizacje dla laptopów, PC-tów czy BIOS-ów. Sam malware podszywał się pod „krytyczną aktualizację” i posiadał prawidłowy podpis cyfrowy od ASUS-a. Trwająca od maja…
Czytaj dalej »
To ponownie nasza dawna przyjaciółka – MongoDB. Sama „tabela” alipay_trans_2019 posiada prawie 1,3 miliarda rekordów: Baza została zabezpieczona w godzinę od zgłoszenia, a jak wspominamy w tytule, to częściowe dane o transakcjach (np. nie ma przedmiotu transakcji) – w tym pewne dane osobowe. Cel bazy to prawdopodobnie budowanie profili użytkowników…
Czytaj dalej »
Taką akcję zaserwował jeden z fanów youtubera o – naszym zdaniem – wątpliwej reputacji. Ransomware został stworzony całkiem porządnie, obecnie wykrywa go około 50% antywirusów.: Ulubiony youtuber uzyska 100M subskrybentów – zostanie wypuszczony klucz deszyfrujący. Autor na szczęście zorientował się, że cała akcja jest nielegalna i grozić mu mogą spore…
Czytaj dalej »
Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na 'zwykłych’ XML-ach czy JSON-ach. Microsoft załatał tego typu…
Czytaj dalej »
Ma to w sobie chyba wszystko: ładny interfejs graficzny, wybieranie liczby instancji AWS, na które rozpylany będzie proces łamania (z aktualizacją kosztów), wybór słowników, konkretnych algorytmów do łamania, limitu czasu na łamanie, aktualizacje statusu, itd: Twórcy zachwalają narzędzie, również jeśli chodzi o koszty – $22 za niemal 2 Terahashe na…
Czytaj dalej »
No dobrze, może to lekka przesada, że „fejkowy” ma przecież aż 500 sygnatur wirusów ;-) W najdroższej opcji są dożywotnie aktualizacje bazy wirusów, ale serwer updateów nie działa – podobnie jak strona producenta: Dla pewności – produkt i jego tańsze odmiany cały czas jest dostępny w Google Play. Opinie są…
Czytaj dalej »
Brian Krebs przynosi mrożącą krew w żyłach wiadomość: Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned. Była też możliwość wyszukania rekordów zawierających te hasła przez pracowników Facebooka i…
Czytaj dalej »
Oskarżony Litwin właśnie przyznał się do winy, formalny wyrok zostanie ogłoszony w USA w lipcu tego roku. Maksymalny wymiar kary, który mu grozi to 30 lat więzienia. Sprawa sięga aż 2013 roku, a schemat działania był dość prosty. W oświadczeniu wydanym przez departament sprawiedliwości USA czytamy tak: From 2013 through 2015,…
Czytaj dalej »
Bardziej techniczni napiszą – żaden – wystarczy mieć w miarę porządny telefon, nie zmieniać domyślnych ustawień bezpieczeństwa, nie instalować appek z zewnętrznych źródeł i wykonywać aktualizacje. Bardziej skrupulatni polecą wykonać dodatkowe dobezpieczenie ustawień na telefonie (hardening) – dokument CIS_Google_Android_Benchmark_v1.2.0.pdf to prawie 100 stronicowa książeczka dotycząca dobezpieczenia Androida 9.0.x (są też benchmarki…
Czytaj dalej »