Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…
Czytaj dalej »
Uwaga, w tej wiadomości jest dużo oszustw. Może same oszustwa. Pytanie tylko kto i jak oszukiwał…? W każdym razie Chinka – Yujing Zhang- chciała się przedostać do quasi publicznego kompleksu wypoczynkowego – Mar-a-Lago: Wg doniesień wydarzenie z udziałem prezydenta Trumpa miało być ogłaszane na chińskich social media przez osobę, która…
Czytaj dalej »
Opis podatności CVE-2019-0211 tutaj: Flaw in Apache HTTP Server 2.4.17 – 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw) Czyli mając dostęp…
Czytaj dalej »
Strona google.com czy google.pl raczej powinny być przepatrzone pod względem bezpieczeństwa już 1000 razy, prawda? Pewnie prawda, ale nie znaczy to, że nie ma tam żadnych podatności. Znany japoński badacz bezpieczeństwa – Masato Kinugawa – pokazał XSS-a w na głównej wyszukiwarce Google. Whoops: Akcja na filmie poniżej: Co było przyczyną błędu?…
Czytaj dalej »
Projekt o nazwie BoringTun, to budowana od zera w języku Rust implementacja protokołu Wireguard. Ten ostatni obsługuje jedynie nowoczesne (i sprawdzone) algorytmy kryptograficzne, odrzuca też masę wariantów oferowanych przez IPsec czy OpenVPN. Nie dziwi też zatem choćby bardzo pozytywna opinia o rozwiązaniu samego Linusa Torvaldsa: Maybe the code isn’t perfect,…
Czytaj dalej »
Odkryte w lutym podatności w popularnym programie do archiwizacji są obecnie masowo, niezależnie od siebie stosowane przez przestępców. Potwierdzone są dwa ataki poprzez modyfikację folderu C:\Windows\Start Menu\Programs\Startup, przez co kod malware wykona się zaraz po uruchomieniu systemu i raczej nie zostanie zauważony. Złośliwy kod wykona się z uprawnieniami bieżącego użytkownika…
Czytaj dalej »
Sami właściciele giełdy podejrzewają działania kogoś z wewnątrz. Coindesk i inne media piszą o kradzieży kryptowalut o wartości około 13 milionów USD. Środki pochodzą z tzw. gorącego portfela należącego do Bithumb – nie są to najprawdopodobniej środku klientów, choć zablokowano wpłaty i wypłaty. Niektórzy podejrzewają, że kradzież została zrealizowana w…
Czytaj dalej »
Podatność (część 1. część 2.) umożliwia na wykonanie dowolnego kodu w OS na urządzeniu. Kod wykonuje się z uprawnieniami roota. W skrócie rzecz ujmując: najpierw bez uwierzytelnienia wyciągamy hash hasła admina. Jeśli hasło jest złożone – to nic. Można się zalogować samym hashem. Dalej można wykorzystać kolejną podatność i mamy…
Czytaj dalej »
Pisaliśmy niedawno ogólnie o nowo załatanej krytycznej luce w Magento. Przy okazji warto dodać kilka informacji o szczegółach problemu. W skrócie, za pomocą blind SQL injection można pobrać dowolną informację z bazy danych i nie wymaga to uwierzytelnienia. Dostępny jest nawet gotowy exploit, umożliwiający przejęcie konta zalogowanego administratora. Realizowane jest…
Czytaj dalej »
Jeden z czytelników podesłał nam właśnie maila, którego otrzymał. W mailu radosna informacja: mniej radosne może być zareagowanie na taki konkurs i wykonanie kolejnych akcji – w skrócie – czasem można stracić zawartość całego konta. Kolejne zgłoszenie to też nie jakaś super nową rzeczą (ale jak widać phishing ten jest…
Czytaj dalej »
Może pamiętacie opisywaną przez nas ostatnio historię z malware, który był dystrybuowany w oficjalnej, podpisanej prawidłowym certyfikatem aktualizacji od ASUSa? Wg szacowań Kasperskiego malware pobrało około miliona osób, ale był on aktywowany tylko dla garstki. Pewna modyfikacja hashy SHA256 (z solą) adresów MAC ofiar została umieszczona w samej binarce, a…
Czytaj dalej »
Wiele osób twierdzi, że SQL injection umarło dawno temu i każdy wie jak się przed tym zabezpieczać. Z naszego doświadczenia podczas pentestów widzimy, że różnie z tym jest. Tym razem wykryto nie wymagający uwierzytelnienia SQL injection w najpopularniejszej globalnie platformie e-commerce – Magento. Oficjalnie twórcy chwalą się 300 000 sklepami korzystającymi…
Czytaj dalej »
Aktualizacja zawiera sporo istotnych elementów dotyczących bezpieczeństwa: The plane’s Maneuvering Characteristics Augmentation System, or MCAS, automated flight control system, will now receive data from both “angle of attack” sensors, instead of just one. Jeśli wszyscy myśleli, że istotne systemy są przynajmniej zdublowane w samolotach – mieli rację (choć nie pomyśleli,…
Czytaj dalej »
To nie jakiś news z przyszłości, a sprawa dotycząca wszczepianych urządzeń mających regulować pracę serca firmy Medtronic (podatnych jest aż kilkanaście linii urządzeń, szacunki liczby podatnych urządzeń mówią o 750 000). Podatność CVE-2019-6538, krytyczność 9.3/10 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H) umożliwia m.in. bezprzewodową (z bliskiej odległości – choć tą „bliskość” – z odpowiednim wzmocnieniem szacujemy na kilkadziesiąt metrów)…
Czytaj dalej »
W ostatnich dniach ponownie jest głośno o RODO. W ostatniej wysokiej karze poszło o brak wykonania obowiązku informacyjnego (wymaganego przez RODO), za pomocą poczty tradycyjnej lub telefonu. Wszyscy za to przechodzą dość szybko do porządku nad tematem wysyłki e-maili ze stosowną informacją o fakcie przetwarzania danych. I tu się zastanawiamy,…
Czytaj dalej »
