W biegu

Google pokazało pełnego exploita na iPhone-y. Można go uruchamiać bezprzewodowo, nie wymaga interakcji ofiary, implantuje się u ofiary…

01 grudnia 2020, 23:05 | W biegu | 1 komentarz
Google pokazało pełnego exploita na iPhone-y. Można go uruchamiać bezprzewodowo, nie wymaga interakcji ofiary, implantuje się u ofiary…

Nikt oczywiście publicznie nie sypie 0-dayami, więc w tym ogromnym researchu czytamy, że podatność została załatana pół roku temu (iOS 13.5). Badanie pokazuje jednak, że dla chcącego (lub posiadającego odpowiednio gruby portfel) nie ma nic niemożliwego. Zaczeło się od takiego „prostego efektu” – tą maszynką można było bezprzewodowo rebootować wszystkie…

Czytaj dalej »

Pokazał jak prostym gif-em można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

01 grudnia 2020, 11:54 | W biegu | komentarze 2
Pokazał jak prostym gif-em  można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

Zerknijcie na tę podatność w serwisie basecamp.com. Upload gif-a (np. jako avatar) wydaje się być bezpieczny? Błąd ;-) Badacz stworzył wprawdzie plik z rozszerzeniem .gif, ale w jego treści umieścił postscript. I teraz serwer zaczął taki plik traktować jako plik postscriptowy (!): This is probably due to ImageMagick / GraphicsMagick…

Czytaj dalej »

Coffeedesk: „osoba trzecia uzyskała dostęp do naszego serwera i znajdującym się na nim danych”

29 listopada 2020, 12:19 | W biegu | komentarze 3
Coffeedesk: „osoba trzecia uzyskała dostęp do naszego serwera i znajdującym się na nim danych”

Dostajemy od czytelników kolejne zgłoszenia o e-mailu, który rozsyłany, jest przez przez Coffeedesk. W e-mailu znajduje się treść jak poniżej (w formie obrazka, miejmy nadzieję że finalny opis incydentu przygotowany będzie w formie HTML – normalnie indeksowalnej przez wyszukiwarki). Obecnie trwa „przywracanie bezpieczeństwa” serwerów Coffeedesk, a serwis zalecił zmianę haseł…

Czytaj dalej »

Wyciekły dane 16 milionów pacjentów COVID-owych z Brazylii. Przyczyna? Absurdalna…

27 listopada 2020, 23:37 | W biegu | 0 komentarzy
Wyciekły dane 16 milionów pacjentów COVID-owych z Brazylii. Przyczyna? Absurdalna…

Zdnet donosi: Dane osobowe ponad 16 milionów brazylijskich pacjentów COIVDowych wyciekły w wyniku opublikowania na GitHubie przez jednego z pracowników szpitala pliku z loginami/hasłami/kluczami do wrażliwych systemów rządowych. The personal and health information of more than 16 million Brazilian COVID-19 patients has been leaked online after a hospital employee uploaded…

Czytaj dalej »

Używacie SSLVPN od Fortinetu? Sprawdźcie czy macie łatkę – ktoś właśnie opublikował 50 000 urządzeń (również w Polsce) z których można wyciągnąć dane logowania w plaintext

26 listopada 2020, 14:35 | W biegu | 1 komentarz
Używacie SSLVPN od Fortinetu? Sprawdźcie czy macie łatkę – ktoś właśnie opublikował 50 000 urządzeń (również w Polsce) z których można wyciągnąć dane logowania w plaintext

W sieci od niedawna krąży lista podatnych adresów IP (wraz z portami). Chodzi o niezaktualizowane urządzenia Fortinetu zapewniające SSL-VPN: CVE-2018-13379 jest dość… starą podatnością, ale jak widać prawie 50 000 urządzeń na świecie jeszcze się nie zaktualizowało. Co więcej, w innym dumpie zebrane są ściągnięte z podatnych VPNów loginy oraz…

Czytaj dalej »

Krytyczny błąd w Messengerze (Android). Można było zadzwonić do ofiary i słuchać jej audio zanim odbierze połączenie…

22 listopada 2020, 13:23 | W biegu | 1 komentarz
Krytyczny błąd w Messengerze (Android). Można było zadzwonić do ofiary i słuchać jej audio zanim odbierze połączenie…

Podatność została zgłoszona przez Natalię Sylwanowicz z projektu Google Zero. Jak czytamy na stronie Facebooka: This fall, Natalie Silvanovich of Google’s Project Zero reported a bug that could have allowed a sophisticated attacker logged in on Messenger for Android to simultaneously initiate a call and send an unintended message type…

Czytaj dalej »

Szokująco prosty atak na kilka giełd kryptowalut. Wykorzystując socjotechnikę na pracowników GoDaddy przejęli im DNSy…

21 listopada 2020, 19:52 | W biegu | komentarze 2
Szokująco prosty atak na kilka giełd kryptowalut. Wykorzystując socjotechnikę na pracowników GoDaddy przejęli im DNSy…

Brian Krebs donosi o ciekawym ataku: fraudsters redirected email and web traffic destined for several cryptocurrency trading platforms over the past week. Przekładając na ludzki – ktoś był w stanie przekierować użytkowników wielu giełd kryptowalut na inne adresy. Miał też dostęp do maili wysyłanych do adresów giełd. W jaki sposób…

Czytaj dalej »

Dziennikarz wbił się zdalnie na zamknięte spotkanie ministrów obrony krajów EU. Jak to możliwe? Zobaczcie tę niewinną fotkę…

21 listopada 2020, 18:44 | W biegu | komentarzy 5
Dziennikarz wbił się zdalnie na zamknięte spotkanie ministrów obrony krajów EU. Jak to możliwe? Zobaczcie tę niewinną fotkę…

Holenderska minister obrony, dość niefrasobiliwie wrzuciła na Twittera zdjęcie ekranu swojego laptopa. Na zdjęciu widać jak uczestniczy w zamkniętym spotkaniu ministrów obrony krajów EU; widoczny jest również pasek adresu przeglądarki, gdzie z kolei widać było pięć cyfr z sześciocyfrowego PIN-u, umożliwiającego dołączenie do spotkania: Może pani przydałaby się zasłonka na…

Czytaj dalej »

Wyciek danych z osobowych z portalu MIMUW (sprawdźcie też SPAM…)

18 listopada 2020, 16:35 | W biegu | komentarzy 9
Wyciek danych z osobowych z portalu MIMUW (sprawdźcie też SPAM…)

Od jednego z czytelników otrzymaliśmy e-mail rozesłany przez wydział Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego: Od: Powiadomienie UODO powiadomienie-uodo@mimuw.edu.plData: 18 listopada 2020 Temat: ***Spam*** Incydent naruszenia danych osobowych w portalu MIMUW (…) Na początek, jak widać po tytule, trochę odbiorców maila może w ogóle nie otrzymać, bo wpadnie on do…

Czytaj dalej »

Lewy „konsultant z banku” po rozmowie z krakowianką ukradł z jej konta 15 000 PLN

18 listopada 2020, 10:44 | W biegu | komentarzy 8
Lewy „konsultant z banku” po rozmowie z krakowianką ukradł z jej konta 15 000 PLN

Kolejnych wariantów na oszustwa jest obecnie tak dużo, że ciężko wybrać o czym ciekawym napisać („amerykański lekarz„, „na szczepionkę„, „na kucharza„). Pewnie nie raz, nie dwa dzwonił do Was „legalny” konsultant z banku, na starcie zadając kilka pytań. Przestępcy idą nieco dalej, bo: oszust dzwoni do wybranej osoby i przedstawia…

Czytaj dalej »

Polski serwis miał hasła przechowywane bezpiecznym bcryptem. Ile z nich udało się złamać w krótkim czasie? [dużo]

17 listopada 2020, 11:16 | W biegu | komentarzy 36
Polski serwis miał hasła przechowywane bezpiecznym bcryptem. Ile z nich udało się złamać w krótkim czasie? [dużo]

Niedawno informowaliśmy o wycieku z forum serwisu wakacje.pl. Dobra informacja jest taka, że hasła użytkowników przechowywane były w tym przypadku z wykorzystaniem bezpiecznego algorytmu bcrypt. Można zatem złamać co najwyżej pojedyncze hashe? Otóż niekoniecznie, jeden z serwisów udostępnia aktualne statystyki łamania: 29832 to całkowita liczba zaimportowanych hashy, z czego aż…

Czytaj dalej »

Rzecznik Finansowy: niespodziewane tracisz sygnał w telefonie? Być może ktoś właśnie czyści Ci konto bankowe (SIM Swap)

16 listopada 2020, 12:13 | W biegu | komentarzy 7
Rzecznik Finansowy: niespodziewane tracisz sygnał w telefonie? Być może ktoś właśnie czyści Ci konto bankowe (SIM Swap)

Niedawno Rzecznik Finansowy opublikował takie ostrzeżenie: (…) chodzi o przestępstwa związane z podmianą kart SIM tzw. sim-swap-fraud, w wyniku których dwaj klienci Rzecznika stracili łącznie ponad 650 tys. zł. O SIM Swap pisaliśmy już kilka razy: Tutaj (Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych…

Czytaj dalej »

Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe

14 listopada 2020, 23:02 | W biegu | komentarze 2
Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe

Kilka osób przesłało nam treść informacji rozsyłanej przez serwis upacjenta[.].pl: (…) jesteśmy zobowiązani, by poinformować Państwa o incydencie, który miał miejsce 3 listopada 2020 r. Tego dnia doszło do nieuprawnionego i nielegalnego dostępu do systemu naszego dostawcy usług teleinformatycznych – firmy RIOT Agency. W konsekwencji dostęp do Państwa danych mogła…

Czytaj dalej »

Chrome łata dwa 0-daye, aktywnie exploitowane w Internecie. Łatajcie się

12 listopada 2020, 13:27 | W biegu | komentarze 2
Chrome łata dwa 0-daye, aktywnie exploitowane w Internecie. Łatajcie się

Co tu dużo pisać… możecie poczekać na automatyczną aktualizację, ew. wymusić ja wcześniej ręcznie (polecam). Google doniósł właśnie o załataniu dwóch poważnych luk (zwróćcie uwagę na ekspresowy czas od momentu zgłoszenia, do wydania łaty): High CVE-2020-16013: Inappropriate implementation in V8. Reported by Anonymous on 2020-11-09 High CVE-2020-16017: Use after free…

Czytaj dalej »