W biegu

Uwaga właściciele iPhoneów / iPadów – Apple właśnie załatał krytyczne, potencjalnie aktywnie exploitowane luki. Łatajcie się do iOS 14.4

26 stycznia 2021, 20:59 | W biegu | komentarze 2
Uwaga właściciele iPhoneów / iPadów – Apple właśnie załatał krytyczne, potencjalnie aktywnie exploitowane luki. Łatajcie się do iOS 14.4

Jak to niestety bywa, doniesienia o nowych ciekawych funkcjach w iOS, mocno przykrywają informację o załatanych podatnościach. Tym razem Apple wspomina o takich bugach: Webkit: Impact: A remote attacker may be able to cause arbitrary code execution. Apple is aware of a report that this issue may have been actively…

Czytaj dalej »

10-letnia podatność w sudo: każdy nieuprzywilejowany użytkownik może zostać rootem! (działa w domyślnych konfiguracjach sudo) – CVE-2021-3156

26 stycznia 2021, 20:42 | W biegu | komentarzy 14
10-letnia podatność w sudo: każdy nieuprzywilejowany użytkownik może zostać rootem! (działa w domyślnych konfiguracjach sudo) – CVE-2021-3156

W skrócie, Qualys pisze tak: The vulnerability itself has been hiding in plain sight for nearly 10 years. It was introduced in July 2011 (commit 8255ed69) and affects all legacy versions from 1.8.2 to 1.8.31p2 and all stable versions from 1.9.0 to 1.9.5p1 in their default configuration. Successful exploitation of…

Czytaj dalej »

Grindr – Norwegia planuje nałożyć na tę aplikację randkową gigantyczną karę – aż ~10% rocznego, światowego obrotu. „Śmiertelne naruszenie RODO”.

26 stycznia 2021, 19:52 | W biegu | komentarzy 8
Grindr – Norwegia planuje nałożyć na tę aplikację randkową gigantyczną karę – aż ~10% rocznego, światowego obrotu. „Śmiertelne naruszenie RODO”.

Od czego by tu zacząć… może od tego że oczywiście to nie aplikacja dostanie ewentualną karę, a firma, która za nią stoi. Sama aplikacja zbiera niezmiernie wrażliwe dane, a kierowana jest do osób GBTQ: online dating application for gay, bi, trans, and queer people O co chodzi? O dzielenie się danymi użytkowników z innymi podmiotami w…

Czytaj dalej »

Certyfikat szczepienia. Gdzie będzie dostępny? PDF? ProteGO Safe? mDokumenty? Inna aplikacja? Co z prywatnością?

26 stycznia 2021, 12:30 | W biegu | komentarzy 7
Certyfikat szczepienia. Gdzie będzie dostępny? PDF? ProteGO Safe? mDokumenty? Inna aplikacja? Co z prywatnością?

Dookoła tematu robi się ostatnio dość głośno – szczególnie jeśli chodzi o kontrowersje dotyczące dyskryminacji czy ew. bezpieczeństwa/prywatności całego rozwiązania. Przykładowo Estonia pracuje nad rozwiązaniem opartym o blockchain (co też oczywiście jakoś automagicznie nie musi zapewniać bezpieczeństwa/prywatności), w cały proces włączyła również wolontariuszy zajmujących się prywatnością. Temat też jest poruszany…

Czytaj dalej »

WhatsAppowi grozi do 50 000 000 EUR kary w związku z RODO.

25 stycznia 2021, 15:36 | W biegu | komentarze 3
WhatsAppowi grozi do 50 000 000 EUR kary w związku z RODO.

Jak informuje Politico, WhatsApp należący do Facebooka może zostać ukarana grzywną w wysokości do 50 milionów euro za naruszenie zasad ochrony danych Unii Europejskiej. Wysokość kary jest obecnie przedmiotem konsultacji z innymi podmiotami ochrony danych i byłaby jedną z większych kar na mocy Europejskiego GDPR. Whatsapp może być również zobowiązany…

Czytaj dalej »

Raport o bezpieczeństwie danych na urządzeniach mobilnych

25 stycznia 2021, 09:09 | W biegu | 0 komentarzy
Raport o bezpieczeństwie danych na urządzeniach mobilnych

Maximilian Zinkus, Tushar Jois i Matthew Green z Uniwersytetu Johns Hopinks zmotywowani wydarzeniami jakie miały miejsce w 2016 r. (Apple kontra FBI) oraz ustawą EARN IT act będącej obecnie w Kongresie oraz ogólnemu nastawieniu wielu rządów do kompleksowego szyfrowania i prywatności użytkowników na rzecz dostępu organów ścigania – postanowili odpowiedzieć…

Czytaj dalej »

Jak można było się dostać na roota do Twojego Kindla, posiadając tylko e-mail?

23 stycznia 2021, 14:52 | W biegu | komentarzy 6
Jak można było się dostać na roota do Twojego Kindla, posiadając tylko e-mail?

Tutaj ciekawa seria podatności, za którą Amazon wypłacił $18 000. Procedura wyglądała następująco: Trzeba było poznać maila ofiary w domenie @kindle.com -> tam można wysyłać książki w formacie mobi Amazon umożliwia zdefiniowanie tzw. zaufanych maili (z których mogą być wysyłane książki), ale maile te można było sfałszować (jeśli dana domena…

Czytaj dalej »

Skoordynowany atak na Sonicwalla – producenta sprzętu zabezpieczającego sieci. Wykorzystali 0-daye na systemy VPN?

23 stycznia 2021, 13:52 | W biegu | 0 komentarzy
Skoordynowany atak na Sonicwalla – producenta sprzętu zabezpieczającego sieci. Wykorzystali 0-daye na systemy VPN?

Aktualizacja 24.01.2021. Na stronach producenta jest dostępna aktualizacja wpisu. Potencjalną podatność posiadają tylko urządzenia SMA 100 Series. Firma wydała oświadczenie, w której czytamy o zaawansowanym atakującym, który zaatakował wewnętrzne systemy SonicWalla. Recently, SonicWall identified a coordinated attack on its internal systems by highly sophisticated threat actors exploiting probable zero-day vulnerabilities…

Czytaj dalej »

Google zablokował w Chrome ściąganie nmapa [na 24h]

23 stycznia 2021, 13:21 | W biegu | 1 komentarz
Google zablokował w Chrome ściąganie nmapa [na 24h]

O sprawie napisał sam projekt nmap, wskazując jako winowajcę mechanizm Safe Browsing, który wykrył 10-letnią wersję narzędzia ncat, jako potencjalne zagrożenie: Z kolei tydzień wcześniej, podobna blokada została nałożona na 24-letnie archiwum z kodem źródłowym narzędzia: L0phtcrack (hostowanym przez projekt nmapa). Tutaj ekipa od tego ostatniego napisała tak: Last week…

Czytaj dalej »

Wielka Brytania – rząd dostarczył dzieciom laptopy… z malware

23 stycznia 2021, 12:45 | W biegu | 0 komentarzy
Wielka Brytania – rząd dostarczył dzieciom laptopy… z malware

Jak donosi BBC, część laptopów wysłanych do szkół od Brytyjskiego Department for Education (DfE)  w ramach programu “Get Help With Technology” były zainfekowane złośliwym oprogramowaniem “Gamarue”. Sprawa wyszła na jaw dzięki nauczycielom z Bradford Schools. Co wiadomo o Gamarue ? Według raportu Microsoftu, malware zaobserwowano już w 2011 roku i…

Czytaj dalej »

Po słonecznej stronie OSINT-u – wykorzystanie cieni do weryfikacji zdjęć [OSINT hints]

22 stycznia 2021, 20:55 | W biegu | 1 komentarz
Po słonecznej stronie OSINT-u – wykorzystanie cieni do weryfikacji zdjęć [OSINT hints]

Szukając informacji o czasie lub lokalizacji wykonania zdjęcia można posłużyć się danymi EXIF zawartymi w samym pliku, ale jeśli zostały one usunięte lub mamy podejrzenie, że zostały zmodyfikowane, jest jeszcze coś, co może nam pomóc – Słońce. Na stronie dziennikarzy śledczych Bellingcat oraz na blogu, który prowadzi Somedev Sangwan, ukazały…

Czytaj dalej »

Ruszyła rejestracja na szczepienie… SMSem. CERT Polska ostrzega przed możliwymi oszustwami

22 stycznia 2021, 13:27 | W biegu | komentarze 2
Ruszyła rejestracja na szczepienie… SMSem. CERT Polska ostrzega przed możliwymi oszustwami

Właśnie została uruchomiona możliwość rejestracji na szczepienie COVID-owe za pomocą SMS-a. Na stronach rządowych czytamy, że akcja dotyczy osób 70+ Pierwsza część procedury wygląda tak: Wyślij SMS-a o treści SzczepimySie na numer 664 908 556 Powinieneś otrzymać SMS-a zwrotnego, w którym zostaniesz poproszony o numer PESEL Wpisz swój numer PESEL…

Czytaj dalej »