W biegu

Kampania mailowa po polsku ostrzegająca o podłożeniu bomby. Żądają $50000 w bitcoinach [oszustwo]

11 września 2020, 16:21 | W biegu | komentarze 4
Kampania mailowa po polsku ostrzegająca o podłożeniu bomby. Żądają $50000 w bitcoinach [oszustwo]

Swego czasu popularna była kampania mailowa, w której dowiadywaliśmy się ze napastnik ma dostęp do naszego komputera, a w ramach uwiarygodnienia przesyłane było nasze realne hasło (pozyskane z jednego z wycieków). Od czasu do czasu jest ona wznawiana (również w polskiej wersji językowej), ale obecnie mamy też coś nowego. Tym…

Czytaj dalej »

Powiat kaliski: sprytne oszustwo na kryptowalutę; z backdoorem w tle. 82-latek stracił 60 000 PLN

08 września 2020, 19:22 | W biegu | komentarzy 8
Powiat kaliski: sprytne oszustwo na kryptowalutę; z backdoorem w tle. 82-latek stracił 60 000 PLN

Epoka koronawirusa chyba sprzyja przetępcom. Co dopiero pisaliśmy o oszustwie na amerykańskiego żołnierza (skradziono 350 000 PLN), czy o rolniku, z którego konta wyczyszczono ~400 000 PLN. Teraz czas na coś nowego – dziennik.pl donosi o oszustwie na kryptowalutę, w wyniku którego 82-latek stracił 60 000 PLN. Możecie zapytać –…

Czytaj dalej »

Czy można włamać się do Twojego sklepu? I wykraść dane klientów/podmienić nr konta przekazywanego klientom/umieścić backdoora…

07 września 2020, 15:59 | W biegu | 1 komentarz
Czy można włamać się do Twojego sklepu? I wykraść dane klientów/podmienić nr konta przekazywanego klientom/umieścić backdoora…

Niektórzy zastanawiają się czy w krótkim czasie można uzyskać nieautoryzowany dostęp do rozwiązania e-commerce, inni rozmyślają nad RODO (w końcu wskazuje ono na regularne testowanie bezpieczeństwa). W każdym razie proponujemy Wam pełną symulację ataku na sklep (tzw. testy penetracyjne czy audyt bezpieczeństwa, a jako efekt przedstawiamy raport, który wskazuje następujące…

Czytaj dalej »

Cisco Jabber – czyli jak w prosty sposób można było z XSSa przejść do wykonania dowolnego polecenia na systemie operacyjnym ofiary

04 września 2020, 16:47 | W biegu | 0 komentarzy
Cisco Jabber – czyli jak w prosty sposób można było z XSSa przejść do wykonania dowolnego polecenia na systemie operacyjnym ofiary

Jeśli ktoś jakimś przypadkiem nie kojarzy jeszcze podatności XSS, powinien nadrobić zaległości. W obecnych czasach ten problem potrafi przerodzić się m.in. w RCE (wykonanie kodu) u ofiary. Świeżym przypadkiem ilustrującym problem jest Cisco Jabber – czyli wygodny, okienkowy komunikator: Wygląda jak normalna aplikacja, prawda? W zasadzie tak, tylko pod spodem…

Czytaj dalej »

Województwo świętokrzyskie – 39-latka oszukana „na amerykańskiego żołnierza” – straciła ~350 000 PLN

04 września 2020, 10:58 | W biegu | komentarzy 14
Województwo świętokrzyskie – 39-latka oszukana „na amerykańskiego żołnierza” – straciła ~350 000 PLN

Ostatnio coraz głośniej o grubych oszustwach ocierających się o cybersecurity czy socjotechnikę. Wczoraj pisaliśmy o akcji z duplikatem karty SIM (poszkodowany rolnik stracił  ~400 000 PLN), dzisiaj dwa słowa o akcji socjotechnicznej, o której donosi świętokrzyska policja: Pod koniec lipca, 39-latka za pośrednictwem jednego z portali społecznościowych poznała mężczyznę, który…

Czytaj dalej »

Rolnikowi spod Świebodzina nagle przestał działać telefon. Błyskawicznie stracił zawartość całego konta: ~400 000 PLN

03 września 2020, 21:53 | W biegu | komentarzy 29
Rolnikowi spod Świebodzina nagle przestał działać telefon. Błyskawicznie stracił zawartość całego konta: ~400 000 PLN

Kolejny przypadek ataku SIM Swap opisuje Polsat News: Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych przez niego internetowych kont bankowych. W sumie wybrali 370 tys. zł. Udało im się to, bo wyrobili duplikat jego karty SIM. Atak zaczął się, gdy panu Zbigniewowi nagle przestał…

Czytaj dalej »

Kara z RODO dla Morele.net – podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie

03 września 2020, 17:07 | W biegu | komentarze 4
Kara z RODO dla Morele.net – podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie

UODO doniósł o tym fakcie dość lakonicznie (szczegóły zapewne pojawią się ~na dniach): Dziś WSA w Warszawie potwierdził zasadność kary nałożonej przez Prezesa UODO na spółkę https://t.co/5oS4Wilqar. Szczegóły dot. nałożenia kary na https://t.co/5oS4Wilqar dostępne są pod linkiem: https://t.co/p31iYETNj9 — Urząd Ochrony Danych Osobowych (@UODOgov_pl) September 3, 2020 Chodzi o sprawę…

Czytaj dalej »

Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

03 września 2020, 12:26 | W biegu | komentarze 4
Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)…

Czytaj dalej »

Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

02 września 2020, 14:45 | W biegu | komentarze 2
Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość: Aplikacja Slacka opiera się o Electrona, zatem jest de facto aplikacją webową „udającą” aplikację desktopową. W normalnej przeglądarce webowej, JavaScript jest sandboxowany; nie ma więc możliwości…

Czytaj dalej »

Błąd w systemie Play – znienacka otrzymał dostęp do konta innej osoby. Widzi czyjąś historię połączeń, faktury…

27 sierpnia 2020, 11:18 | W biegu | komentarzy 11
Błąd w systemie Play – znienacka otrzymał dostęp do konta innej osoby. Widzi czyjąś historię połączeń, faktury…

Pojedynczy przypadek czy hurtowa sprawa? O sporym problemie donosi jeden z użytkowników Wykopu: Trochę ponad tydzień temu zakupiłem sobie starter Play i od razu zarejestrowałem numer w sklepie. W domu instaluję aplikację Play24 w celu aktywacji promocyjnych 100GB. Ku mojemu zdziwieniu kod pin został wysłany na inny numer, niż ma…

Czytaj dalej »

ęśą… Microsoft ma rozmach – omyłkowo puścił na cały świat testowe komunikaty na Teamsach. A może jednak hack?

27 sierpnia 2020, 11:04 | W biegu | komentarzy 10
ęśą… Microsoft ma rozmach – omyłkowo puścił na cały świat testowe komunikaty na Teamsach. A może jednak hack?

Teraz kiedy puścimy jakieś śmieci na produkcję, będzie można powiedzieć – „dołączyliśmy do najlepszych” ;-) Najpierw mBank, teraz Microsoft: Doniesienia o testowych komunikatach w różnej liczbie, pojawiają się w zasadzie z całego świata, również z Polski. Microsoft na razie nie wie o co chodzi: Niektórzy sugerują, że może być to hack…

Czytaj dalej »

Zatrzymano Rosjanina który zaoferował $1 000 000 pracownikowi amerykańskiej firmy – w zamian za zainstalowanie backdoora w sieci pracodawcy

26 sierpnia 2020, 22:36 | W biegu | komentarzy 7
Zatrzymano Rosjanina który zaoferował $1 000 000 pracownikowi amerykańskiej firmy – w zamian za zainstalowanie backdoora w sieci pracodawcy

Jak donosi The Hackers News, Rosjanin jak gdyby nigdy nic wjechał do USA na wizie turystycznej a następnie zaproponował solidną łapówkę za instalację backdoora w infrastrukturze pewnej firmy. Na dalszym etapie całość miała służyć do propagacji ransomware: The FBI has arrested a Russian national who recently traveled to the United…

Czytaj dalej »

Jak autorzy phishingu obchodzą wieloczynnikowe uwierzytelnienie?

26 sierpnia 2020, 11:50 | W biegu | komentarze 4
Jak autorzy phishingu obchodzą wieloczynnikowe uwierzytelnienie?

Ataki phishingowe to już codzienność, a obrona przed nimi może polegać wielu czynnikach. Jednym ze sposobów na skuteczne uchronienie się przed skutkami phishingu jest MFA, ale czy zawsze jest ono w pełni skuteczne? Uwierzytelnienie wieloskładnikowe (MFA) przedstawiane jest jako zabezpieczenie przed 99,9% ataków phishingowych (jak twierdzi Microsoft) i powinno być…

Czytaj dalej »

Uczelnia wyższa w USA nakazała studentom korzystania z koszmarnej appki anty-COVID. Trackowała lokalizację non stop, miała też banalną podatność dającą pełen dostęp do backendu…

20 sierpnia 2020, 10:11 | W biegu | komentarze 3
Uczelnia wyższa w USA nakazała studentom korzystania z koszmarnej appki anty-COVID. Trackowała lokalizację non stop, miała też banalną podatność dającą pełen dostęp do backendu…

Koledż w Michigan postanowił walczyć z COVID za pomocą broni atomowej. W jej rolę wcieliła się appka, która urzeczywistnia chyba wszystkie czarne sny obrońców prywatności. Po pierwsze aplikacja jest obowiązkowa, po drugie śledzi lokalizację użytkowników w trybie 24/7: There’s a catch. The app is designed to track students’ real-time locations around the…

Czytaj dalej »