Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

W biegu

Amerykańskie trackery w przesyłkach z chipami AI. Tak wygląda technologiczna zimna wojna

18 sierpnia 2025, 02:15 | W biegu | komentarze 4
Amerykańskie trackery w przesyłkach z chipami AI. Tak wygląda technologiczna zimna wojna

Nie tak dawno temu kontrola eksportu technologii sprowadzała się do sprawdzania dokumentów na granicy i mało spektakularnych biurowych audytów firm eksportowych. Cóż, te czasy definitywnie się skończyły. Reuters donosi o praktykach, które bardziej przypominają filmy szpiegowskie niż rutynową pracę urzędników: amerykańskie służby potajemnie umieszczają urządzenia śledzące w przesyłkach chipów AI,…

Czytaj dalej »

Mandat za niesegregowanie odpadów? Kolejny sprytny phishing

14 sierpnia 2025, 12:32 | W biegu | komentarze 2
Mandat za niesegregowanie odpadów? Kolejny sprytny phishing

Znaleźliście ostatnio w swojej skrzynce pocztowej mandacik za przekroczenie p… znaczy niesegregowanie odpadów? Jeżeli tak i przypadkowo mieszkacie w Koszalinie, to możecie wyrzucić go do śmieci.  Komenda Miejska Policji w Koszalinie poinformowała na swojej stronie, że na terenie miasta grasuje złoczyńca (lub wielu złoczyńców), który podrzuca mieszkańcom do skrzynek pocztowych…

Czytaj dalej »

Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

14 sierpnia 2025, 10:22 | W biegu | 1 komentarz
Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

Starsi (wiekiem) programiści pewnie dobrze pamiętają czasy, gdy przeglądy bezpieczeństwa kodu były domeną wyspecjalizowanych zespołów, pojawiających się w projektach dopiero przed samym wdrożeniem. Wtedy to przecież większość podatności odkrywano na końcu procesu developmentu, gdy koszty napraw były największe. Cóż, Anthropic postanowiło ten model przewrócić do góry nogami. TLDR: W Claude…

Czytaj dalej »

Grupy APT, haktywiści i ataki na łańcuch dostaw – raport CSIRT GOV 2024

13 sierpnia 2025, 00:14 | W biegu | komentarze 2
Grupy APT, haktywiści i ataki na łańcuch dostaw – raport CSIRT GOV 2024

CSIRT GOV opublikował właśnie coroczny ,,Raport o stanie bezpieczeństwa cyberprzestrzeni RP’’, w którym wskazuje na wzmożone działania grup typu APT (Advanced Persistent Threat) i haktywistycznych.  TLDR; ❌W poprzednim roku CSIRT GOV zaobserwował wzmożone działania grup APT i haktywistycznych. ❌Brak aktualizacji sprzętu/oprogramowania i wystawianie infrastruktury do sieci. Ciągle na topie wektorów…

Czytaj dalej »

Czy można z kamer Lenovo zrobić BadUSB? No prawie…

12 sierpnia 2025, 10:11 | W biegu | 0 komentarzy
Czy można z kamer Lenovo zrobić BadUSB? No prawie…

Badacze z firmy Eclypsium zaprezentowali na DEF CON 33 nowy wektor ataku. Polega on na wykorzystaniu podłączonych urządzeń – w tym przypadku kamer USB – do zdalnych ataków poprzez zmianę firmware i przekształcenie ich w urządzenia realizujące atak BadUSB. Bez odłączania ich od komputera czy dostarczania sprzętu (Rysunek 1). TLDR: Dla…

Czytaj dalej »

Ekipa sekuraka rusza ponownie w trasę!

12 sierpnia 2025, 10:01 | W biegu | 0 komentarzy
Ekipa sekuraka rusza ponownie w trasę!

Cześć  obecni i przyszli „bezpiecznicy!”. Konkretna ekipa sekuraka ponownie rusza w Polskę! Sekurak Hacking Party odwiedzi tym razem Warszawę.  Zapomnijcie o nudnych pokazach slajdów. SHP to krótkie, intensywne imprezy, podczas których ekipa etycznych hackerów z sekuraka pokaże Wam, jak przechytrzyć cyberprzestępców. Będzie również możliwość pogadania i zbicia piątek! Wszystko to…

Czytaj dalej »

Wiele podatności w HashiCorp Vault

11 sierpnia 2025, 13:10 | W biegu | 0 komentarzy
Wiele podatności w HashiCorp Vault

HashiCorp Vault to popularne, otwartoźródłowe narzędzie do zarządzania poufnymi danymi, takimi jak klucze API, certyfikaty, hasła czy tokeny. Z racji przechowywanych danych, Vault jest cennym celem dla włamywaczy – uzyskanie dostępu do Vault pozwala na dostęp do wszystkich usług, do których sekrety są w nim przechowywane. TLDR: Badacze z firmy Cyata…

Czytaj dalej »

W jaki sposób exploit typu Content Injection może zniszczyć społeczność kultowej gry RTS?

08 sierpnia 2025, 06:20 | W biegu | komentarze 3
W jaki sposób exploit typu Content Injection może zniszczyć społeczność kultowej gry RTS?

StarCraft: Brood War i jego następca StarCraft 2 to ikony gatunku RTS (strategii czasu rzeczywistego) oraz jedne z najważniejszych gier komputerowych w historii, które od dekad cieszą się aktywną społecznością i profesjonalną sceną e-sportową. Jednak StarCraft 2 stoi obecnie przed poważnymi problemami, które zagrażają jego dalszemu rozwojowi i funkcjonowaniu gry….

Czytaj dalej »

Cisco potwierdza wyciek danych użytkowników – winny vishing. Znów zaatakowano Salesforce?

07 sierpnia 2025, 01:54 | W biegu | 1 komentarz
Cisco potwierdza wyciek danych użytkowników – winny vishing. Znów zaatakowano Salesforce?

Producenci sprzętu sieciowego trafiają na łamy sekuraka stosunkowo często. Tym razem jednak nie informujemy o nowej podatności, a o wycieku informacji ze strony cisco.com. W przytoczonej publikacji prasowej, firma informuje o tym, że atakujący przy pomocy vishingu uzyskał dostęp do zewnętrznego systemu CRM (Customer Relationship Management). W wyniku analizy przeprowadzonej…

Czytaj dalej »

Wyszukiwarki indeksowały prywatne rozmowy użytkowników ChataGPT

06 sierpnia 2025, 09:47 | W biegu | komentarzy 6
Wyszukiwarki indeksowały prywatne rozmowy użytkowników ChataGPT

OpenAI poinformowało, że usunęło funkcję z ChataGPT, która umożliwiała użytkownikom zezwolenie na indeksowanie ich publicznych rozmów w wyszukiwarkach. Firma twierdzi, że był to krótkotrwały „eksperyment’” i wycofali się z niego po zauważeniu przypadków niezamierzonego dzielenia się, czasem mocno prywatną, korespondencją. Firma poinformowała również, że pracują nad usunięciem rozmów zaindeksowanych do…

Czytaj dalej »

Miała być Chemia, a wyszedł wirus. Kolejna infekcja na Steam

04 sierpnia 2025, 00:37 | W biegu | komentarze 2
Miała być Chemia, a wyszedł wirus. Kolejna infekcja na Steam

Chemia, gra survivalowo-craftingowa stworzona przez studio Aether Forge Studios do niedawna dostępna jako early access na Steamie, została zainfekowana infostealerem. Według firmy zajmującej się analizą zagrożeń Prodaft, początkowy incydent miał miejsce 22 lipca, kiedy to grupa hackerska EncryptHub dodała do plików gry złośliwe oprogramowanie HijackLoader (plik CVKRUTNP.exe), które zapewnia przetrwanie infekcji…

Czytaj dalej »

ChoiceJacking, czyli kolejny powód by nie korzystać z publicznych ładowarek

01 sierpnia 2025, 11:47 | W biegu | komentarzy 5
ChoiceJacking, czyli kolejny powód by nie korzystać z publicznych ładowarek

Wielu z nas słyszało ostrzeżenia dotyczące zagrożeń płynących z podłączania telefonów do niezaufanych ładowarek. Dla przypomnienia, wykorzystywany był tam fakt posiadania przez smartfony tego samego złącza i do ładowania, i transferu danych. W związku z tym podłączenie kabla, który miał być podłączony do ładowarki, mogło prowadzić do umożliwienia transferu danych…

Czytaj dalej »

W ten weekend odbędzie się justCTF

01 sierpnia 2025, 08:58 | ctf, W biegu | 0 komentarzy

Nie raz wspominaliśmy na łamach sekuraka, o sukcesach polskich zespołów na światowej scenie konkursów Capture the Flag. Ostatnio informowaliśmy i zapraszaliśmy na CTF organizowany w ramach kwalifikacji do polskiego zespołu, który weźmie udział w zmaganiach na ECSC 2025. W tym roku, tak samo jak w zeszłym, chcielibyśmy zachęcić do gry w…

Czytaj dalej »

Apple wydało aktualizację na wszystkie swoje urządzenia

01 sierpnia 2025, 03:36 | W biegu | komentarze 4
Apple wydało aktualizację na wszystkie swoje urządzenia

W wtorek Apple wypuściło łatkę bezpieczeństwa na wszystkie swoje urządzenia. Poprawki objęły podatność CVE-2025-6558 wykorzystywaną jako zero-day w przeglądarce Google Chrome. Luka znajdowała się w kodzie open-source WebKit, który jest wykorzystywany również w Safari. Temat poruszaliśmy w jednym z ostatnich artykułów, ale dla przypomnienia błąd dotyczył niewystarczającej walidacji niezaufanych danych wejściowych…

Czytaj dalej »

Chińskie kamery z krytycznymi podatnościami – Dahua Hero C1 i inne

31 lipca 2025, 12:48 | W biegu | 0 komentarzy
Chińskie kamery z krytycznymi podatnościami – Dahua Hero C1 i inne

Rumuńska firma Bitdefender opublikowała broszurę, w której informuje o załatanych niedawno podatnościach odnalezionych w kamerach chińskiego producenta Dahua. Badacze zaznaczają, że podczas wewnętrznego audytu firmy wytwarzającej te kamery ujawniono dłuższą listę podatnych urządzeń. Użytkownicy modeli: oraz (wszystkie firmware wydane przed 16.04.2025) powinni jak najszybciej dokonać aktualizacji urządzeń.  Wykryte podatności to…

Czytaj dalej »