Ekipa z GitHub Security Lab postanowiła ostatnio przeaudytować projekt Datahub. Wśród licznych znalezisk mamy również takie: Missing JWT signature check (CVE-2022-39366) CVSS: 9.9 Obeznani z tematyką JWT już wiedzą co się tutaj święci. No więc tak… we wspomnianym systemie można było w payloadzie tokenu JWT umieścić absolutnie wszystko, a podpis takiego…
Czytaj dalej »
Szokuje Was kwota, którą można wyłudzić od łatwowiernych ofiar, odpowiednie spreparowaną gadką? Zobaczmy najpierw „gadkę”: Po krótkiej znajomości mężczyzna zwrócił się z prośbą o pomoc, która polegać miała na umożliwieniu mu powrotu z Syrii do rodzinnego kraju. Problemem miał być brak możliwości zarządzania własnymi pieniędzmi, które zgromadził na koncie. Kobieta…
Czytaj dalej »
Tym razem ciekawa podatność ze świata webowego. Jeden z klientów Stripe otrzymał całkiem niezłą promocję – całkowity brak opłat od transakcji, ale tylko dla sumarycznej kwoty transakcji do $20000. Postanowił zaakceptować taką ofertę (przesłaną przez Stripe) ale jednocześnie przechwycić żądanie HTTP z przeglądarki za pomocą narzędzia Burp Suite. Następnie badacz…
Czytaj dalej »
Od pewnego czasu prosiliście nas o wspólny event z VMware związany z obsługą ostatnich incydentów ransomware atakujących systemy ESXi (również w Polsce). Słuchamy Was, więc już 9 marca o godzinie 19:00, robimy wspólnie live streama 😊 Spotkanie robimy w modelu „płać ile chcesz”. Możecie wbić całkowicie za darmo, ale każde wsparcie…
Czytaj dalej »
Stosowna ustawa przeszła właśnie na drodze procedowania na kolejny poziom (dzisiaj pojawiły się stosowne dokumenty do wglądu) i najpewniej za moment trafi do Sejmu. Sama ustawa „o aplikacji mObywatel” jest dość żmudną lekturą, ale rząd przygotował nam TLDR, dostępny tutaj. Z najważniejszych elementów, które zapewnia procedowana ustawa: Jak widać nie…
Czytaj dalej »
Eset przedstawił analizę malware BlackLotus. To złośliwe oprogramowanie potrafi odpalić się we wczesnej fazie bootowania systemu, co z kolei umożliwia na ominięcie wielu standardowych metod ochrony oferowanych przez system operacyjny / hardware: However, running as a bootloader gives them almost the same capabilities as firmware implants, but without having to…
Czytaj dalej »
![Support Volkswagena nie chciał przekazać policjantowi lokalizacji samochodu z uprowadzonym dzieckiem na pokładzie. „Wygasła subskrypcja GPS”. [USA]](https://sekurak.pl/wp-content/uploads/2020/03/siec1-150x150.jpeg "Support Volkswagena nie chciał przekazać policjantowi lokalizacji samochodu z uprowadzonym dzieckiem na pokładzie. „Wygasła subskrypcja GPS”. [USA]")
Drastyczna historia z końca lutego tego roku opisywana jest w tym miejscu. Przestępcy porwali auto z dwuletnim dzieckiem; matka zdążyła zadzwonić na policję, która natychmiast zareagowała dzwoniąc do Volksvagenowego Car-Net z prośbą o pilne zlokalizowanie samochodu. Co się wydarzyło później? Niestety doszło do opóźnienia, ponieważ volkswagenowy Car-Net stwierdził, że nie…
Czytaj dalej »
Bank od dłuższego czasu pracował nad wprowadzeniem tego mechanizmu dwuczynnikowego logowania do bankowości elektronicznej: Obecnie wszystko wskazuje na to, że prace dobiegają końca i w okolicach Q2/Q3 2023 roku całość będzie gotowa. Bank w ten sposób odpowiedział na pytanie serwisu Cashless: Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego…
Czytaj dalej »
![LastPass: „atakujący zhackowali komputer jednego z naszych pracowników, zainstalowali keyloggera” [nowe szczegóły dotyczące poprzedniego ataku]](https://sekurak.pl/wp-content/uploads/2020/07/hacking10-150x150.jpeg "LastPass: „atakujący zhackowali komputer jednego z naszych pracowników, zainstalowali keyloggera” [nowe szczegóły dotyczące poprzedniego ataku]")
Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu). W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników: hacker zaatakował jednego z czterech inżynierów DevOps,…
Czytaj dalej »
Z geotrackerami jest jeden problem – mogą one być również używane do niezbyt chwalebnych celów – np. bywają pomocne w stalkowaniu osób czy kradzieży samochodów: Apple w swoich trackerach wprowadził funkcje, które pozwalają namierzyć AirTag, który znajduje się blisko mnie, ale nie jest mój. Działa to jednak w obie strony…
Czytaj dalej »
Łatwe klonowanie głosu na podstawie krótkiego nagrania głosu ofiary stało się w zasadzie standardem w ramach ostatniej rewolucji / nowinek (niepotrzebne skreślić) AI. Pisaliśmy o tym tutaj: Badacz bezpieczeństwa postanowił zrobić mały eksperyment: W środę zadzwoniłem na automatyczną linię obsługi mojego banku. Na początek bank poprosił mnie o powiedzenie własnymi…
Czytaj dalej »
Dziękujemy wszystkim za liczny udział w akcji darmowy pentest / audyt bezpieczeństwa od sekuraka. TLDR: realizujemy pentest bezpłatnie, ale za zgodę na upublicznienie raportu po takich pracach (po załataniu podatności). Przykład takiego raportu tutaj (pentesty CANAL+) – mamy nadzieję, że takie raporty będą miały ciekawą wartość edukacyjną dla czytelników sekuraka….
Czytaj dalej »
Historia zaczyna się od pewnej dziury w DOTA2, na którą ktoś przygotował exploita. Z exploita (w ciemno) korzystali cheaterzy, więc producent gry postanowił przygotować na nich zasadzkę: Today, we permanently banned over 40,000 accounts that were using third-party software to cheat in Dota over the last few weeks. This software…
Czytaj dalej »
Zazwyczaj Chrome łata maksymalnie podatności zaklasyfikowane jako „High” (wysokie zagrożenie). W najnowszej łatce też jest kilka takich, z czego za jedną wypłacono zgłaszającemu aż $31 000: [$31000][1414738] High CVE-2023-0927: Use after free in Web Payments API. Reported by Rong Jian of VRI on 2023-02-10 Tu mamy jednak coś o wiele…
Czytaj dalej »
Historie jak ta świeżo opisywana przez Policję, gościły na sekuraku wielokrotnie. W sumie można założyć, że wszyscy wiedzą o temacie. Nie ma zatem co dalej spamować, nuda. Jednak mamy wrażenie, że po pierwsze akcje z „fałszywym konsultantem z banku” przybierają na intensywności oraz jest coraz więcej ofiar. W każdym razie:…
Czytaj dalej »
