Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

W biegu

Kolejna luka w narzędziach do rootowania Androida potwierdza uniwersalny problem

25 sierpnia 2025, 01:59 | W biegu | komentarzy 6
Kolejna luka w narzędziach do rootowania Androida potwierdza uniwersalny problem

Rootowanie Androida przeszło długą drogę od czasów, gdy wymagało głębokiej znajomości ADB i ryzykownych operacji na bootloaderze. Dzisiaj narzędzia takie jak KernelSU, APatch czy SKRoot obiecują łatwiejszy dostęp do uprawnień administratora, ale jak pokazuje najnowsze odkrycie zespołu Zimperium zLabs, nadal niosą ze sobą poważne zagrożenia bezpieczeństwa. TLDR: Badacze z Zimperium…

Czytaj dalej »

Hakerzy z Korei Północnej prowadzą nową kampanię cyber szpiegowską. Na celowniku placówki dyplomatyczne

25 sierpnia 2025, 01:55 | W biegu | 0 komentarzy
Hakerzy z Korei Północnej prowadzą nową kampanię cyber szpiegowską. Na celowniku placówki dyplomatyczne

Badacze z Trelix Advanced Research Center wykryli nową kampanię cyber szpiegowską wymierzoną w placówki dyplomatyczne w różnych regionach Korei Południowej. Od marca do lipca bieżącego roku zaobserwowano ponad 19 ataków spear-phishingowych, której celem były ambasady dyplomatyczne zlokalizowane na całym świecie. Za atakiem stoi prawdopodobnie ta sama grupa APT. Treści wiadomości…

Czytaj dalej »

Wyciek danych z Botland.com.pl

22 sierpnia 2025, 21:42 | W biegu | komentarzy 15
Wyciek danych z Botland.com.pl

Botland, popularny internetowy sklep z elektroniką, poinformował dziś (22.08.2025) swoich klientów, że padł ofiarą ataku cyberprzestępców. Ślady obecności intruza w systemie zostały zauważone 23 lipca i 3 sierpnia 2025 r., ale według firmy nie wskazywały na naruszenie bezpieczeństwa danych. Dopiero szczegółowe badanie zlecone niezależnemu podmiotowi zakończone 11.08.2025 r. pozwoliło ustalić,…

Czytaj dalej »

Trywialna podatność w FortiWeb Fabric Connector pozwalająca na obejście uwierzytelniania – FortMajeure

21 sierpnia 2025, 01:09 | W biegu | 0 komentarzy
Trywialna podatność w FortiWeb Fabric Connector pozwalająca na obejście uwierzytelniania – FortMajeure

W tym tygodniu, na sekuraku, ogłaszamy tydzień fortinetowy. Przybliżamy już drugą podatność w oprogramowaniu tego producenta. Tym razem chodzi o FortMajeure (w wolnym tłumaczeniu: siła wyższa), która otrzymała identyfikator CVE-2025-52970. Wyceniona na 7.7 w skali CVSS, FortMajeure pozwala na obejście procesu uwierzytelniania. Atakujący jest w stanie uzyskać dostęp do panelu…

Czytaj dalej »

OpenAI we współpracy z Ollamą udostępnia pierwsze modele lokalne dostępne dla każdego – przetestowaliśmy je

21 sierpnia 2025, 01:02 | W biegu | 1 komentarz
OpenAI we współpracy z Ollamą udostępnia pierwsze modele lokalne dostępne dla każdego – przetestowaliśmy je

OpenAI w końcu udostępniło dwa modele do wykorzystania lokalnie: gpt-oss-120b i gpt-oss20b. Najnowsze modele językowe z otwartymi wagami (pierwsze od czasu GPT-2) zapewniają wysoką wydajność podczas rzeczywistego wykorzystania przy niskich kosztach mocy obliczeniowych. Architektura ww. modeli składa się z wielu tzw. ekspertów (ang. mixture of experts, MoE), czyli mniejszych sieci neuronowych,…

Czytaj dalej »

Konieczność aktualizacji Plex Media Server, ale podatność jeszcze nie ma numeru CVE

20 sierpnia 2025, 09:04 | W biegu | 0 komentarzy
Konieczność aktualizacji Plex Media Server, ale podatność jeszcze nie ma numeru CVE

Została wydana nowa wersja Plex Media Server czyli oprogramowania umożliwiającego samodzielne hostowanie i streamowanie multimediów. Aktualizacja jest istotna, a – jak donosi serwis BleepingComputer – użytkownicy określonych wersji otrzymali maile o konieczności aktualizacji wersji. Sytuacja jest dość nietypowa w świecie security, bo podatność – zgłoszona w programie bug bounty – nie otrzymała…

Czytaj dalej »

Od renderera Chrome’a do kernela Linuksa: kompleksowy exploit Google Project Zero

19 sierpnia 2025, 05:11 | W biegu | komentarze 4
Od renderera Chrome’a do kernela Linuksa: kompleksowy exploit Google Project Zero

W 2021 roku programista z Oracle postanowił dodać do kernela Linuksa nową funkcję komunikacji między procesami. Chodziło o możliwość wysyłania pilnych sygnałów przez lokalne gniazda sieciowe – coś, co wcześniej działało tylko w połączeniach TCP. Funkcjonalność trafiła do kernela i wylądowała w Linuksie 5.15. Cóż, jak się okazuje, ta niszowa…

Czytaj dalej »

Kolejny problem Fortineta – podatne FortiSIEM pod ostrzałem

18 sierpnia 2025, 02:32 | W biegu | 0 komentarzy
Kolejny problem Fortineta – podatne FortiSIEM pod ostrzałem

Mamy wrażenie, że nie tylko nas zaczynają nużyć problemy produktów bezpieczeństwa, zwłaszcza od kilku firm… . Tym razem legendarny badacz SinSinology prezentuje krytyczną podatność (9.8 w skali CVSS w biuletynie bezpieczeństwa producenta) w produkcie dedykowanym dużym organizacjom – FortiSIEM. TLDR: Sprawa nie jest błaha, ponieważ jak informuje Fortinet luka ta…

Czytaj dalej »

Amerykańskie trackery w przesyłkach z chipami AI. Tak wygląda technologiczna zimna wojna

18 sierpnia 2025, 02:15 | W biegu | komentarze 4
Amerykańskie trackery w przesyłkach z chipami AI. Tak wygląda technologiczna zimna wojna

Nie tak dawno temu kontrola eksportu technologii sprowadzała się do sprawdzania dokumentów na granicy i mało spektakularnych biurowych audytów firm eksportowych. Cóż, te czasy definitywnie się skończyły. Reuters donosi o praktykach, które bardziej przypominają filmy szpiegowskie niż rutynową pracę urzędników: amerykańskie służby potajemnie umieszczają urządzenia śledzące w przesyłkach chipów AI,…

Czytaj dalej »

Mandat za niesegregowanie odpadów? Kolejny sprytny phishing

14 sierpnia 2025, 12:32 | W biegu | komentarze 2
Mandat za niesegregowanie odpadów? Kolejny sprytny phishing

Znaleźliście ostatnio w swojej skrzynce pocztowej mandacik za przekroczenie p… znaczy niesegregowanie odpadów? Jeżeli tak i przypadkowo mieszkacie w Koszalinie, to możecie wyrzucić go do śmieci.  Komenda Miejska Policji w Koszalinie poinformowała na swojej stronie, że na terenie miasta grasuje złoczyńca (lub wielu złoczyńców), który podrzuca mieszkańcom do skrzynek pocztowych…

Czytaj dalej »

Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

14 sierpnia 2025, 10:22 | W biegu | 1 komentarz
Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

Starsi (wiekiem) programiści pewnie dobrze pamiętają czasy, gdy przeglądy bezpieczeństwa kodu były domeną wyspecjalizowanych zespołów, pojawiających się w projektach dopiero przed samym wdrożeniem. Wtedy to przecież większość podatności odkrywano na końcu procesu developmentu, gdy koszty napraw były największe. Cóż, Anthropic postanowiło ten model przewrócić do góry nogami. TLDR: W Claude…

Czytaj dalej »

Grupy APT, haktywiści i ataki na łańcuch dostaw – raport CSIRT GOV 2024

13 sierpnia 2025, 00:14 | W biegu | komentarze 2
Grupy APT, haktywiści i ataki na łańcuch dostaw – raport CSIRT GOV 2024

CSIRT GOV opublikował właśnie coroczny ,,Raport o stanie bezpieczeństwa cyberprzestrzeni RP’’, w którym wskazuje na wzmożone działania grup typu APT (Advanced Persistent Threat) i haktywistycznych.  TLDR; ❌W poprzednim roku CSIRT GOV zaobserwował wzmożone działania grup APT i haktywistycznych. ❌Brak aktualizacji sprzętu/oprogramowania i wystawianie infrastruktury do sieci. Ciągle na topie wektorów…

Czytaj dalej »

Czy można z kamer Lenovo zrobić BadUSB? No prawie…

12 sierpnia 2025, 10:11 | W biegu | 0 komentarzy
Czy można z kamer Lenovo zrobić BadUSB? No prawie…

Badacze z firmy Eclypsium zaprezentowali na DEF CON 33 nowy wektor ataku. Polega on na wykorzystaniu podłączonych urządzeń – w tym przypadku kamer USB – do zdalnych ataków poprzez zmianę firmware i przekształcenie ich w urządzenia realizujące atak BadUSB. Bez odłączania ich od komputera czy dostarczania sprzętu (Rysunek 1). TLDR: Dla…

Czytaj dalej »

Ekipa sekuraka rusza ponownie w trasę!

12 sierpnia 2025, 10:01 | W biegu | 0 komentarzy
Ekipa sekuraka rusza ponownie w trasę!

Cześć  obecni i przyszli „bezpiecznicy!”. Konkretna ekipa sekuraka ponownie rusza w Polskę! Sekurak Hacking Party odwiedzi tym razem Warszawę.  Zapomnijcie o nudnych pokazach slajdów. SHP to krótkie, intensywne imprezy, podczas których ekipa etycznych hackerów z sekuraka pokaże Wam, jak przechytrzyć cyberprzestępców. Będzie również możliwość pogadania i zbicia piątek! Wszystko to…

Czytaj dalej »

Wiele podatności w HashiCorp Vault

11 sierpnia 2025, 13:10 | W biegu | 0 komentarzy
Wiele podatności w HashiCorp Vault

HashiCorp Vault to popularne, otwartoźródłowe narzędzie do zarządzania poufnymi danymi, takimi jak klucze API, certyfikaty, hasła czy tokeny. Z racji przechowywanych danych, Vault jest cennym celem dla włamywaczy – uzyskanie dostępu do Vault pozwala na dostęp do wszystkich usług, do których sekrety są w nim przechowywane. TLDR: Badacze z firmy Cyata…

Czytaj dalej »