O szczegółach donosi UODO, a chodzi o Centrum Medyczne Ujastek Sp. z o.o. z siedzibą w Krakowie. Poniżej najciekawsze cytaty z dość obszernego materiału: Administrator zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu) (…) rejestrowany był obraz ukazujący zarówno noworodki, jak ich matki podczas…
Czytaj dalej »
Podatność była kategorii 0-click, czyli ofiara nie musiała wykonać żadnej czynności, aby infekcja doszła do skutku. Sam atak polegał na wysłaniu do ofiary komunikatu z odpowiednio spreparowanym plikiem PDF. Podatność była też klasy 0-day – czyli istniała również w najnowszej wersji WhatsAppa, z wszystkimi aktualizacjami. Operacja infekcji telefonów była celowana…
Czytaj dalej »
Rozwiązania klasy enterprise jak ifirewalle nowej generacji, routery oraz bramy VPN nie przestają dostarczać badaczom bezpieczeństwa sukcesów, co z punktu widzenia statycznego użytkownika nie jest najlepszą informacją. Tym razem na warsztat trafiły urządzenia firmy Palo Alto — zresztą nie pierwszy raz. TLDR: Badacze z firmy Eclypsium przyjrzeli się urządzeniom oznaczonym…
Czytaj dalej »
Aktualizacja (6.02.2025): Badacze, którzy jako pierwsi znaleźli te problemy, opublikowali bardziej dokładny opis całości. W szczególności wg ich informacji, żeby urządzenie zaczęło łączyć się z zewnętrznym serwerem, należy nacisnąć fizyczny przycisk na obudowie urządzenia, co zmniejsza realne ryzyko ataku. Tak czy siak badacze polecają w szczególności zablokować komunikację ze swojej…
Czytaj dalej »
DeepSeek – to nazwa chińskiego startupu, który podniósł i odrzucił rękawicę rzuconą między innymi przez OpenAI w zakresie użyteczności modeli LLM. W ostatnich dniach, jest odmieniana w mediach przez wszystkie przypadki. Jednak w tym wyścigu technologicznym, pośpiech nigdy nie będzie dobrym doradcą. Firma Wiz opublikowała niepokojący wpis informujący o znalezieniu…
Czytaj dalej »
Serwis PayPal zmienił politykę prywatności i domyślnie będzie udostępniał dane o preferencjach zakupowych (między innymi produkty, rozmiary, preferencje, style) sklepom od wczesnego lata tego roku. TLDR: We are updating our Privacy Statement to explain how, starting early Summer 2025, we will share information to help improve your shopping experience and…
Czytaj dalej »
Git to bezdyskusyjnie jeden z najpopularniejszych systemów zarządzania wersjami. Zaadoptowany przez wiele organizacji (np. GitHuba) doczekał się wsparcia w postaci różnych narzędzi, takich jak GitHub Desktop czy Git LFS. To z kolei pociągnęło za sobą konieczność współdzielenia poświadczeń użytkownika. Niestety nie wszystkie sprawdzenia dokonywane były z należytą starannością i badacz…
Czytaj dalej »
Czy jeden i ten sam QR-kod, skanowany na tym samym urządzeniu i tym samym oprogramowaniem, może prowadzić do różnych stron? Okazuje się, że tak. Christian Walther zaprezentował QR-kod, który może być odczytany jako dwie różne, prawidłowe wartości. Bez żadnych dodatkowych elementów, które zmieniają jego wygląd. TLDR: Wcześniej podobne tricki były…
Czytaj dalej »
MasterCard wykorzystuje serwery DNS firmy Akamai. Rozszerzenie adresu domenowego tych serwerów to “akam.net”. Jednak jak zauważył Philippe Caturegli, od czerwca 2020 roku jeden z serwerów wskazanych jako obsługujące domenę az.mastercard.com był wpisany z literówką – akam.ne, czyli zabrakło litery t. TLDR: Krajowa TLD o rozszerzeniu .ne została przypisana do Nigru, kraju…
Czytaj dalej »
O niektórych osiągnięciach Sama Curry’ego pisaliśmy niejednokrotnie. Tym razem Curry wspólnie z Shubham Shah zaprezentowali, jak mogli przejąć zdalną kontrolę nad dowolnym samochodem marki Subaru, wyposażonym w system STARLINK, na terenie Japonii, Kanady i Stanów Zjednoczonych. TLDR: STARLINK to nazwa systemu, który pozwala zarządzać multimediami (np. uruchamiać aplikacje multimedialne, podłączyć…
Czytaj dalej »
Badacze z firmy Socket opisali analizę złośliwego pakietu PyPI, który na celownik wziął programistów i twórców botów wykorzystujących Pythona do integracji z Discord. Pakiet o nazwie pycord-self imitował istniejący prawdziwy pakiet discord.py-self. Złośliwy odpowiednik pojawił się w czerwcu 2024 i został od tego czasu pobrany blisko 900 razy. TLDR: Autorzy złośliwego pakietu zadbali…
Czytaj dalej »
Jak podaje Bleepingcomputer, ~zhackowali zewnętrznego dostawcę tych hoteli – firmę Otelier, zapewniającego aplikację-usługę wspierającą zarządzanie hotelami. Na początek hackerzy uzyskali dostęp do loginu / hasła pracownika Otelier – to pozwoliło im uzyskać dostęp do firmowego serwera Atlassian (Jira / Confluence). Dane logowania zostały pozyskane z tzw. infostealera (czyli jeden z…
Czytaj dalej »
O tym, że profesjonaliści zajmujący się bezpieczeństwem powinni z należytą dbałością weryfikować wykorzystywane narzędzia pisaliśmy już nie raz. Ostatnio temat ten został przytoczony omawiając przypadek domeny linpeas.sh. Dzisiaj znów wyciągniemy wnioski z cudzych błędów, a laboratoryjnym przykładem nie będą pentesterzy, a czarne kapelusze (ang. black hat). Jednak morał płynący z…
Czytaj dalej »
Autor znaleziska (posługujący się nickiem tim.sh) podzielił się swoimi spostrzeżeniami na temat szeroko zakrojonej kampanii fałszywych tutoriali na platformie YouTube (przykładowo: https[:]//youtu[.]be/Jig3Hb-y3yo). Autor “tutoriala” (dołączamy się do ostrzeżenia, aby pod żadnym pozorem nie postępować zgodnie z krokami przedstawionymi na wideo) nakłania ofiary do zasilenia swojego portfela, a następnie sugeruje przeklejenie…
Czytaj dalej »
Jedna z grup ransomware opublikowała informację o skutecznym zaatakowaniu polskiej firmy Eurocert, oferującej m.in. podpisy kwalifikowane. Atakujący w ramach „próbki” udostępnili część danych (w szczególności danych osobowych, fragmenty dokumentów). Sama spółka również potwierdziła atak: ~ms
Czytaj dalej »
