W biegu

Dlaczego [‚1’, ‚7’, ’11’].map(parseInt) zwraca [1, NaN, 3] in JavaScripcie ?!?

18 lipca 2019, 11:24 | W biegu | komentarzy 15

Poranna gimnastyka umysłowa. Długie wyjaśnienie w linkowanym tekście, krótkie tutaj: [‚1’, ‚7’, ’11’].map(parseInt) doesn’t work as intended because mappasses three arguments into parseInt() on each iteration. Żeby jeszcze bardziej zachęcić do przejrzenia cytowanego opisu, polecam zacząć od tego wpisu (o co chodzi z: if(!!x === !!yy) ?!?). A chcącym rozwijać się dalej – nasze opracowanie: XSS – jak wykonać…

Czytaj dalej »

W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

18 lipca 2019, 10:46 | W biegu | komentarzy 8
W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

Czytaj dalej »

Wykradziono dane podatkowe/osobowe milionów Bułgarów. SQL injection w urzędzie skarbowym?

17 lipca 2019, 14:48 | W biegu | 0 komentarzy

Reuters donosi o włamaniu na serwery bułgarskiego urzędu skarbowego: hackers had stolen millions of taxpayers’ financial data in an attack that one researcher said may have compromised nearly every adult’s personal records. Włamanie nastąpiło w okolicach końca czerwca 2019r. Atakujący twierdzi, że uzyskał dostęp do 110 baz danych zawierających „ściśle…

Czytaj dalej »

Haski szpital dostał karę z RODO ~ 2 000 000 PLN. Akcja po wycieku danych holenderskiej „Barbie”.

17 lipca 2019, 09:43 | W biegu | komentarzy 6
Haski szpital dostał karę z RODO ~ 2 000 000 PLN. Akcja po wycieku danych holenderskiej „Barbie”.

Wskazane zostały głównie dwa problemy: Brak odpowiedniej rozliczalności dotyczącej danych medycznych pacjentów (kto, kiedy, jaki dostęp uzyskiwał do danych) Brak wdrożonego dwuczynnikowego uwierzytelnienia przy dostępie do danych medycznych Nieco głębiej zakopana jest chyba ważniejsza przyczyna całej kontroli w szpitalu oraz nałożonej kary: On April 4, 2018, the Haga Hospital reported a…

Czytaj dalej »

Amazon: damy Ci $10 oraz… mały spywarek do przeglądarki.

16 lipca 2019, 21:35 | W biegu | komentarzy 5

Dość agresywna akcja Amazonu kierowana do amerykańskich klientów. Mogą oni otrzymać $10 kredytu na zakupy jeśli… zgodzą się zainstalować specjalny dodatek do przeglądarki. Opis działania tego sypware-u (tzn. pluginu) może mrozić krew żyłach: For example, we collect and process the URL, page metadata, and limited page content of the website…

Czytaj dalej »

Symantec: groźna podatność w Telegramie i WhatsApp. Sekurak: nie przesadzajmy.

16 lipca 2019, 19:04 | W biegu | komentarzy 5
Symantec: groźna podatność w Telegramie i WhatsApp. Sekurak: nie przesadzajmy.

Media rozpisują się o rzekomo dużym problemie w WhatsAppie i Telegramie. Tytuł: WhatsApp, Telegram had security flaws that let hackers change what you see. [WhatsApp i Telegram miał podatności umożliwiające hackerom zmianę tego co widzisz] brzmi dość groźnie, prawda? Spróbuję wyjaśnić całe zamieszanie w jak największym skrócie: WhatsApp zapisuje pliki…

Czytaj dalej »

Jak sprawdzić które informacje wysyła o nas przeglądarka? [browserleaks.com]

16 lipca 2019, 10:31 | W biegu | komentarze 22

Dzisiejsze przeglądarki i technologie webowe nie są już takie same jak kiedyś. Znacznie wzrosła też prędkość ładowania stron. Niestety, z nowoczesnymi witrynami pojawiły się również zagrożenia prywatności. Jakie to informacje? (prawie ;) Wszystkie znajdują się na stronie browserleaks.com. Oprócz podstawowych typu adresy IP komputera (w tym adres w sieci lokalnej),…

Czytaj dalej »

Pomyłka Allegro i wyciek danych osobowych? Nie. To bezczelny phishing – uważajcie!

15 lipca 2019, 16:25 | Aktualności, W biegu | komentarze 4
Pomyłka Allegro i wyciek danych osobowych? Nie. To bezczelny phishing – uważajcie!

Dzisiaj nasi czytelnicy poinformowali nas o potencjalnym problemie z systemami Allegro. Otóż otrzymali maila z tytułem: Twoja sprzedaż może zostać tymczasowo wstrzymana ! Zaakceptuj zmiany w regulaminie! Co więcej, można było w pierwszym momencie odnieść wrażenie, że Allegro wysłało maila, dodając dziesiątki czy setki innych osób na CC(!) Wystarczy jednak…

Czytaj dalej »

Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

15 lipca 2019, 12:53 | W biegu | 0 komentarzy
Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….

Czytaj dalej »

Polacy z Dragon Sector otrzymali ~100 000 PLN za 2. miejsce w zamkniętych, chińskich zawodach CTF

15 lipca 2019, 10:53 | W biegu | komentarze 3
Polacy z Dragon Sector otrzymali ~100 000 PLN za 2. miejsce w zamkniętych, chińskich zawodach CTF

360Vulcan organizuje co roku w Chinach CTF invite-only dla topowych teamów na świecie (na podstawie rankingu CTFTime). Pula nagród w tym roku wynosiła $100k USD, a polski Dragon Sector zajął drugie miejsce wygrywając $30 000. Gratulacje! :-) W CTF-ie mogą uczestniczyć tylko zaproszone ekipy, a konkurs jest o tyle nietypowy, że każdy…

Czytaj dalej »

Mógł przejąć dowolne konto na Instagramie. Wybrał jasną drogę i zgarnął ~100 000 PLN

15 lipca 2019, 10:07 | W biegu | komentarzy 5

Laxman Muthiyah miał stanowczo dobry dzień – w ramach programu Bug Bounty Facebook’a otrzymał $30.000 za możliwość przejęcia dowolnego konta na Instagramie. Gdy użytkownik zapomni swojego hasła, w ramach funkcjonalności odzyskania konta wysyłany jest 6-cyfrowy kod SMS. Potencjalny atakujący mógłby metodą siłową próbować wysłać milion zapytań HTTP – próbując wykorzystać…

Czytaj dalej »