W biegu

News krótki, ale temat wart odnotowania. Jeden z czytelników Życia Kalisza, nagrał rozmowę z oszustami. TLDR (przygotowanie skróconego ~stenogramu by sekurak): Uderzyłam kobietę na pasach! [chlip chlip] Ale to jak, nie uważaliście!? [;p] Wyskoczyła no na zielonym Ojejka… Jesteśmy na komendzie… to on prowadził [szloch, chlip, bęc] A był trzeźwy?…

Jeśli kogoś interesują nasze gadgety – jest jeszcze kilka dni na wypełnienie ankiety tutaj (do wygrania w sumie > 100 nagród). Obecnie liczy się rozsądne wypełnienie tej ankiety, nie czas. A przechodząc do anonsu z tytułu: bluza prezentuje się następująco (logo jest haftowane): A konkurs organizujemy w nawiązaniu do wpisu:…

Jeden z użytkowników Wykopu, zmęczony najpewniej ciągłym bombardowaniem przez boty-kupujące-oszukujące, postanowił trochę pośmieszkować: Urocze, prawda? ;-) Zresztą inni, w cytowanym wątku powyżej, nie chcą pozostawać w tyle i proponują swoje frazy konwersacyjne z panią Klarą Sobieraj, ekhem… znaczy z OLX scam-botem: Przypominamy, że kradzież „na OLX” uderza w sprzedających przedmioty….

Jest spora szansa, że historia tej podatności w log4j właśnie zaczyna się od exploitów na Minecrafta (i co więcej dotyczy to zarówno serwerów jak i klientów): Jeśli wierzyć tej relacji – gorzej już być nie mogło: Ten exploit jest bardzo poważny w Minecraft Java Edition. Każdy może wysłać wiadomość na…

Szczegóły podatności dostępne są tutaj, a wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft). Prawdopodobnie podatne są też rozwiązania wykorzystujące bibliotekę Struts. Podatne wersje log4j: 2.0 <= Apache log4j <= 2.14.1 Exploit jest bardzo prosty i wymaga…

Jeden z użytkowników Pixela 3 (Android 11) alarmuje: Musiałem wezwać karetkę po babcię w piątek, ponieważ wyglądało że dostała wylew (…) zadzwoniłem pod numer 911, wpisując numer jak w normalnej rozmowie. Mój telefon zaciął się po jednym dzwonku i nie byłem w stanie zrobić nic poza klikaniem w appki (połączenie…

Odpowiedz proszę na pytania z ankiety. 70 pierwszych osób otrzyma od nas po jednej nagrodzie z puli:* skarpetki sekuraka :-)* kubek sekuraka* t-shirt sekuraka* voucher na dowolne szkolenie (https://sklep.sekurak.pl/)* ebook książki sekuraka: bezpieczeństwo aplikacji webowych* czarna bluza sekuraka (mamy tylko jedną, wygranego wybierzemy ręcznie – patrz niżej :) Dodatkowe 30…

Każdy zna linki zaczynające się od http:// – można również używać innych URL handlerów np.: ms-officecmd:sekurak.pl Jak zadziała ww. link, umieszczony w pasku URL przeglądarki? Nie zadziała ;) ponieważ musi mieć określony format. Badacze pokazali np. taki fragment (można by go użyć w pasku URL przelądarki, ale taka forma jak…

Jeśli interesują Cię nasze inicjatywy wydawnicze, ten post jest dla Ciebie. Jakiś czas temu obiecaliśmy darmowy extra rozdział – wszystkim właścicielom naszej książki o bezpieczeństwie aplikacji webowych. Jeśli ktoś jeszcze książki nie posiada – tutaj kod dający jeszcze przez ~tydzień -20%: swieta-2021 Rozdział autorstwa Iwony Polak (naszej pentesterki) jest gotowy…

W poniedziałek działaliśmy na tegorocznym MSHP – 9 prezentacji na żywo, 7 dodatkowych nagrań, brak prezentacji reklamowych, ogromna, ale to ogromna aktywność uczestników na Discordzie (do tej pory trwają tam dyskusje) oraz rozdane kilogramy kubków sekuraka – to w największym skrócie podsumowanie Mega Sekurak Hacking Party. Właśnie uruchomiliśmy zapisy na…

Mechanizm oszustw na „dostawę OLX” dużo osób (miejmy nadzieję) już zna (przypomnienie tutaj). Podobny od schemat od pewnego czasu „grany jest” na Allegro Lokalnie. Jeden z czytelników podesłał nam właśnie taki zapis rozmów z oszustem: Celem ataku są sprzedający, a „kupiec” kontaktując się prosi o wejście na link, za którym…

Na Twitterze od paru dni obserwujemy PoCa na podatność path traversal w Grafanie (możliwość odczytywania plików z serwera, bez uwierzytelnienia): Dostępne są już łatki: Today we are releasing Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7. This patch release includes a high severity security fix that affects Grafana versions from v8.0.0-beta1 through…

Część mediów pisze o „wycieku” z Gravatara, chociaż chodzi tutaj „tylko” o scraping. Ktoś korzystając z prostej luki w API, przeiterował użytkowników i pobrał ich adresy e-mail (plus powiązane nazwy): Sam problem był znany co najmniej od końca 2020 roku, a dostęp do (publicznych) danych był możliwy w taki sposób:…

Nic wielkiego, choć trzeba przyznać że w tym scamie jest pewna drobna innowacyjność, ale po kolei. Czytelnik podesłał nam taki zrzut reklamy, którą zobaczył na telefonie: Po wejściu można oglądnąć materiał firmowy, czytany przez automat (i tu pewna innowacyjność – przemowę wygłasza „sztuczna inteligencja Tesli” – ma to zapewne tłumaczyć…

Kilka dni temu jeden z użytkowników Wykopu zaalertował o dość nietypowej sytuacji: TRLD: Play przepisał mój aktywny numer na kogoś innego (ಠ_ಠ) To jest po prostu żart. Numer aktywny, opłacany regularnie, nagle zaczyna przekierowywać na inną osobę. Znajomi żalą się że ktoś inny odbiera. Wysłane kilkanaście zgłoszeń/reklamacji jeszcze 20 listopada zapewnienia że…