News krótki, ale temat wart odnotowania. Jeden z czytelników Życia Kalisza, nagrał rozmowę z oszustami. TLDR (przygotowanie skróconego ~stenogramu by sekurak): Uderzyłam kobietę na pasach! [chlip chlip] Ale to jak, nie uważaliście!? [;p] Wyskoczyła no na zielonym Ojejka… Jesteśmy na komendzie… to on prowadził [szloch, chlip, bęc] A był trzeźwy?…
Czytaj dalej »
Jeśli kogoś interesują nasze gadgety – jest jeszcze kilka dni na wypełnienie ankiety tutaj (do wygrania w sumie > 100 nagród). Obecnie liczy się rozsądne wypełnienie tej ankiety, nie czas. A przechodząc do anonsu z tytułu: bluza prezentuje się następująco (logo jest haftowane): A konkurs organizujemy w nawiązaniu do wpisu:…
Czytaj dalej »
Jeden z użytkowników Wykopu, zmęczony najpewniej ciągłym bombardowaniem przez boty-kupujące-oszukujące, postanowił trochę pośmieszkować: Urocze, prawda? ;-) Zresztą inni, w cytowanym wątku powyżej, nie chcą pozostawać w tyle i proponują swoje frazy konwersacyjne z panią Klarą Sobieraj, ekhem… znaczy z OLX scam-botem: Przypominamy, że kradzież „na OLX” uderza w sprzedających przedmioty….
Czytaj dalej »
Jest spora szansa, że historia tej podatności w log4j właśnie zaczyna się od exploitów na Minecrafta (i co więcej dotyczy to zarówno serwerów jak i klientów): Jeśli wierzyć tej relacji – gorzej już być nie mogło: Ten exploit jest bardzo poważny w Minecraft Java Edition. Każdy może wysłać wiadomość na…
Czytaj dalej »
Szczegóły podatności dostępne są tutaj, a wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft). Prawdopodobnie podatne są też rozwiązania wykorzystujące bibliotekę Struts. Podatne wersje log4j: 2.0 <= Apache log4j <= 2.14.1 Exploit jest bardzo prosty i wymaga…
Czytaj dalej »
Jeden z użytkowników Pixela 3 (Android 11) alarmuje: Musiałem wezwać karetkę po babcię w piątek, ponieważ wyglądało że dostała wylew (…) zadzwoniłem pod numer 911, wpisując numer jak w normalnej rozmowie. Mój telefon zaciął się po jednym dzwonku i nie byłem w stanie zrobić nic poza klikaniem w appki (połączenie…
Czytaj dalej »
Odpowiedz proszę na pytania z ankiety. 70 pierwszych osób otrzyma od nas po jednej nagrodzie z puli:* skarpetki sekuraka :-)* kubek sekuraka* t-shirt sekuraka* voucher na dowolne szkolenie (https://sklep.sekurak.pl/)* ebook książki sekuraka: bezpieczeństwo aplikacji webowych* czarna bluza sekuraka (mamy tylko jedną, wygranego wybierzemy ręcznie – patrz niżej :) Dodatkowe 30…
Czytaj dalej »
Każdy zna linki zaczynające się od http:// – można również używać innych URL handlerów np.: ms-officecmd:sekurak.pl Jak zadziała ww. link, umieszczony w pasku URL przeglądarki? Nie zadziała ;) ponieważ musi mieć określony format. Badacze pokazali np. taki fragment (można by go użyć w pasku URL przelądarki, ale taka forma jak…
Czytaj dalej »
Jeśli interesują Cię nasze inicjatywy wydawnicze, ten post jest dla Ciebie. Jakiś czas temu obiecaliśmy darmowy extra rozdział – wszystkim właścicielom naszej książki o bezpieczeństwie aplikacji webowych. Jeśli ktoś jeszcze książki nie posiada – tutaj kod dający jeszcze przez ~tydzień -20%: swieta-2021 Rozdział autorstwa Iwony Polak (naszej pentesterki) jest gotowy…
Czytaj dalej »
W poniedziałek działaliśmy na tegorocznym MSHP – 9 prezentacji na żywo, 7 dodatkowych nagrań, brak prezentacji reklamowych, ogromna, ale to ogromna aktywność uczestników na Discordzie (do tej pory trwają tam dyskusje) oraz rozdane kilogramy kubków sekuraka – to w największym skrócie podsumowanie Mega Sekurak Hacking Party. Właśnie uruchomiliśmy zapisy na…
Czytaj dalej »
Mechanizm oszustw na „dostawę OLX” dużo osób (miejmy nadzieję) już zna (przypomnienie tutaj). Podobny od schemat od pewnego czasu „grany jest” na Allegro Lokalnie. Jeden z czytelników podesłał nam właśnie taki zapis rozmów z oszustem: Celem ataku są sprzedający, a „kupiec” kontaktując się prosi o wejście na link, za którym…
Czytaj dalej »
Na Twitterze od paru dni obserwujemy PoCa na podatność path traversal w Grafanie (możliwość odczytywania plików z serwera, bez uwierzytelnienia): Dostępne są już łatki: Today we are releasing Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7. This patch release includes a high severity security fix that affects Grafana versions from v8.0.0-beta1 through…
Czytaj dalej »
Część mediów pisze o „wycieku” z Gravatara, chociaż chodzi tutaj „tylko” o scraping. Ktoś korzystając z prostej luki w API, przeiterował użytkowników i pobrał ich adresy e-mail (plus powiązane nazwy): Sam problem był znany co najmniej od końca 2020 roku, a dostęp do (publicznych) danych był możliwy w taki sposób:…
Czytaj dalej »
Nic wielkiego, choć trzeba przyznać że w tym scamie jest pewna drobna innowacyjność, ale po kolei. Czytelnik podesłał nam taki zrzut reklamy, którą zobaczył na telefonie: Po wejściu można oglądnąć materiał firmowy, czytany przez automat (i tu pewna innowacyjność – przemowę wygłasza „sztuczna inteligencja Tesli” – ma to zapewne tłumaczyć…
Czytaj dalej »
Kilka dni temu jeden z użytkowników Wykopu zaalertował o dość nietypowej sytuacji: TRLD: Play przepisał mój aktywny numer na kogoś innego (ಠ_ಠ) To jest po prostu żart. Numer aktywny, opłacany regularnie, nagle zaczyna przekierowywać na inną osobę. Znajomi żalą się że ktoś inny odbiera. Wysłane kilkanaście zgłoszeń/reklamacji jeszcze 20 listopada zapewnienia że…
Czytaj dalej »