Przy zakupie systemu kontroli dostępu (będącego czasem częścią większej infrastruktury) należy przywiązywać wagę do detali w specyfikacji, tak aby już na tym etapie zamknąć drogę wykonawcą do zaoferowania nam rozwiązania, którego zabezpieczenia będą dalekie od naszych oczekiwań. Niestety praktyka pokazuje, że w wielu przypadkach świadomość techniczna osób przygotowujących takie dokumenty…
Czytaj dalej »
![Włamanie do polskiego systemu obsługującego hotele / wille / obiekty hotelowe [KWHotel]. Wysyłają fałszywe wiadomości do klientów.](https://sekurak.pl/wp-content/uploads/2025/12/kwhotel-150x150.png "Włamanie do polskiego systemu obsługującego hotele / wille / obiekty hotelowe [KWHotel]. Wysyłają fałszywe wiadomości do klientów.")
Atakujący posiadając dane rezerwacji ofiar, wysyłają za pomocą WhatsApp / e-mail fałszywe wiadomości, nakłaniające do podania danych Waszych kart płatniczych (pod pozorem potwierdzenia / anulowania rezerwacji). Poniżej zdjęcie, które otrzymaliśmy od jednego z czytelników (przesłane do potencjalnej ofiary na WhatsApp – prawdopodobnie w celu uprawdopodobnienia rozmowy z “prawdziwym hotelem”): Jednocześnie…
Czytaj dalej »
Generatywne modele językowe przebojem wdarły się do naszej codzienności. Dziś już wielu nie wyobraża sobie codziennej pracy czy nauki bez ich udziału. Rozwój dużych modeli językowych wpłynął także na obraz zagrożeń w cyberprzestrzeni. Z jednej strony LLM-y mogą pomagać w obronie, z drugiej strony stwarzają zupełnie nowe możliwości dla podmiotów…
Czytaj dalej »
Pod koniec roku przychodzimy z pomocą tym, których zaskoczył fakt, że zostało im trochę kasy w budżecie szkoleniowym i muszą go koniecznie wykorzystać w tym roku :-) Warto to zrobić mądrze i z partnerem biznesowym, który zagwarantuje szeroką ofertę szkoleniową na 2026 r. – i to na najwyższym poziomie merytorycznym….
Czytaj dalej »
Wyciek danych klientów WK DZIK 10 grudnia firma WK DZIK poinformowała mailowo swoich klientów o wycieku danych. Jak wynika z przesłanego komunikatu, do ataku miało dojść w nocy z 7 na 8 grudnia 2025 r, kiedy to włamano się do systemu informatycznego firmy i wykradziono dane. Z przeprowadzonej analizy wynika,…
Czytaj dalej »
Badacze z Koi zidentyfikowali trwającą od 7 lat kampanię złośliwych rozszerzeń do przeglądarek, które zainstalowało ok. 4,3 mln użytkowników Chrome i Edge. Liczne rozszerzenia – w tym oznaczona przez Chrome jako Featured i Verified wtyczka Clean Master – po latach zwykłego działania otrzymywały złośliwe aktualizacje. TLDR: Wtyczki zaczęły pobierać co…
Czytaj dalej »
Badacze z Socket analizują kampanię złośliwych pakietów w npm. Od października opublikowano co najmniej 197 złośliwych paczek, a całość zebrała łącznie ponad 31 tys. pobrań. Celem są programiści blockchain i Web3 uruchamiający projekty-zadania podczas fałszywych rozmowów kwalifikacyjnych. Kampania jest przypisywana atakującym z Korei Północnej. TLDR: Badając złośliwy pakiet npm tailwind-magic…
Czytaj dalej »
Już za chwilę Święta, więc zapraszamy Was na świąteczne spotkanie z ekipą sekuraka! 15 grudnia o godz. 19:00 (online) odbędzie się Dzień Otwarty Sekurak.Academy. Możecie zapisać się na to wydarzenie zupełnie bezpłatnie, korzystając z formularza w ramce. Głównym prowadzącym (wodzirejem i Mikołajem w jednym) będzie założyciel sekuraka – Michał Sajdak….
Czytaj dalej »
Święta tuż-tuż! Pod naszą sekurakową choinką Mikołaj zostawił sporo zestawów świątecznych – zachęcamy do sprawienia sobie lub bliskim świątecznej niespodzianki w klimacie sekurakowym! Mamy vouchery na szkolenia, książki w świetnych cenach i nowe gadżety świąteczne – pachnące świece oraz ozdoby choinkowe, jakich jeszcze nie było! Wszystko przygotowane w iście świątecznym…
Czytaj dalej »
Gdybyśmy otrzymywali dolara (no dobra – starczy 1 Polski Nowy Złoty) za każde nieudane połączenie AI z czymkolwiek, to właśnie pisalibyśmy ten tekst z pokładu jachtu. Tym razem “nowa” odsłona ataku została nazwana PromptPwnd (standardowo brakuje tylko logo i dżingla), a dotyka ona potoków CI/CD (ang. Continuous Integration/Continuous Development pipelines)….
Czytaj dalej »
Nie tak dawno na łamach Sekuraka pisaliśmy o sojuszu grup LockBit, DragonForce oraz Qilin i reaktywacji Lockbit 5.0 z zaawansowanym, wieloplatformowym malwarem, wykorzystującym m.in. silne szyfrowanie. Zgodnie z oceną badaczy z Trend Micro, powrót Lockbit stanowi realne zagrożenie oraz może skutkować zwiększoną częstotliwością ataków, o czym mieliśmy okazję się przekonać…
Czytaj dalej »
Pod koniec listopada 2025 r. firma Intrinsec opublikowała raport opisujący falę kampanii cybernetycznych, wymierzonych w rosyjski sektor lotniczy, kosmiczny oraz obronny. Za atakami stoją najprawdopodobniej haktywiści pro-ukraińscy, należący do grup: Hive0117, Cavalry Werewolf, Head Mare (KASPERSKY), znanej również jako Rainbow Hyena (BI.ZONE), Silent Crow oraz Belarusian Cyberpartisans. TLDR: Celem ataku…
Czytaj dalej »
HashJack to odkryta przez badaczy z Cato CTRL technika wstrzykiwania promptów (indirect prompt injection), która ukrywa złośliwe instrukcje po znaku # w adresach URL. Gdy przeglądarki AI przesyłają pełny link (wraz ze złośliwym fragmentem) do swoich asystentów AI, wykonują oni prompty atakujących. Umożliwia to atakującym np. wyświetlenie użytkownikowi fałszywych informacji…
Czytaj dalej »
TLDR: Dostępne bez żadnego logowania API aplikacji asystent[.]ai / Minerva. Listowanie użytkowników, szczegóły użytkowników (w tym hashe haseł), pliki wysyłane przez użytkowników, konwersacje z AI. Aby zobaczyć te dane, wystarczyła zwykła przeglądarka. Przykład wyniku zwracanego przez https://api.asystent[.]ai/users/ Ale po kolei. 23.11.2025 czytelnik zgłosił nam niepokojącą serię podatności w rozwiązaniu asystent[.]ai…
Czytaj dalej »
Chodzi o appkę Filevine – “AI Legal Assistant”. Badacz bezpieczeństwa (aka hacker) popatrzył trochę w źródła javascript na pewnej domenie Filevine, znalazł tam pewien endpoint API. Endpoint dostępny był bez uwierzytelnienia i umożliwiał wyszukiwanie dowolnych “projektów prawnych” stworzonych w appce przez innych użytkowników. Wystarczyło podać nazwę projektu. No OK, ale…
Czytaj dalej »
