Bardzo sprytny atak na firmę zajmującą się bezpieczeństwem

Od wielu lat analizujemy wszelkie dostępne opisy ciekawych incydentów bezpieczeństwa i rzadko coś nas zaskakuje pomysłowością po stronie atakujących. Tak jest jednak tym razem – ich pomysł naprawdę jest ciekawy. Czytaj dalej »

Jak nasz Czytelnik telefon w Plusie kupił, choć nic o tym nie wiedział

Firma windykacyjna Dial Tone wysłała jednemu z naszych Czytelników wezwanie do zapłaty na ponad 5,6 tys. zł. Zleceniodawcą okazał się Polkomtel, operator sieci Plus. Jak się pewnie domyślacie, rzekomy dłużnik jego klientem nie był. Czytaj dalej »

Pracownicy kancelarii komorniczej oskarżeni o wykradanie danych z systemu PESEL

Kiedy oddajemy nasze dane instytucjom państwowym, chcemy wierzyć w to, ze będą tam odpowiednio zabezpieczone. Niestety okazuje się, że nie zawsze jest to regułą a dostęp do naszych informacji bywa zbyt łatwy. Czytaj dalej »

Użytkownicy Facebooka, uważajcie na wiadomości wyłudzające hasła

Ludzka natura jest tak skonstruowana, że czasem w obliczu zagrożenia wyłącza się rozsądek a ręka sama wędruje na lewy klawisz myszki. Wiedzą o tym przestępcy i chętnie te procesy wykorzystują by wyłudzać hasła internautów. Czytaj dalej »

Biblioteka, która zapisuje login i hasło do banku i przechwytuje Wasze SMSy

Chcielibyście w aplikacji do zamawiania pizzy zapisać swój login i hasło do banku oraz umożliwić jej przechwytywanie wiadomości SMS z kodami autoryzacyjnymi wysyłanymi Wam przez bank? Brzmi niezbyt ciekawie, prawda? A dla Przelewy24 to dobry pomysł. Czytaj dalej »

Uwaga na nową kampanię „Powiadomienie o planowanej wizycie kuriera”

Idą święta, a internauci ruszają masowo na zakupy. Czasem ciężko doliczyć się wszystkich paczek w drodze, a spamiętać kurierów, którzy mają je przywieźć, jest niemożliwe. Na właśnie takie okazje czekają przestępcy. Czytaj dalej »

Poniedziałek z trenerem – ciekawe ataki na nagłówki wiadomości

Oprócz testów aplikacji i systemów czasem potrzeba (i opłaca się) sprawdzić odporność na ataki samych pracowników. Nie znaczy to jednak, że nie warto wspomagać się w takich działaniach wiedzą techniczną. Czytaj dalej »

Billon czyli kilka słów o standardach jakości i bezpieczeństwa aplikacji mobilnych

Kiedy ostatnio sprawdzaliśmy, ciągle mieliśmy XXI wiek, dojrzałe standardy bezpieczeństwa w sektorze finansowym, doświadczonych twórców aplikacji, testy i audyty bezpieczeństwa. Najwyraźniej jednak nie wszędzie. Czytaj dalej »

Weekendowa Lektura 2017-12-09 – bierzcie i czytajcie

Zapraszamy Was do nowego wydania Weekendowej Lektury. Oprócz linków zebraliśmy tym razem także trochę raportów w formacie PDF, zaparzcie więc kawę lub herbatę i przygotujcie się na kilka godzin przed komputerem. Życzymy udanej lektury. Czytaj dalej »

Ogromny wyciek danych użytkowników aplikacji mobilnej wirtualnej klawiatury

Dane należące do ponad 31 mln użytkowników popularnej klawiatury wirtualnej na urządzenia mobilne – AI.type – wyciekły po tym, jak twórcy aplikacji pozostawili bazę danych bez zabezpieczeń. Aplikacji używa ponad 40 mln osób na całym świecie. Czytaj dalej »

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Kiedy zaczynaliśmy cykl „Poniedziałek z Trenerem” nie byliśmy pewni, czy co tydzień znajdzie się błąd w aplikacji WWW, który można opisać. Tymczasem wygląda na to, że materiału do kolejnych wydań szybko nie zabraknie. Czytaj dalej »

Podstawy bezpieczeństwa, czyli jak sensownie logować zdarzenia systemowe

Wiele razy w naszej karierze trafialiśmy na sytuacje, w których wiadomo było, że stało się coś złego, ale brak było możliwości wyjaśnienia przebiegu zdarzeń – głównie ze względu na brak logów. Czas ten problem rozwiązać. Czytaj dalej »

Weekendowa Lektura 2017-12-03 – bierzcie i czytajcie

Zapraszamy Was do nowego wydania Weekendowej Lektury. W pocie czoła zebraliśmy kilkadziesiąt linków, rozbudowując nie tylko część bardziej techniczną, ale i tę fabularną, zatem każdy znajdzie coś dla siebie. Życzymy  udanej lektury. Czytaj dalej »

Poniedziałek z trenerem – cztery błędy do zdalnego wykonania kodu

Minęły już czasy, kiedy każdy atak opierał się na wykorzystaniu jednego (często trywialnego) błędu. Dzisiaj, by dostać się do systemu, często trzeba tych błędów znaleźć kilka i sprytnie połączyć w jeden atak. Taki przykład znajdziecie poniżej. Czytaj dalej »

Ruszamy ze szkoleniami w jedynym w Polsce mieście pełnym krasnali

Wrocław to nie tylko zabytki, kamienice, wieczne remonty i korki. Trudno znaleźć na mapie naszego pięknego kraju drugie (no dobra, trzecie) równie zasłużone dla rozwoju polskiego hackingu miejsce. Czytaj dalej »

Jak Politechnika Warszawska zaklina rzeczywistość, czyli jak to z hasłami było

Publikujemy rozwinięcie poprzedniego artykułu na temat Politechniki Warszawskiej, który wywołał dość spontaniczne, aczkolwiek sprzeczne ze sobą reakcje. Niektórzy upierają się, że problemu nie ma i nie było, inni ostrzegają i proszą o zmianę haseł… Czytaj dalej »

Weekendowa Lektura 2017-11-25 – bierzcie i czytajcie

Zapraszamy Was do nowego wydania Weekendowej Lektury. Ostatni tydzień był w naszej branży wyjątkowo spokojny i liczbę afer można było policzyć na palcach jednej ręki. Linków jest zatem trochę mniej – na pewno zdążycie przed następnym wydaniem. Czytaj dalej »

Uwaga na fałszywe wiadomości podszywające się pod sklep Morele.net

Nasz ulubiony przestępca, jak to często ma w zwyczaju, ponownie uderza w piątek po południu. Wiele eksperymentował z momentami i technikami ataku, więc pewnie nie bez powodu swoje wiadomości wysyła tuż przed weekendem. Czytaj dalej »

Poważna wpadka Orange przy okazji promocji Black Friday

Jako że szał zakupowy z okazji Czarnego Piątku już dawno dotarł do nas zza oceanu, także polskie firmy starają się wykorzystać okazję. Nie zawsze jednak wszystko idzie zgodnie z planem, gdy sklep pokazuje dane osobowe innych klientów. Czytaj dalej »

Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

Otrzymujemy zgłoszenia o nowym ataku na polskich internautów, lecz tym razem prawdopodobnie nie stoi za nim ten sam sprawca co zawsze – chociaż początkowa wiadomość jest zaskakująco dobrze przygotowana. Czytaj dalej »

Uber chciał ukryć ogromny wyciek danych, zapłacił włamywaczom

Po niedawnych zmianach w zarządzie Ubera firma ujawniła, że w roku 2016 doszło do bardzo dużego wycieku danych jej klientów i kierowców, jednak na tym historia wycieku jeszcze się nie kończy. Czytaj dalej »

Jak przejąć konto poczty elektronicznej studenta Politechniki Warszawskiej

Zarządzanie kontami użytkowników w dużej organizacji to zdecydowanie twardy orzech do zgryzienia. Niestety, sposób w jaki pracownicy CI PW rozwiązali problem dystrybucji haseł przyprawia o ból głowy nawet osoby niezwiązane z branżą security. Czytaj dalej »

Uwaga na nową kampanię malware „Platnosc w systemie Dotpay”

Od wczoraj obserwujemy nową falę wiadomości ze złośliwym załącznikiem, tym razem podszywających się pod markę Dotpay. Kliknięcie w załącznik poskutkuje zaszyfrowaniem komputera, dlatego warto ostrzec znajomych. Czytaj dalej »

Dlaczego rsyncd jest zły i powinniście już dawno przestać z niego korzystać

W naszej serii poradników dla administratorów najczęściej opowiadamy o tym, jak rozwiązać jakiś problem lub skonfigurować usługę związaną z bezpieczeństwem. Tym razem jednak opowiemy Wam, czego zdecydowanie NIE robić. Czytaj dalej »

Poniedziałek z trenerem – dwa proste błędy w kodzie Facebooka

Nawet firmom bardzo dbającym o kwestie bezpieczeństwa nie jest łatwo ustrzec się błędów w aplikacjach, szczególnie, jeśli aplikacje te są dość rozbudowane. Warto zatem takich błędów szukać – bo można na tym sporo zarobić. Czytaj dalej »

aruba