Wpadki

O ciekawym błędzie w serwisie Wykop.pl (i pewnie nie tylko)

O ciekawym błędzie w serwisie Wykop.pl (i pewnie nie tylko)

Jeden z Wykopowiczów odkrył prostą podatność, z której istnienia nie zdaje sobie sprawy część osób zajmujących się zawodowo tworzeniem witryn WWW czy ich bezpieczeństwem. Błąd nie jest krytyczny – ale warto o nim pamiętać.… Czytaj dalej

Szpiegostwo przemysłowe czy narodowe? W Dolinie Krzemowej trudno je odróżnić

Szpiegostwo przemysłowe czy narodowe? W Dolinie Krzemowej trudno je odróżnić

Chiny, Rosja, Izrael, Francja, Korea Południowa to tylko niektóre z krajów, które wysyłają swoich szpiegów do Doliny Krzemowej. I nie chodzi o politykę – chyba że o politykę ekonomiczną i gospodarczą. Gdzie i jak działają szpiedzy w Kalifornii?… Czytaj dalej

Jak ransomware Hermes nieodwracalnie uszkodził system za 2,8 mln zł

Jak ransomware Hermes nieodwracalnie uszkodził system za 2,8 mln zł

O problemach powodowanych przez ransomware na gruncie polskim słyszymy zwykle w kontekście ataków na użytkowników domowych. Instytucje, które padły jego ofiarą, starają się unikać rozgłosu, ale Starostwu Powiatowemu w Oleśnicy to się nie udało.… Czytaj dalej

Hakerzy kontra producenci wideo – zapis licznych potyczek

Hakerzy kontra producenci wideo – zapis licznych potyczek

Branża rozrywkowa czy telewizyjna to jeden z bardziej łakomych kąsków dla atakujących, którzy mogą na nich ugrać ogromne pieniądze – lub przynajmniej próbować. Kradzieże, okupy, włamania – incydentów w tej branży ostatnio nie brakuje.… Czytaj dalej

Wyłączyliście autoryzację SMS w mBanku? Niestety łatwo to ominąć

Wyłączyliście autoryzację SMS w mBanku? Niestety łatwo to ominąć

Włączyliście w mBanku autoryzację w aplikacji, by nikt nie mógł ukraść Wam kodu z SMS-a? To dobry pomysł, ale niestety okazuje się, że bez żadnego problemu można dla konkretnej transakcji wymusić autoryzację SMS. Zaskoczeni? Słusznie.… Czytaj dalej

Podłączanie telefonu do samochodu nie zawsze jest dobrym pomysłem

Podłączanie telefonu do samochodu nie zawsze jest dobrym pomysłem

Teraz to już nie są te same samochody, co kiedyś, czyli historia o tym, jak branża motoryzacyjna podatnościami stoi. W samochodzie połączonym z telefonem zostaje więcej informacji niż nam się wydaje.… Czytaj dalej

Kilkaset CV Polaków, zgromadzonych przez InJobs, było dostępnych w sieci

Kilkaset CV Polaków, zgromadzonych przez InJobs, było dostępnych w sieci

Firmy, również polskie, chętnie przechowują zebrane przez siebie dokumenty w chmurze Amazona ze względu na nielimitowaną powierzchnię. Niefrasobliwość części z nich prowadzi jednak do mniej i bardziej poważnych wycieków.… Czytaj dalej

Setki klientów banku straciły domy na skutek błędu systemu

Setki klientów banku straciły domy na skutek błędu systemu

Kiedy składacie wniosek o przyznanie kredytu, bank podejmuje decyzję. Ktoś w banku zbierze o Was informacje, oceni wiarygodność, dokona obliczeń i poinformuje, czy kredyt dostaniecie. Właśnie, ktoś? Czy algorytm?… Czytaj dalej

Co robić, gdy wyślecie listę 3000 swoich dłużników przypadkowej osobie

Co robić, gdy wyślecie listę 3000 swoich dłużników przypadkowej osobie

Dane osobowe i adresowe oraz kwoty zadłużenia ponad trzech tysięcy czytelników pewnej biblioteki przez pomyłkę trafiły w niepowołane ręce. Zobaczcie, jak powinna wyglądać prawidłowa reakcja na tego typu incydent.… Czytaj dalej

Historia o dowodach rejestracyjnych, dekoderze AZTEC i pewnym monopolu

Historia o dowodach rejestracyjnych, dekoderze AZTEC i pewnym monopolu

… czyli opowieść o tym, jak z publicznych pieniędzy stworzono zamknięte rozwiązanie i źródło zarobku kilku prywatnych firm, bo ustawa nie mówiła, że tak nie wolno.… Czytaj dalej

Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci

Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci

Zebranie dokumentów od klientów nie jest specjalnie trudne. Nieco trudniejsze jest jednak zapewnienie bezpieczeństwa zebranych danych, o czym przekonała się firma eRzeczoznawcy, a pośrednio także jej klienci.… Czytaj dalej

Jak Polsat Sport opublikował na Twitterze hasło do serwera FTP

Jak Polsat Sport opublikował na Twitterze hasło do serwera FTP

Takie wpadki się zdarzają. Media o nich piszą, wszyscy się z nich śmieją, a potem sami robią zdjęcie swojej firmowej tablicy i padają ofiarą tej samej pomyłki, bo nie da się wszystkich upilnować.… Czytaj dalej

Formatujecie karty pamięci w urządzeniach? To nie formatujecie

Formatujecie karty pamięci w urządzeniach? To nie formatujecie

Dzisiaj karty pamięci są tanie, popularne i pełne zdjęć oraz danych, których nie chcecie pokazywać obcym. Czy zatem wystarczy użyć formatowania w aparacie, zanim je sprzedacie? Zdecydowanie nie.… Czytaj dalej

Pod adresem secure.msz.gov.pl stoi honeypot z reklamą levitry

Pod adresem secure.msz.gov.pl stoi honeypot z reklamą levitry

Czasem trafiamy na strony, na których nie wiemy już sami, czy śmiać się, czy płakać, czy może jednak walić głową w stół, bo tylko to nam zostało. Właśnie dzisiaj spotkał nas jeden z takich momentów.… Czytaj dalej

Nieudolnie zamaskowana dokumentacja systemu e-sądu ujawnia hasła dostępu

Nieudolnie zamaskowana dokumentacja systemu e-sądu ujawnia hasła dostępu

Dokumentacja techniczna systemów e-sądu, zawierająca hasła administratorów, adresację serwerów, architekturę sieci i pliki konfiguracyjne, była dostępna na stronie MS, a dane poufne chroniły czarne prostokąty w PDF-ach. Naprawdę.… Czytaj dalej

Jak mogliście uziemić w Wiedniu wiceministra przedsiębiorczości i technologii

Jak mogliście uziemić w Wiedniu wiceministra przedsiębiorczości i technologii

Czy przedstawicielowi rządu można w trakcie podróży anulować bilet lotniczy i uziemić go w obcym mieście? Można, jeśli nierozważnie opublikował numer swojego biletu lotniczego na Twitterze i Facebooku.… Czytaj dalej

Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Co robić, jeśli przez przypadek ujawni się adresy e-mail 200 klientów, którzy zażądali usunięcia swoich danych? Można incydentu nie zgłaszać, trzeba tylko ogłosić, że wśród ujawnionych danych nie było danych osobowych.… Czytaj dalej

Jak pognieciony rachunek z McDonalda zdemaskował policjanta – złodzieja

Jak pognieciony rachunek z McDonalda zdemaskował policjanta – złodzieja

Nieuczciwi policjanci istnieją na całym świecie. Czasem wpadają w ręce swoich kolegów lub innych służb – mało z nich jednak wpada w tak trywialny sposób, na skutek własnej nieuwagi, odrobiny przypadku i szczypty bezczelności.… Czytaj dalej

Jak po kradzieży dwóch kopert złodziej może aktywować kartę płatniczą Nest Banku

Jak po kradzieży dwóch kopert złodziej może aktywować kartę płatniczą Nest Banku

Dwie zwykłe koperty w skrzynce na listy – jedna z kartą płatniczą, druga z PIN-em. Sami przyznacie, że to nie najlepszy pomysł, jeśli kartę można aktywować, nie logując się do systemu bankowości internetowej lub mobilnej.… Czytaj dalej

Nie ma to jak wysłać cudze dane do 3500 odbiorców, dodając ich w polu „Do”

Nie ma to jak wysłać cudze dane do 3500 odbiorców, dodając ich w polu „Do”

Zazwyczaj nie opisujemy już zgłoszeń, w których ktoś wkleił listę odbiorców w pole „Do” zamiast do „Ukryta kopia”. Tym razem jednak zrobimy wyjątek, bo osiągnięcie pracownika firmy DHL przebija to, co widzieliśmy do tej pory.… Czytaj dalej

Dane osobowe i podróże tysięcy klientów LeoExpress były dostępne w sieci

Dane osobowe i podróże tysięcy klientów LeoExpress były dostępne w sieci

W tej historii jest wszystko, czego można oczekiwać po dobrym CSI:Cyber. Niewalidowane tokeny, iteracja po przewidywalnym ID, dane produkcyjne na serwerze testowym, a nawet zawoalowane groźby firmy, której problemy dotyczyły.… Czytaj dalej

Dane kilkunastu tysięcy klientów sieci Play wyciekły do sieci

Dane kilkunastu tysięcy klientów sieci Play wyciekły do sieci

Najpierw pojawił się wpis na Wykopie. Nowo zarejestrowany użytkownik alarmował, że pracownica salonu sieci Play w Piekarach Śląskich handluje danymi klientów. Postanowiliśmy bliżej przyjrzeć się tej sprawie.… Czytaj dalej

Wyciek danych klientów HRD.pl przy okazji migracji systemu

Wyciek danych klientów HRD.pl przy okazji migracji systemu

Błędy w aplikacjach się zdarzają. Zdarzają się także błędy trywialne. Zdarzają się również błędy prowadzące do ujawnienia danych użytkowników. Najgorzej jednak, gdy obie kategorie się pokrywają. To zdarzyło się HRD.pl.… Czytaj dalej

Signal – kiedy okazuje się, że znikające wiadomości nie zawsze znikają

Signal – kiedy okazuje się, że znikające wiadomości nie zawsze znikają

Od czasu rewelacji Snowdena trwa wielki boom na bezpieczne komunikatory. Kilka z nich zyskało sporą popularność, ale jak pokazują problemy jednego z nich, nawet te dobre mogą nie ustrzec się wpadek.… Czytaj dalej

Jak pewien duży hotel zignorował nasze zgłoszenie – a było co zgłaszać

Jak pewien duży hotel zignorował nasze zgłoszenie – a było co zgłaszać

Gdy informujecie nas o lukach odkrytych w jakimś systemie, kontaktujemy się z jego administratorem i zanim coś napiszemy, staramy się doprowadzić do ich załatania. Zdarza się jednak, że administratorzy nasze sugestie ignorują.… Czytaj dalej

aruba