Wpisy z tagiem "błąd"

Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu

Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu

Niestety na froncie walki o wolność słowa w internecie bez zmian – w serwisie Albicla.com identyfikowane są kolejne katastrofalne błędy, a w sieci pojawiła się paczka kodu źródłowego serwisu. Ta historia wydaje się nie mieć końca.… Czytaj dalej

Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com

Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com

Historia podobno lubi się powtarzać, ale że już po paru godzinach – tego się nie spodziewaliśmy. No dobra, tak na serio to patrząc na jakość tego portalu, spodziewaliśmy się, że to się wydarzy. Tym razem pomógł tryb serwisowy, dostępny dla każdego.… Czytaj dalej

Jak czytelnik zorientował się, że jego konto w mBanku nie jest już jego

Jak czytelnik zorientował się, że jego konto w mBanku nie jest już jego

mBank ostatnio nie ma dobrej passy. Testy powiadomień sprawiły, że klienci spanikowali, a bankowi padł system. Potem była afera, w której kilkuset klientów zorientowało się, że ich konta nie są ich. Jeden z nich opowiedział nam swoją historię.… Czytaj dalej

Takiej afery w mBanku jeszcze nie było – sprawdźcie, czy wasze konta są nadal wasze

Takiej afery w mBanku jeszcze nie było – sprawdźcie, czy wasze konta są nadal wasze

Wygląda na to, że wysłanie tysięcy przypadkowych powiadomień to nic w porównaniu z najnowszymi problemami mBanku. Dzisiaj mBank zaczął przypisywać rachunki istniejących klientów do kont klientów, którzy właśnie zakładali swoje konto.… Czytaj dalej

Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.… Czytaj dalej

Jak można było skasować nagrania z dekoderów tysięcy klientów UPC

Jak można było skasować nagrania z dekoderów tysięcy klientów UPC

Budowanie narzędzi do zarządzania sporą infrastrukturą nie jest prostym zadaniem. Czasem wystarczy jeden błąd, by okazało się, że infrastrukturą może zarządzać każdy internauta znający odpowiedniego linka.… Czytaj dalej

Błąd Apple pozwalał na podsłuchiwanie drugiej osoby zanim odbierze połączenie

Błąd Apple pozwalał na podsłuchiwanie drugiej osoby zanim odbierze połączenie

Prywatność znajduje się na sztandarze Apple, lecz to nie wystarcza, by produkty były odporne na błędy. Odpowiednia sekwencja działań pozwalała na podsłuchiwanie mikrofonu (a czasem także kamery) odbiorcy połączenia FaceTime.… Czytaj dalej

Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec

Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec

Imię, nazwisko, adres zamieszkania, adres e-mail i PESEL ponad stu tysięcy osób, które wnioskowały od roku 2009 przez internet o kartę miejską ZTM w Gdańsku mogły zostać wykradzione przez włamywacza z podstawową wiedzą o atakach typu SQL injection.… Czytaj dalej

[AKTUALIZACJA] 50 milionów kont użytkowników Facebooka zagrożonych przejęciem

[AKTUALIZACJA] 50 milionów kont użytkowników Facebooka zagrożonych przejęciem

Jeśli dzisiaj Facebook poprosił Was znienacka o ponowne logowanie do strony lub aplikacji, to mamy dla Was dwie wiadomości – dobrą i złą. Dobra: Wasze konto jest już bezpieczne. Zła: niestety chwilę wcześniej można było je przejąć.… Czytaj dalej

Tysiące polskich stron korzysta z podatnej wersji Drupala

Tysiące polskich stron korzysta z podatnej wersji Drupala

Jeśli korzystacie z Drupala, to upewnijcie się, że zaktualizowaliście go do najnowszej wersji. Od dwóch dni znany jest błąd umożliwiający zdalne wykonanie kodu bez uwierzytelniania. Niestety tysiące polskich stron nie dokonało jeszcze aktualizacji.… Czytaj dalej

Jak Kamil dane pół miliona zamówień klientów sklepów internetowych znalazł

Jak Kamil dane pół miliona zamówień klientów sklepów internetowych znalazł

Zapewne części z Was zdarza się w trakcie zakupów czy odwiedzania innych witryn czasem podmienić numerek na końcu linka, by sprawdzić, co się stanie. Kamil podmienił i odkrył puszkę Pandory. Ale po kolei.… Czytaj dalej

Poniedziałek z trenerem – CSS Injection i kradzież sekretów

Poniedziałek z trenerem – CSS Injection i kradzież sekretów

Trochę czasu minęło od ostatniego wydawania „Poniedziałku z trenerem”, ale spieszymy poinformować, że nie zrezygnowaliśmy z prowadzenia cyklu. Dzisiaj poniedziałek wypada we wtorek, zatem zapraszamy do lektury.… Czytaj dalej

Poważny błąd w Telegramie pomagał w instalacji kryptominerów

Poważny błąd w Telegramie pomagał w instalacji kryptominerów

Od kilku lat nastąpił wysyp komunikatorów internetowych. Spora część z nich twierdzi, że ich używanie gwarantuje wyższy poziom bezpieczeństwa. Nie zawsze jednak okazuje się to prawdą, co pokazuje przykład Telegramu.… Czytaj dalej

Poniedziałek z trenerem – Wirtualna rzeczywistość – realne błędy

Poniedziałek z trenerem – Wirtualna rzeczywistość – realne błędy

W trakcie naszych szkoleń zawsze zachęcamy użytkowników, by nie bać się szukać błędów w dużych i popularnych serwisach, dysponujących ogromnymi działami bezpieczeństwa – bo tam też sporo można znaleźć. Przykład poniżej.… Czytaj dalej

Miałeś kiedyś konto w bibliotece? Twoje dane mogą ciągle tam być i czekać na włamywacza

Miałeś kiedyś konto w bibliotece? Twoje dane mogą ciągle tam być i czekać na włamywacza

Jeden z naszych Czytelników szukał pewnej książki, dość dawno wydanej i niedostępnej już w sklepach. Postanowił sprawdzić, czy nie natrafi na nią w bibliotece, ale tak się złożyło, że zamiast książki znalazł szereg błędów.… Czytaj dalej

Poniedziałek z trenerem – dwa błędy prowadzące do wykradania kontaktów Yahoo

Poniedziałek z trenerem – dwa błędy prowadzące do wykradania kontaktów Yahoo

Dzięki rozwojowi technik zabezpieczeń coraz częściej jeden błąd w aplikacji nie wystarcza, by uzyskać nieuprawniony dostęp i błędy trzeba łączyć, by osiągnąć upragniony cel. Nie inaczej jest w tej historii.… Czytaj dalej

Poniedziałek z trenerem – jak można było przejąć dowolne konto VirusTotal

Poniedziałek z trenerem – jak można było przejąć dowolne konto VirusTotal

Stary rosyjski kawał mówi, że jeżeli budzisz się w poniedziałek bez kaca, to znaczy, że jest wtorek. U nas takiej imprezy nie było, ale i tak publikacja nowego odcinka naszego cyklu opóźniła się o jeden dzień.… Czytaj dalej

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Kiedy zaczynaliśmy cykl „Poniedziałek z Trenerem” nie byliśmy pewni, czy co tydzień znajdzie się błąd w aplikacji WWW, który można opisać. Tymczasem wygląda na to, że materiału do kolejnych wydań szybko nie zabraknie.… Czytaj dalej

Nie śmiej się dziadku z cudzego wypadku. CashBill się śmiał i sam tak miał

Nie śmiej się dziadku z cudzego wypadku. CashBill się śmiał i sam tak miał

Życie jest najlepszym nauczycielem, a nauczki pojawiają się znienacka jak rozpędzony TIR na Twoim pasie wyskakujący zza zakrętu. Takiej nauki doświadcza własnie firma CashBill, która wczoraj śmiała się z Przelewy24.… Czytaj dalej

Trywialny błąd w OLX umożliwiał każdemu pobieranie cudzych faktur

Trywialny błąd w OLX umożliwiał każdemu pobieranie cudzych faktur

Czasami widząc niektóre błędy w popularnych serwisach łapiemy się za głowę i sprawdzamy, czy na pewno mamy już rok 2017 i wyedukowanych programistów. Niestety najwyraźniej tak w tym przypadku nie było.… Czytaj dalej

Sklep REDISBAD udostępniał bazy danych klientów i zamówień bez autoryzacji

Sklep REDISBAD udostępniał bazy danych klientów i zamówień bez autoryzacji

Jeżeli kiedykolwiek kupowaliście odzież patriotyczną z serwisu REDISBAD to Wasze dane osobowe (w tym adresowe) oraz dane Waszych zamówień zostały ujawnione całemu światu. Tak kończy się nieprawidłowa konfiguracja usług…… Czytaj dalej

Zgłosił błąd w dziurawym systemie biletów miejskich, został zatrzymany

Zgłosił błąd w dziurawym systemie biletów miejskich, został zatrzymany

Czasem na rynku pojawiają się aplikacje, których miejsce jest w kolejce do testów, a nie we wdrożeniu na produkcji. Świetnym przykładem takiej sytuacji może być system miejskich biletów, wdrożony niedawno w Budapeszcie.… Czytaj dalej

Masz serwer z jądrem Linux? To lepiej go załataj póki czas

Masz serwer z jądrem Linux? To lepiej go załataj póki czas

Jeśli nie chcesz, by Twój serwer padł ofiarą trywialnego ataku, lepiej zainstaluj najnowsze aktualizacje. Błąd co prawda umożliwia „tylko” podniesienie uprawnień, ale jest bardzo łatwy do wykorzystania i dotyka chyba każdej dystrybucji.… Czytaj dalej

Jak błąd braku walidacji pozwolił na kradzież kilku milionów dolarów

Jak błąd braku walidacji pozwolił na kradzież kilku milionów dolarów

Czasem błędy w kodzie programu sprawiają, że nie da się z niego skorzystać. Czasem jednak ktoś odkrywa błędy, dzięki którym można ukraść spore kwoty. Rzadko jednak słyszymy by trywialny błąd w kodzie miał aż takie skutki.… Czytaj dalej

Konkurs na najbardziej niebezpieczną aplikację bankową 2016 rozstrzygnięty

Konkurs na najbardziej niebezpieczną aplikację bankową 2016 rozstrzygnięty

Wyobraźcie sobie mobilną aplikację bankową, za pomocą której każdy użytkownik może zalogować się jako ktokolwiek, dokonać przelewu z dowolnego, cudzego konta oraz ukryć wiadomość SMS informującą o transakcji.… Czytaj dalej