Weekendowa Lektura: odcinek 605 [2025-01-03]. Bierzcie i czytajcie

W nowym roku zapraszamy do nowego wydania Weekendowej Lektury. Niby nie było w tym tygodniu większych afer, ale linków i tak trochę się nagromadziło. Miłego klikania!

W dzisiejszym wydaniu szczególnie polecamy w części fabularnej nagranie wykładu Dragon Sectora o pociągach Newagu z kongresu 38C3, który pod koniec grudnia odbył się w Hamburgu (pkt 5), poczytajcie też o amerykańskim żołnierzu aresztowanym w związku z włamaniami do AT&T i Verizona (pkt 11). W części technicznej spójrzcie na omówienie kampanii, w ramach której przejęto co najmniej 35 wtyczek do Chrome’a w celu kradzieży poufnych danych (pkt 7-8), zapoznajcie się także z artykułem o DoubleClickjackingu, nowej metodzie przejmowania kont za pomocą podwójnych kliknięć (pkt 11). Życzymy udanej lektury.

Wersja anglojęzyczna

IT Security Weekend Catch Up – January 3, 2025

Część bardziej fabularna

1. [PL][AUDIO] Kolejny rok walki z dezinformacją – podsumowanie Demagoga
2. [PL] Prezes UODO ma uwagi do projektu nowelizacji Kodeksu karnego
3. [PL] WinterBreak – programowy jailbreak dla niemal wszystkich modeli Kindle
4. [PL] Wiele nieuprawnionych użyć sygnału radio-stop na sieci kolejowej
5. [WIDEO] Wykład Dragon Sectora o pociągach Newagu na kongresie 38C3
6. Największe incydenty 2024 r. według serwisu Bleeping Computer
7. Najgorzej obsłużone naruszenia danych w 2024 r. według TechCruncha
8. Lokalizacje 800 tys. samochodów elektrycznych były dostępne online
9. Amerykański Departament Skarbu na celowniku chińskich hakerów
10. Chińska firma powiązana z grupą Flax Typhoon obłożona sankcjami
11. Żołnierz aresztowany za kradzież poufnych danych z AT&T i Verizona
12. Fałszywe „gwiazdki” sztucznie zawyżają rankingi projektów na GitHubie
13. Apple zapłaci 95 mln dol. za podsłuchiwanie użytkowników przez Siri
14. Bluesky mierzy się z typosquattingiem i kradzieżami tożsamości
15. Wątpliwości wokół konwencji o cyberprzestępczości przyjętej przez ONZ

Część bardziej techniczna

1. [PL] CERT Polska wycofuje z użytku pierwszą wersję Listy Ostrzeżeń
2. [PL][WIDEO] Azure DNS, czyli zabezpiecz swoje połączenie z chmurą
3. [PL] Podsumowanie systemu plików proc dla analityków bezpieczeństwa
4. LDAPNightmare – pierwszy exploit PoC na lukę CVE-2024-49113
5. Luka w przemysłowych routerach Four-Faith wykorzystywana w atakach
6. Informacje o luce 0-day w archiwizerze 7-Zip okazały się fejkiem
7. Kradzież poufnych danych za pośrednictwem wtyczki do Chrome’a
8. W sumie przejęto kontrolę nad co najmniej 35 wtyczkami + więcej informacji
9. Luka w WPA-3, czyli atak zaczynający się od utraty połączenia Wi-Fi (PDF)
10. Ponad 3 mln serwerów pocztowych bez szyfrowania podatnych na sniffing
11. DoubleClickjacking – przejmowanie kont za pomocą podwójnych kliknięć
12. Botnety wykorzystują niezałatane luki w routerach D-Linka
13. NotLockBit – nowa rodzina ransomware’u, która naśladuje LockBita
14. Podatność w Nuclei, popularnym skanerze luk w zabezpieczeniach
15. Monero a prywatność – analiza prób deanonimizacji i śledzenia transakcji

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres biuro (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury. Możecie też dołączyć do naszego serwera na Discordzie i zostawiać swoje znaleziska na kanale „newsy”: discord.gg/zaufana