Darmowy udział w normalnie płatnym szkoleniu:
"Dlaczego hackowanie aplikacji webowych jest proste? (i jak jemu zapobiec)" - Sekurak
11.06.2021r. - 15:00
Kod:
piatek-hackowanie
Link do szkolenia:
https://sklep.sekurak.pl/event/view?id=73
Znalezione tutaj:
https://www.pepper.pl/promocje/dlaczego-hackowanie-aplikacji-webowych-jest-proste-sekurak-405377
"Exploity na BSC to już niemal codzienność"
The first security vulnerability is pretty common and hard to exploit since it’s only a concern during the setup. Sonoff S26 starts itself into access point mode with ITEAD-1001xxxxxx SSID, and is set up through the eWelink app with the user not needing to know the password. But with older firmware is was needed, so ITEAD still shares the default password: 12345678 in the user manual, and it can be used to connect to the smart plug by anyone. But once configured, it’s not accessible anymore as the smart plug should be in client mode connected to your router with your own credentials. So that’s not ideal, but not such a big issue.
I ważniejsze:
The second issue is more concerning as the smart plug communicates over HTTP instead of HTTPS and shares some data that can be easily captured with tools like WireShark…
The data above could potentially be used to connect to the cloud, but what concerns Richard Hughes, head of technical cybersecurity, A&O IT Group the most is that the SSID and password of your router are also shared in plain text over HTTP. So an attacker within range of your router could capture the credentials to join the user’s WiFi network and attempt to exploit other connected devices within your home or launch bot attacks on the Internet.
A quick way to partially mitigate this is to set up a guest SSID for your IoT devices, so your other devices with important data are not accessible, and configure the firewall with only the service needed by your device such as MQTT. This is explained in detail on Tasmota website.
Czyli kolejny raz:
- Tak, chmura jest zła.
- Zabawki należy trzymać w LAN/VPN.
Program bugbounty przeglądarki Opera, do zgarnięcia nawet 10k $.
https://blogs.opera.com/security/2021/04/earn-up-to-10k-from-the-opera-bug-bounty-program/
za 3 minuty start
pięknie napisane, dawno tak epickiego sarkazmu nie widziałem 
https://signal.org/blog/cellebrite-vulnerabilities/
#it #itsecurity #apple #android #ios #komputery #technologia #ciekawostki
Wyciekła wewnętrzna notatka Facebooka, w której wskazuje, że spodziewa się kolejnych wycieków i dąży do ich „normalizacji”. WTF.
https://twitter.com/ashk4n/status/1384526273087643651
Źródło: https://twitter.com/Zaufana3Strona/status/1384538180645531649
#facebook #itsecurity
Dwie afery, dwie perspektywy.
1. Huawei mógł podsłuchiwać sieć mobilną w Holandii (ale nie ma żadnych dowodów, że to robił) https://nltimes.nl/2021/04/17/huawei-able-eavesdrop-dutch-mobile-network-kpn-report
2. Brytyjski wywiad podsłuchiwał sieć mobilną w Belgii (i są dowody) https://zaufanatrzeciastrona.pl/post/jak-brytyjski-wywiad-chcial-sprytnie-wszystkie-komorki-podsluchac/
I co tu jest skandalem?
Źródło: https://twitter.com/Zaufana3Strona/status/1384026218714984450
wszystkie zdania klikalne
widać napracowanko
https://suricrasia.online/iceberg/
#it #komputery #internet #technologia #security #itsecurity #ciekawostki
[…] firma umożliwia krajom takim jak chociażby Arabia Saudyjska na wykorzystywanie podatności do nieetycznych celów, np. do inwigilacji dziennikarzy […]
Pegasus wykorzystuje 0-day’e, które można zakupić np. od Zerodium […]
Jedną z popularniejszych wymówek, stosowanych przez firmy takie jak Zerodium, jest “zwalczanie terroryzmu” […]
https://sekurak.pl/wordpress-na-celowniku-zerodium-oferuje-300-000-za-0-daya-rce-0-click/
Jeśli ktoś jeszcze nie ma zescrapowanej bazy prawdziwych peseli, ministerstwo zrobiło promocję. 
https://pacjent.erejestracja.ezdrowie.gov.pl/
Pokaż spoiler
Źródło informacji: https://twitter.com/InfZakladowy/status/1381501610438840321
"Bardzo ciekawy raport o najważniejszych autorach ataków ransomware"
https://twitter.com/Zaufana3Strona/status/1380175284536815619
Bezpośrednio:
https://analyst1.com/file-assets/RANSOM-MAFIA-ANALYSIS-OF-THE-WORLD%E2%80%99S-FIRST-RANSOMWARE-CARTEL.pdf
Chyba tu się kryją dane z wycieku numerów telefonów 533 milionów użytkowników Facebooka:
https://raidforums.com/Thread-Free-Facebook-533M-record-106Countries-For-free
Dane nie są całkiem za darmo: Odblokowanie wpisu dotyczącego kraju kosztuje kilka punktów (które się kupuje za kilka euro: np. 30 punktów za 8 euro; 8 punktów za dane z jednego z krajów). Wymagana jest do tego rejestracja. Płatność jest możliwa za pomocą kryptowalut (przez zewnętrzną stronę) lub PayPal.
Informacja o powyższym linku ma jedynie charakter informacyjny i nie ma służyć jako instrukcja. Korzystanie z usług wyżej linkowanego serwisu może być niezgodne z prawem. Odwiedzanie powyższej strony odbywa się na własną odpowiedzialność. Nie ponoszę odpowiedzialności za ewentualne szkody materialne lub niematerialne.
Wnioskuję po zrzucie z ekranu:
https://twitter.com/UnderTheBreach/status/1378314424239460352
Powyższy tweet wzięty został stąd:
https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4
Jak można łatwo złamać Twoje hasło? 3h darmowe szkolenie od sekuraka.
Kiedy? 23.04.2021r., 20:00. Całość dostępna będzie jako wydarzenie LIVE na YouTube.
Zapisy: https://sekurak.pl/jak-mozna-latwo-zlamac-twoje-haslo-3h-darmowe-szkolenie-od-sekuraka-zapisy-start/
Będą też loswane gadżety: https://twitter.com/Sekurak/status/1375072667326423043
"Lubicie czytać opisy grubych ataków [hackerskich]? To sobie poczytajcie, niezła historia." - Zaufana Trzecia Strona. Angielski wymagany
https://igor-blue.github.io/2021/03/24/apt1.html
Znalezione tu: https://twitter.com/Zaufana3Strona/status/1374996829444702208
Wykrywanie samych ataków, ale również fizyczne lokalizowanie ich źródła – to główne funkcje Nzyme.
https://sekurak.pl/nzyme-bezplatny-system-wykrywajacy-bandytow-w-twojej-sieci-wifi-ids/
#it #itsecurity #cyberbezpieczenstwo #komputery #linux #raspberrypi #technologia
W Niemczech w przygotowaniu jest prawo, które umożliwi policji bez drogi sądowej dostęp do e-maili obywateli oraz ich danych w chmurze. Zgodnie z nowym prawem taki dostęp byłby możliwy przy najmniejszych przekroczeniach prawa oraz bez konieczności informowania osoby, do której danych policja uzyskałaby dostęp. Nie są przewidywane konsekwencje za nieuprawniony dostęp.
Taka zmiana w przygotowywanym prawie została dodana dopiero po pewnej drodze legislacyjnej, po tym jak już zostały złożone uwagi do tego prawa. Taki zabieg uniemożliwia krytyczne rozpatrzenie nowych zapisów.
EDIT: Postanowienie sądowe jest wymagane tylko jeśli mają mieć miejsce dalsze postępowania w oparciu o dostęp do danych obywatela i obywatel ma pozostać niepoinformowany.
Źródło:
https://t3n.de/news/verdeckter-datenzugriff-polizei-1363914/
Więcej takich informacji w języku niemieckim Pokaż spoilerwrzuca niemiecki "odpowiednik" ruchu StopACTA2 (napisałem "odpowiednik" w cudzysłowie, ponieważ SaveTheInternet ma całkiem inne struktury i powiązania niż StopACTA2):
https://twitter.com/uploadfilter
"Dzisiaj w mediach pojawiły się informacje o rzekomym spisku, zawiązanym przez redakcje prowadzące portale o bezpieczeństwie, a wymierzonym w producenta komunikatora Usecrypt Messenger. Poniżej nasze oświadczenie w tej sprawie."
