Nie ma to jak poranne tłumaczenie się banku na twitterku.

TL;DR. Piersze cyfry 11 cyfrowego peselu to data urodzenia. Bank prosi tylko o podanie ostatnich 5 i uważa to za bezpieczne.




Źródło: https://twitter.com/PKOBP/status/1443483281710886914
https://twitter.com/Zaufana3Strona/status/1443480058232983557

EDIT, ciąg dalszy:


Źródło https://twitter.com/PKOBP/status/1443488967798796296
#bank #itsecurity

https://www.wykop.pl/link/6272339/wycieklo-431-tysiecy-kont-z-wykopu-ktos-chce-je-sprzedac-w-darkwebie/

mirror znaleziska: https://archive.is/DShka
mirror wpisu: https://archive.is/X73pk
mirror screenu ze znaleziska: https://archive.is/DQvQ4
#wykop #darkweb #itsecurity

https://arstechnica.com/information-technology/2021/09/privacy-focused-protonmail-provided-a-users-ip-address-to-authorities/
#itsecurity #mail #proton #protonmail

- Na jakiej domenie ten phish puścimy? Bo nie wiem co tu wpisać…
- A nie wiem, wpisz co chcesz.
Aha... :D

Źródło: https://twitter.com/CERT_OPL/status/1433756415391326221
#itsecurity #heheszki #programowanie #informatyka #phishing

Na setki urządzeń korzystających z chipsetów Realteka do obsługi połączeń Wi-Fi można się włamać i je zablokować albo całkowicie przejąć nad nimi kontrolę. Problem dotyczy aż 65 producentów, w tym D-Linka, Neatgera, AsusTEK, Belkina, Logiteca, Hamy czy Edimaksa lub Huawei.
https://niebezpiecznik.pl/post/powazne-dziury-w-setkach-routerow-kamer-i-innym-sprzecie-iot-winny-chip-wi-fi-od-realteka/
#it #itsecurity #hacking #ciekawostki

https://zaufanatrzeciastrona.pl/post/powazny-blad-onetu-udostepnial-poczte-i-dane-uzytkownikow/
#itsecurity #internet #ciekawostki

Lista 50 000 ofiar Pegasusa wyciekła.

Dziennikarze potwierdzili, że da się zhackować najnowszego (zaktualizowanego) iPhona i Androida...

Więcej w artykule:
https://niebezpiecznik.pl/post/wyciekla-lista-50-000-ofiar-pegasusa/

Jest też link do narzędzia, którym można sprawdzić swój smartfon pod kątem ataku Pegasusem
#itsecurity #ciekawostki #pegazus #hacking #android #iphone #inwigilacja

Czytał ktoś z was umowę licencyjną do Oracle Java SE? Pewnie nie. Znalazłem taką perełkę, możemy czuć się bezpieczni:

You will not use the Programs for, and will not allow the Programs to be used for, any purposes prohibited by applicable law, including, without limitation, for the development, design, manufacture or production of nuclear, chemical or biological weapons of mass destruction.

https://www.oracle.com/pl/downloads/licenses/javase-license1.html
#heheszki #java #programowanie #it #informatyka #itsecurity

UWAGA RANSOMWARE! - Sekurak

Szkolenie sekuraka za darmo zmiast ~180 zł:
https://www.pepper.pl/promocje/uwaga-ransomware-sekurak-411685
#sekurak #itsecurity #rozdajo

Darmowy udział w normalnie płatnym szkoleniu:

"Dlaczego hackowanie aplikacji webowych jest proste? (i jak jemu zapobiec)" - Sekurak

11.06.2021r. - 15:00

Kod:

piatek-hackowanie

Link do szkolenia:
https://sklep.sekurak.pl/event/view?id=73

Znalezione tutaj:
https://www.pepper.pl/promocje/dlaczego-hackowanie-aplikacji-webowych-jest-proste-sekurak-405377
#itsecurity #internet #rozdajo #hacking #ciekawostki

https://www.reuters.com/business/finance/eu-set-unveil-plans-bloc-wide-digital-wallet-ft-2021-06-01/
#StopACTA2 #inwigilacja #itsecurity #internet #uniaeuropejska #prawo

The first security vulnerability is pretty common and hard to exploit since it’s only a concern during the setup. Sonoff S26 starts itself into access point mode with ITEAD-1001xxxxxx SSID, and is set up through the eWelink app with the user not needing to know the password. But with older firmware is was needed, so ITEAD still shares the default password: 12345678 in the user manual, and it can be used to connect to the smart plug by anyone. But once configured, it’s not accessible anymore as the smart plug should be in client mode connected to your router with your own credentials. So that’s not ideal, but not such a big issue.

I ważniejsze:

The second issue is more concerning as the smart plug communicates over HTTP instead of HTTPS and shares some data that can be easily captured with tools like WireShark…

The data above could potentially be used to connect to the cloud, but what concerns Richard Hughes, head of technical cybersecurity, A&O IT Group the most is that the SSID and password of your router are also shared in plain text over HTTP. So an attacker within range of your router could capture the credentials to join the user’s WiFi network and attempt to exploit other connected devices within your home or launch bot attacks on the Internet.

A quick way to partially mitigate this is to set up a guest SSID for your IoT devices, so your other devices with important data are not accessible, and configure the firewall with only the service needed by your device such as MQTT. This is explained in detail on Tasmota website.

Czyli kolejny raz:
- Tak, chmura jest zła.
- Zabawki należy trzymać w LAN/VPN.
https://www.cnx-software.com/2021/05/20/sonoff-tuya-smart-plugs-found-to-transmit-unencrypted-passwords/
#sonoff #tuya #iot #itsecurity #cyberbezpieczenstwo

https://niebezpiecznik.pl/post/whatsapp-zdradza-z-kim-rozmawiasz/
#whatsapp #itsecurity

Wyciekła wewnętrzna notatka Facebooka, w której wskazuje, że spodziewa się kolejnych wycieków i dąży do ich „normalizacji”. WTF.
https://twitter.com/ashk4n/status/1384526273087643651

Źródło: https://twitter.com/Zaufana3Strona/status/1384538180645531649
#facebook #itsecurity

https://sekurak.pl/przestepcy-probuja-przemieszczac-srodki-skradzione-w-ataku-na-gielde-kryptowalutowa-bitfinex/
#kryptowaluty #itsecurity #sekurak #kryminalne

Dwie afery, dwie perspektywy.

1. Huawei mógł podsłuchiwać sieć mobilną w Holandii (ale nie ma żadnych dowodów, że to robił) https://nltimes.nl/2021/04/17/huawei-able-eavesdrop-dutch-mobile-network-kpn-report

2. Brytyjski wywiad podsłuchiwał sieć mobilną w Belgii (i są dowody) https://zaufanatrzeciastrona.pl/post/jak-brytyjski-wywiad-chcial-sprytnie-wszystkie-komorki-podsluchac/

I co tu jest skandalem?

Źródło: https://twitter.com/Zaufana3Strona/status/1384026218714984450
#itsecurity #inwigilacja

[…] firma umożliwia krajom takim jak chociażby Arabia Saudyjska na wykorzystywanie podatności do nieetycznych celów, np. do inwigilacji dziennikarzy […]

Pegasus wykorzystuje 0-day’e, które można zakupić np. od Zerodium […]

Jedną z popularniejszych wymówek, stosowanych przez firmy takie jak Zerodium, jest “zwalczanie terroryzmu” […]
https://sekurak.pl/wordpress-na-celowniku-zerodium-oferuje-300-000-za-0-daya-rce-0-click/
#itsecurity #ciekawostki

Jeśli ktoś jeszcze nie ma zescrapowanej bazy prawdziwych peseli, ministerstwo zrobiło promocję.
https://pacjent.erejestracja.ezdrowie.gov.pl/
Pokaż spoiler
Źródło informacji: https://twitter.com/InfZakladowy/status/1381501610438840321
#itsecurity #programowanie #pesel

"Bardzo ciekawy raport o najważniejszych autorach ataków ransomware"
https://twitter.com/Zaufana3Strona/status/1380175284536815619

Bezpośrednio:
https://analyst1.com/file-assets/RANSOM-MAFIA-ANALYSIS-OF-THE-WORLD%E2%80%99S-FIRST-RANSOMWARE-CARTEL.pdf
#itsecurity #ciekawostki #informatyka #ransomware

https://zaufanatrzeciastrona.pl/post/gdzie-przestepcy-kupuja-dostepy-do-kont-polakow-i-polskich-firm/
#itsecurity #kryminalne #ciekawostki