Łatajcie szybko WhatsAppa! Ochrona urządzeń IoT. Zgubiono laptopa z danymi setek tysięcy studentów SGGW. Kolejna luka bezpieczeństwa w procesorach Intela

Podobne wpisy

Klienci popularnego banku na celowniku. Scam-kampania w Polsce wykorzystująca sprytną technikę BITB. Inwigilacja Plus

4 dni temu

Apple ostrzega przed inwigilacją. Uwaga na fałszywe oferty Kart Miejskich. Aparat w telefonie cię podgląda?

2 tygodnie temu

Policja apeluje do Polaków. Rozłącz się, odczekaj 30 sekund. E-mail z „Policji”. Polacy otrzymują niebezpieczne wiadomości

20 marca, 2024

Łatajcie szybko WhatsAppa – krytyczna podatność potencjalnie umożliwiająca instalację spyware filmem mp4

WhatsApp jest podatny na wszystkie platformy (Android, iOS):

A stack-based buffer overflow could be triggered in WhatsApp by sending a specially crafted MP4 file to a WhatsApp user. The issue was present in parsing the elementary stream metadata of an MP4 file and could result in a DoS or RCE…

Ochrona urządzeń IoT – jak zapewnić cyberbezpieczeństwo firmie i jej pracownikom

6 miliardów – tyle ma być urządzeń wykorzystujących internet w firmach w 2020 roku, prognozuje Gartner. W istotny sposób zwiększa to obszar potencjalnego ataku. Z tego powodu rosną również wewnętrzne koszty konfigurowania, zarządzania i zapewnienia zgodności urządzeń IoT z przepisami.

Podstawowe zabezpieczenia

Internet rzeczy (ang. Internet of Things, IoT) jest dziś jednym z najbardziej narażonych na cyberzagrożenia obszarów. Każde urządzenie, które łączy się z siecią, może być potencjalnym celem ataku. Odpowiedniej ochrony wymagają nie tylko komputery i smartfony, ale również inne sprzęty działające online, takie jak drukarki, kamerki Wi-Fi, routery czy Smart TV. Dlatego przedsiębiorstwa powinny pamiętać o wdrożeniu odpowiednich zasad cyberhigieny i właściwych zabezpieczeń…

Zgubiono laptopa z danymi setek tysięcy studentów SGGW

Współczujemy absolwentom, studentom i niedoszłym studentom SGGW. Wczoraj uczelnia poinformowała ich mailowo, że ich dane zostały skradzione, wraz z laptopem jednego z pracowników uczelni. I to nie byle jakie dane, bo w zasadzie kompletne. Zabrakło chyba tylko ich numeru buta…

To już nie jest śmieszne – wykryto kolejną lukę bezpieczeństwa w procesorach Intel

Nowe jednostki miały być wolne od wad. Rzeczywistość okazała się inna. Mało tego! Badacze są rozczarowani współpracą z firmą Intel i jej podejściem do luk bezpieczeństwa.

Firma Intel już od dwóch lat boryka się z problemami luk bezpieczeństwa w swoich procesorach. Rozwiązanie miały przynieść nowe, przeprojektowane jednostki Cascade Lake, ale… badacze odkryli tutaj kolejną podatność…

201 000 PLN kary dla ClickQuickNow “za RODO”. Firma złoży skargę do sądu

No i mamy piątą pieniężną karę za RODO w Polsce. Tym razem 201 tys. zł kary dostała spółka ClickQuickNow, która zdaniem UODO utrudniała realizację prawa do wycofania zgody na przetwarzanie danych.

Generalnie RODO wymaga, by proces wycofania zgody na przetwarzanie danych był równie łatwy jak proces wyrażenia zgody. Tymczasem stosowany przez spółkę mechanizm polegał na użyciu linku zamieszczonego w treści informacji handlowej, który to link prowadził do komunikatów wprowadzających w błąd (w ocenie UODO). Spółka wymuszała też podanie przyczyny wycofania zgody, co zdaniem UODO było zbędnym utrudnieniem. Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu)…

Krytyczna podatność w dwóch urządzeniach medycznych używanych również w polskich szpitalach

Informację podał amerykański CERT, a chodzi o sprzęt Valleylab FT10 oraz Valleylab FX8. Jak widać – są one popularne również w Polsce.

Jedno z nich służy do diatermii, drugie to „Platforma elektrochirurgiczna z systemem zamykania naczyń LigaSure oraz resekcją bipolarną”…

„Appka Facebooka w tajemnicy uzyskuje dostęp do kamery.” Czy aby na pewno…?

Wiele serwisów podgrzewa kolejną aferę: „iOS Facebook app ‘secretly using camera’ while scrolling feed” czy „Facebook is secretly using your iPhone’s camera as you scroll your feed„. Błąd ujawnia się tylko na aplikacji mobilnej Facebooka, w wersji na iPhone (tylko na systemach iOS 13)…

Bank z piekła rodem. Rekomendują sprawdzenie siły swojego hasła poprzez wyszukanie go w Google

Chodzi o włoski FinecoBank – podają oni kilka zasad tworzenia dobrego hasła. I na koniec tych rad prawdziwa torpeda:

inseriscila su google se ti restituce meno di 10 risultati significa che e una buona password

w wolnym tłumaczeniu: a teraz drogie misie wygooglujcie swoje hasło żeby sprawdzić czy jest OK…

Uwaga na e-maile z tematem “zwroty DHL”

Ktoś nieźle podszywa się pod DHL i pod pretekstem przesłania formularza zwrotu przesyłki wysyła zainfekowany załącznik Excela. Jeśli ofiara go uruchomi i zgodzi się na wykonanie makra, jej komputer zostanie zainfekowany.

Oto jak wygląda wiadomość (dziękujemy Tomaszowi za jej przesłanie), która wielu naszym czytelnikom ominęła SPAM…

Wg NIK w polskich szpitalach ochrona wrażliwych danych nie jest słaba. Jest dramatyczna

Pełna wersja raportu dostępna jest tutaj. Synteza tu. Nas siłą rzeczy interesują przede wszystkich problemy związane ze zbiorami elektronicznymi.

Tutaj panuje cały czas przekonanie, będzie opublikowana procedurka kupiona za 50 zł w sklepie z procedurkami RODO i wszystko gra 🙂 To nie te czasy, a walczyć za pomocą jedynie procedur z wyciekami danych jest dość cieżko…

Projekt wniebowstąpienie AKA nightgale – Google wszedł w posiadanie ogromnej ilości szczegółowych danych medycznych milionów osób

Niedawno wybuchła afera, kiedy okazało się że Google – w porozumieniu z ogromną firmą medyczną firmą Ascension, mającą dostęp dodanych medycznych z 2600 szpitali w USA – gromadzi i przetwarza wielkie ilości szczegółowych danych medycznych.

W jakim celu? Jak zawsze: polepszenia życia ludzi ™:

The goal of the partnership is to enhance the experience of patients and clinical providers across the continuum of care, improving outcomes and saving lives…

Serwery Partii Pracy w Wielkiej Brytanii uderzone przez DDOS z Rosji i Brazylii

Złożony atak Distributed Denial of Service (DDoS) uderzył w infrastrukturę serwerową Partii Pracy w Wielkiej Brytanii, ale nie naruszył żadnego systemu ani nie ukradziono żadnych danych.

Dyrektor wykonawczy Partii Pracy ds. Wyborów, Niall Sookoo, powiedział, że systemy bezpieczeństwa zidentyfikowały atak na dużą skalę, mający na celu wyłączenie całego systemu. Na szczęście serwerowi udało się poradzić sobie z atakiem…

Zhackowali ich 20 razy. Dowiedzieli się o akcji dopiero jak skończyło się miejsce na dysku (atakujący przesadzili z dumpowaniem danych) [US]

Ciekawy przypadek wielokrotnego incydentu bezpieczeństwa opisuje Arstechnica. Firma była atakowana 20 razy w przeciągu 22 miesięcy. Atakujący uzyskał dostęp do danych około miliona klientów. Wśród zdobyczy były „zwykłe” dane osobowe, ale też trochę haseł w plaintext czy danych kart kredytowych.

W końcu atakujący wzięli się za konkretne dumpowanie. Tak konkretne, że zabrakło miejsca na dysku serwera…

Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu

Temat powraca dość często, więc postanowiliśmy podsumować aktualny stan wiedzy. Otóż obecne branżowe rekomendacje nie zalecają regularnych (np. co 30 czy 180 dni) zmian haseł.

Microsoft (Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903)…

Nie, odebranie połączenia z tego numeru nie naliczy Ci “gigantycznego rachunku”

Przerażeni podsyłacie nam ten artykuł z serwisu wsieci24.pl, który mówi o tym, że za odebranie połączenia telefonicznego z pewnych numerów może Was dużo kosztować.

Nie przejmujcie się, artykuł z wsieci24 jest pełen bzdur — choć faktycznie w ostatnim tygodniu Polacy otrzymują dużo nieodebranych połączeń z Mali, to za ich odebranie nikt nie dostanie “gigantycznego rachunku”…

Wyciekła baza neonazistowskiego forum – IronMarch. W dumpie również Polacy

Pełen dump bazy SQL forum Iron March udostępniono niedawno publicznie. W bazie znajdują się dość wrażliwe dane, m.in: a) e-maile b) adresy IP c) prywatne wiadomości d) loginy.

Oczywiście sporo osób zapewne ukrywa swój prawdziwy adres IP. Choć jeśli, dajmy na to, ktoś ma email  marek.tucostam777@gmail.com i korzysta z adresu IP w Polsce, to może zapomniał zanonimizować swoje połączenie?…

Kasy fiskalne na smartfony. Wygodne? Oczywiście. Ale przestępcy wyczuli okazję i być może mamy niespotykane do tej pory combo wykradające Wasze dane i pieniądze

Ministerstwo Finansów pracuje nad rozwiązaniem kasy fiskalnej w wersji softwareowej (np. na smartfonie). Wygodne? Choć temat podłapały już osoby mające nieco niecne zamiary, czy pisząc bardziej wprost chcące Was okraść z casheu czy danych:

Ministerstwo Finansów ostrzega przed pojawiającymi się w internecie ofertami kas rejestrujących, które miałyby działać na smartfonach…

Uwaga na publiczne porty ładowania USB – mogą kraść dane

Jeśli myślicie, że podłączanie mobilnych urządzeń do publicznych portów USB celem ich doładowania jest bezpieczne, to jesteście w grubym błędzie. Nie wszyscy o tym wiedzą, ale hakerzy opracowali specyficzną metodę atakowania smartfonów i tabletów podłączanych do takich portów, nadając jej trudną do przetłumaczenia nazwę „juice jacking” (wyciskanie z portu soku?).

W ostatnim czasie odnotowano rosnącą ilość ataków na mobilne urządzenia polegających na wykradaniu z nich poufnych informacji za pośrednictwem publicznych portów USB, do których ich użytkownicy podłączają je celem doładowania baterii. Stąd potrzeba przypomnienia, że niebezpieczeństwo takie istnieje i każdy z nas może być w ten sposób w pewnym momencie zaatakowany. Nie za bardzo wiadomo jak temu przeciwdziałać, ale dobrze jest wiedzieć iż może nas to spotkać…