Legiobiznes.pl Marketing*Social Media*Bezpieczeństwo IT*E-biznes*Zarabiane Online
Podobne wpisy
Uwaga na nowe oszustwo na Facebooku
Dziś, poprzez facebookowy czat, możecie otrzymać następującą wiadomość:
Cześć! 🙁 przepraszam że przeszkadzam w ten środowy wieczór ale jakiś gościu pobrał jakimś cudem fotki ludzi z facebooka (nawet te z prywatnych wiadomości) i były tam tez twoje fotki tu masz link do strony 🙁 – hxxps://apps.facebook.com/jbzqjfk
Wabik na “twoje zdjęcia” jest doskonale znany. Zazwyczaj link w takich scamach od razu kieruje na serwisy z hostingiem zdjęć, gdzie aby pobrać rzekomo nasze fotki, trzeba wcześniej podać numer telefonu i przepisać PIN z SMS-a (czyli zapisać się na płatną subskrybcję SMS). W tym przypadku, proces jest trochę dłuższy, a ponieważ korzysta z prawdziwych domen Facebooka, niektórzy mogą “stracić czujność”.
Kliknięcie w podany w wiadomości link, jeśli jesteśmy zalogowani, pokaże taką stronę:
Czytaj wiecej na: https://niebezpiecznik.pl
“Obsługa banku trzymała hasła do bankomatu za pierwszymi drzwiczkami”. Wywiad z serwisantem bankomatów
Jak instalacja bankomatu może wpływać na jego podatność na ataki? Jakiego typu kradzieże były najczęste w Polsce? Ilu w ogóle w naszym kraju jest ludzi, którzy naprawiają te urządzenia i wiedzą o nich coś więcej? Odpowiedzi na te pytania znajdziecie w wywiadzie z serwisantem, który zna problem “od kuchni”.
W ubiegłym miesiącu pisaliśmy o okradaniu bankomatów wiertarką i gadżetem za 15 dolarów. Później mieliśmy okazję rozmawiać z człowiekiem, który uzupełnił naszą wiedzę na ten temat. Był to serwisant bankomatów i przy okazji fan opowiadań o hakerze Januszu. Namówiliśmy go na wywiad, którego udzielił nam właśnie pod pseudonimem Janusz.
Marcin Maj, Niebezpiecznik: Pisaliśmy o Kasperskim i ich ustaleniach co do możliwości okradania bankomatów wiertarką. Rozumiem, że problem jest rozwiązany?
Janusz: Problem jest rozwiązany w części bankomatów. Firma Wincor Nixdorf… a teraz właściwie Diebold Nixdorf, wprowadziła wpłatomaty o nazwie kodowej Cineo. One wymagają specjalnego klucza szyfrującego, który można wykorzystać pewną liczbę razy i później jest doładowywany za pomocą połączenia VPN z centralą firmy. To są bankomaty dosyć nowe. Niestety większość bankomatów na rynku nie korzysta z tego systemu.
Bankomaty Cineo korzystają z tego klucza i ich wygląd różni się (…) Banknoty do tych bankomatów wkłada się w pozycji “w poprzek”, a nie tak jak w innych wpłatomatach “wzdłuż”. Po tym można je poznać. Natomiast odnośnie tych, które nie są kodowane, to są różne interfejsy. W starych maszynach były złącza RS232, natomiast w nowych jest już USB, ale USB mimo wszystko też nie jest szyfrowane w większości. Jednak o bezpieczeństwo chodzi przy okazji — bardziej istotne [dla firm wdrażających] jest to, aby żadna obca firma nie była w stanie ich serwisować…
Czytaj więcej na: https://niebezpiecznik.pl
Oprogramowanie malware dla Maców odkryte dopiero po kilku latach działania
Odkryto istnienie nieznanego do tej pory zagrożenia typu malware, atakującego komputery Apple z systemem operacyjnym Mac OS. Niechciane oprogramowanie, o nazwie Fruitfly, rozprzestrzenia się za pośrednictwem odpowiednio spreparowanej strony internetowej i potrafi odebrać użytkownikowi kontrolę nad kamerką internetową, klawiaturą i myszą. Najciekawsze jest jednak to, że Frutify funkcjonuje już od ponad dekady i do tej pory nikt nie wykrył jego istnienia. Patrick Wardle, który przyjrzał się bliżej odkrytemu oprogramowaniu twierdzi, że Frutify nie został do tej pory zidentyfikowany ze względu na jego mały zasięg.
Szacuje się, że do tej pory zarażonych zostało około 400 komputerów. Nie wiadomo kto i po co stworzył opisywany program.
Źrodło: http://twojepc.pl
Jeden z większych szkodników od Adobe zakończy działalność w 2020 roku
Ten szkodnik to Adobe Flash Player z iście gargantuiczną liczbą podatności. Wsparcie zakończy się w 2020 roku:
(…) we will stop updating and distributing the Flash Player at the end of 2020 and encourage content creators to migrate any existing Flash content to these new open formats.
Z naszej strony – na szczęście już od dawna nie odwiedzaliśmy strony, która wymagałaby posiadania Flash Playera… zobaczcie podatności tylko z czerwca tego roku…
Czytaj więcej na: https://sekurak.pl
iRobot chce sprzedawać dane klientów
A iRobot sprzeda taki plan np. firmie zajmującej się inteligentnymi domami, o ile właściciel odkurzacza wyrazi na to zgodę.
Roomba już teraz korzysta z odpowiedniego oprogramowania do tworzenia planów pomieszczeń. Rozwiązanie znane jest pod nazwą Symultaniczna Lokalizacja i Mapowanie (SLAM) i jest stosowane w trakcie odkurzania. Robot na własny użytek zapisuje układ pomieszczeń, w których sprząta. W przyszłości te dane mają być wykorzystane przez firmy zewnętrzne do opracowania inteligentnego domu. Prezes iRobot, Colin Angle powiedział w wywiadzie dla Reutersa, że zanim jakiekolwiek dane zostaną przekazane, firma poprosi klientów o wyrażenie na to zgody.
Gromadzenie i przekazywanie informacji o klientach budzi jednak uzasadnione obawy i kontrowersje. Co prawda Colin Angle zastrzega, że plany nie zostaną sprzedane bez zgody zainteresowanych, łatwo sobie jednak wyobrazić sprzedaż całej firmy któremuś z głównych graczy, dzięki czemu podpisywanie zgody nie byłoby potrzebne. Innym zagrożeniem są względy bezpieczeństwa. Przejęty przez hakerów robot mógłby stać się współczesnym koniem trojańskim, który ułatwiłby włamywaczom zadanie…
Czytaj więcej na: http://www.chip.pl
AV-Test sprawdza zabezpieczenia dla Windows 10
Tradycyjnie pod lupę wzięto 18 rozwiązań dla użytkowników domowych i 13 aplikacji przeznaczonych dla firm. Sprawdźcie, które z nich wypadły najlepiej i na które warto postawić zabezpieczając swój komputer.
Tak popularny system operacyjny, jakim jest Windows 10 nie może się obejść bez odpowiedniego zabezpieczenia. To bardzo istotna kwestia, zwłaszcza w kontekście ostatnich zmasowanych cyberataków oraz ogromej ilości zagrożeń, na jakie jesteśmy codziennie narażeni korzystając z zasobów globalnej sieci…
Czytaj więcej na: http://legiobiznes.pl
Wyciek danych osobowych klientów sklepu REDISBAD
Dane setek tysięcy klientów sklepu z odzieżą patriotyczną były zostały udostępnione w internecie i przez pewien czas każdy mógł je pobrać. Wyciek był spowodowany brakiem ograniczenia dostępu do narzędzi deweloperskich frameworka Symfony.
APP_DEV.php IS BAD TOO
Krótko po godzinie 12:00 na naszą redakcyjną skrzynkę zaczęły spływać 2 linki:
https://www.redisbad.pl/app_dev.php/api/client/list oraz
https://www.redisbad.pl/api/client/list.
…umożliwiające podejrzenie panelu developerskiego sklepu redisbad.pl.
…oraz — co gorsza — pobranie danych osobowch klientów związanych z zamówieniami. Wśród dostępnych do ściągnięcia danych znajdowały się m.in.:
- Imię nazwisko
- Numer telefonu
- Adres e-mail
- Adres zamieszkania
Wedle informacji, jakimi dysponujemy, ostatni ID w bazie miał wartość 218490, jeśli identyfikatory klientów były nadawane od wartości 1, to łatwo można oszacować wielkość bazy danych, która mogła wpaść w niepowołane ręce…
Czytaj więcej na: https://niebezpiecznik.pl
Sklep REDISBAD udostępniał bazy danych klientów i zamówień bez autoryzacji
Jeżeli kiedykolwiek kupowaliście odzież patriotyczną z serwisu REDISBAD to Wasze dane osobowe (w tym adresowe) oraz dane Waszych zamówień zostały ujawnione całemu światu. Tak kończy się nieprawidłowa konfiguracja usług…
Prowadzenie interesów w sieci, choć atrakcyjne z handlowego punktu widzenia, obarczone jest większym ryzykiem wycieku danych klientów. Szczególnie, jeśli administrator sklepu internetowego nie do końca wie, co robi.
Wersja deweloperska dla każdego!
Od parunastu minut otrzymywaliśmy od Was liczne wskazówki, że jeden z popularnych sklepów z odzieżą patriotyczną ma poważne problemy z bezpieczeństwem danych swoich klientów i ich zamówień. W pewnej facebookowej grupie miłośników PHP pojawiła się informacja, że administrator serwisu udostępnił wersję deweloperską każdemu internaucie. Użytkownicy szybko znaleźli także inne wpadki konfiguracyjne, które zgłosili właścicielom. Ci jednak, zamiast sklep natychmiast wyłączyć, zaczęli naprawiać go w środowisku produkcyjnym. Przez około godzinę dane klientów sklepu i ich zamówień były dostępne dla każdego internauty, który znał odpowiednie linki.
Interfejs deweloperski wyglądał tak:
Ten dostęp został dość szybko zablokowany, jednak nadal autoryzacji nie wymagały wywołania API, jak np…
Czytaj więcej na: https://zaufanatrzeciastrona.pl
Biznes.gov.pl – logowanie przez Facebooka kierowało na konto innej osoby
Biznes.gov.pl to rządowy serwis usługowo-informacyjny dla przedsiębiorców. Jeden z naszych Czytelników – Łukasz – zalogował się do niego przez Facebooka i trafił na konto innej osoby (Cezarego). W ten sposób Łukasz uzyskał dostęp do danych tej osoby (m.in, do informacji o imieniu matki i dacie urodzenia).
Łukasz mógł się poczuć jak Cezary
O zdarzeniu poinformowaliśmy Ministerstwo Rozwoju, które jest odpowiedzialne za wspomniany serwis. Odpowiedź ministerstwa dostaliśmy 14 lipca – istnienia błędu nie potwierdzono.
Zaczęliśmy sami logować się do Biznes.gov.pl, rozpytywaliśmy znajomych, przeszukaliśmy pobieżnie fora. Nie udało nam się reprodukować błędu, ale wczoraj dostaliśmy od Ministerstwa Rozwoju kolejną wiadomość w tej sprawie…
Czytaj więcej na: https://niebezpiecznik.pl
