Otrzymałem dzisiaj wiadomość od @wykop, że ktoś mógł przejąć moje konto (mailowo w formie odpowiedzi na pewne zgłoszenie z formularza kontaktowego z 2 czerwca).

No ale na wykopie podobno nie ma wycieku danych.... jako ciekawostkę podam, że: Hasła do wykopu nigdzie indziej nie używam!

Wykop.pl - Pomoc

Pokaż całość

#anonimowemirkowyznania
Cześć Mirki,

Mam podejrzenie, że były chłopak (który ma wielu znajomych w środowisku IT) skopiował moje IP, a teraz wypisuje bardzo obraźliwe komentarze na goworku mojej firmy (pełne wulgaryzmów i rasistowskich tonów). Myślę, że korzysta przy tym z mojego IP po to, bym straciła pracę, mści się. Nie chcę wdawać się w szczegóły.
Czy jest to możliwe? Czy ktoś może czasowo przypisać sobie moje IP, np. korzystając z telefonu? Czy da się wykryć w jakiś sposób tego typu praktyki i im zapobiegać? Czego jeszcze mogę się obawiać?

#Pokaż całość

Ktoś chętny na Yubikey? Wersja security z NFC. 2 klucze używane kilka mscy, jedna nowa. 100zl sztuka
#sprzedam #yubico #yubikey #itsecurity

od dawna straaaaaaaaaaasznie kusi mn żeby przetestować ten słynny gcam
ale baaaaaaaaaaaaaaaardzo nieufnie podchodzę do softu z nieoficjalnych źródeł
na telefonie jestem pologowany do różnych newralgicznych rzeczy plus weryfikacja dwuetapowa i te sprawy
nie znam się kompletnie na tym na ile android jest bezpieczny tzn nie mam bladego pojęcia czy np dałoby się stworzyć apkę która pomimo odmówienia jej wszelkich uprawnień mogłaby to jakoś obejść i robić brzydkie rzeczy (i jak bardzo brzydkie) co dodatkowo wzmacnia mój strach
na necie można przeczytać że XDA is a trusted source albo It is completely safe. It is made by xda developers ale jakoś średnio mnie to przekonuje
w sensie już pomijając odwołanie do autorytetu to przecież wersji tego na różniaste telefony jest milion i skąd mam wiedzieć że typ robiący tę którą akurat ściągnę faktycznie jest trustedPokaż całość

Ej, Mireczki z #jdg i #b2b. Kupowaliście coś +15k PLN z apple? Czy u nich podawanie numeru karty z kodem CVV przez telefon to normalna procedura? XD
Przez strone też tylko można płacić kartą.. Jak niby firmy w PL biorą u nich sprzęt skoro wymagany jest split payment? Skarbówka nie ściga?

Swoją drogą wołam @niebezpiecznik-pl i @ZaufanaTrzeciaStrona . Chyba dosyć słaba praktyka jeśli chodzi oPokaż całość

Hahaha, jakie to jest piękne! (づ•﹏•)づ

Polecam artykuł: https://signal.org/blog/cellebrite-vulnerabilities/

#security #bezpieczenstwo #itsecurity #hacking #signal #hacktheplanet

Gdzieś dzwoni ale nie wiem w którym kościele. Z pomocą Postmana wygenerowałem sobie skrypt, który działa ale nie daje mi spokoju.

curl --location --request POST 'https://jakas_strona.pl/api/?function=jakas_funkcja&APIkey=xxxxx' --header 'Content-Type: application/x-www-form-urlencoded' --data-urlencode 'jakies_dane'
Czy tak może wyglądać POST? Bo mnie to trochę stroi na GETa prez ten fragment ?function=jakas_funkcja&APIkey=xxxxx. Druga kwestia, dzięki HTTPS czy to POST czy to GET to jedyne czego pan groźny cyberprzestępca, który czai się gdzieś między mną a serweremPokaż całość

Mam pytanie z pogranicza #motoryzacja i #itsecurity , może mądre, może głupie, nie wiem.

Jest XXI wiek i każdy głupi blog o polityce jest zabezpieczony zaufanym certyfikatem i 256-bitowym szyfrowaniem podczas, gdy samochody za kilkadziesiąt-kilkaset tysięcy złotych można ukraść jakąś głupią walizką, bo ma keyless i zabezpieczenie zmiennym kodem.

Czy koncerny samochodowe napotkały tu barierę technologiczną, czy po prostu opłaca im się, aby te fury ciągle kradli?
Zupełnie nie znam tej technologii, ale na chłopski rozum ( ͡° ͜ʖ ͡°) dysproporcja pomiędzy stopniem zabezpieczenia aut, a czegokolwiekPokaż całość

elo, jest tu jakiś spec od Sguil? nie wiecie może czy da się edytować poniższe kategorie na własne?

• F1: Category I: Unauthorized Root/Admin Access (C1)
• F2: Category II: Unauthorized User Access (C2)
• F3: Category III: Attempted Unauthorized Access (C3)
• F4: Category IV: Successful Denial-of-Service Attack (C4)Pokaż całość

Mircy, czy ktoś kojarzy ktoś czy istnieje jakaś możliwość organiczenia dostępu do pliku (poiedzmy: tekstowego) tylko na danym komputerze z konkretnym hostname, który jest połączony z siecią firmową? Jakiś soft, który by to pozwalał ograniczać? Szukam sposobu na bezpieczne wysyłanie haseł do użytkowników, którzy nie mają służbowych telefonów komórkowych.

#it #itsecurity #cybersecurity #cyberbezpieczenstwo

Cześć, chciałbym rozesłać pracownikom jakieś szkolenie nt. podstawowych pułapek phishinogwych, szczególna uwagę chciałbym skierować na ataki przez email. Czy ma ktoś może jakąś prezentacje albo artykuł na ten temat tak by rozesłać do zapoznania ? (bez szaleństw jeżeli chodzi o szczegóły, chodzi bardziej o przypomnienie nt. zachowania czujności).

Myślę że rozesłanie takiej prezentacji, potem test na ankietach google ze znajomości podstawowych informacji z artykułu wystraczy.

Czy może ktoś ma jakieś ciekawsze pomysły, albo zechciałby się podzielić jakie w jego firmie jest podejście do tego tematu.

zPokaż całość

Firewalle Ordo Iuris są dość interesujące.
Dwa razy odswiezylem stronę http://en.ordoiuris.pl/who-we-are i serwer przestał odpowiadać na zapytania z mojego adresu IP. Po 4G strona ciągle działa i to na tyle szybko że z pewnością nie mają problemów z obciążeniem serwera.
Albo zabezpieczenia zareagowaly tak agresywnie bo łącze się z zagranicy, albo dlatego że samemu mam mocny firewall z inspekcja ruchu który wychwytuje wszelakie proby szkodliwego działania.
W każdym razie jeszcze nigdy, naPokaż całość

Facebookowi wyciekly informacje o 500 milionach kont z całego świata. Większość danych i tak była publicznie dostępna tj. imię i nazwisko, bio. Natomiast co zastanawia to że podobno wśród danych jest też lokalizacja i numer telefonu.

Na razie wygląda na to że to potwierdzone info. Nie ma jeszcze komentarza FB niestety.

Jeśli to prawda to otwiera nowy obszar do ataków hakerskich, w których hakerzy będą używać tych danych by uwiarygodnić się w oczach odbiorców jako Facebook.

ToPokaż całość

#heheszki #itsecurity

Fingerprinting to technika polegająca na próbie identyfikacji unikalnego użytkownika. Dlaczego jest ona używana przez niektóre sieci reklamowe? Otóż dlatego, że w ten sposób mogą one dowiedzieć się więcej o naszym zachowaniu i serwować lepiej dopasowane reklamy i zarabiać więcej.

Wyobraź sobie, że wchodzisz na stronę poświęconą budowie domów, a później na stronę omawiającą sposób zdobycia kredytu. Dla firm oferujących kredyty jesteś gorącym ciachem. Jednak skąd sieć reklamowa ma wiedzieć, że osoba odwiedzająca stronę z plotkami to nadal Ty?

Niestety nie jest to łatwe, ponieważ strony między sobą nie mogą przekazywać łatwo danych, a przeglądarki sprawiają, że jest to coraz trudniejsze.

JednakPokaż całość

Zapraszam do zapoznania się z rozwiązaniem krok po kroku maszyny HTB Doctor, a w nim m.in. wykorzystanie:
- podatności Server-Side Template Injection
- braku zmiany hasła po przesłaniu go jako nazwa użytkownika
- niepoprawnej konfiguracji usługi Splunk Universal Forwarder

https://whitehatlab.eu/pl/blog/writeup/hackthebox/machine/linux/doctor/Pokaż całość

Miruny, mocno rozważam rozpoczęcie korzystania z menadżera haseł. Jestem dobrze urządzony w ekosystemie apple (safari, macbook, iphone) i 99% haseł mam wygenerowanych i zapisanych w pęku kluczy. Nie powiem, korzysta się z tego bardzo wygodnie. Synchronizacja między urządzeniami i z samą przeglądarką jest wręcz idealna i "robi się samo".
Chciałbym jednak przesiąść się na coś mocniejszego. Czy w ogóle jest sens zaczynać czasochłonną przesiadkę? (Nie ma opcji masowego eksportu haseł z safariPokaż całość