Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

Cybersecurity

Kategoria: Technologia

W tej społeczności opisuje z czego składają się systemy cyberbezpieczeństwa

  • 139 członków
  • 217 wpisów

Kosmonauta

w Cybersecurity

13piorunów

Hakerzy odśnieżali budynek firmy, w nagrodę dostali dostęp do serwerów

it #cybersecurity #cyberbezpieczenstwo #hacking #redteam Bardzo ciekawy opis testu fizycznych zabezpieczeń firmy w wykonaniu amerykańskich pentesterów. Uwielbiam takie historie, jest ich dużo więcej na darknetdiaries. Spoiler: The two intrepid testers talked to the company maintenance crew and

GURU

w Cybersecurity

111piorunów

Najgłupszy atak roku! Instagram wdrożył AI a hakerzy przejmowali nim konta użytkowników. Wystarczyło poprosić.

Kto może, wdraża AI, gdzie może. Bo taki mamy klimat. Instagram też wdrożył, ale w sposób, który zasługuje na nagrodę Darwina, bo ich inteligentny bot każdemu umożliwiał przejęcie konta dowolnego użytkownika. Wystarczyło poprosić o zmianę e-maila… \ Pod koniec maja przez

Osobistość

w Cybersecurity

10piorunów

Nie znam się na tym, więc i ciężko mi to opisać własnymi słowami, ale jest z cyklu

Są ludzie, którzy zajmują się znajdowaniem podatności pozwalających na zdalny dostęp do urządzeń codziennego użytku. Klasyką gatunku jest włamywanie się na niezabezpieczone hasłem kamerki IP, swego czasu było głośno o milionach paneli fotowoltaicznych w Niemczech. Teraz swoimi odkryciami dzieli się publicznie człowiek, który był w stanie oglądać obraz z kamer w odkurzaczach DJI i jakichś wideoniańkach na całym świecie.

Pod tym linkiem autor opisuje swoje przygody z tymi odkryciami związane:

https://github.com/xn0tsa/nobody-puts-baby-in-a-corner#if-you-own-one-of-these-cameras

Jako laik jedyne co z tego wynoszę to: ustawiać wszędzie własne hasła i uważać jakie urządzenia z kamerami kupuje się, a jeśli już to czy na pewno są mi one potrzebne do życia. Czy urządzenie potrzebuje dostępu do internetu i czy mogę to wypiąć. Choć i to nie zawsze wystarczy, bo dużo producentów ma wywalone w ponoszenie kosztów na coś więcej niż zupełne minimum aby ich produkt działał.

Autorytet1piorunów

@Szuuz_Ekleer pamiętam że kiedyś się googla używało żeby znaleźć pospektów bez haseł xD

Najstraszniejsze w tym wszystkim jest to, że ludzie mogą wiedzieć- nie chce im się nic z tym zrobić :grinning:

GURU5piorunów

@tomasz-frankowski Na shodanie przeszukiwaliśmy kamerki, NASy, routery otwarte na świat - ot, standardowe zabawy scriptkiddies :stuck_out_tongue_winking_eye:

GURU1piorunów

@tomasz-frankowski Ludzie to gadżeciarze i jeszcze się tym jarają: -Patrz, jaki se nowoczesny odkurzacz z kamerką i internetem kupiłem!

Dziwić się zaczną kiedy pójdą kupić jakieś ubezpieczenie i ubezpieczyciel będzie wszystko o nich wiedział.

GURU5piorunów

@Szuuz_Ekleer Zmiana hasła nic nie da jak 'serwisowe' jest zahardkodowane ¯\\_(ツ)_/¯
Aczkolwiek to podstawowa sprawa przy wpinaniu czegokolwiek do internetu..

Pokaż więcej komentarzy (5)

GURU

w Cybersecurity

12piorunów

Jeżdżą po mieście i włamują się na telefony korzystając z SMS Blasterów ukrytych w bagażnikach

Wyobraź sobie, że stoisz w korku. Albo spacerujesz po chodniku z psem. Tymczasem w samochodzie na światłach siedzi typ, który uśmiecha się i w tym samym momencie zarabia tysiące złotych. Bo w bagażniku samochodu ma “SMS Blastera“. Tym sprzętem przejmuje łączność Twojego smartfona

Gruba ryba

w Cybersecurity

17piorunów

Bitwarden zhakowany!

Problem tyczy się TYLKO Bitwarden CLI (zarządzanie z konsoli).

Na chwilę obecną nie ma informacji aby inne wersje (okienkowe) były zainfekowane.

Złośliwa paczka była dostępna "tylko" przez 1,5 godziny.

GURU7piorunów

@Marchew nosz k⁎⁎wa, najpierw lastpass a teraz Bitwarden. Gdzie mam się przenieść teraz?

Gruba ryba7piorunów

@Endrevoir Nie jestem ekspertem.

Ale dla mnie keepass i keepass XC.

Offline daje mi pozorne bezpieczeństwo.

Ale tez managery offline to w większości target domowy. Cyberuchy pchają się tam gdzie korpo, a więc i rozwiązania online + synchronizacja pomiędzy urządzeniami.

Kosmonauta2piorunów

@serel przecież jest keepass2Android.

A synchronizacja to syncthing. European based.

Pokaż więcej komentarzy (5)

GURU

w Cybersecurity

10piorunów

Duże firmy przyuczają ludzi do phishingu (po tym jak przed nim ostrzegały)

Co łączy dostawcę gazu, firmę telekomunikacyjną i centrum medyczne? Takie firmy wysyłają do swoich klientów maile z linkami do płatności. Niestety nie służy budowaniu dobrych nawyków w przeciwdziałaniu phishingowi. Niewiele też wskazuje na to, aby to się miało zmienić. \

Sum

w Cybersecurity

4piorunów

Szpitale będą bezpieczniejsze. W Krakowie powstaje Małopolskie Centrum Cyberbezpieczeństwa

W Krakowie powstanie Małopolskie Centrum Cyberbezpieczeństwa, które ma chronić szpitale przed rosnącą liczbą cyberataków. Inwestycja o wartości ok. 10 mln euro zostanie zrealizowana do końca 2027 roku. Głównym elementem projektu będzie nowoczesna serwerownia przy Szpitalu Klinicznym im.

Gruba ryba

w Cybersecurity

21piorunów

Wygląda grubo, pozostaje czekać na szersze info ; )

Pierwsze tango down państwa i zacznie się globalny wycof od cyfryzacji.

Autorytet0piorunów

Fajnie, tylko, że sam wyciek kodu źródłowego nie znaczy nic (ba, nawet są tego zalety, cały mObywatel jest oparty o open source). A hasła się zmieni 🤷
Nie ma odwrotu od cyfrowego państwa.

Gruba ryba0piorunów

@AureliaNova Hasło możesz zmienić, ale skutków wycieku już nie.

Co do mobywatel, udostępniono jedynie frontend. To nie open source.

Autorytet0piorunów

@Marchew ok, faktycznie. Co nie zmienia faktu, że kontrolowane opublikowanie całego kodu byłoby całkiem zdrowe i poprawiłoby bezpieczeństwo.
Anyway, cokolwiek by nie robić, to powrotu do ery "papierowe" nie ma. Choćby tylko ze względu na koszty.

Pokaż więcej komentarzy (3)

Gruba ryba

w Cybersecurity

20piorunów

Kto by się spodziewał, ciekawe jakie jeszcze ciekawostki wyjdą w najbliższym czasie.

Niedawno udało się zmusić kilka modeli do wyrecytowania połowy książki o Harrym Pioterze ¯\\_( ͡° ͜ʖ ͡°)_/¯

Czekam na wyrecytowanie zestawu mail / telefon / imię nazwisko / pesel 😁

Fanatyk0piorunów

@Marchew w sumie dobre do testów penetracyjnych

Gruba ryba1piorunów

@MostlyRenegade Powstają już ransomware i inne dość zorganizowane ataki tworzone przez AI.

Co do pentesterów uważałbym, jeszcze zrobi co nieco więcej niż trzeba i będzie klops ( ‾ʖ̫‾)

Pokaż więcej komentarzy (4)

Lider

w Cybersecurity

7piorunów

> Co tak naprawdę stało się z CVE-2026-20841?
>
> Ktoś w Microsofcie pomyślał: „a co jeśli Notatnik mógłby wykonywać polecenia?” — i wypuścił to włączone domyślnie. Atakujący mogą teraz podsunąć użytkownikom złośliwy plik .md, ty otwierasz go, klikasz link i BUM — kod uruchamia się z pełnymi uprawnieniami użytkownika. Pełne przejęcie systemu. To aż tak poważne.
>
> ~
>
> Sama podatność jest dość prosta. Obsługa Markdown w Notatniku nie sprawdza, co znajduje się w tych linkach, zanim je wykona. Specjalnie przygotowany plik z odpowiednim prefiksem protokołu robi resztę.
>
> ~
>
> Wystarczy phishing i kliknięcie użytkownika zamienia się w pełne przejęcie systemu.
>
> https://www.reddit.com/r/cybersecurity/comments/1r21w44/cve202620841_windows_notepad_remote_code/?

Pokaż więcej komentarzy (3)

Gruba ryba

w Cybersecurity

51piorunów

Gruba ryba0piorunów

@Hajt Źródło?

Pokaż więcej komentarzy (5)

Gruba ryba

w Cybersecurity

9piorunów

Kulisy ruskiego ataku hakerskiego na infrastrukturę elektroenergetyczną.

tl;dr

* weszli przez Fortigate (cóż za zaskoczenie)

* zastali domyślne hasła, sprzęt/soft bez updatów

* napsuli, nakradli

* ale przeszkodą której nie udało się przeskoczyć był EDR

* do katastrofy nie doszło, ale akcja i tak bardzo gruba

Krótko i treściwie:

https://zaufanatrzeciastrona.pl/post/kto-i-w-jaki-sposob-zaatakowal-w-grudniu-2025-polska-infrastrukture-energetyczna/

Pełen raport od CERT w pierwszym komentarzu.

Lider0piorunów

30 fotowoltaik? dobrze, ze ktokolwiek zauwazyl xD wjebali sie jakiejs firemce zajmujacej sie eksploatacja i monitoringiem instalacji wlascicieli i wielka afera xD

GURU8piorunów

@100mph to nie jest śmieszne tylko tragiczne, skoro taki mały włam mógł spowodować blackout w całej Polsce

Lider0piorunów

@Endrevoir jaki blackout? 30 fotowoltaik żadnego blackoutu nie spowoduje xD SEE nawet nie odczuje jak mu tyle mocy odpadnie :smiley:

GURU8piorunów

@100mph w eter poszła informacja że mało braklo. Ja się nie znam, mogę się mylić ale taki przekaz szedl

Gruba ryba0piorunów

@100mph @Endrevoir Fotowoltaika to jedno. Elektrociepłownia dostarczająca ciepło dla 500k mieszkańców to drugie. Wyobraźcie sobie że wasze miasto traci ciepło na dzień, kilka dni, tydzień?

Odcięcie mocy wytwórczej (elektrycznej) jak w artykule raczej nie spowoduje nic złego. Ale już majstrowanie wieloma sterownikami na kilku GPZ może wywalić z miejsca miasto wojewódzkie na dobę.

Około 10-15 lat temu pewna grupka studentów miała przyjemność odwiedzić pewną stację elektroenergetyczna w ramach koła naukowego. Podczas ich pobytu coś poszło nie tak, wg relacji: stopiły się szyny zbiorcze (tak, aluminium zaczęło kapać im na głowy), część doznało poparzeń od ultrafioletu którego źródłem jest łuk elektryczny.

A teraz bądź hakerem i zrób wielkie kuku na wielu GPZ dużego miasta. Pozdro.

Lider0piorunów

@Endrevoir uwierz mi, ze wyrzucenie kilkuset fotowoltaik rzedu 1MW mocy zainstalowanej nie polozy SEE xD mowie to z doswiadczenia LOL

Lider0piorunów

@Marchew wieloma? wystarczy 2 ale roznica jest taka, ze mowimy o systemach opartych na infranecie a nie firemkach bazujacych na najtanszych rozwiazaniach dostepnych na aliexpress xD

Lider0piorunów

@Marchew ladna bajka :) kto ich tam wpuscil bez kaskow? nie neguje, ze mogli doznac obrazenia oczu od obserwowania luku elektrycznego

Pokaż więcej komentarzy (12)

Gruba ryba

w Cybersecurity

5piorunów

Implementacja NIS2 w postaci ustawy o krajowym systemie cyberbezpieczeństwa trafi do prezydenta.

SEJM oraz SENAT przegłosowali bardzo sprawnie.

Czy prezydent podpisze? Uważam że zdecydowanie tak. Niemal cały pis głosowało ZA.

ps. to nie tak polityka, ustawa zrobi (albo już robi) sporo zamieszania w szeregach wysokich stołków oraz u osób zarządzających sieciami komputerowymi.

Zacznie się żer dostawców/producentów/dystrybutorów na bezbronnych stołkach z zasobnym portfelem.

Dlaczego? Ponieważ pojawia się odpowiedzialność finansowa osób decyzyjnych, a handlowiec obieca wymianę worka pieniędzy na "bezpieczeństwo" i "spełnienie wymogów NIS2".

Gruba ryba

w Cybersecurity

64piorunów

Nowa forma oszustwa i wyłudzeń.

tl/dr - dostajesz blika, ktoś się do Ciebie odzywa że to pomyłka i żąda zwrotu pieniędzy blikiem na numer telefonu XXX. Zwracasz pieniądze (błąd), za jakiś czas odzywa się numer z którego dostałeś wpłatę z żądaniem wyjaśnień dlaczego nie dostał jeszcze paczki i gdzie są jego pieniądze -> kwik...

Co robić:

Skontaktuj się z bankiem, zwrot przelewu może zostać przeprowadzony wyłącznie przez bank w ramach oficjalnej procedury wyjaśniającej.

> O co chodzi? Twój numer telefonu może zostać podany w fikcyjnym ogłoszeniu jako numer do zapłaty za towar. Jeśli dostaniesz niespodziewany przelew BLIK od osoby, której nie znasz, nie odsyłaj samodzielnie pieniędzy! To nowy schemat oszustwa, w którym złodziej manipuluje dwiema ofiarami – kupującym i osobą, której numer był podany do przelewu. Na czym polega oszustwo?
>
> Przestępcy zamieszczają fikcyjne ogłoszenia dotyczące sprzedaży jakiegoś towaru z opcją płatności BLIKiem. Numer telefonu podany w ogłoszeniu należy do przypadkowej osoby.*
>
> Kupujący płaci za nieistniejący towar,* a pieniądze trafiają na konto osoby, której numer telefonu został bez jej wiedzy wskazany w ogłoszeniu.
>
> Po chwili oszuści kontaktują się z właścicielem numeru telefonu, na którego konto trafiły pieniądze i nalegają na ich pilny zwrot. Proszą o przelew na inny numer telefonu lub konta* niż ten, z którego zostały przelane pieniądze.
>
> Oszuści wywołują presję czasu*, by skłonić ofiarę do szybkiego odesłania pieniędzy. Tymczasem samodzielne wykonanie przelewu zwrotnego pozbawia ofiarę ochrony banku i może narazić na podejrzenie udziału w oszustwie.
>
> * Oszustwo wychodzi na jaw, gdy kupujący nie otrzymuje towaru i kontaktuje się z osobą, na której numer telefonu wpłacił pieniądze. Często sprawa jest od razu zgłaszana na policję lub do platformy sprzedażowej.
>
>
> Pamiętaj!
>
> Nie odsyłaj pieniędzy samodzielnie.* Zwrot przelewu - jeśli to faktycznie pomyłka - może zostać przeprowadzony wyłącznie przez bank w ramach oficjalnej procedury wyjaśniającej.
>
> * Nie generuj nowych kodów BLIK i nie potwierdzaj żadnych dyspozycji zewnętrznych.
>
> Jeżeli ktoś naciska, grozi lub nalega na "grzecznościowy zwrot" - zachowaj spokój i nie ulegaj presji.*
>
> Jak najszybciej skontaktuj się ze swoim bankiem* przez oficjalną infolinię lub aplikację i zgłoś sprawę.
>
> * Jeśli otrzymane środki nie są Twoje - nie możesz ich używać ani zatrzymać. Może to zostać uznane za przywłaszczenie.
>
>
> Ostrzeż bliskich i znajomych. Szczególnie tych, którzy mogą być bardziej podatni na manipulację, w tym osoby starsze.

GURU6piorunów

> Jeśli otrzymane środki nie są Twoje - nie możesz ich używać ani zatrzymać. Może to zostać uznane za przywłaszczenie.

@Marchew no dobra- głupie pytanie bo serio się nie znam- a co jakbyś miał wyjebane? W sensie- ktoś przelał ci kasę. Powiedzmy że ten oszust. Na twój numer telefonu, wpisując go raczej świadomie i tak samo świadomie klikając "wyślij". Tego raczej się nie zrobi przez przypadek jak ci się telefon w kieszeni odblokuje, albo przez sen, więc czy to serio się łapie pod przywłaszczenie? Nie może on pójść do banku i zgłosić takiej sytuacji ze swojej strony prosząc o wycofanie przelewu? Bo jeśli nie, bo usłyszy, że sam rozmyślnie przelał te pieniądze i tyle w temacie... no to w sumie czemu ty nagle masz być tym złym, jak nie będziesz pilnował jego własnego interesu?

Fenomen2piorunów

@Marchew jak ja bym dostał takiego bliczka, to bym w życiu nic nie odesłał przez telefon . Zaprosiłbym po odbiór gotówki :smiley:

Pokaż więcej komentarzy (18)

Gruba ryba

w Cybersecurity

9piorunów

Odbierają zastrzeżone xD

583251817 phishing "58 325 18 17" sms Google Authenticator 2fa

> _Twoja aplikacja Authenticator zostala sparowana z nowym urzadzeniem Jesli nie bylo to zamierzone nasz zespol wsparcia jest dostepny pod numerem 583251817_

(W nawiązaniu do tego)

Gruba ryba2piorunów

A to Ci checa. Może naprawdę przygotowywała mi powiadomienie xD

https://sekurak.pl/hackerzy-zadzwonili-do-niego-z-prawdziwego-numeru-google-oraz-wyslali-maila-z-prawdziwego-adresu-google-ostrzegajac-o-zhackowanym-koncie-okradli-go-na-blisko-2000000pln-450000/

https://infonumer.pl/numer/583251817

Hackerzy zadzwonili do niego z prawdziwego numeru Google oraz wysłali maila z prawdziwego adresu Google, ostrzegając o zhackowanym koncie. Okradli go na blisko 2000000PLN ($450000)Zaczęło się od telefonu od Google. “Ktoś zalogował się na Twoje konto z terytorium Niemiec”. Szybkie sprawdzenie dzwoniącego numeru +1 (650) 203-0000 wskazało na prawdziwy numer Google (numer używany przez Google Assistant). Ofiara w tym samym czasie otrzymała maila z domeny google[.]com z informacją, że będzie się kontaktować konsultant. Na jednym...Sekurak