Włamanie do polskiego systemu obsługującego hotele / wille / obiekty hotelowe [KWHotel]. Wysyłają fałszywe wiadomości do klientów.

Atakujący posiadając dane rezerwacji ofiar, wysyłają za pomocą WhatsApp / e-mail fałszywe wiadomości, nakłaniające do podania danych Waszych kart płatniczych (pod pozorem potwierdzenia / anulowania rezerwacji). Poniżej zdjęcie, które otrzymaliśmy od jednego z czytelników (przesłane do potencjalnej ofiary na WhatsApp – prawdopodobnie w celu uprawdopodobnienia rozmowy z “prawdziwym hotelem”): Jednocześnie...

#Aktualności #Awareness #Hasła #Hotelele #Wyciek

https://sekurak.pl/wlamanie-do-polskiego-systemu-obslugujacego-hotele-wille-obiekty-hotelowe-kwhotel/

Przejęto konto lekarza w aplikacji Medfile; atakujący wypisywał recepty na środki narkotyczne

Dodatkowo lekarz z Wrocławia informuje o wycieku danych: „Dane Państwa – imię, nazwisko, płeć, adres, PESEL, w niektórych przypadkach numer telefonu, a także dane medyczne z wizyt dermatologicznych, były gromadzone w zewnętrznym lekarskim programie gabinetowym Medfile, do którego w wyniku cyberataku nastąpił nieuprawniony dostęp. W wyniku ataku na dane niektórych...

#WBiegu #Awareness #Hasła #Lekarz #Wyciek

https://sekurak.pl/przejeto-konto-lekarza-w-aplikacji-medfile-atakujacy-wypisywal-recepty-na-srodki-narkotyczne/

Wyciek danych z Botland.com.pl

Botland, popularny internetowy sklep z elektroniką, poinformował dziś (22.08.2025) swoich klientów, że padł ofiarą ataku cyberprzestępców. Ślady obecności intruza w systemie zostały zauważone 23 lipca i 3 sierpnia 2025 r., ale według firmy nie wskazywały na naruszenie bezpieczeństwa danych. Dopiero szczegółowe badanie zlecone niezależnemu podmiotowi zakończone 11.08.2025 r. pozwoliło ustalić,...

#WBiegu #Botland #Hasła #Rodo #Wyciek

https://sekurak.pl/wyciek-danych-z-botland-com-pl/

[AKTUALIZACJA 2] Łukasz stracił 150 000 złotych, bo ktoś przejął jego konto w XTB

Od kilku dni na różnych grupach finansowych szeroko omawiany jest przypadek Łukasza, któremu ktoś wyczyścił konto w XTB na sporą kwotę. Celowo piszemy wyczyścił, bo w XTB nie da się wyprowadzić pieniędzy użytkownika na dowolny rachunek bankowy — przelewy można robić tylko na rachunki własne użytkownika. No ale da się środkami na rachunku brokerskim ofiary tak niekorzystnie “zagrać”, że ofiara je straci. A kiedy ktoś traci na rynku, to ktoś inny inny zarabia…
Zacznijmy jednak od początku i zanim wyjaśnimy co i dlaczego przytrafiło się Łukaszowi, oddajmy mu głos (wytłuszczenia nasze):
Od ponad 5 lat korzystałem z konta maklerskiego w XTB. Logowałem się zawsze z tych samych dwóch urządzeń (komputer stacjonarny i telefon), z Warszawy. Wiadomo, parę razy w tym czasie wymieniłem jedno czy drugie [urządzenie — dop. red.], ale zużytych sprzętów nie sprzedaję. Zostają u mnie. Nie używałem CFD, nie grałem agresywnie, inwestowałem ostrożnie w znane mi spółki. Nie zmieniałem haseł ani poziomu zabezpieczeń — bo przez 5 lat nigdy nie zostałem o to poproszony. Weryfikacja 2FA została uruchomiona w XTB dopiero ok. rok temu i nigdy jej nie uruchomiłem– serwis nie wymagał tego i nie przypominał o tym . W tym czasie założyłem 2FA na większości innych ważnych kont.
[13 maja 2025] na konto ktoś zalogował się z nowego urządzenia, spoza Warszawy, z innego IP. Nie wiem jak pozyskał moje hasło, czy był to bruteforce, czy przez lata omyłkowo użyłem gdzieś indziej tego loginu i hasła [i wyciekły], a może zhakowano mi przeglądarkę. Niestety nie wiem.
W ciągu paru godzin wykonał szereg szybkich transakcji (CFD, shorty, szybkie zakupy i sprzedaże) na łącznie ponad 1,5 miliona złotych. [...]

#2FA #DwuskładnikoweUwierzytelnienie #Hasła #Pieniądze #XTB

https://niebezpiecznik.pl/post/lukasz-stracil-150-000-zlotych-bo-ktos-przejal-jego-konto-w-xtb/

Dropbox zamyka menedżera haseł. Korzystasz? Lepiej się pospiesz

Dropbox ogłosił, że usługa do zarządzania hasłami, Dropbox Passwords, zostanie wkrótce zamknięta. Co nietypowe, harmonogram wygaszania usługi jest bardzo napięty, dając użytkownikom niewiele czasu na znalezienie nowego rozwiązania i przeniesienie swoich danych.

Jako oficjalny powód zamknięcia menedżera haseł firma podaje chęć skoncentrowania się na ulepszaniu innych, kluczowych funkcji w swoich podstawowych produktach. Decyzja ta oznacza, że wszyscy użytkownicy Dropbox Passwords muszą jak najszybciej wyeksportować swoje zapisane dane logowania, aby uniknąć ich bezpowrotnej utraty.

Proces zamykania usługi został podzielony na trzy etapy, które nastąpią w bardzo krótkich odstępach czasu:

• 28 sierpnia 2025 r.: aplikacja mobilna i rozszerzenie do przeglądarki przejdą w tryb „tylko do odczytu”. Będzie można wciąż przeglądać zapisane loginy i hasła, ale dodawanie nowych nie będzie możliwe. Wyłączona zostanie także funkcja autouzupełniania.
• 11 września 2025 r.: aplikacja mobilna Dropbox Passwords przestanie działać całkowicie. Dostęp do danych będzie jeszcze możliwy poprzez rozszerzenie w przeglądarce.
• 28 października 2025 r.: usługa zostanie w pełni i ostatecznie zamknięta. Dostęp do zapisanych nazw użytkownika, haseł i informacji o płatnościach będzie niemożliwy, a wszystkie te dane zostaną trwale i bezpiecznie usunięte z serwerów firmy. Zakończy się także działanie funkcji monitorowania wycieków w tzw. ciemnej sieci.

Dropbox zaleca użytkownikom przeniesienie swoich danych do innego menedżera haseł, wskazując jako przykład usługę 1Password. Alternatywą jest również wbudowana w urządzenia Apple aplikacja „Hasła”, która jest preinstalowana na wszystkich produktach tej firmy. Aby wyeksportować swoje dane, należy postępować zgodnie z poniższą instrukcją:

• Otwórz rozszerzenie Dropbox Passwords w przeglądarce.
• Kliknij swój awatar (zdjęcie profilowe lub inicjały) w lewym dolnym rogu.
• Wybierz „Preferencje” (Preferences).
• Przejdź do zakładki „Konto” (Account).
• Kliknij „Eksportuj” (Export), a następnie potwierdź operację, klikając ponownie „Eksportuj”.

#1Password #Bezpieczeństwo #cyberbezpieczeństwo #dropbox #DropboxPasswords #hasła #menedżerHaseł #news #ochronaDanych

Łukasz stracił 150 000 złotych, bo ktoś przejął jego konto w XTB

Od kilku dni na różnych grupach finansowych szeroko omawiany jest przypadek Łukasza, któremu ktoś wyczyścił konto w XTB na sporą kwotę. Celowo piszemy wyczyścił, bo w XTB nie da się wyprowadzić pieniędzy użytkownika na dowolny rachunek bankowy — przelewy można robić tylko na rachunki własne użytkownika. No ale da się środkami na rachunku brokerskim ofiary tak niekorzystnie “zagrać”, że ofiara je straci. A kiedy ktoś traci na rynku, to ktoś inny inny zarabia…
Zacznijmy jednak od początku i zanim wyjaśnimy co i dlaczego przytrafiło się Łukaszowi, oddajmy mu głos (wytłuszczenia nasze):

Od ponad 5 lat korzystałem z konta maklerskiego w XTB. Logowałem się zawsze z tych samych dwóch urządzeń (komputer stacjonarny i telefon), z Warszawy. Wiadomo, parę razy w tym czasie wymieniłem jedno czy drugie [urządzenie — dop. red.], ale zużytych sprzętów nie sprzedaję. Zostają u mnie. Nie używałem CFD, nie grałem agresywnie, inwestowałem ostrożnie w znane mi spółki. Nie zmieniałem haseł ani poziomu zabezpieczeń — bo przez 5 lat nigdy nie zostałem o to poproszony. Weryfikacja 2FA została uruchomiona w XTB dopiero ok. rok temu i nigdy jej nie uruchomiłem– serwis nie wymagał tego i nie przypominał o tym . W tym czasie założyłem 2FA na większości innych ważnych kont.
[13 maja 2025] na konto ktoś zalogował się z nowego urządzenia, spoza Warszawy, z innego IP. Nie wiem jak pozyskał moje hasło, czy był to bruteforce, czy przez lata omyłkowo użyłem gdzieś indziej tego loginu i hasła [i wyciekły], a może zhakowano mi przeglądarkę. Niestety nie wiem.
W ciągu paru godzin wykonał szereg szybkich transakcji (CFD, shorty, szybkie zakupy i sprzedaże) na łącznie ponad 1,5 miliona złotych. Styl transakcji [...]

#2FA #DwuskładnikoweUwierzytelnienie #Hasła #Pieniądze #XTB

https://niebezpiecznik.pl/post/lukasz-stracil-150-000-zlotych-bo-ktos-przejal-jego-konto-w-xtb/

Łamanie haseł szybsze o 35%. Wyniki najnowszej karty NVIDIA RTX 5090.

Właśnie pojawił się benchmark pokazujący szybkość najnowszego flagowca od NVIDII – RTX 5090 FE. Całość oczywiście w kontekście flagowego ;) narzędzia do odzyskiwania/łamania haseł – hashcata. Przykładowe porównania z RTX 4090: Zapewne jeszcze czekają nas aktualizacje sterowników, co wpłynie na szybkość działania hashcata. Czy te szybkości wpływają na obecne rekomendacje...

#WBiegu #5090 #Awareness #Hashcat #Hasła #Nvidia

https://sekurak.pl/lamanie-hasel-szybsze-o-35-wyniki-najnowszej-karty-nvidia-rtx-5090/

#OrangeCERT #hasła

iOS 18.2 i macOS 15.2 mają kilka ulepszeń w aplikacji Hasła

iOS 18.2 i macOS 15.2 mają kilka fajnych ulepszeń w aplikacji Hasła, której wersję 1.2 Apple wydało wraz z premierą wspomnianych systemów kilka dni temu.

Co nowego?

• Kiedy klikniemy prawym przyciskiem myszy lub użyjemy dotknięcia i przytrzymania gładzika/ekranu – możemy odkryć nasze hasło w widoku wielkiego fontu (podobnie, jak da się to zrobić w 1Password). Pamiętajcie, że jeśli to robicie to Wasze otoczenie powinno być względnie bezpieczne (nie chcecie, aby połowa biura widziała wasze hasło do banku na monitorze…),
• Na macOS 15.2 możemy skopiować nazwy użytkowników, hasła i kody z widoków szczegółowych za pomocą jednego kliknięcia. Wcześniej wymagało to dwóch kliknięć.
• Na Macu rówień możemy użyć menu Hasła > Rozszerzenia przeglądarkowe, aby wyświetlić zainstalowane przeglądarki i otworzyć stronę, która pozwala zainstalować specjalne rozszerzenie dla aplikacji Hasła.
  • Rozszerzenie iCloud Passwords jest już dostępne dla przeglądarki Mozilla Firefox. W przeciwieństwie do rozszerzeń Chrome i Edge, które są dostępne zarówno dla macOS, jak i Windows, rozszerzenie dla Firefox jest na razie dostępne tylko na macOS.
• W macOS 15.2 poprawiono również kompatybilność importowania plików .CSV wyeksportowanych z innych aplikacji. Brawo, ponieważ był z tym sporty problem!
• Zawartość sekcji Bezpieczeństwo w aplikacji można teraz przeszukiwać i szybko wybierać spośród wielu opcji.
• „Nigdy nie zapisywane” strony internetowe zostały przeniesione do ustawień aplikacji Hasła.

Aktualizacja macOS Sequoia do wersji 15.2

#aktualizacja #aplikacja #Bezpieczeństwo #hasła #iOS182 #macOS152 #menadżerHaseł #Passwords

Rozwiązanie konkursu „Złam sekurakowe hasło i wygraj 1000 zł” – zobaczcie write-up zwycięzcy

Poniżej opis procesu łamania naszego hasła, przesłany przez zwycięzcę konkursu, _secmike. Prosił on również o nagłośnienie tej zbiórki, do wzięcia udziału w której zachęcamy. ****** A teraz writeup: 28 września 2024 roku na portalu sekurak.pl pojawił się ciekawy konkurs związany z odtworzeniem danych wejściowych do funkcji skrótu, dysponując jedynie danymi...

#WBiegu #Hashcat #Hasła #Konkurs #Łamanie #Nagroda

https://sekurak.pl/rozwiazanie-konkursu-zlam-sekurakowe-haslo-i-wygraj-1000-zl-zobaczcie-write-up-zwyciezcy/

Złam sekurakowe hasło i wygraj 1000 zł. Mocno uproszczona wersja konkursu.

W ramach ostatniego konkursu nikt się nie zgłosił z prawidłową odpowiedzią. Do złamania było: 535be00fc31ff6612ee8fcc3d80aaf35ffb2c1e6487fac88bb81ab04a8ead089 No więc teraz finalnie osłabiona wersja konkursu (nagroda to 1000zł dla pierwszej osoby, która złamie hasło poniżej, w maksymalnym terminie do końca 14.10.2024). Nowe hasło konkursowe składa się z 3 słów w języku polskim. Tylko...

#WBiegu #Hasła #Konkurs

https://sekurak.pl/zlam-sekurakowe-haslo-i-wygraj-1000-zl-mocno-uproszczona-wersja-konkursu/

W najnowszym iOS dostępna jest już wbudowana appka-manager haseł. Nazywa się…: Hasła

Całość jest ewolucją mechanizmu, który był wcześniej dostępny tutaj: Ustawienia -> Hasła. Obecnie różne „porozrzucane” po iOS funkcje zebrane są w jeden dość miły dla oka interface: Mamy tutaj: ~ms

#WBiegu #Hasła #IOS #ManagerHaseł

https://sekurak.pl/w-najnowszym-ios-dostepna-jest-juz-wbudowana-appka-manager-hasel-nazywa-sie-hasla/

Złam sekurakowe hasło i wygraj 5000 zł!

Jakiś czas temu ogłosiliśmy konkurs na złamanie hasła: Hasło to pięć słów w języku polskim układających się w jedno sensowne zdanie. Tylko małe litery. PL literki zastąpione znakami bez ogonków np. mąka = maka. 535be00fc31ff6612ee8fcc3d80aaf35ffb2c1e6487fac88bb81ab04a8ead089 Nikomu nie udało się go złamać w zakładanym czasie (3 tygodnie). Teraz osłabiona wersja konkursu,...

#WBiegu #Hasła #Konkurs

https://sekurak.pl/zlam-sekurakowe-haslo-i-wygraj-5000-zl/

Ciekawy i banalny sposób na zresetowania hasła dowolnemu użytkownikowi w aplikacji webowej (tylko wtedy jeśli aplikacja jest podatna).

Błąd został zgłoszony w ramach konkretnego programu bug bounty. Nie ma tu zbyt wielu szczegółów, ale autor znaleziska wskazał na Twitterze, że całość wyglądała mniej więcej tak, jak luka zawarta w labie od Portswiggera. Zobaczmy więc jak wyglądała całość krok po kroku: Na Hackerone opis tematu jest dość enigmatyczny (ale...

#WBiegu #Hasła #Podatność #ResetHasła #Websec

https://sekurak.pl/ciekawy-i-banalny-sposob-na-zresetowania-hasla-dowolnemu-uzytkownikowi-w-aplikacji-webowej-tylko-wtedy-jesli-aplikacja-jest-podatna/

Jedna z największych korporacji z branży ochrony zdrowia w USA zapłaciła $22000000 okupu ransomware. Dostali się do nich z wykorzystaniem wykradzionych danych logowania. Change Healthcare.

W trakcie incydentu wyciekły dane osobowe oraz medyczne „istotnej liczby Amerykanów”. W telegraficznym skrócie: ❌ Cała akcja miała miejsce w lutym 2024. Apteki / szpitale w całym kraju zgłaszały opóźnienia / problemy z realizacją recept dla pacjentów. Sporo tego typu instytucji zaczęło mieć problemy z płynnością finansową. Change Healthcare –...

#Aktualności #Awareness #Citrix #Hack #Hasła #Mfa #Ransomware #Zdrowie

https://sekurak.pl/jedna-z-najwiekszych-korporacji-z-branzy-ochrony-zdrowia-w-usa-zaplacila-22000000-okupu-ransomware-dostali-sie-do-nich-z-wykorzystaniem-wykradzionych-danych-logowania-change-healthcare/

Jeden z wielu naszych tekstów o cyberbezpieczeństwie, tutaj akurat wyjaśniający, jak przechowywane są (lub powinny być przechowywane) hasła użytkowników w bazie danych. Nieco prowokacyjny tytuł, ale mimo wszystko, także mający umocowanie w rzeczywistości.

#CyberSec #cyberbezpieczeństwo #password #hasła #bcrypt

https://wildasoftware.pl/post/dlaczego-nie-nalezy-podawac-hasla-obsludze-serwisu?ref=mastodon

Słyszeliście już o wymyślnym schemacie konstruowania hasła chroniącego PDF-a z rocznym podsumowaniem rachunku PKO TFI? @InfZakladowy postanowił sprawdzić, jak szybko da się takie hasło złamać

https://informatykzakladowy.pl/lamiemy-haslo-do-szyfrowanego-pdf-a/

#infosec #cyberbezpieczenstwo #hasla #pdf

Banki i szyfrowanie plików – który składnik lepszy: hasło czy wykorzystanie numeru PESEL?

Wielu ludzi otrzymuje ostatnio informacje z PKO TFI dotyczące hasła do przesyłanego załącznika w formacie PDF o treści: Ze względów bezpieczeństwa załącznik został zaszyfrowany, aby uniemożliwić dostęp do pliku osobom trzecim. Hasłem dostępu do pliku jest ciąg 11 znaków wyznaczonych w oparciu o imię i nazwisko oraz datę urodzenia. Wprowadź...

#WBiegu #Bankowość #Cracking #Hashcat #Hasła #Pdf #Pko

https://sekurak.pl/banki-i-szyfrowanie-plikow-ktory-skladnik-lepszy-haslo-czy-wykorzystanie-numeru-pesel/

Najczęstsze błędy programistów popełniane w formularzu resetu hasła

Czy wiesz, jak niebezpieczna potrafi być funkcja przypominania hasła? Co prawda pozwala ona użytkownikom na dostanie się do serwisu w sytuacji, w której zapomnieli swoich danych dostępowych, ale jest też bardzo pomocna dla wszelkiej maści włamywaczy no i oczywiście testerów bezpieczeństwa aplikacji webowych. Zwłaszcza, jeśli zostanie zaimplementowana w nieodpowiedni sposób. W tym artykule przyjrzymy się najczęstszym wpadkom popełnianym przez programistów właśnie podczas implementacji mechanizmu przypominania hasła.
Zapraszamy do lektury kolejnego artykułu z serii “Poradnik Hackowania Webaplikacji“.

Aby nie przegapić kolejnych artykułów z tej serii, poświęconych błędom w serwisach internetowych i technikom testowania webaplikacji, zapisz się do naszego tematycznego newslettera — poza powiadomieniami o kolejnych artykułach otrzymasz od nas także dodatkowe przydatne materiały (linki, narzędzia i infografiki), które wysyłać będziemy tylko subskrybentom tego newslettera e-mailem (nie zostaną opublikowane na Niebezpieczniku).

Wpisz adres e-mail:

Rozwiąż Captcha:

HP

Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przekazywania Ci treści związanych z cyberbezpieczeństwem. Jeśli lubisz czytać o RODO, kliknij tutaj.

Aby rozpocząć analizę tego, co może pójść źle, zacznijmy od rozpisania procesu przypominania hasła na etapy. Zazwyczaj wygląda on następująco:

Aplikacja pyta użytkownika o maila
Aplikacja wyświetla komunikat o wysłaniu maila
Aplikacja wysyła maila z linkiem do zmiany hasła
Użytkownik klika linka
Użytkownik podaje dwukrotnie nowe hasło
Aplikacja aktualizuje hasło użytkownika w bazie
Użytkownik loguje się nowym hasłem do [...]

#Atak #Hasła #Ochrona #Pentest #PHW #Programowanie #TestyPenetracyjne #Webapliacje

https://niebezpiecznik.pl/post/najczestsze-bledy-programistow-w-formularzu-resetu-hasla/

Najczęstsze błędy programistów popełniane w formularzu resetu hasła

Czy wiesz, jak niebezpieczna potrafi być funkcja przypominania hasła? Co prawda pozwala ona użytkownikom na dostanie się do serwisu w sytuacji, w której zapomnieli swoich danych dostępowych, ale jest też bardzo pomocna dla wszelkiej maści włamywaczy no i oczywiście testerów bezpieczeństwa aplikacji webowych. Zwłaszcza, jeśli zostanie zaimplementowana w nieodpowiedni sposób. W tym artykule przyjrzymy się najczęstszym wpadkom popełnianym przez programistów właśnie podczas implementacji mechanizmu przypominania hasła.
Zapraszamy do lektury kolejnego artykułu z serii “Poradnik Hackowania Webaplikacji“.

Aby nie przegapić kolejnych artykułów z tej serii, poświęconych błędom w serwisach internetowych i technikom testowania webaplikacji, zapisz się do naszego tematycznego newslettera — poza powiadomieniami o kolejnych artykułach otrzymasz od nas także dodatkowe przydatne materiały (linki, narzędzia i infografiki), które wysyłać będziemy tylko subskrybentom tego newslettera e-mailem (nie zostaną opublikowane na Niebezpieczniku).

Wpisz adres e-mail:

Rozwiąż Captcha:

HP

Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przekazywania Ci treści związanych z cyberbezpieczeństwem. Jeśli lubisz czytać o RODO, kliknij tutaj.

Aby rozpocząć analizę tego, co może pójść źle, zacznijmy od rozpisania procesu przypominania hasła na etapy. Zazwyczaj wygląda on następująco:

Aplikacja pyta użytkownika o maila
Aplikacja wyświetla komunikat o wysłaniu maila
Aplikacja wysyła maila z linkiem do zmiany hasła
Użytkownik klika linka
Użytkownik podaje dwukrotnie nowe hasło
Aplikacja aktualizuje hasło użytkownika w bazie
Użytkownik loguje się nowym hasłem do systemu

Każdy [...]

#Atak #Hasła #Ochrona #Pentest #Programowanie #TestyPenetracyjne #Webapliacje

https://niebezpiecznik.pl/post/najczestsze-bledy-programistow-w-formularzu-resetu-hasla/