Społeczność
W tej społeczności opisuje z czego składają się systemy cyberbezpieczeństwa
Kto może, wdraża AI, gdzie może. Bo taki mamy klimat. Instagram też wdrożył, ale w sposób, który zasługuje na nagrodę Darwina, bo ich inteligentny bot każdemu umożliwiał przejęcie konta dowolnego użytkownika. Wystarczyło poprosić o zmianę e-maila…
Pod koniec maja przez Instagrama przelała się...
Pojechałem na wojskowe szkolenie z cyberhigieny organizowane w ramach programu #wGotowości i wróciłem z bardzo mieszanymi odczuciami. Z jednej strony świetna organizacja, doświadczeni żołnierze z CSIRT MON i naprawdę wartościowy moduł o socjotechnice. Z drugiej — przestarzałe slajdy, straszenie...
Nie znam się na tym, więc i ciężko mi to opisać własnymi słowami, ale jest #afera z cyklu #cyberbezpieczenstwo
Są ludzie, którzy zajmują się znajdowaniem podatności pozwalających na zdalny dostęp do urządzeń codziennego użytku. Klasyką gatunku jest włamywanie się na niezabezpieczone hasłem kamerki IP, swego czasu było głośno o milionach paneli fotowoltaicznych w Niemczech. Teraz swoimi odkryciami dzieli się publicznie człowiek, który był w stanie oglądać obraz z kamer w odkurzaczach DJI i jakichś wideoniańkach na całym świecie.
Pod tym linkiem autor opisuje swoje przygody z tymi odkryciami związane:
https://github.com/xn0tsa/nobody-puts-baby-in-a-corner#if-you-own-one-of-these-cameras
Jako laik jedyne co z tego wynoszę to: ustawiać wszędzie własne hasła i uważać jakie urządzenia z kamerami kupuje się, a jeśli już to czy na pewno są mi one potrzebne do życia. Czy urządzenie potrzebuje dostępu do internetu i czy mogę to wypiąć. Choć i to nie zawsze wystarczy, bo dużo producentów ma wywalone w ponoszenie kosztów na coś więcej niż zupełne minimum aby ich produkt działał.
@Szuuz_Ekleer pamiętam że kiedyś się googla używało żeby znaleźć pospektów bez haseł xD
Najstraszniejsze w tym wszystkim jest to, że ludzie mogą wiedzieć- nie chce im się nic z tym zrobić
@tomasz-frankowski Na shodanie przeszukiwaliśmy kamerki, NASy, routery otwarte na świat - ot, standardowe zabawy scriptkiddies
@tomasz-frankowski Ludzie to gadżeciarze i jeszcze się tym jarają: -Patrz, jaki se nowoczesny odkurzacz z kamerką i internetem kupiłem!
Dziwić się zaczną kiedy pójdą kupić jakieś ubezpieczenie i ubezpieczyciel będzie wszystko o nich wiedział.
@Szuuz_Ekleer Zmiana hasła nic nie da jak 'serwisowe' jest zahardkodowane ¯\_(ツ)_/¯
Aczkolwiek to podstawowa sprawa przy wpinaniu czegokolwiek do internetu..
Jeżeli ktoś kupując odkurzacz, potrzebuje takiego z kamerką i dostępem do internetu, to sam jest sobie winien. To samo z TV z kamerami, lodówki, itd. No i auta - auta też! Jeśli coś gromadzi dane o waszym życiu, to na 200% znajdą się chętni, żeby te dane przejąć.
Ludzie to gadżeciarze i jarają się takimi "nowoczesnymi" funkcjami, ale... To ma realnie negatywny wymiar, to nie jest żadna abstrakcja. UE jeszcze się broni, ale w Stanach jest wolna amerykanka. Producenci aut sprzedają dane o jeździe swych klientów (nie pytają o zgodę, bo licence agreement kliknięty) firmom ubezpieczeniowym. Producenci TV, lodówek, i innych urządzeń z kamerkami wysyłają życie swych klientów LLMom i też nikogo o zgodę nie pytają. Są tak bezczelni, że zgoda na wysyłanie danych jest domyślnie włączona w ustawieniach, albo w ogóle nie jest tam dostępna i też była zawarta w license agreememnt. Potrafią takie rzeczy dołączać razem ze upgrejdem softu i nawet jeśli ich n ie było, to pojawiają się w nowej wersji. Albo zmieniają produkt w usługę abonamentową, bez pytania o zgodę. Nie ma na nich bata, bo klimat polityczny jest taki, że agencje, które powinny to gnoić, zwyczajnie mają to w d⁎⁎ie.
Tego pojawia się już masa, czekam kiedy lobbyści zaczną się przebijać do europejskiego prawa. Polecam chętnym - jest już specjalne wiki, które gromadzi takie przypadki z całego świata:
Zaloguj się aby komentować
150% więcej incydentów w rok. Brzmi jak clickbait? To twarde dane z raportu CERT Polska za 2025. W tym odcinku pokazuję, co naprawdę się zmieniło: tylko 10% więcej zgłoszeń, ale dużo bardziej precyzyjne ataki – spear phishing, zaawansowana socjotechnika i komunikatory zamiast SMS-ów. Rozkładam na...
Wyobraź sobie, że stoisz w korku. Albo spacerujesz po chodniku z psem. Tymczasem w samochodzie na światłach siedzi typ, który uśmiecha się i w tym samym momencie zarabia tysiące złotych. Bo w bagażniku samochodu ma “SMS Blastera“. Tym sprzętem przejmuje łączność Twojego smartfona i wstrzuje Ci...
Bitwarden zhakowany!
Problem tyczy się TYLKO Bitwarden CLI (zarządzanie z konsoli).
Na chwilę obecną nie ma informacji aby inne wersje (okienkowe) były zainfekowane.
Złośliwa paczka była dostępna "tylko" przez 1,5 godziny.
#cyberbezpieczenstwo #cybersecurity #komputery #informatyka
@Marchew nosz k⁎⁎wa, najpierw lastpass a teraz Bitwarden. Gdzie mam się przenieść teraz?
@Endrevoir Nie jestem ekspertem.
Ale dla mnie keepass i keepass XC.
Offline daje mi pozorne bezpieczeństwo.
Ale tez managery offline to w większości target domowy. Cyberuchy pchają się tam gdzie korpo, a więc i rozwiązania online + synchronizacja pomiędzy urządzeniami.
@Marchew no dobra, keepass na PC zadziała. A telefon?, synchronizacja bazy? To już trochę trudniej
@Endrevoir jeśli gdzieś uciekać, to tu: https://european-alternatives.eu/category/password-managers
Zaloguj się aby komentować
Co łączy dostawcę gazu, firmę telekomunikacyjną i centrum medyczne? Takie firmy wysyłają do swoich klientów maile z linkami do płatności. Niestety nie służy budowaniu dobrych nawyków w przeciwdziałaniu phishingowi. Niewiele też wskazuje na to, aby to się miało zmienić.
bezpieczenstwo...
W Krakowie powstanie Małopolskie Centrum Cyberbezpieczeństwa, które ma chronić szpitale przed rosnącą liczbą cyberataków. Inwestycja o wartości ok. 10 mln euro zostanie zrealizowana do końca 2027 roku. Głównym elementem projektu będzie nowoczesna serwerownia przy Szpitalu Klinicznym im. dr. Józefa...
Wygląda grubo, pozostaje czekać na szersze info ; )
Pierwsze tango down państwa i zacznie się globalny wycof od cyfryzacji.
#cyberbezpieczenstwo #cybersecurity
Fajnie, tylko, że sam wyciek kodu źródłowego nie znaczy nic (ba, nawet są tego zalety, cały mObywatel jest oparty o open source). A hasła się zmieni 🤷 Nie ma odwrotu od cyfrowego państwa.
@AureliaNova Hasło możesz zmienić, ale skutków wycieku już nie.
Co do mobywatel, udostępniono jedynie frontend. To nie open source.
@Marchew ok, faktycznie. Co nie zmienia faktu, że kontrolowane opublikowanie całego kodu byłoby całkiem zdrowe i poprawiłoby bezpieczeństwo. Anyway, cokolwiek by nie robić, to powrotu do ery "papierowe" nie ma. Choćby tylko ze względu na koszty.
Zaloguj się aby komentować
Kto by się spodziewał, ciekawe jakie jeszcze ciekawostki wyjdą w najbliższym czasie.
Niedawno udało się zmusić kilka modeli do wyrecytowania połowy książki o Harrym Pioterze ¯\_( ͡° ͜ʖ ͡°)_/¯
Czekam na wyrecytowanie zestawu mail / telefon / imię nazwisko / pesel
#cyberbezpieczenstwo #ciekawostki
@Marchew w sumie dobre do testów penetracyjnych
@MostlyRenegade Powstają już ransomware i inne dość zorganizowane ataki tworzone przez AI.
Co do pentesterów uważałbym, jeszcze zrobi co nieco więcej niż trzeba i będzie klops ( ‾ʖ̫‾)
Zaloguj się aby komentować
Weź kliknij.
Ok.
#cyberbezpieczenstwo #cybersecurity
Nie klikajcie to scam
Zaloguj się aby komentować
Co tak naprawdę stało się z CVE-2026-20841?
Ktoś w Microsofcie pomyślał: „a co jeśli Notatnik mógłby wykonywać polecenia?” — i wypuścił to włączone domyślnie. Atakujący mogą teraz podsunąć użytkownikom złośliwy plik .md, ty otwierasz go, klikasz link i BUM — kod uruchamia się z pełnymi uprawnieniami użytkownika. Pełne przejęcie systemu. To aż tak poważne.
~
Sama podatność jest dość prosta. Obsługa Markdown w Notatniku nie sprawdza, co znajduje się w tych linkach, zanim je wykona. Specjalnie przygotowany plik z odpowiednim prefiksem protokołu robi resztę.
~
Wystarczy phishing i kliknięcie użytkownika zamienia się w pełne przejęcie systemu.
https://www.reddit.com/r/cybersecurity/comments/1r21w44/cve202620841_windows_notepad_remote_code/ ?
#microslop #microsoft #windows #cybersecurity #security
@Deykun na szczęście ja używam tylko notepad++ ( ͡° ͜ʖ ͡°)
@maximilianan robiłeś ostatnio aktualizację? https://notepad-plus-plus.org/news/hijacked-incident-info-update/
@szatkus-2 he he
Zaloguj się aby komentować
@Hajt Źródło?
@Marchew Facebook z3s
@Hajt Tyle widzę : ) Szukam źródła wypowiedzi ministra
Zaloguj się aby komentować
Kulisy ruskiego ataku hakerskiego na infrastrukturę elektroenergetyczną.
tl;dr
weszli przez Fortigate (cóż za zaskoczenie)
zastali domyślne hasła, sprzęt/soft bez updatów
napsuli, nakradli
ale przeszkodą której nie udało się przeskoczyć był EDR
do katastrofy nie doszło, ale akcja i tak bardzo gruba
Krótko i treściwie:
Pełen raport od CERT w pierwszym komentarzu.
#cyberbezpieczenstwo #cybersecurity #siecikomputerowe
Pełen oficjalny raport od CERT.
https://cert.pl/uploads/docs/CERT_Polska_Raport_Incydent_Sektor_Energii_2025.pdf
30 fotowoltaik? dobrze, ze ktokolwiek zauwazyl xD wjebali sie jakiejs firemce zajmujacej sie eksploatacja i monitoringiem instalacji wlascicieli i wielka afera xD
@100mph to nie jest śmieszne tylko tragiczne, skoro taki mały włam mógł spowodować blackout w całej Polsce
@Endrevoir jaki blackout? 30 fotowoltaik żadnego blackoutu nie spowoduje xD SEE nawet nie odczuje jak mu tyle mocy odpadnie
czyli nic nie zabezpieczone xD kura w kryczynej infra
@konrad1 Ma być tanio xD
Kto miał styczność ten się z tego cyrku nie śmieje.
Czasem są takie braki że głowa mała, ostatnio widziałem jak ktoś kupił firewalle za 1 mln zł aby później leżały na półce w magazynie...
@konrad1 zycie ;) farmy fotowoltaiczne budowane po kosztach i utrzymywane po kosztach do tego stopnia, ze nikt nie pamieta o koszeniu traw do momentu gdy na ktorejs potrzebna jest interwencja strazy pozarnej xD
Zaloguj się aby komentować
Implementacja NIS2 w postaci ustawy o krajowym systemie cyberbezpieczeństwa trafi do prezydenta.
SEJM oraz SENAT przegłosowali bardzo sprawnie.
Czy prezydent podpisze? Uważam że zdecydowanie tak. Niemal cały pis głosowało ZA.
ps. to nie tak polityka, ustawa zrobi (albo już robi) sporo zamieszania w szeregach wysokich stołków oraz u osób zarządzających sieciami komputerowymi.
Zacznie się żer dostawców/producentów/dystrybutorów na bezbronnych stołkach z zasobnym portfelem.
Dlaczego? Ponieważ pojawia się odpowiedzialność finansowa osób decyzyjnych, a handlowiec obieca wymianę worka pieniędzy na "bezpieczeństwo" i "spełnienie wymogów NIS2".
#cyberbezpieczenstwo #cybersecurity #IT #sysadmin #siecikomputerowe
Zaloguj się aby komentować
Nowa forma oszustwa i wyłudzeń.
tl/dr - dostajesz blika, ktoś się do Ciebie odzywa że to pomyłka i żąda zwrotu pieniędzy blikiem na numer telefonu XXX. Zwracasz pieniądze (błąd), za jakiś czas odzywa się numer z którego dostałeś wpłatę z żądaniem wyjaśnień dlaczego nie dostał jeszcze paczki i gdzie są jego pieniądze -> kwik...
Co robić:
Skontaktuj się z bankiem, zwrot przelewu może zostać przeprowadzony wyłącznie przez bank w ramach oficjalnej procedury wyjaśniającej.
O co chodzi? Twój numer telefonu może zostać podany w fikcyjnym ogłoszeniu jako numer do zapłaty za towar. Jeśli dostaniesz niespodziewany przelew BLIK od osoby, której nie znasz, nie odsyłaj samodzielnie pieniędzy! To nowy schemat oszustwa, w którym złodziej manipuluje dwiema ofiarami – kupującym i osobą, której numer był podany do przelewu. Na czym polega oszustwo?
Przestępcy zamieszczają fikcyjne ogłoszenia dotyczące sprzedaży jakiegoś towaru z opcją płatności BLIKiem. Numer telefonu podany w ogłoszeniu należy do przypadkowej osoby.
Kupujący płaci za nieistniejący towar, a pieniądze trafiają na konto osoby, której numer telefonu został bez jej wiedzy wskazany w ogłoszeniu.
Po chwili oszuści kontaktują się z właścicielem numeru telefonu, na którego konto trafiły pieniądze i nalegają na ich pilny zwrot. Proszą o przelew na inny numer telefonu lub konta niż ten, z którego zostały przelane pieniądze.
Oszuści wywołują presję czasu, by skłonić ofiarę do szybkiego odesłania pieniędzy. Tymczasem samodzielne wykonanie przelewu zwrotnego pozbawia ofiarę ochrony banku i może narazić na podejrzenie udziału w oszustwie.
Oszustwo wychodzi na jaw, gdy kupujący nie otrzymuje towaru i kontaktuje się z osobą, na której numer telefonu wpłacił pieniądze. Często sprawa jest od razu zgłaszana na policję lub do platformy sprzedażowej.
Pamiętaj!
Nie odsyłaj pieniędzy samodzielnie. Zwrot przelewu - jeśli to faktycznie pomyłka - może zostać przeprowadzony wyłącznie przez bank w ramach oficjalnej procedury wyjaśniającej.
Nie generuj nowych kodów BLIK i nie potwierdzaj żadnych dyspozycji zewnętrznych.
Jeżeli ktoś naciska, grozi lub nalega na "grzecznościowy zwrot" - zachowaj spokój i nie ulegaj presji.
Jak najszybciej skontaktuj się ze swoim bankiem przez oficjalną infolinię lub aplikację i zgłoś sprawę.
Jeśli otrzymane środki nie są Twoje - nie możesz ich używać ani zatrzymać. Może to zostać uznane za przywłaszczenie.
Ostrzeż bliskich i znajomych. Szczególnie tych, którzy mogą być bardziej podatni na manipulację, w tym osoby starsze.
#scam #cyberbezpieczenstwo #cybersecurity
Jeśli otrzymane środki nie są Twoje - nie możesz ich używać ani zatrzymać. Może to zostać uznane za przywłaszczenie.
@Marchew no dobra- głupie pytanie bo serio się nie znam- a co jakbyś miał wyjebane? W sensie- ktoś przelał ci kasę. Powiedzmy że ten oszust. Na twój numer telefonu, wpisując go raczej świadomie i tak samo świadomie klikając "wyślij". Tego raczej się nie zrobi przez przypadek jak ci się telefon w kieszeni odblokuje, albo przez sen, więc czy to serio się łapie pod przywłaszczenie? Nie może on pójść do banku i zgłosić takiej sytuacji ze swojej strony prosząc o wycofanie przelewu? Bo jeśli nie, bo usłyszy, że sam rozmyślnie przelał te pieniądze i tyle w temacie... no to w sumie czemu ty nagle masz być tym złym, jak nie będziesz pilnował jego własnego interesu?
@NiebieskiSzpadelNihilizmu to nie oszust ci przelewa kasę
@Marchew jak ja bym dostał takiego bliczka, to bym w życiu nic nie odesłał przez telefon . Zaprosiłbym po odbiór gotówki
przerażająco sprytne.
@maly_ludek_lego Przerażająco sprytne, ale tylko wobec niepełnosprytnych.
Wystarczy kierować się zasadą, że nienależne pieniądze odsyłamy wyłącznie do nadawcy.
@dziedzicpruski ale CI scamerzy podają sie za nadawcę wlaśnie
Zaloguj się aby komentować
Odbierają zastrzeżone xD
#google #spoofing #phishing #android #sms 583251817 phishing "58 325 18 17" sms Google Authenticator 2fa
Twoja aplikacja Authenticator zostala sparowana z nowym urzadzeniem Jesli nie bylo to zamierzone nasz zespol wsparcia jest dostepny pod numerem 583251817
(W nawiązaniu do tego)
A to Ci checa. Może naprawdę przygotowywała mi powiadomienie xD
Zaloguj się aby komentować
Dostał ktoś kiedyś taki SMS od #google ? Serio pytam. Nie używam authenticatora Google, ponadto wg devices.google nic nowego nie logowało się w ciągu kilku godzin. Wszystko moje. Więcej powiem - czaty rcs mam wyłączone. #spoofing #android
https://www.nieznany-numer.pl/Numer/583251817 zaczyna indeksować
Temat dla @icd i innych sekuraków.
Puściłem niebezpiecznikowi - najciekawsze, że Google Messages sklasyfikowały to jako sms " z firmy" :-)
infonumer,pl/numer/583251817
Fejkus jak cholera ale interesujące że filtry nie wyłapały
Zaloguj się aby komentować
Cyberprzestępcy znaleźli sposób na obejście zabezpieczeń jednego z największych serwisów rezerwacyjnych świata. Wykorzystując phishing wymierzony nie w samą platformę, ale w systemy hoteli i pensjonatów, przejmują kontrolę nad kontaktami z gośćmi wewnątrz oficjalnej aplikacji Booking.com....
