Atak hackerski na Dom Development. Wyciekły dane pracowników / klientów / potencjalnych klientów.

Najprawdopodobniej DD nie ma pojęcia co wyleciało, więc wypisał wszystko.

Atak dotknął nie tylko spółkę-matkę, ale cały ekosystem grupy kapitałowej. Na liście poszkodowanych podmiotów znajdują się oddziały we Wrocławiu i Krakowie, spółka kredytowa, Dom Construction, a także trójmiejski Euro Styl S.A. oraz Fundacja Nasz Dom.

Co wyciekło?

Zakres wykradzionych klientów / potencjalnych klientów:

imię i nazwisko,

adres zamieszkania,

adres zameldowania,

numer i rodzaj dokumentu tożsamości,

data ważności i organ wydający dokument tożsamości,

PESEL,

numer rachunku bankowego,

adres mailowy,

numer telefonu,

stan cywilny,

numer księgi wieczystej,

informacja o prowadzonej działalności gospodarczej,

wysokość zadłużenia,

dane dotyczące roszczeń,

dane dotyczące transakcji i zakupionych produktów.

Dla pracowników / współpracowników / członków ich rodzin:

imię i nazwisko,

PESEL,

NIP lub nr i seria dowodu osobistego, w tym wizerunek,

adres zameldowania,

adres zamieszkania,

adres korespondencyjny,

numer telefonu lub adres e-mail, wynagrodzenie,

numer rachunku bankowego, dane dotyczące badań trzeźwości

Dodatkowo: informacje nt. członków rodziny – dzieci pracownika:

imiona i nazwiska,

daty urodzenia dzieci,

numer PESEL,

adres zamieszkania

Pozostali członkowie rodziny oraz partnerzy życiowi:

imię i nazwisko,

data urodzenia,

PESEL,

stopień pokrewieństwa.

#cyberbezpieczenstwo #cybersecurity

Notepad++

Hackers intercepted auto-updater traffic to download malicious files.

The developers of Notepad++ recently discovered an actively exploited vulnerability that enabled hackers to hijack the popular editor's automatic updater. Version 8.8.9 addresses the issue, but users should avoid relying on the updater in earlier releases and instead download the latest installer directly from the Notepad++ website.

Although Notepad++ developers are still investigating the issue.

https://www.techspot.com/news/110572-notepad-users-urged-update-immediately-after-hackers-hijack.html

#cyberbezpieczenstwo #cybersecurity

#cyberbezpieczenstwo #cybersecurity #ai &źródło

AMOS Stealer wykorzystuje zaufanie do AI: Malware dostarczany przez ChatGPT i Grok

5 grudnia 2025 r. Huntress przeanalizował alert dotyczący Atomic macOS Stealer (AMOS), który początkowo wyglądał rutynowo: eksfiltracja danych, standardowa persystencja AMOS i brak nietypowych wskaźników łańcucha infekcji w telemetrii. Spodziewaliśmy się standardowych wektorów dostarczenia: linku phishingowego, spreparowanego instalatora albo przynęty typu ClickFix. Niczego takiego jednak nie było — żadnego maila phishingowego, żadnego złośliwego instalatora i żadnej znanej przynęty w stylu ClickFix.

https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust

Wygląda legitymacyjnie, już otwieram PDF

#motoryzacja #otomoto #scam #cyberbezpieczenstwo

Strony z niezałataną podatnością React2Shell są podatne na ataki ze strony chińskich grup cyberprzestępczych, twierdzi Amazon

W zaledwie kilka godzin od publikacji informacji o załatanej już podatności React2Shell podano, że powstały już pierwsze narzędzia wykorzystujące tę lukę bezpieczeństwa.

https://kontrabanda.net/r/react2shell-nextjs-luka-bezpieczenstwa/

#kontrabanda #informacje #amazon #cyberbezpieczeństwo #otwarte_oprogramowanie

Scam na fałszywą legitymację bankową (° ͜ʖ °)

Przeraża mnie że są ludzie którzy się na to nabiorą ( ͡° ʖ̯ ͡°)

CSIRT KNF informuje o nowej fali vishingu. Przestępcy wykorzystują generowane przez AI fałszywe legitymacje bankowe, aby wzbudzić zaufanie ofiary i nakłonić ją do działania.

#cyberbezpieczenstwo #cybersecurity #scam

Pornograficzny deepfake z udziałem jednej z nastolatek w podwarszawskiej szkole. Według PUODO „służby odmówiły działań”

Według prezesa UODO służby nie dostrzegły znamion czynu zabronionego w sprawie pornograficznego deepfake’a, który miał zostać stworzony przez uczniów podwarszawskiej podstawówki. Choć sprawę zgłoszono na policję już w czerwcu 2025 r., organ twierdzi, że pół roku później sprawa wciąż nie doczekała się jakiejkolwiek reakcji.

https://kontrabanda.net/r/pornograficzny-deepfake-z-udzialem-jednej-z-nastolatek-w-podwarszawskiej-szkole-wedlug-puodo-sluzby-odmowily-dzialan/

#kontrabanda #informacje #cyberbezpieczeństwo #instagram #meta_platforms #policja #polska

Ministerstwo Cyfryzacji przesunęło datę publikacji kodu mObywatela na 29 grudnia 2025 roku

Termin publikacji kodu mObywatela został ponownie przesunięty – tym razem na 29 grudnia 2025 roku. Dariusz Standerski, wiceminister cyfryzacji, zapowiedział, że publikacja obejmie cały kod usługi rządowej.

https://kontrabanda.net/r/ministerstwo-cyfryzacji-przesunelo-date-publikacji-kodu-mobywatela-na-29-grudnia-2025-roku/

#kontrabanda #informacje #cyberbezpieczeństwo #ministerstwo_cyfryzacji #mobywatel #otwarte_oprogramowanie #polska

CERT ostrzega przed e–mailami podszywającymi się pod serwisy gov.pl

Cyberprzestępcy zgodnie z informacjami polskiego CERTu od pewnego czasu podszywają się w wiadomościach pod instytucje państwowe. Eksperci z CERTu zalecają zachowanie ostrożności.

https://kontrabanda.net/r/cert-ostrzega-przed-e-mailami-podszywajacymi-sie-pod-serwisy-gov-pl/

#kontrabanda #informacje #cyberbezpieczeństwo #polska

Meta w formie, 3,5 mld zestawów: numer telefonu, nazwa, zdjęcie profilowe za free dla każdego.

Wiedzieli od 2017 roku i nic nie zrobili (° ͜ʖ °)

Odkryli to austriaccy naukowcy, którym udało się uzyskać numery telefonów wszystkich 3,5 miliarda użytkowników WhatsApp. W przypadku około 57% z tych 3,5 miliarda użytkowników naukowcy uzyskali również dostęp do ich zdjęć profilowych, a w przypadku kolejnych 29% – do treści ich profili.

Jeśli zastanawiasz się, jakiej magicznej sztuczki hakerskiej musieli użyć, to odpowiedź brzmi: żadnej. W zasadzie po prostu próbowali dodać miliardy numerów – tak samo, jak zrobiłbyś to ty. Dodajesz numer, a WhatsApp informuje cię, czy osoba korzystająca z tego numeru ma konto, i pokazuje jej zdjęcie profilowe oraz treść konta.

Właśnie to zrobili naukowcy, tyle że na ogromną skalę, korzystając z WhatsApp Web, interfejsu przeglądarkowego tej usługi. Na początku tego roku byli w stanie sprawdzić około 100 milionów numerów telefonów na godzinę, ponieważ pomimo tego, że firma Meta, właściciel WhatsApp, została ostrzeżona o tym problemie w 2017 roku przez innego badacza, nie podjęła żadnych działań w tej sprawie.

Na szczęście austriaccy naukowcy poinformowali firmę o tym problemie w kwietniu, a do października firma wdrożyła ograniczenia szybkości, aby zapobiec tak masowemu wykrywaniu kontaktów. Oczywiście nie było to wdrażane przez wiele, wiele lat, podczas których każdy rodzaj nieuczciwego podmiotu mógł wykorzystać ten system.

Ze swojej strony Meta podkreśliła, że wszystkie te dane są „podstawowymi informacjami dostępnymi publicznie” i że zdjęcia profilowe i teksty nie były ujawniane użytkownikom, którzy zdecydowali się je ustawić jako prywatne. Firma zapewnia również wszystkich, że „nie znalazła żadnych dowodów na to, że złośliwi aktorzy nadużywali tego wektora” i „żadne dane niepubliczne nie były dostępne dla badaczy”.

Źródło:

https://www.gsmarena.com/whatsapp_easily_exposed_35_billion_peoples_phone_numbers-news-70350.php

#cyberbezpieczenstwo #cybersecurity

Austriacki resort gospodarki, energii i turystyki o migracji do Nextclouda: najważniejsze fakty z wywiadu

Wywiad, o którym mowa, został przeprowadzony 18 listopada 2025 roku za pomocą platformy Nextcloud Talk – której własną implementację od dłuższego czasu posiadało austriackie ministerstwo gospodarki, energii i turystyki (BMWET). Tutaj przedstawiamy najważniejsze fragmenty z przeprowadzonego wywiadu.

https://kontrabanda.net/r/austriacki-resort-gospodarki-energii-i-turystyki-o-migracji-do-nextclouda-najwazniejsze-fakty-z-wywiadu/

#kontrabanda #informacje #reportaże_autorskie #austria #bmwet #cyberbezpieczeństwo #nextcloud #otwarte_oprogramowanie

Pierwszy raz w życiu potrzebuję CodeSigning certificate i próbuję w wolnych chwilach doczytać jak to działa. Z tego co widzę, to po zakupie OV nie dostaję po prostu pliku tylko on od razu musi być na jednej ze "wspieranych" platform?

Mam trochę dziwną sytuację bo infra wróciła z poziomu dużego korpo do czegoś pomiędzy SOHO, a korpo. 2-3 osoby będą podpisywać regularnie, kilka od święta i teraz pytanie jak to ugryźć?

Z tego co widzę to mam opcje. :

• Płacę miesięcznie za chmurę w ssl.com, jako że wielu użytkowników to muszę użyć droższego tier 2, ale przynajmniej rozsyłam credentiale i zapominam o temacie z mojej strony?

• Kupuję Yubikeya z FIPS od ww. i mam go na stałe i za darmo (a przynajmniej do wygaśnięcia i przedłużania certa). Potem mogę (czy nie mogę?) go sobie skopiować na kolejny Yubikey z FIPS, którego kupię sam w normalnej cenie? Czy może jest jakiś proces gdzie zdalnie wrzucę klucz na mojego Yubikey'a (-keye)?

• Po zakupie wskazuję AWS/Azure jako przechowalnię klucza i potem klucz jest już przechowywany i udostępniany w ich HSM. Zakładam, że obie opcje są dodatkowo płatne? W Azure nie widzę oczywistego cennika, po prostu próbuje mi dać triala na jakieś usługi, ale w AWS widzę koszt 1,45$ za godzinę gdy jest po prostu aktywny. Czyli samo włączenie HSM od razu daje mi kosmiczny koszt Oo? Azure ma podobnie?

PS: Etap "zrób self-signed i po prostu roześlij przez Intune'a" mam już za sobą, nie wystarczy

#cyberbezpieczenstwo #cybersecurity #devops #nis2

Był ktoś z was kiedyś na liście BIGOTów?

https://en.wikipedia.org/wiki/BIGOT_list

#ciekawostki #bekazbigotow #bigot #heheszki #bezpieczenstwo #cyberbezpieczenstwo #tajneslozby

Kaspersky na Linuxie! Będziecie używać? #linux #bezpieczenstwo #cyberbezpieczenstwo #kaspersky #antywirus #rosja #oprogramowanie

Wdrożenie NIS2 jako nowelizacja ustawy o KSC, tak zwane KSC 2.0.

Co to jest? Ustawa która wymusi audyty systemów IT (cyberbezpieczeństwo, backupy itd), oceny ryzyka, audyty z zakresu wdrożeń wyników audytów, finansowa odpowiedzialność osób zarządzających itp. Ustawa wymuszająca aby IT zaczęło być bezpieczne, aby nie było traktowane butem.

Kogo obowiązuje? Podmioty krytyczne, ważne oraz firmy je obsługujące.

Dla wielu firm będzie drożej, będą procedury.

To już blisko, trafiło do sejmu!

7 listopada 2025 - Projekt wpłynął do Sejmu - druk nr 1955

17 listopada 2025 - Skierowano do I czytania na posiedzeniu Sejmu

Patrząc na ruską i białoruską agresję w przestrzeni cyfrowej to naprawdę nie sądzę aby obozy polityczne się gryzły i blokowały (może poza konfą xD).

Podejrzewam szybką ścieżkę oraz również szybki podpis prezydenta.

https://www.sejm.gov.pl/Sejm10.nsf/PrzebiegProc.xsp?nr=1955

#prawo #informatyka #ksc #nis2 #przedsiebiorczosc #cyberbezpieczenstwo #cybersecurity #biznes

Przegląd wybranych oszustw internetowych - PAŹDZIERNIK 2025

https://cebrf.knf.gov.pl/component/content/article/przeglad-wybranych-oszustw-internetowych-pazdziernik-2025?catid=14:ostrzezenia-csirt&Itemid=101

#cyberbezpieczenstwo #cybersecurity #bezpieczenstwo

@Unknow - piszą o Tobie! I niestety niezbyt dobrze...

https://zaufanatrzeciastrona.pl/post/kiedy-vibe-coding-i-vibe-hosting-wejda-za-mocno-studium-przypadku-z-naszego-podworka/

#programowanie #programista15k #programista25k #cyberbezpieczenstwo