31/12/2017
Memdump to cotygodniowe zestawienie informacji “zrzuconych z pamięci” redaktorów. Poniższe tematy były godne uwagi i nas zainteresowały, ale z różnych przyczyn nie zdążyliśmy ich opisać na łamach Niebezpiecznika tak szczegółowo, jakbyśmy sobie tego życzyli. Dlatego “zrzucamy” je wam do samodzielnego “zdebuggowania”, okraszając jedynie kilkoma zdaniami komentarza.
DLA WSZYSTKICH
- Najpopularniejszym hasłem w 2017 jest… 123456.
- NIK ogłosił plany swoich kontroli na rok 2018. Bezpieczeństwo teleinformatyczne RP to jeden z punktów programu.
- Twitterowe konto Johna McAfee zostało zhakowane. Hmmm.
- Uzyskanie dostępu do systemu operacyjnego pewnych rosyjskich bankomatów okazało się wyjątkowo łatwe.
- Lista najgroźniejszych ludzi w Internecie.
- Backdoory w trzech wtyczkach do WordPressa: Duplicate Page and Post, No Follow All External Links, WP No External Links.
- Wyciąganie haseł, które zapamiętała przeglądarka za pomocą ukrytych pól logowania (demo).
- Hakowanie maszyn w kasynach.
- Setki tysięcy urządzeń IoT podatne na zdalne wykonanie kodu. Problem leży w serwerze web GoAhead, z którego korzystają tacy giganci jak Oracle, D-Link, ZTE czy HP. Dostępna jest analiza oraz PoC.
- Hakowanie głośników Bose i Sonos przez Internet.
- Zgadywanie PINu do telefonu za pomocą wbudowanych sensorów. Aplikacja nie potrzebuje pozwolenia użytkownika.
- Aplikacja LastPassa na Androida nie jest bezpieczna.
- Zdalne wykonanie kodu na serwerze Yahoo – 8 000 dolarów.
- Nissan zaliczył wpadkę. Ponad milion obecnych i byłych klientów powiadomionych zostało o możliwym wycieku. Problem dotyczy klientów, którzy sfinansowali swój zakup przez Nissan Canada Finance. Najprawdopodobniej wykradzione zostały dane klienta, adres, marka i model pojazdu, numer identyfikacyjny pojazdu (VIN), ocena kredytowa, kwota kredytu i miesięczna opłata.
- Twitter wdrożył rozwiązania 2FA firm trzecich (Google Authenticator, Duo Mobile, Authy, 1Password itp.).
- Czy Rosjanie mogą mieć dostęp do oprogramowania używanego przez FBI do analizy odcisków palców? Jeśli was to interesuje, zajrzyjcie do BuzzFeed.
- Oszukiwanie sztucznej inteligencji od Google.
- W Chinach naprawdę można iść do więzienia za oferowanie nielegalnej usługi VPN.
DLA SYSADMINÓW / PROGRAMISTÓW
- Dlaczego nie korzystamy z TLS 1.3?
- Wykorzystywanie błędu DRAM rowhammer, aby uzyskać uprawnienia kernela.
- Hakowanie Magneto przez… wtyczkę do helpdesku.
- Bezpłatne wykłady od Princeton na temat krypto-walut – ponad 13h materiału.
to jest ciekawe: https://www.troyhunt.com/im-sorry-you-feel-this-way-natwest-but-https-on-your-landing-page-is-important/
======================
>> Magento
<< Magneto
======================
Panowie, dodawajcie proszę [PL] przed artykułami po polsku, lub zróbcie z nich osobną kategorię.
Oczywiście świetna robota, pozdrawiam ;)