Peloton děravý. API umožňuje komukoliv získat privátní informace z účtů uživatelů. A to i když si účty nastavili jako soukromé. Nejde přitom o maličkost, Peloton má tři miliony předplatitelů a zařízení od Pelotonu stoji až 1 800 USD. V API bylo možné se dostat k věku, pohlaví, městu, váze, statistikám aktivit i datu narozen. Objevitel…
Něco co zní jako dost špatný vtip. QNAP odstranil účet pro zadní vrátka v HBS3 Hybrid Backup Sync. A co navíc, společnost potvrdila, že ransomware Qlocker používal právě tato zadní vrátka pro napadání zařízení. Předmětný účet umožňoval přihlásit se do zařízení s pomocí nezměnitelných přihlašovacích údajů. Nezapomeňte aktualizovat, ať nejste zranitelní. Podrobnosti v QNAP removes…
Děravé antivirové software od Trend Micro aktivně využíváno pro hack Windows počítačů. Děravé jsou přitom řešení pro firmy (Apex One a OfficeScan XC). Via Nightmare week for security vendors: Now a Trend Micro bug is being exploited in the wild a August 2020 Security Bulletin for Trend Micro Apex One, Apex One as a Service…
Geico, druhá největší pojišťovna automobilů v USA, byla děravá. Bylo možné získávat čísla řidičských průkazů zákazníků – od ledna do března 2021.
iPhone měsíce děravé. NSO Group používala nedetekovatelnou pomůcku pro hack iOSu. Nevyžadovala kliknutí uživatele a skrz 0day v iMessage. Stačilo na telefon poslat zprávu. Kismet, jak se nástroj jmenoval, pak stačilo doplnit o starý známý Pegasus. Pak už bylo možné sledovat polohu, dostat se k heslům, nahrávat audio, používat kameru a přistupovat k obsahu v…
Příběh hacknutí webových stránek pro právníky Facebooku v How I hacked Facebook: Part One je typickou ukázkou toho, jak firmy nechávají informační systémy děravé a přístupné z Internetu. Vlastně nejde o žádný zásadně složitý způsob jak se někam dostat. Jak název napovídá, autor bude mít ještě další pokračování. Podařilo se mu totiž najít ještě další…
Easy WP SMTP plugin pro WordPress děravý. Jde o hodně rozšířený doplněk webů a blogů na WordPressu s více než 500 tisíci aktivními instalacemi. Chyba umožňovala reset hesla a tím ovládnutí webu. Pokud používáte, je zásadně nutné aktualizovat.
iPhone bylo možné hacknout přes Wi-Fi aniž by o tom vlastník věděl nebo musel cokoliv udělat. Dost neuvěřitelná bezpečnostní chyba na kterou po šesti měsíčních analýzách přišel Ian Beer z Google Project Zero je od května opravená. Kompletná ovládnutí zařízení bylo možné přes apple Wireless Direct Link. Podrobnosti v An iOS zero-click radio proximity exploit…
Taková ta klasická bezpečnostní chyba plynoucí z přílišné složitosti dnešních systémů a existence starých služeb. Tak nějak by se dala shrnout zásadní bezpečnostní chyba u Seznam.cz – prostou návštěvou stránky se mohl útočník dostat k cookies potřebným pro vstup na váš účet. A tím do e-mailu a dalších služeb u Seznamu (s výjimkou Skliku a…
Používáte Go SMS Pro? Aplikace je děravá a zpřístupňuje miliony fotek a souborů uživatelů. Jde přitom o jednu z nejvíce populární aplikací pro posílání zpráv na Androidu s více než 100 miliony instalací. Chyby byla zjištění v srpnu, oznámena autorům a od té doby se náprava neobjevila. Popis v GO SMS Pro Vulnerable to Media…