Adam Wyka – IT Business Support

Adam Wyka

,
, , , , , , , , , , , , , , , , , , , , , , , , , ,

CyberSec Shorts #3

CyberSec Shorts to seria zwięzłych podsumowań najnowszych informacji ze świata cyberbezpieczeństwa. Każdy wpis zawiera krótki opis problemu, jego wpływu oraz źródło, z którego pochodzi informacja, co umożliwia dalsze zgłębienie tematu.

Zwięźle dla Ciebie, bezpieczniej dla wszystkich.

Google wypłaca 55 000 USD za odkrycie podatności w Chrome

Google wydało aktualizację przeglądarki Chrome do wersji 133, która naprawia cztery luki bezpieczeństwa o wysokim priorytecie zgłoszone przez zewnętrznych badaczy. Jedna z nich, oznaczona jako CVE-2025-0995, to błąd typu use-after-free w silniku JavaScript V8. Za jej odkrycie badacz otrzymał nagrodę w wysokości 55 000 USD. Pozostałe załatane podatności to: use-after-free w module nawigacji (CVE-2025-0997), błąd out-of-bounds w V8 (CVE-2025-0998) oraz niewłaściwa implementacja w interfejsie użytkownika przeglądarki (CVE-2025-0996). Użytkownikom zaleca się jak najszybszą aktualizację przeglądarki do najnowszej wersji.

Źródło: https://www.securityweek.com/google-pays-out-55000-bug-bounty-for-chrome-vulnerability/

Google i Polska współpracują nad rozwojem AI w sektorach energetyki i cyberbezpieczeństwa

Google podpisało z Polską memorandum dotyczące rozwoju sztucznej inteligencji (AI) w sektorach energetyki i cyberbezpieczeństwa. Podczas spotkania w Warszawie, CEO Google Sundar Pichai oraz premier Donald Tusk omówili rozszerzenie działalności firmy w Polsce, gdzie Google zatrudnia już ponad 2000 pracowników. Dodatkowo, Google przeznaczy 5 milionów dolarów na programy szkoleniowe, które w ciągu pięciu lat mają zwiększyć cyfrowe kompetencje około miliona młodych Polaków. Premier Tusk podkreślił, że te inicjatywy wzmocnią bezpieczeństwo kraju i przyczynią się do jego rozwoju gospodarczego. Wspomniał również o planowanych inwestycjach Google i Microsoftu w Polsce, szacowanych na około 650 miliardów złotych w 2025 roku.

Źródło: https://www.securityweek.com/google-hub-in-poland-to-develop-ai-use-in-energy-and-cybersecurity-sectors/

Shadow AI: ciche zagrożenie dla bezpieczeństwa danych w przedsiębiorstwach

Shadow AI odnosi się do nieautoryzowanego użycia narzędzi sztucznej inteligencji (AI) przez pracowników w organizacjach, co stwarza nowe zagrożenia dla bezpieczeństwa danych. Podobnie jak w przypadku shadow IT, gdzie pracownicy korzystają z niezatwierdzonych aplikacji, shadow AI polega na wykorzystywaniu AI bez odpowiedniego nadzoru, co może prowadzić do wycieków danych i naruszeń bezpieczeństwa. Narzędzia AI analizują duże ilości wrażliwych informacji, takich jak dane finansowe czy własność intelektualna, co zwiększa ryzyko ich nieautoryzowanego ujawnienia. Aby przeciwdziałać tym zagrożeniom, liderzy ds. bezpieczeństwa powinni wdrożyć polityki zarządzania i nadzoru nad użyciem AI w miejscu pracy, zapewniając kontrolę nad integracją tych technologii i ochronę przed potencjalnymi naruszeniami.

Źródło: https://www.securitymagazine.com/articles/101382-shadow-ai-the-silent-threat-to-enterprise-data-security

Krytyczna podatność SQL injection w PostgreSQL: użytkownicy powinni natychmiast zaktualizować psql

Kilka dni temu specjalista z firmy Rapid7 odkrył krytyczną podatność SQL injection w interaktywnym narzędziu psql dla PostgreSQL, oznaczoną jako CVE-2025-1094, z oceną CVSS 8,1/10. Luka ta dotyczy wszystkich obsługiwanych wersji przed 17.3, 16.7, 15.11, 14.16 i 13.19. Problem wynika z błędnego założenia, że odpowiednie procedury ucieczki ciągu znaków zabezpieczają przed atakami SQL injection. W rzeczywistości, poprzez manipulację nieprawidłowymi znakami UTF-8, atakujący może wstrzyknąć złośliwy kod SQL, prowadząc do wykonania dowolnych poleceń systemowych za pomocą metapoleceń psql. Użytkownikom zaleca się natychmiastową aktualizację do najnowszych wersji PostgreSQL w celu zabezpieczenia systemów.

Źródło: https://kapitanhack.pl/2025/02/18/nieskategoryzowane/nowa-podatnosc-sql-injection-w-postgresql/?utm_source=rss&utm_medium=rss&utm_campaign=nowa-podatnosc-sql-injection-w-postgresql

Meta wypłaca ponad 2,3 miliona dolarów w ramach bug bounty w 2024 roku

W 2024 roku firma Meta wypłaciła ponad 2,3 miliona dolarów w ramach programu bug bounty, otrzymując blisko 10 000 zgłoszeń podatności, z czego około 600 kwalifikowało się do nagrody. Od 2011 roku Meta przyznała badaczom ponad 20 milionów dolarów za wykryte luki w takich produktach jak Facebook, Messenger, Instagram, WhatsApp, Workplace, Meta Quest, Ray-Ban Stories, Meta AI oraz w oprogramowaniu open source. Zgodnie z wytycznymi firmy, badacze mogą otrzymać do 300 000 dolarów za luki umożliwiające wykonanie kodu w aplikacjach mobilnych, do 145 000 dolarów za podatności pozwalające na przejęcie konta oraz 45 000 dolarów za błędy w sprzęcie Meta. Od 2023 roku program obejmuje również zgłaszanie podatności w funkcjach generatywnej AI oraz produktach rzeczywistości mieszanej.

Źródło: https://www.securityweek.com/meta-paid-out-over-2-3-million-in-bug-bounties-in-2024/

Zmiany w deklaracjach anonimowości: przypadki NordVPN i ProtonMail

Artykuł na Zaufanej Trzeciej Stronie analizuje przypadki firm NordVPN i ProtonMail, które zmieniły swoje deklaracje dotyczące anonimowości użytkowników. NordVPN przez długi czas twierdził, że nie będzie spełniać żądań zagranicznych organów ścigania, jednak w styczniu 2022 roku zmienił swoje stanowisko, informując, że będzie współpracować zgodnie z obowiązującymi przepisami. ProtonMail do września 2021 roku deklarował brak przechowywania logów IP, ale po tym czasie zmienił komunikat, sugerując możliwość udostępniania takich danych zgodnie z prawem. Autor podkreśla, że firmy działające legalnie muszą przestrzegać lokalnych przepisów, a użytkownicy powinni samodzielnie dbać o swoją prywatność.

https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025/

Źródło: https://zaufanatrzeciastrona.pl/post/jak-nordvpn-czy-protonmail-wycofywaly-sie-ze-swoich-obietnic-absolutnej-anonimowosci/

Astaroth: Nowy zestaw phishingowy omijający dwuskładnikowe uwierzytelnianie w usługach Gmail i Yahoo

Badacze z firmy SlashNext odkryli nowy zestaw phishingowy o nazwie Astaroth, który potrafi ominąć dwuskładnikowe uwierzytelnianie (2FA) poprzez przechwytywanie sesji i w czasie rzeczywistym przejmowanie danych uwierzytelniających. Astaroth wykorzystuje technikę reverse proxy w stylu evilginx, działając jako pośrednik między ofiarą a prawdziwymi usługami uwierzytelniania, takimi jak Gmail, Yahoo czy Microsoft. Pozwala to na przechwytywanie tokenów, haseł oraz plików cookie sesji, co czyni tradycyjne metody obrony przed phishingiem mniej skutecznymi. Eksperci ds. bezpieczeństwa zalecają użytkownikom zachowanie szczególnej ostrożności przy otrzymywaniu e-maili wymagających natychmiastowego działania oraz unikanie klikania w podejrzane linki, sugerując zamiast tego bezpośrednie odwiedzanie oficjalnych stron internetowych w celu weryfikacji ewentualnych problemów z kontem.

Źródło: https://www.securitymagazine.com/articles/101384-gmail-yahoo-targeted-by-a-new-two-factor-authentication-phishing-kit

Top 10 najczęściej występujących zagrożeń malware w Q4 2024 według CIS

W czwartym kwartale 2024 roku Centrum Bezpieczeństwa Internetowego (CIS) opublikowało listę dziesięciu najczęściej występujących zagrożeń malware. Oto one:

  1. SocGholish: Downloader napisany w JavaScript, dystrybuowany poprzez złośliwe lub skompromitowane strony internetowe, często podszywający się pod fałszywe aktualizacje przeglądarek.
  2. CoinMiner: Oprogramowanie służące do kopania kryptowalut, które wykorzystuje zasoby systemowe ofiary bez jej wiedzy.
  3. Arechclient2: Zdalny trojan dostępu (RAT) oparty na platformie .NET, posiadający liczne funkcje unikania wykrycia i kradzieży danych.
  4. Nanocore: RAT atakujący systemy Windows, dostępny na czarnym rynku, umożliwiający m.in. przechwytywanie klawiszy, zrzutów ekranu oraz kradzież danych uwierzytelniających.
  5. Agent Tesla: RAT dla systemu Windows, dostępny na forach przestępczych, oferujący funkcje takie jak przechwytywanie klawiszy, zrzutów ekranu oraz kradzież danych z przeglądarek.
  6. Ratenjay: RAT z licznymi funkcjami, w tym unikania wykrycia, kradzieży danych oraz zdalnej kontroli systemu.
  7. ZPHP: Downloader napisany w JavaScript, dystrybuowany poprzez złośliwe reklamy, znany z instalowania dodatkowego złośliwego oprogramowania na systemie ofiary.
  8. DarkGate: Downloader z zaawansowanymi funkcjami, umożliwiający pobieranie i instalowanie różnego rodzaju złośliwego oprogramowania.
  9. Jupyter: Infostealer, którego celem jest kradzież danych uwierzytelniających oraz innych wrażliwych informacji z systemu ofiary.
  10. LandUpdate808: Downloader napisany w JavaScript, dystrybuowany poprzez złośliwe lub skompromitowane strony internetowe, często podszywający się pod fałszywe aktualizacje przeglądarek.

Więcej informacji na temat tych zagrożeń można znaleźć na stronie CIS.

Źródło: https://www.cisecurity.org/insights/blog/top-10-malware-q4-2024

Atak „whoAMI” wykorzystuje niejednoznaczność nazw AMI w AWS do zdalnego wykonania kodu

Badacze z firmy Datadog Security Labs ujawnili nowy rodzaj ataku o nazwie „whoAMI”, który wykorzystuje niejednoznaczność nazw Amazon Machine Image (AMI) w celu uzyskania zdalnego wykonania kodu w kontach Amazon Web Services (AWS). Atak ten polega na opublikowaniu złośliwego AMI z nazwą odpowiadającą wzorcowi używanemu przez ofiarę podczas wyszukiwania obrazów za pomocą API ec2:DescribeImages, bez określenia właściciela. W efekcie, ofiara może nieświadomie uruchomić instancję EC2 z wykorzystaniem złośliwego AMI, dając atakującemu możliwość zdalnego wykonania kodu na tej instancji. Amazon wprowadził nowe ustawienie „Allowed AMIs” w grudniu 2024 roku, umożliwiające klientom ograniczenie użycia AMI w ich kontach, a także zaleca określanie właściciela podczas wyszukiwania AMI, aby zapobiec tego typu atakom.

Źródło: https://thehackernews.com/2025/02/new-whoami-attack-exploits-aws-ami-name.html

Wyciek danych tysięcy adwokatów: szczegóły incydentu i reakcja Naczelnej Rady Adwokackiej

W lutym 2025 roku doszło do wycieku danych tysięcy adwokatów i aplikantów adwokackich, które zostały opublikowane przez cyberprzestępców. W opublikowanym pliku, nazwanym „employee_dane.csv”, znajdowały się następujące informacje:

  • Imię i nazwisko: pełne dane osobowe
  • Nazwisko rodowe: dodatkowe informacje identyfikacyjne
  • Numer PESEL: unikalny identyfikator obywatela
  • Hash hasła: zaszyfrowane hasło używane w systemie

Analiza pliku wykazała obecność 10 337 unikalnych imion i nazwisk oraz 9 037 numerów PESEL. Warto zauważyć, że nie wszystkie rekordy zawierały numery PESEL czy hashe haseł; brak numeru PESEL dotyczył głównie osób o zagranicznych imionach i nazwiskach. Ponadto, 2 451 rekordów zawierało hashe haseł wygenerowane za pomocą przestarzałego algorytmu SHA-1, co stanowi około 25% całości danych. W losowej próbie udało się odwrócić 20% z tych hashy, co świadczy o niskim poziomie zabezpieczeń.

Naczelna Rada Adwokacka (NRA) poinformowała, że incydent został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych, a szczegółowa analiza prowadzona przez specjalistów ds. cyberbezpieczeństwa jest w toku. Wstępne ustalenia sugerują, że wyciek nie pochodził bezpośrednio z infrastruktury NRA, lecz z systemu podmiotu współpracującego przy budowie systemu informatycznego, który posiadał dane na podstawie prawidłowego ich powierzenia. Incydent nie dotyczy wszystkich adwokatów ani nie obejmuje wszystkich ich danych.

Warto dodać, że już 9 stycznia 2025 roku NRA przeprowadziła reset haseł do systemu obsługi adwokatury (e-SOA) „w trosce o bezpieczeństwo oraz zgodnie z najlepszymi praktykami ochrony danych.

Źródło: https://cyberdefence24.pl/polityka-i-prawo/wyciek-danych-tysiecy-adwokatow-zrodlem-nie-bylo-nra

5 kluczowych wskazówek, które pomogą Ci rozpoznać phishing

CERT Orange Polska opublikował materiał wideo przedstawiający pięć kluczowych wskazówek, które pomogą w rozpoznawaniu prób phishingu. Oto one:

  1. Sprawdź nadawcę wiadomości: Upewnij się, że adres e-mail lub numer telefonu pochodzi z zaufanego źródła.
  2. Uważaj na błędy językowe: Oszustwa często zawierają literówki, błędy gramatyczne lub niezręczne sformułowania.
  3. Nie klikaj w podejrzane linki: Zawsze sprawdzaj, dokąd prowadzi odnośnik, najeżdżając na niego kursorem przed kliknięciem.
  4. Nie udostępniaj poufnych danych: Instytucje finansowe i legalne organizacje nigdy nie proszą o podanie haseł czy numerów kart przez e-mail lub SMS.
  5. Zwracaj uwagę na poczucie pilności: Oszustwa często wywierają presję czasu, sugerując natychmiastowe działanie.

Więcej informacji oraz pełny materiał wideo dostępne są na stronie CERT Orange Polska.

Źródło: https://cert.orange.pl/aktualnosci/masz-wolna-minute-oto-5-waznych-rzeczy-ktore-pomoga-ci-rozpoznac-phishing/

Korea Południowa zawiesza pobieranie aplikacji DeepSeek AI z powodu naruszeń prywatności

Południowokoreańska Komisja Ochrony Danych Osobowych (PIPC) zawiesiła możliwość pobierania aplikacji mobilnej chińskiego chatbota AI o nazwie DeepSeek na terenie kraju. Decyzja ta została podjęta po stwierdzeniu, że DeepSeek nie spełnia krajowych przepisów dotyczących ochrony danych osobowych. Zawieszenie obowiązuje od 15 lutego 2025 roku, godziny 18:00 czasu lokalnego, i dotyczy nowych pobrań aplikacji z oficjalnych sklepów. Użytkownicy, którzy już zainstalowali aplikację, nadal mają do niej dostęp, ale PIPC zaleca ostrożność, w szczególności unikanie wprowadzania danych osobowych do okna dialogowego DeepSeek do czasu wprowadzenia niezbędnych poprawek zgodnych z krajowym prawem ochrony danych osobowych. Warto dodać, że usługa webowa DeepSeek pozostaje dostępna w Korei Południowej.

Źródło: https://thehackernews.com/2025/02/south-korea-suspends-deepseek-ai.html

Dodaj komentarz

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.

Subscribe to
our newsletter