Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím.

Aplikaci WiFi Finder unikly přes dva miliony hesel k Wi-Fi sítím. Ty do aplikace nahrávali sami uživatelé, ale asi netušili, že provozovatel nechá databází volně přístupnou na Internetu. Co navíc, jde o čínskou aplikaci, jejíž autor nereaguje. Databází nakonec odstranil poskytovatel hostingu po dvou týdnech marných pokusů kontaktovat autory aplikace. V databází jsou jména sítí, přesná geolokace, BSSID a heslo v čistě textové podobě.

2019-04-22 18_50_02-Window.png

Reklamy

Děravý AdBlock Plus, AdBlock a uBlock – třetí strana mohla vkládat malware

Děravý AdBlock Plus, AdBlock a uBlock – třetí strana mohla vkládat malware přes importované filtry. K džungli co panuje mezi několika „podobně“ se jmenujícími pomůckami na blokování inzerce to asi tak nějak patří. Pokud používáte uBlock Origin, tak ten tento problém nemá. Viz Just a little FYI: Filtering doodad in Adblock Plus opens door to third-party malware injection a Adblock Plus filter lists may execute arbitrary code in web pages

2016-12-18-11_10_07-adblock-pro-internetovy-obchod-chrome

Děravé Magento v podobě SQL injection bez nutnost být přihlášený.

Děravé Magento v podobě SQL injection bez nutnost být přihlášený. Využitelné ke kompletnímu ovládnutí správcovského účtu. Oprava existuje, ale jak už to tak bývá, po světě budou tisíce neaktualizovaných instalací. Viz SQL Injection in Magento Core, magento-exploits a Magento 2.3.1, 2.2.8 and 2.1.17 Security Update

 

2018-05-22 07_08_49-eCommerce Platforms _ Best eCommerce Software for Selling Online _ Magento

Messenger byl děravý, cizí weby se mohly dívat s kým chatujete.

Messenger byl děravý, cizí weby se mohly dívat s kým chatujete. Viz Mapping Communication Between Facebook Accounts Using a Browser-Based Side Channel Attack a chyba už byla opravena. Což ovšem neznamená, že se objeví nějaká další.  Užitečné čtení, která vás naučí zkratku CSFL (Cross-Site Frame Leakage).

fb-attack4.png

Microsoft Edge spouští Flash na Facebooku bez vědomí uživatelů. Facebook je na seznamu webů, které mají vždy povoleno spouštění Flashe

Microsoft Edge spouští Flash na Facebooku bez vědomí uživatelů. Facebook je na seznamu webů, které mají vždy povoleno spouštění Flashe spolu s dalšími desítkami webů. Neveřejný seznam umožňující vybraným webům obcházet bezpečnostní nastavení prohlížeče. V seznamu se ještě v únoru 2019 vyskytovaly domény Microsoftu, Deezer, Yahoo a dokonce i čínská sociální síť QQ. Aktuálně je v seznamu pouze Facebook a dvě jeho domény – důvodem omezení je, že byl zjištění bezpečnostní nedostatek umožňující využít XSS pro spouštění škodlivého Flashe. Viz Microsoft Edge lets Facebook run Flash code behind users‘ backs a Issue 1722: Microsoft Edge: Default Flash click2play whitelist is insecure kde můžete najít kompletní přehled domén.

microsoft-logo-edge

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i dalších citlivých informací

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i kódů dvoufaktorového ověření. Chybně konfigurovaný server s databázemi v AWS byl navíc nalezen přes Shodan. Patřil firmě, která pro další firmy posílá SMS. Viz A leaky database of SMS text messages exposed password resets and two-factor codes kde zjistíte navíc i další řadu zásadních věcí. Třeba to, že Badoo posílá přes SMS čitelná hesla (což u Badoo nepřekvapí).

voxox-pic.png