RexNet Mateusz Mieczkowski

@niebezpiecznik Trzeba chronić te 380 MLD USD(na dzień dzisiejszy) w jakiś sposób :D

Chwila, to crawlowanie cudzych treści już nie jest OK dla firm budujących potęgę swoich modeli na cudzej pracy? 🤔

@niebezpiecznik Ważne, że jest za pobraniem.

Dlaczego nie ma płatności BLIK-iem!?

@niebezpiecznik Może chciał zgłosić, ale zabrakło kanałów. 🤡 W Polsce brak wypracowanych procedur do tej czynności. Oczywiście mam na myśli bezpośrednie zgłaszanie, nie przez CERT.

Onet podaje, że ofiarą Rosjanina w Polsce było "duże przedsiębiorstwo z branży IT, a jednocześnie sklep internetowy (...) ma około miliona zamówień w skali miesiąca i taką właśnie liczbę użytkowników" Kojarzycie jakieś powiadomienia o wyciekach danych z ostatniego czasu? Choć z drugiej strony, niekoniecznie "nieautoryzowany dostęp do systemu teleinformatycznego firmy, a także jej baz danych" musiał równać się dostępowi do danych użytkowników -- a jak tego nie było, powiadomienia też nie musiało być. Być może wektor ataku jest także powiązany z tym, że Rosjanin był kierowcą TIR-a (a jako taki, mógł mieć pewne dodatkowe dostępy do systemów niektórych firm-klientów).

@the_IDORminator gratitude and a handshake

What motivates you to hack? 😁

Dzisiaj kolejna dawka podatności z testów. Path traversal wykryłem dosyć prostymi ładunkami, chociaż nie zawsze kończy się odkryciem wrażliwych danych to tutaj się to udało w obu przypadkach. #CyberSecurity #InfoSec #Cyberbezpieczeństwo

Dzisiejszych hattrick. Sql injection to chyba moja ulubiona podatność w sferze web. Ostatnie moje wnioski to warto próbować crawlować i ręcznie badać stronę + arjun, niż polegać na narzędziach typu waybackurl, gau itd. są mocno przekopane :). #sqlmap #cyberbezpieczeństwo

@ProfesorPingwin W polityce jest tak, że raz więcej, raz mniej, ale w końcowym rozrachunku nie ma co narzekać. Wystarczy użyć google i sprawdzić historię zarobków.

jak mamy mieć poważne państwo jak szef BBN zarabia tyle co byle manager w korpo?

@thsottiaux Automatic summarization so you don't have to start new chats after a long session. It's annoying.

Codex team is doing a weeklong hackathon starting next week, what should we build? Other than CLI auto-update, we're on that already

@intigriti Apple MacBook Pro M4 Max/128GB/2TB 😂

What's your most unmissable tool that you can't test bug bounty targets without? 🤠

Przeczytaj mój najnowszy artykuł: Cache Poisoning → XSS: How a simple HTTP header became critical linkedin.com/pulse/cache-po… przez @LinkedIn #cybersecurity #infosec #bugbounty #pentesting

@niebezpiecznik Nie napisałem, że wszystkie. Przecież RPWDL to od lat najlepsze źródło dla scrapowania danych. Szkoda, że nikt nigdy publicznie nie poruszył problemów z nadawaniem uprawnień w latach ubiegłych, bo to był cyrk :)

@RexNetpl Nie wszystkie były. Wszystko opisane w artykule.

Lekarze oburzeni: ujawniono ich nr telefonów i adresy (e-mail, zamieszkania) w publicznie dostępnym rejestrze od 🚑Ministerstwa Zdrowia Ale to nie do końca "wyciek", bo te dane do rejestru wprowadzili ...sami lekarze 🥼 Co się stało? Wyjaśniamy tu: niebezpiecznik.pl/post/prywatne-…

Przeczytaj mój najnowszy artykuł: [PL/EN] When Backups Become Security Nightmares linkedin.com/pulse/plen-whe… przez @LinkedIn

🤯 Zhackowałem "bezpieczną" apkę w 60 minut. Używając Time-based blind SQLi, odczytałem całą bazę bez jednego błędu. Ale prawdziwym zagrożeniem jest Second-Order SQLi – payload "śpi" w bazie i czeka na detonację np. w panelu admina. ‼️ Wasz zespół wie, czym są prepared statements i ataki 2-go rzędu? Proste filtry to nie ochrona! Testujecie dane, które już macie w systemie? #SQLInjection #WebSecurity #BezpieczeństwoAplikacji #TestyPenetracyjne #Hacking #Cyberbezpieczeństwo

OSCP+ ✅ Kolejny cert w kolekcji! #OSCP #OffSec #CyberSecurity credentials.offsec.com/aa116ba3-97aa-…

Kolejny do kolekcji 💪 Warto potwierdzać swoje umiejętności certyfikatami! certs.ine.com/5109354b-5208-…

@Zaufana3Strona IDOR to była luka 2024 roku i w tym roku nadal popularność nie spada. 🤡

Spora wpadka Morele.net – można było pobierać dane wszystkich klientów zaufanatrzeciastrona.pl/post/spora-wpa… Trzeba było tylko znać URL i zmienić liczbę na końcu. Tak, w 2025 roku takie błędy są nadal możliwe. Sprawdzajcie odwiedzane strony, nigdy nie wiecie, na co traficie.

Znalazłem krytyczną lukę w 15 minut. Metoda z lat 90. Directory Traversal wciąż działa w 2025 💀 Zobacz jak → #cybersecurity #hacking #tech

🚨 RAPORT BEZPIECZEŃSTWA: Stealery w polskich bankach (2025) 🚨 Analiza danych ujawnia skalę zagrożeń: 📊 Liczba wykrytych infekcji stealerami: mBank: 1065 klientów, 2 pracowników PKO BP: 450 klientów, 9 pracowników Santander Bank Polska: 263 klientów, 2 pracowników Pekao: 189 klientów, 3 pracowników ING: 95 klientów, 1 pracownik 💡 Wnioski: mBank stanowi 51,6% wszystkich incydentów klientów Pracownicy PKO BP najczęściej padają ofiarami (52,9%) Łącznie 2062 klientów i 17 pracowników 🔒 Kluczowe rekomendacje: Monitoring darknetowych giełd z logami stealerow Wzmocniona weryfikacja 2FA Analiza behawioralna logowań i transakcji Dane pochodzą z płatnych źródeł oferujących logi ze stealerow, nie z publicznych combolist. #cyberbezpieczeństwo #bankowość #bezpieczeństwo #stealery #malware #BezpiecznyBank #PolskiFintech