Tomek Turba

💥 Bezpłatne szkolenie z podstaw OSINT i OPSEC 🙂 Już jutro (28 maja) o godz. 10:00 wpadajcie na otwarte szkolenie Podstawy OSINT i OPSEC. 10 błędów, których NIE WYPADA popełniać, które poprowadzi Tomek Turba z ekipy sekuraka. Link do wydarzenia: youtube.com/watch?v=EZoc4U… 🤩 Szkolenie jest otwarte, co oznacza, że każdy może je obejrzeć. Jeżeli jednak chcecie dostać certyfikat i prezentację, to zachęcamy do zapisu przez link: sklep.securitum.pl/podstawy-osint… Do zobaczenia!

Jak myślicie czy darmowe eventy sekuraka dałoby się podpiąć pod występy artystyczne? 😅 Artyści hackingu na scenie w końcu 🤷‍♂️

Akademia NIS 2/KSC 2 od sekuraka! 7 lipca odpalamy najbardziej kompleksowy kurs w Polsce dotyczący wdrożenia NIS 2/KSC 2 w organizacjach z bardzo dużym komponentem dla IT (czego w zasadzie nie znajdziesz w innych szkoleniach na rynku). Masz zadanie wdrożenia wymogów nowych przepisów w organizacji? Chcesz sprawdzić, czy o wszystkim pomyśleliście? A może chcesz podpatrzeć, jak robią to inni? Podczas szkolenia omawiamy zarówno kwestie compliance, jak i techniczne, więc kurs nadaje się i dla osób z IT, i dla osób nietechnicznych (dla nich specjalny bilet na części prawne i cyber awareness). Wbijaj na szkolenie z 45-procentowym offem na start (do 1 czerwca) na każdy rodzaj biletu. Zapisy tutaj: sklep.securitum.pl/akademia-nis2-…

Dobre praktyki OSINT: Nie polegaj na tym, że link będzie działał jutro. Znajdujesz oszukańczy post na Facebooku i robisz screenshot „na potem” – trzy dni później post znika, profil zostaje zamknięty i pojawia się problem z udowodnieniem tego znajomym lub policji. Nie polegaj na tym, że coś co jest widoczne dziś, będzie widoczne jutro. Kilka minut może sprawić, że oszczędzisz sobie dodatkowej roboty 🙂 Już za 4 dni (28 maja) robimy bezpłatne szkolenie z Tomkiem Turbą. Podczas 90 minut (będzie nagranie) pokażemy Ci częste błędy początkujących OSINTowców, jednocześnie zaopatrzymy Cię w narzędzia i techniki, które pomogą Ci unikać podobnych wpadek. Będzie się działo :-) Zapisy: sklep.securitum.pl/podstawy-osint…

Dobre praktyki OSINT: Nie koordynuj operacji przez SMS, Messenger, WhatsApp czy służbowego Outlooka. Wymieniasz wrażliwe informacje przez SMS-y, Messengera albo prywatnego maila, "bo przecież wszyscy tak robią" – i właśnie zostawiłeś ślad na serwerach kilku różnych firm. Darmowe komunikatory, jak Signal czy Wire, robią dokładnie to samo, tylko że Twojej rozmowy nikt poza Wami nie czyta i nie trzyma "na zawsze". Chcesz wiedzieć więcej? 28 maja wbijaj na bezpłatne szkolenie na żywo z Tomkiem Turbą. Pokażemy jak nie robić przypałów w OSINT :-) Zapisy: sklep.securitum.pl/podstawy-osint…

Ubiquiti załatało właśnie 4 krytyczne podatności. ❌ Wszystkie można wykorzystać bez uwierzytelnienia ❌ Dostęp do wykonywania poleceń w OS ❌ Nieautoryzowany odczyt plików ❌ Path Traversal, umożliwiający dostęp do pewnych plików, co daje możliwość przejęcia kont w systemie Więcej info - patrz komentarz, ale generalnie ✅ łatajcie się.

Dobre praktyki OSINT: Nie ufaj pozorom anonimowości. Widziałeś pewnie super reklamy VPN? Kupujesz, włączasz i czujesz się anonimowy – a tu lipa. Przeglądarka i tak zdradza Twój język, strefę czasową, model karty graficznej i unikalny „odcisk” monitora. Anonimowość w sieci to nie jeden przełącznik, tylko kilka warstw, które wspólnie zaczynają działać dopiero wtedy, kiedy wiesz, co robisz. 28 maja wbijaj na bezpłatne szkolenie na żywo z Tomkiem Turbą. Podczas 90 minut (będzie nagranie) rozłożymy na części pierwsze dziesięć najczęstszych, najdroższych i najbardziej kompromitujących błędów OSINT-u, jednocześnie zaopatrzymy Cię w narzędzia i techniki, które pomogą Ci unikać podobnych wpadek i działać zgodnie ze sztuką. Zapisy: sklep.securitum.pl/podstawy-osint…

Dzisiaj premiera akademii NIS2/KSC2 od sekuraka 🤠 28 krótkich szkoleń (dla IT / prawne / cyber awareness). Szczegóły na infografice. Z tym linkiem mamy 50% offu *dla pierwszych 10 osób* sklep.securitum.pl/akademia-nis2-…

Krótko: Jeśli tworzysz lub utrzymujesz jakiekolwiek aplikacje webowe, powinieneś znać OWASP Top 10, najbardziej uznane na świecie zestawienie najpoważniejszych ryzyk bezpieczeństwa tych aplikacji. Do końca maja możesz wbić na nasze szkolenie z 75% offem, po którym będziesz umiał szybko identyfikować największe zagrożenia i priorytetyzować działania oraz będziesz wiedzieć, jak tworzyć aplikacje odpowiedzialnie, minimalizując ryzyko kosztownych incydentów. Wbijam: sklep.securitum.pl/owasp-top-ten-…

Masz Drupala? To łataj się jak najszybciej. ❌ Krytyczna podatność CVE-2026-9082 to SQL injection, który może być zrealizowany na ekranie logowania (czyli bez posiadania konta...) ❌ Działa to jeśli używasz bazy PostgreSQL ❌ Działa w standardowej konfiguracji Drupal 9 oraz 10, ale producent przygotował łatki dla w zasadzie wszystkich wersji (łącznie z tymi, które są już teoretycznie niewspierane - czyli 8.x oraz 9.x) ❌ Dostępny jest już exploit, więc warto się pospieszyć

🚨 Poważna luka w Open WebUI (wersja 0.7.2) prowadzi do RCE 💻 Od razu uspokajamy, aby atak miał szanse powodzenia wymagana jest interakcja ze strony użytkownika. 🛠️ Luka występuje w funkcji przetwarzania zdjęć profilowych. 👤 Atakujący może umieścić na swoim profilu odpowiednio zmodyfikowany plik SVG z osadzonym wewnątrz złośliwym kodem JavaScript. Wyświetlenie tak przygotowanych danych użytkownika skutkować będzie wykonaniem złośliwego kodu w kontekście sesji użytkownika. 💻 Wykryty błąd wraz z PoC został zgłoszony twórcom oprogramowania. 🛡️ Zespół Open WebUI potwierdził, że błąd jest znany i został umieszczony w niepublicznym biuletynie bezpieczeństwa, w związku z czym nie został uznany. ⚡ Biorąc pod uwagę reakcję przedstawicieli Open WebUI, badacz zdecydował się na opublikowanie szczegółów błędu wraz z w pełni działającym PoC. ❗ Poprawka bezpieczeństwa dla podatnych wersji oprogramowania – 0.7.2 (zakłada się, że starsze wersje również mogą być podatne) nie zostały udostępnione. 🩹 Zalecamy aktualizację oprogramowania do najnowszej wersji lub wdrożenie autorskich poprawek. 👉 Szczegóły: sekurak.pl/powazna-luka-w…

Dobre praktyki OSINT: Nie mieszaj sprzętu i kont prywatnych ze służbowymi. Sprawdzasz kandydata do pracy z prywatnego telefonu, na którym jesteś zalogowany na swojego Instagrama – tydzień później aplikacja podpowiada mu Ciebie w „osobach, które możesz znać”. Wystarczy jedno wspólne urządzenie albo sieć Wi-Fi, żeby algorytmy zaczęły łączyć kropki między Twoimi światami. A to już krok bliżej do wtopy 🙂 Chcesz wiedzieć jak unikać podobnych błędów? 28 maja wbijaj na bezpłatne szkolenie z Tomkiem Turbą, podczas którego zaopatrzymy Cię w narzędzia i techniki, które pomogą Ci działać zgodnie ze sztuką. Zapisy: sklep.securitum.pl/podstawy-osint…

Dobre praktyki OSINT: Nie wysyłaj materiałów z niedoczyszczonymi metadanymi. Wysyłasz PDF z CV, który nadal pamięta swoją pierwotną nazwę „CV_v17_FINAL_dla_Allegro.pdf” – rekruter z innej firmy zobaczy to, jak na dłoni. Zdjęcie wrzucone na Facebooka potrafi mieć zapisaną dokładną lokalizację GPS – czasem tę z balkonu Twojego mieszkania. Wysyłając takie materiały, naprawdę łatwo o wtopę. Pamiętaj aby czyścić metadane! 28 maja na bezpłatnym szkoleniu z Tomkiem Turbą powiemy więcej o tym jak unikać podobnych wtop. Rozłożymy też na części pierwsze inne, częste, najdroższe i najbardziej kompromitujące błędy OSINT. Zapisy: sklep.securitum.pl/podstawy-osint…

Wysłała do Pyszne skargę, że pizza z salami dojechała bez salami. Więc zwrot kasy!!!00 Tylko problem. Kobieta przerobiła zdjęcie pizzy z wykorzystaniem AI: sekurak.pl/przerobila-w-a…

Włamanie do GitHuba. Zainfekowane rozszerzenie do VS Code i dostęp do ~3800 wewnętrznych repozytoriów. Analiza powłamaniowa trwa: sekurak.pl/wlamanie-do-gi…

Jakie bezpłatne szkolenia mamy w ofercie? W kalendarzu sekurakowych szkoleń doszedł filtr z cebulką - pokazujący tylko darmowe szkolenia. Warto potestować jak to działa :-))) kalendarz.securitum.pl

Ktoś się włamał do wewnętrznych repo GitHuba.

Gość, który pokazał jakiś czas temu jak zdalnie oglądać kamery z robotycznych odkurzaczy DJI, tym razem zabrał się za elektroniczne niańki. ❌ Mógł oglądać obrazy z kamer 1,1 miliona wideonianiek na całym świecie (też w Polsce) ❌ Schemat podatności był podobny jak w przypadku odkurzaczy - czyli serwer MQTT (kolejkowy) był dostępny z internetu dla wszystkich + można było czytać komunikaty z wszystkich nianiek ❌ W szczególności można było odczytać, gdzie kamery zapisywały obrazy, w momencie kiedy wykryły ruch (chmura Alibaba ;). Po prostu był to zwykły URL, z którego można pobrać obraz(y) ❌ Koleżka (Sammy Azdoufal) zgłosił blisko 10 podatności, w tym np. zahardcodowane we wszystkich niańkach (w firmwarze) to samo hasło do szyfrowania komunikatów z backendem xD ❌ Szczegóły którzy producenci byli dotknięci, co robić, plus cała dość fascynująca historia zgłoszenia do producenta – patrz komentarz.

Confluence domyślnie ❌ włączył uczenie się (AI) na Twoich danych Warto sobie przestawić to ustawienie na ✅ wyłączone. Administracja -> Bezpieczeństwo -> Udostępnianie danych. Uwaga: i tak dranie uczą się na metadanych, chyba że tier enterprise.

🚨 Instalowałeś w ostatnim czasie aplikację JDownloader? Mogłeś w pakiecie otrzymać malware. 👤 Atak został wykryty przez jednego z użytkowników portalu Reddit, który zaalarmował twórców aplikacji o podejrzanych alertach antywirusowych podczas próby instalacji najnowszej wersji oprogramowania. 💻 Zespół JDownloader potwierdził fakt wystąpienia incydentu. 👤 Cyberprzestępcy wykorzystali podatność w systemie CMS, aby uzyskać nieautoryzowany dostęp do treści publikowanych przez serwis i umieścić linki prowadzące do złośliwych binarek. 👾 Malware był dostępny na stronie w dniach 6 – 7 maja 2026 r. (linki prowadzące do alternatywnego instalatora dla systemu Windows oraz wersja skryptowa dla Linuxa). 🛠️ Mechanizm automatycznej aktualizacji, bezpośrednio z poziomu aplikacji był bezpieczny przez cały ten czas. 👉 Szczegóły: sekurak.pl/pobierales-jdo…