Sekurak https://sekurak.pl/ piszemy o bezpieczeństwie Sat, 16 May 2026 09:18:37 +0000 pl-PL hourly 1 https://wordpress.org/?v=6.9.4 Darmowa lekcja OPSEC od pani radnej PSL. Pomyliła się i zamiast napisać na priva do marszałka, puściła to na publicu na FB https://sekurak.pl/darmowa-lekcja-opsec-od-pani-radnej-psl-pomylila-sie-i-zamiast-napisac-na-priva-do-marszalka-puscila-to-na-publicu-na-fb/ https://sekurak.pl/darmowa-lekcja-opsec-od-pani-radnej-psl-pomylila-sie-i-zamiast-napisac-na-priva-do-marszalka-puscila-to-na-publicu-na-fb/#respond Sat, 16 May 2026 08:58:03 +0000 https://sekurak.pl/?p=56172 Jak mawiają – jeden obraz wart jest więcej niż 1000 słów. Zatem obraz: Jak się domyślacie, ta informacja miała być przesłana w wiadomości prywatnej do pana Marszałka. Ale jakoś tak przypadkiem została opublikowana na facebookowym wallu (czyli publicznie była dostępna dla wszystkich). Smaczku dodaje to, że jak donosi Gazeta Wyborcza,...

Artykuł Darmowa lekcja OPSEC od pani radnej PSL. Pomyliła się i zamiast napisać na priva do marszałka, puściła to na publicu na FB pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/darmowa-lekcja-opsec-od-pani-radnej-psl-pomylila-sie-i-zamiast-napisac-na-priva-do-marszalka-puscila-to-na-publicu-na-fb/feed/ 0 Atak supply chain na OpenAI. Dwóch developerów zostało zainfekowanych podmienioną przez hackerów biblioteką TanStack (npm) https://sekurak.pl/atak-supply-chain-na-openai-dwoch-developerow-zostalo-zainfekowanych-podmieniona-przez-hackerow-biblioteka-tanstack-npm/ https://sekurak.pl/atak-supply-chain-na-openai-dwoch-developerow-zostalo-zainfekowanych-podmieniona-przez-hackerow-biblioteka-tanstack-npm/#comments Fri, 15 May 2026 10:40:22 +0000 https://sekurak.pl/?p=56169 Jeśli ktoś chce szybko nadrobić zaległości w temacie ostatnich ataków supply chain, to polecam spojrzeć tutaj (Axios), tutaj (Shai-Hulud), tutaj (Bitwarden Cli) czy tutaj (Mini Shai-Hulud – kampania która uderzyła w OpenAI). W każdym razie OpenAI informuje, że atakujący zaczęli wykradać dane logowania z zainfekowanych komputerów oraz uzyskiwać dostęp do...

Artykuł Atak supply chain na OpenAI. Dwóch developerów zostało zainfekowanych podmienioną przez hackerów biblioteką TanStack (npm) pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/atak-supply-chain-na-openai-dwoch-developerow-zostalo-zainfekowanych-podmieniona-przez-hackerow-biblioteka-tanstack-npm/feed/ 1 Uwaga na krytyczną podatność 0-day w Microsoft Exchange (CVE-2026-42897). https://sekurak.pl/uwaga-na-krytyczna-podatnosc-0-day-w-microsoft-exchange-cve-2026-42897/ https://sekurak.pl/uwaga-na-krytyczna-podatnosc-0-day-w-microsoft-exchange-cve-2026-42897/#respond Fri, 15 May 2026 10:33:47 +0000 https://sekurak.pl/?p=56167 Luka jest aktywnie wykorzystywana i dotyczy OWA (Outlook Web Access). Microsoft opisuje scenariusz ataku: ℹ️ Atakujący wysyła do ofiary odpowiednio spreparowanego mailaℹ️ Ofiara otwiera maila w przeglądarce webowej (tj. w OWA)ℹ️ Po wykonaniu pewnej akcji (np. najechaniu na jakiś element), po cichu wykonuje się kod JavaScript w przeglądarce ofiary [czyli mamy...

Artykuł Uwaga na krytyczną podatność 0-day w Microsoft Exchange (CVE-2026-42897). pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/uwaga-na-krytyczna-podatnosc-0-day-w-microsoft-exchange-cve-2026-42897/feed/ 0 10 kosztownych błędów OSINT i OPSEC. Jak uniknąć grania w “OSINTopolo” https://sekurak.pl/10-kosztownych-bledow-osint-i-opsec-jak-uniknac-grania-w-osintopolo/ https://sekurak.pl/10-kosztownych-bledow-osint-i-opsec-jak-uniknac-grania-w-osintopolo/#comments Fri, 15 May 2026 09:59:52 +0000 https://sekurak.pl/?p=56140 Zauważyliście, że w ostatnim czasie w Internecie nagle zrobiło się pełno “specjalistów od OSINT-u”? Konflikty zbrojne czy większe (lub mniejsze) afery przyciągają takie osoby, jak ćmy do ognia. Fachowcy “od wszystkiego” dziś nagrywają 60-sekundowe filmiki i popełniają pełne wyższości wpisy na X, jak “rozpracowali Kreml” i “kto wygrywa wojnę na...

Artykuł 10 kosztownych błędów OSINT i OPSEC. Jak uniknąć grania w “OSINTopolo” pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/10-kosztownych-bledow-osint-i-opsec-jak-uniknac-grania-w-osintopolo/feed/ 1 Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)… https://sekurak.pl/vibe-chaos-hacker-zglosil-podatnosci-do-ai-owej-platformy-do-tworzenia-aplikacji-bez-kodowania-lovable/ https://sekurak.pl/vibe-chaos-hacker-zglosil-podatnosci-do-ai-owej-platformy-do-tworzenia-aplikacji-bez-kodowania-lovable/#comments Fri, 15 May 2026 07:29:44 +0000 https://sekurak.pl/?p=56154 Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...

Artykuł Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)… pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/vibe-chaos-hacker-zglosil-podatnosci-do-ai-owej-platformy-do-tworzenia-aplikacji-bez-kodowania-lovable/feed/ 2 Pożegnanie legendy https://sekurak.pl/pozegnanie-legendy/ https://sekurak.pl/pozegnanie-legendy/#respond Thu, 14 May 2026 10:28:12 +0000 https://sekurak.pl/?p=56132 W dniach 20–21 maja zapraszamy na OSTATNIĄ edycję legendarnego szkolenia, które wychowało niejednego bezpiecznika: Wprowadzenie do bezpieczeństwa IT… …ostatnią w takiej formule, czyli dwóch dni intensywnego szkolenia. Dlaczego to szkolenie może mieć wpływ na Twoją karierę? Szkolenie jest idealne dla wszystkich, którzy chcą wejść w świat cyberbezpieczeństwa, poznać kluczowe pojęcia...

Artykuł Pożegnanie legendy pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/pozegnanie-legendy/feed/ 0 Czy wtyczki do pobierania TikToków powinny zbierać tyle danych? Kampania 12 złośliwych rozszerzeń Chrome i Edge https://sekurak.pl/czy-wtyczki-do-pobierania-tiktokow-powinny-zbierac-tyle-danych-kampania-12-zlosliwych-rozszerzen-chrome-i-edge/ https://sekurak.pl/czy-wtyczki-do-pobierania-tiktokow-powinny-zbierac-tyle-danych-kampania-12-zlosliwych-rozszerzen-chrome-i-edge/#respond Wed, 13 May 2026 11:40:33 +0000 https://sekurak.pl/?p=56114 Badacze bezpieczeństwa z LayerX ujawnili kampanię obejmującą co najmniej 12 rozszerzeń do przeglądarek Chrome i Edge, które pod pozorem narzędzi do pobierania nagrań wideo z TikToka, zbierają dane o urządzeniach użytkowników. Dodatkowo dynamicznie pobierają konfigurację, dzięki czemu potencjalnie możliwe jest wprowadzanie zmian w działaniu wtyczki bez konieczności publikowania nowych wersji....

Artykuł Czy wtyczki do pobierania TikToków powinny zbierać tyle danych? Kampania 12 złośliwych rozszerzeń Chrome i Edge pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/czy-wtyczki-do-pobierania-tiktokow-powinny-zbierac-tyle-danych-kampania-12-zlosliwych-rozszerzen-chrome-i-edge/feed/ 0 Krytyczna podatność w Eximie – serwerze pocztowym obsługującym pół Internetu. Znaleziona ze wsparciem AI. https://sekurak.pl/krytyczna-podatnosc-w-eximie-serwerze-pocztowym-obslugujacym-pol-internetu-znaleziona-ze-wsparciem-ai/ https://sekurak.pl/krytyczna-podatnosc-w-eximie-serwerze-pocztowym-obslugujacym-pol-internetu-znaleziona-ze-wsparciem-ai/#comments Wed, 13 May 2026 07:34:40 +0000 https://sekurak.pl/?p=56128 W 2023 roku około 59% publicznych serwerów pocztowych to właśnie Exim. Właśnie załatano oraz opublikowano szczegóły podatności o ksywce Dead Letter, dzięki której atakujący mogą wykonywać kod na serwerze (RCE), bez uwierzytelnienia, w pełni zdalnie. Luka CVE-2026-45185 otrzymała “wycenę” 9.8/10 w skali CVSS. Podatne są Eximy w wersjach od 4.97...

Artykuł Krytyczna podatność w Eximie – serwerze pocztowym obsługującym pół Internetu. Znaleziona ze wsparciem AI. pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/krytyczna-podatnosc-w-eximie-serwerze-pocztowym-obslugujacym-pol-internetu-znaleziona-ze-wsparciem-ai/feed/ 4 Twórca curla odpalił Mythosa na swoim kodzie. Tego Mythosa, który jest “zbyt niebezpieczny, aby udostępnić go publicznie”… https://sekurak.pl/tworca-curla-odpalil-mythosa-na-swoim-kodzie-tego-mythosa-ktory-jest-zbyt-niebezpieczny-aby-udostepnic-go-publicznie/ https://sekurak.pl/tworca-curla-odpalil-mythosa-na-swoim-kodzie-tego-mythosa-ktory-jest-zbyt-niebezpieczny-aby-udostepnic-go-publicznie/#comments Wed, 13 May 2026 06:59:06 +0000 https://sekurak.pl/?p=56121 Daniel Stenberg uzyskał dostęp do Mythosa, który jeszcze nie jest dostępny publicznie. Nie jest dostępny publicznie, a media ochoczo podchwyciły narrację kolportowaną przez Anthropic. “To model AI, który jest zbyt niebezpieczny żeby go udostępnić publicznie”. No więc Mythos mielił, mielił i mielił 178 tysięcy linijek kodu curla. Ostatecznie znalazł pięć...

Artykuł Twórca curla odpalił Mythosa na swoim kodzie. Tego Mythosa, który jest “zbyt niebezpieczny, aby udostępnić go publicznie”… pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/tworca-curla-odpalil-mythosa-na-swoim-kodzie-tego-mythosa-ktory-jest-zbyt-niebezpieczny-aby-udostepnic-go-publicznie/feed/ 3 Kolejne paczki npm i PyPI zainfekowane w ramach kampanii Shai-Hulud https://sekurak.pl/kolejne-paczki-npm-i-pypi-zainfekowane-w-ramach-kampanii-shai-hulud/ https://sekurak.pl/kolejne-paczki-npm-i-pypi-zainfekowane-w-ramach-kampanii-shai-hulud/#comments Tue, 12 May 2026 10:24:35 +0000 https://sekurak.pl/?p=56102 We wrześniu 2025 pisaliśmy o kampanii Shai-Hulud, w ramach której infekowano paczki npm. Wszystko wskazuje na to, że kampania nie tylko wciąż trwa, ale też doczekała się wersji dla PyPI – umieszczającej złośliwy kod w pakietach Python.  Badacze bezpieczeństwa z OX Security odkryli złośliwe aktualizacje pakietów Lightning (PyPI) oraz intercom-client...

Artykuł Kolejne paczki npm i PyPI zainfekowane w ramach kampanii Shai-Hulud pochodzi z serwisu Sekurak.

]]> https://sekurak.pl/kolejne-paczki-npm-i-pypi-zainfekowane-w-ramach-kampanii-shai-hulud/feed/ 2