Niebezpiecznik News

Pozycja lotniskowca ujawniona, bo francuski żołnierz nie wyłączył zegarka podczas biegania…

Mamy kolejny incydent z aplikacją Strava, która służy do trackingu aktywności sportowych. Tym razem wpadkę zaliczyli nie Amerykanie a Francuzi z lotniskowca “Charles de Gaulle”:

Ale zanim zaczniecie pisać “jakież to było nieodpowiedzialne i groźne zachowanie!“, warto zwrócić uwagę, że lotniskowce to nie okręty podwodne i do najmniejszych nie należą. Innymi słowy: łatwo można je zlokalizować za pomocą zdjęć satelitarnych (także tych dostępnych dla cywili) jak również odpowiednich serwisów pokazujących ruchy jednostek wodnych (o ile nie wyłączą AIS):

Żołnierzu, dbaj o OPSEC!
Tym niemniej, jeśli jest się żołnierzem, to nie powinno się korzystać z aplikacji, które posyłają lokalizację w świat, nawet na lotniskowcu nadającym swoją pozycję. Bo jeszcze wejdzie to komuś w krew i nieszczęście gotowe — tego typu sygnały mogą być powodem bombardowanka ze strony wroga.

Zresztą ryzykiem jest nie tylko ostrzelanie. Strava ujawnia informacje na temat użytkownika, więc można na tej podstawie określić kto konkretnie bierze udziałw danej misji. I gdzie biegał wcześniej oraz gdzie mieszka. A to otwiera szereg nowych możliwości ze strony wroga, nie mniej spektakularnych niż uderzenia kinetyczne.
Ten akurat incydent może być ciekawym zadaniem z fizyki dla licealistów. Znając prędkość statku, oceń czas w jakim żołnierz przebiegł pełne okrążenie.
Każdy powinien znać zagrożenia dla prywatności
W dzisiejszym świecie przypadkiem można ujawnić nie tylko swoją lokalizację. I nie tylko na smartwatche i aplikacje do biegania trzeba uważać. Co jeszcze stanowi zagrożenie dla naszej prywatności? Czego nie robić, jak zabezpieczyć się przed wyciekami danych? [...]

#CharlesDeGaulle #Francja #OPSEC #OSINT #Strava #Wojna #Wojsko

https://niebezpiecznik.pl/post/lotniskowiec-charles-de-gaulle-strava-zolnierz-smartwach-bieganie/

Active Directory, ransomware i logi bez ściemy. W kwietniu wraca Admin Days 2026 W IT też bywa sezon ogórkowy. Tyle że zamiast ogórków mamy zaległe tickety, niedokończone migracje i alerty. Gdzieś między kolejnym zgłoszeniem na helpdesku a odkładaną aktualizacją zaczynasz się zastanawiać, czy w tym zawodzie chodzi jeszcze o coś więcej niż gaszenie pożarów i czy wiedza, którą zbierasz latami, nadal ma jakieś znaczenie… Ma! Tylko trzeba ją czasem odkurzyć – a kiedy jak nie na wiosnę? Dlatego w kwietniu wraca konferencja Admin Days 2026 – wydarzenie, które od siedmiu lat zbiera tysiące ludzi i dziesiątki ekspertów, a także najgłośniejsze tematy i nazwiska dając przestrzeń do dialogu i wymiany doświadczeń. Admin Days 2026 – co, gdzie i jak? Ósma edycja Admin Days odbędzie się w dniach 21–23 kwietnia w formule online i uraczy widzów plejadą gwiazd IT oraz cybersec. Wystąpią między innymi: Artur Markiewicz, Agata Ślusarek, Adam Lange, Marcel Guzenda, Sławomir Szmulik i wielu, wielu innych! Organizatorzy pozostają przy sprawdzonym modelu, ale rozbudowali program o nową ścieżkę „Admin Talks”, czyli rozmowy eksperckie bez slajdów sprzedażowych i marketingowych wstępów. Agenda została podzielona na trzy dni: 21 kwietnia – transmisja na żywo ze studia nagraniowego: prelekcje keynote i rozmowy w formule Admin Talks. 22 i 23 kwietnia – warsztaty prowadzone na żywo w formule webinarowej, z większym naciskiem na technikę i praktykę.   To nie jest kolejna konferencja o trendach. Tematyka dotyczy wyzwań, które administratorzy i specjaliści IT widzą w swojej pracy regularnie: realnych problemów i technicznych wyzwań w infrastrukturze, analizy zdarzeń i incydentów oraz tego, jak wyciągać z nich wnioski operacyjne, roli edukacji pracowników w ograniczaniu skuteczności ataków, przejmowania [...] #AdminDays #ARTYKUŁSPONSOROWANY https://niebezpiecznik.pl/post/active-directory-ransomware-i-logi-bez-sciemy-w-kwietniu-wraca-admin-days-2026/

Splunk czy Wazuh? A może lepiej TheHive, Cortex lub Cribl? Wszyscy zgodzimy się, że warto wiedzieć, czy ktoś przypadkiem nie buszuje po naszej infrastrukturze — i to nie tylko wtedy, kiedy na jej styku stoi UTM od Fortinet ;) Wiele z sieci jest już od dawna przejętych, ale niestety nie każda firma potrafi wykryć, że jej infrastruktura została zhackowana. A przecież narzędzi, które w tym mogą pomóc, jest sporo… SOC w praktyce: plusy, minusy i możliwości wielu platform Zaczynamy cykl kilku ok. dwu-godzinnych szkoleń, które mogą Wam rozwiązać powyższy problem, tj. wykryć anomalie w sieci oraz usunąć, a może nawet namierzyć atakującego. A także zbudować swój profesjonalny, firmowy albo pół-profesjonalny, domowy Security Operations Center i poznać dziesiątki technik i narzędzi, które pomogą Wam lepiej zrozumieć co (złego) i kiedy dzieje się w Waszej infrastrukturze. Cyklowi nadaliśmy nazwę “SOC w praktyce“, a pierwsze ze szkoleń, poświęcone analizie różnych platform SOC-owych odbędzie się już w czwartek 19 lutego o godzinie 19:00 (online) — zapisz się na nie, nawet jeśli ten termin Ci nie pasuje bo szkolenie jest nagrywane i będziesz mieć do niego dostęp przez 30 dni, więc na pewno zdążysz się zapoznać z tym materiałem i podniesiesz swoją wiedzę oraz bezpieczeństwo sieci. Dla tych, którzy znają jakość naszych szkoleń, tutaj od razu link do koszyka :) UWAGA! Tylko do czwartku możecie kupić to szkolenie po niższej aż o 65% cenie! Szkolenie zawiera laby, więc każdy z uczestników będzie mógł od razu w praktyce przetestować swoją wiedzę i poznane techniki oraz narzędzia. Większość uczestników naszych szkoleń opłaca je z firmowego budżetu szkoleniowego, więc poproś szefa o sfinansowanie udziału w tym szkoleniu. Jeśli będziesz potrzebować proformy, oferty w PDF, po angielsku lub podpisu na [...] #MichałGarcarz #SOC https://niebezpiecznik.pl/post/splunk-czy-wazuh-a-moze-lepiej-thehive-cortex-lub-cribl/

Skarbówka odda pieniądze naszemu Czytelnikowi (finał sprawy z błędem w e-Toll) W systemie e-Toll był błąd, który powodował naliczanie niesłusznych kar za rzekomo nieopłacone przejazdy autostradą (po latach!). Nasz Czytelnik Szymon podrążył temat i pieniądze odzyska. Było warto walczyć o swoje choć nie było całkiem łatwo. Przypomnijmy. W lutym pisaliśmy o tym, że niektórym osobom zdarza się dostać wezwanie za nieopłacony przejazd autostradą, mimo iż autostrady państwowe już dawno nie są płatne. Ewentualne wezwania dotyczą tego okresu, kiedy opłatę przejazd wnosiło się przez zakup biletu w aplikacji lub na stacji benzynowej. Opisywaliśmy przypadek Szymona, który porównał dane o przejeździe w systemie eToll z tymi, które miał w Google Maps. Okazało się, że system błędnie zarejestrował znaczniki czasowe przejazdu oraz – co najważniejsze – części przejzadu zaliczył do innego dnia co powodowało niesłuszne naliczenie opłaty. Szymona napisał. Sprawa w końcu ma swój (szczęśliwy) finał. Sprzeciw uwzględniony, pieniądze oddadzą w ciągu 30 dni. Ale ile czasu musiałem na to wszystko stracić… Ehhh, szkoda gadać. A w sumie nadal nie wiadomo ilu rzeczywiście jest pokrzywdzonych kierowców oraz jak często ten błąd występował. Bo w ich tłumaczenie, że to de facto wina mojego urządzenia, to nie wierzę. To u mnie w telefonie musiałaby się data nie zmienić i ich aplikacja odczytałaby z mojego smartfona błędną datę. Raczej nierealne, tym bardziej, że historia lokalizacji Google Maps nie miała żadnych błędów, a rejestrowała się dokładnie na tym samym urządzeniu. Błąd jest ewidentnie po ich stronie, ale nie wiem co trzeba by zrobić, żeby się przyznali. Pismo od skarbówki wyglądało tak. Już wcześniej w odpowiedzi na nasze pytania Ministerstwo Finansów przyznało, że takie sytuacje [...] #AplikacjeMobilne #Błędy #Kas https://niebezpiecznik.pl/post/szymon-odzyska-pieniadze-ktorych-skarbowka-zazadala-za-przejazd-a4/

Prezydent podpisał ustawę KSC/NIS2 i wysłał ją do Trybunału

Niewątpliwie najważniejsza dla polskiego cyberbezpieczeństwa ustawa uzyskała podpis Prezydenta. Została jednak wysłana do Trybunału Konstytucyjnego co oznacza, że niektóre jej przepisy z czasem mogą być uchylone. Tak czy owak trzeba się szykować na wdrażanie NIS2.

Tydzień temu pisaliśmy o ustawie o Krajowym Systemie Cyberbezpieczeństwa, która ma wdrażać w Polsce unijną dyrektywę NIS2. Wówczas ustawa wyszła z Senatu (bez poprawek) i czekała na podpis Prezydenta. Złożenie tego podpisu wielu osobom wydawało się formalnością (naprawdę tej ustawy podpisujemy), ale ten akt prawny miał swoich przeciwników. Protestowali przeciwko niemu niektórzy przedsiębiorcy, na których mają zostać nałożone nowe obowiązki (otwarcie przeciwko ustawie opowiedziała się Krajowa Izba Komunikacji Ethernetowej – KIKE). Byli też prawnicy z wątpliwościami. Prof. Ryszard Piotrkowski przekonywał, że bezpieczeństwo państwa nie uzasadnia tworzenia prawa, które trwale godziłoby we własność i swobodę działalności gospodarczej. W Sejmie odbyło się nawet zamknięte posiedzenie komisji cyfryzacji poświęcone lobbingowi wokół nowelizacji.
Wczoraj Prezydent ustawę podpisał, ale odesłał ją do Trybunału Konstytucyjnego w ramach kontroli następczej. Trybunał może uchylić część przepisów.
Z informacji wystosowanej przez Kancelarię Prezydenta wynika, że zastrzeżenia Prezydenta wobec ustawy są następujące:

Wątpliwości budzi objęcie ustawą 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Przy czym – zdaniem Prezydenta – rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu.
Przepisy dotyczące uznawania firm za Dostawców Wysokiego Ryzyka (DWR) ingerują w samodzielność [...]

#NIS2 #Prezydent #UstawaOKrajowymSystemieCyberbezpieczeństwa #Ustawy

https://niebezpiecznik.pl/post/prezydent-podpisal-ustawe-ksc-nis2-i-wyslal-ja-do-trybunalu/

Najważniejsza dla cyberbezpieczeństwa ustawa wdrażająca NIS2 czeka na podpis Prezydenta

Firma w której pracujesz może już niebawem stać się elementem “systemu cyberbezpieczeństwa”, co wiąże się z nowymi obowiązkami i ewentualnymi karami za ich niespełnienie. Wszystko dzięki ustawie, która bez poprawek niedawno została przyjęta przez Senat. Jeśli Prezydent ją podpisze, to czeka nas (jako społeczeństwo) sporo pracy. Jeśli nie podpisze, to też mamy problem ;)
Krajowy System Cyberbezpieczeństwa nadchodzi
28 stycznia w trakcie 51. posiedzenia Senatu przyjęto bez poprawek nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw. Potocznie ta ustawa określana jest skrótami UKSC2 lub KSC2. Jej znaczenie jest ogromne bo wdraża ona unijną dyrektywę NIS2.
Ze swoich doświadczeń szkoleniowych wiemy, że świadomość tematu NIS2 jest raczej niska, nawet na wysokich stanowiskach w firmach. A ten temat warto znać. Jeśli jednak chcemy go dobrze wyjaśnić, to musimy zacząć od unijnej dyrektywy.
Oto artykuł z cyklu wszystko co chcieliście wiedzieć o NIS2, ale baliście się zapytać (albo w ogóle nie wiedzieliście, że możecie). Przekażcie go swoim Zarządom. I prawnikom. I działom Compliance. Ludziom od bezpieczeństwa nie musicie przekazywać, bo wszytko to już wiedzą, prawda? PRAWDA?!
Jeśli zamiast czytać, wolicie posłuchać, to dajcie znać, bo mamy zwarty, konkretny 90 minutowy power-speech dotyczący NIS2. Przystępnym językiem wyjaśnia zawiłości, przekazuje “najlepsze praktyki” i przede wszystkim bazuje na konkretnych case studies. Wykład możemy zrealizować także w podejściu bardziej warsztatowym. Przeszkoliliśmy już kilka Zarządów i grup złożonych z działów IT, prawny, compliance, [...]

#KrajowySystemCyberbezpieczeństwa #KSC #KSC2 #NIS2 #Prawo #UstawaOKrajowymSystemieCyberbezpieczeństwa

https://niebezpiecznik.pl/post/najwazniejsza-dla-cyberbezpieczenstwa-ustawa-wdrazajaca-nis2-czeka-na-podpis-prezydenta/

Splunk czy Wazuh? A może lepiej TheHive, Cortex lub Cribl?

Wszyscy zgodzimy się, że warto wiedzieć, czy ktoś przypadkiem nie buszuje po naszej infrastrukturze — i to nie tylko wtedy, kiedy na jej styku stoi UTM od Fortinet ;) Wiele z sieci jest już od dawna przejętych, ale niestety nie każda firma potrafi wykryć, że jej infrastruktura została zhackowana. A przecież narzędzi, które w tym mogą pomóc, jest sporo…
SOC w praktyce: plusy, minusy i możliwości wielu platform
Zaczynamy cykl kilku ok. dwu-godzinnych szkoleń, które mogą Wam rozwiązać powyższy problem, tj. wykryć anomalie w sieci oraz usunąć, a może nawet namierzyć atakującego. A także zbudować swój profesjonalny, firmowy albo pół-profesjonalny, domowy Security Operations Center i poznać dziesiątki technik i narzędzi, które pomogą Wam lepiej zrozumieć co (złego) i kiedy dzieje się w Waszej infrastrukturze.

Cyklowi nadaliśmy nazwę “SOC w praktyce“, a pierwsze ze szkoleń, poświęcone analizie różnych platform SOC-owych odbędzie się już w czwartek 19 lutego o godzinie 19:00 (online) — zapisz się na nie, nawet jeśli ten termin Ci nie pasuje bo szkolenie jest nagrywane i będziesz mieć do niego dostęp przez 30 dni, więc na pewno zdążysz się zapoznać z tym materiałem i podniesiesz swoją wiedzę oraz bezpieczeństwo sieci. Dla tych, którzy znają jakość naszych szkoleń, tutaj od razu link do koszyka :)
UWAGA! Tylko do czwartku możecie kupić to szkolenie po niższej aż o 65% cenie!

Szkolenie zawiera laby, więc każdy z uczestników będzie mógł od razu w praktyce przetestować swoją wiedzę i poznane techniki oraz narzędzia.
Większość uczestników naszych szkoleń opłaca je z firmowego budżetu szkoleniowego, więc poproś szefa o sfinansowanie udziału w tym szkoleniu. Jeśli będziesz potrzebować proformy, oferty w PDF, po angielsku lub podpisu na [...]

#MichałGarcarz #SOC

https://niebezpiecznik.pl/post/splunk-czy-wazuh-a-moze-lepiej-thehive-cortex-lub-cribl/

Zarzuty dla 29-latka w sprawie wycieku z Morele.net Włamanie do sklepu Morele.net miało miejsce w 2018 roku, ale funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) nie odpuścili. Udało im się ustalić osobę odpowiedzialną za atak i przedstawić jej zarzuty.  Zakładamy, że większość naszych Czytelników słyszała o kradzieży danych klientów Morele.net, a niektórzy z Was wgryzali się w analizy licznych skutków prawnych tego zdarzenia. Oczy opinii publicznej były skierowane głównie na karę nałożoną przez UODO i spór sądowy wokół niej, natomiast równolegle toczyło się jeszcze inne niezwykle ważne postępowanie. CBZC pod nadzorem Prokuratury Okręgowej w Krakowie starało się znaleźć sprawcę. Pierwotnie postępowanie zostało umorzone z uwagi na niewykrycie sprawcy, ale to nie znaczy, że policja przestała się sprawą interesować. CBZC ciągle prowadziło intensywne analizy współpracując z pokrzywdzonym. Zidentyfikowano wektor ataku i ustalono przebieg zdarzenia. Potem udało się ustalić personalia sprawcy, który jednak pewne ślady pozostawił. W dniu 30 stycznia 2026 roku prokurator nadzorujący postępowanie przedstawił zarzuty z art. 267§1 i §4 Kodeksu karnego 29-letniemu obywatelowi Polski. Podejrzany przyznał się do popełnienia zarzucanego czynu oraz złożył obszerne wyjaśnienia. Zakres ujawnionych informacji obejmował m.in. imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła do kont użytkowników. Dane dotyczące płatności nie były objęte incydentem. źródło: materiały Policji Co jeszcze robi CBZC? Trzeba przyznać, że w ostatnim czasie CBZC raz po raz potwierdzało, że udało mu się zbudować imponujące kompetencje. W listopadzie donosiliśmy o zatrzymaniu Mikołaja R., który podszywał się m.in. pod [...] #CBZC #CentralneBiuroZwalczaniaCyberprzestępczości #Cyberprzestępcy https://niebezpiecznik.pl/post/zarzuty-dla-29-latka-w-sprawie-wycieku-z-morele-net/

Możesz dostać 500zł mandatu, bo system poboru opłat na A4 miał ciekawy błąd Jechałeś A4? To skarbówka może Cię wezwać do wniesienia opłaty za “nieopłacony przejazd autostradą” sprzed kilku (!) lat. I to mimo tego, że Ty przejazd opłaciłeś, a dziś podróż tym odcinkiem jest bezpłatna. Wiele osób po prostu płaci, choć niektóre z opłat są naliczone błędnie i Ministerstwo Finansów najwyraźniej o tym wie. Płacić już nie trzeba, ale… Czy pamiętacie system e-Toll i kupowanie biletów na niekulczykowe odcinki autostrad (na stacjach lub w aplikacji)? Zwykłemu obywatelowi może się wydawać, że te opłaty za niekulczykowe autostrady to przeszłość, ale… one mogą o sobie przypomnieć gdy się tego najmniej spodziewasz, chociaż od lipca 2023 płacić nie trzeba, przynajmniej jeśli jedziesz samochodem osobowym lub motocyklem. Wezwanie, za przejazd sprzed lat Nasz Czytelnik Szymon dostał wezwanie do zapłaty 500zł za przejazd autostradą A4 sprzed 3 lat. Początkowo rozważał zapłacenie, bo czy normalny człowiek może być pewien, że trzy lata wcześniej nie zapomniał odpalić aplikacji i przejechał autostradą bez wykupionego biletu? Szymon skonsultował znajomych i dowiedział się, że więcej osób takie wezwania otrzymało. Jedna z nich powiedziała mu, że zapłaciła dla świętego spokoju za wszystkie 3 wezwania, jakie dostała. Szymon postanowił drążyć sprawę. Zajrzał do galerii zdjęć w swoim smartfonie i ustalił, że tego dnia rzeczywiście odbył jednodniową wycieczkę do Wrocławia. Postanowił sprawdzić czy zapłacił za przejazd płatnym odcinkiem autostrady do Wrocławia, więc zalogował się na swoje koto w systemie e-TOLL, wszedł w zakładkę “historia przejazdów” i wybrał odpowiedni zakres dat. System jednak niczego nie pokazał, bo Szymon nie był w stanie wskazać [...] #Aplikacje #AplikacjeMobilne #Autostrady #Kas #MinisterstwoFinansów https://niebezpiecznik.pl/post/wezwanie-do-zaplaty-a4-mandat-etoll-autostrada/

⚠️ Uwaga na Powiadomienia w sprawie KSeF Otrzymujemy informacje o tym, że oszuści zaczęli podszywać się pod Ministerstwo Finansów oraz Krajową Administrację Skarbową i rozsyłają e-maile dotyczące KSeF, które zawierają złośliwe załączniki, których uruchomienie może spowodować kradzież danych i pieniędzy. Oto jak wyglądają przykładowe wiadomości: Kategoria: Publiczne Szanowni Państwo, W załączniku znajduje się Powiadomienie Naczelnika Urzędu Skarbowego. Prosimy o informację, czy potrzebują Państwo szkolenia lub wsparcia informacyjnego. Będziemy również wdzięczni za informacje zwrotną, czy są Państwo gotowi do korzystania z systemu Z wyrazami szacunku starszy referent Dział Wsparcia Urząd Skarbowy Warszawa-Praga Wiadomości różnią się nieznacznie treścią (nie zawsze mają pełen podpis) i są wysyłane z różnych adresów e-mail — oto przykładowe z nich: us.warszawe.prage@mf.gov.pl powiadomKAS@mf.gov.pl Jak widać, skrzynki e-mail nadawców mają prawidłową domenę Ministerstwa Finansów. Jak to możliwe, że adres jest “poprawny”? Bardzo prosto, każdy może wysłać e-maila z dowolnym adresem nadawcy, ale taki e-mail nie powinien dotrzeć do skrzynki odbiorcy, o ile: nadawca poprawnie zaimplementował mechanizmy bezpieczeństwa poczty elektronicznej (SPF, DKIM, DMARC) a odbiorca wiadomości je sprawdza Ministerstwo Finansów ma poprawnie wdrożone nagłowki: v=spf1 ip4:145.237.237.0/26 ip4:145.237.192.0/27 ip4:145.237.160.128/27 include:spf.protection.outlook.com -all v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@mf.gov.pl co oznacza, że e-maile od oszustów widzą w skrzynkach te osoby, których administratorzy firmowej poczty nie weryfikują poprawnie ww. mechanizmów bezpieczeństwa. Niestety, nawet duże firmy (nie tylko w Polsce) wciąż mają z tym problem. Dlatego zdecydowaliśmy się w tej sprawie wysłać ostrzeżenie użytkownikom [...] #Cyberalert #KSeF https://niebezpiecznik.pl/post/uwaga-na-powiadomienia-w-sprawie-ksef/

Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

Przywykliśmy do tego, że kamery i monitoring pojawiają się w różnych miejscach. Taksówkach, autobusach, budynkach, garażach, aptekach, a nawet osiedlowych sklepach. I większość osób nie ma z kamerami problemu, bo zakłada że do nagrań sięga się tylko “po przestępstwie”. Aby sprawdzić kto coś zniszczył, ukradł, napadł. A co, gdybyśmy Wam powiedzieli, że klientów Żabki obserwować mógł każdy?
Ah, ten monitoring…
Wiemy z własnych obserwacji, że instalowanie systemów monitoringu w wielu miejscach w Polsce jest beztroskie. Rejestratory często są montowane w publicznie dostępnych miejscach, co naraża je na atak fizyczny. A jak są schowane, to dostęp do nich nierzadko odbywa się po sieci Wi-Fi (rozgłaszanej z routera podłączonego wprost do rejestratora), przy czym nazwa sieci jest tak nieprzewidywalna jak np. “kamery“.
Bywa też, że rejestrator jest podłączony do internetu, a dostęp do niego jest możliwy od strony sieci publicznej przez każdego, jeśli nie zadbano o odpowiednią konfigurację… Z kronikarskiego obowiązku musimy tu jednak dodać uwagę techniczną: uzyskanie dostępu do profesjonalnego monitoringu wymaga odpowiedniej aplikacji. Trzeba w niej podać adres IP, port, login i hasło. Ale problem w tym, że porty często są standardowe, loginy często są domyślne (w rodzaju “user” lub “admin”), a hasła często bywają bardzo oczywiste (np. adres1234) bądź łatwe do “wyliczenia”.
Czy podglądania tak źle skonfigurowanych instalacji monitoringu wizyjnego może być problemem? Opowiemy o tym na dwóch przykładach.
Monitoring w tajemniczej Żabce
W zeszły poniedziałek jeden z naszych Czytelników dał nam znać, że monitoring pewnego sklepu “Żabka” jest dostępny publicznie na określonym numerze IP, z loginem “admin” [...]

#Żabka #CCTV #Interparking #Monitoring #RODO #UODO

https://niebezpiecznik.pl/post/monitoring-wizyjny-cctv-publicznie-dostepny-zabka/

Jak Rosjanie zhackowali polski sektor energetyczny miesiąc temu? W końcówce 2025 doszło do bezprecedensowego i skoordynowanego ataku na kilkadziesiąt obiektów w strukturach polskiego sektora energetycznego. Atakującym udało się włamać do co najmniej 30 obiektów typu OZE (farmy wiatrowe i fotowoltaiczne) ale także elektrociepłowni obsługującej 500 tysięcy Polaków i do jednej z firm produkcyjnych. Wszystkie z tych obiektów próbowano unieruchomić i w wielu przypadkach atakujący osiągnęli swój cel. Kto stoi za tym atakiem (i dlaczego tym razem to naprawdę są Rosjanie)? Jak działali włamywacze? Dlaczego nie doszło do tragedii? Tego dowiecie się z niniejszego artykułu. Dlaczego piszecie o tym dopiero teraz? O atakach na polską infrastrukturę krytyczną wiadomo od miesiąca. Na przełomie roku informowali o nich politycy. Podsyłaliście nam ich wypowiedzi i oczekiwaliście komentarza. Nie komentowaliśmy tych wypowiedzi świadomie — oświadczenia polityków na temat (cyber)ataków prawie zawsze nie są rzetelne, służą celom politycznym i zazwyczaj wcale nie rozjaśniają sytuacji, a jedynie wprowadzają więcej zamieszania. Dlatego czekaliśmy na techniczne raporty i oświadczenia zaatakowanych podmiotów lub odpowiednich CSIRT-ów. W międzyczasie pojawiły się raporty dotyczące tych incydentów od firm ESET i Dragos, ale z całym szacunkiem do koleżanek i kolegów z obu tych podmiotów, widać było, że te raporty odbiegają od standardów jakościowych obu firm i są bardziej PR-owe, zamiast merytorycznie prezentować całość incydentu (jak się zresztą zaraz okaże, niektóre z wyciąganych w tych raportach wniosków okazały się błędne — jak widać nie zawsze sama telemetria vendora wystarczy, aby zrozumiał on całość ataku). Dziś sytuację uratował raport CERT Polska, który całościowo i bardzo rzetelnie opisał jak wyglądały [...] #Atak #CERTPolska #Energetyka #OSD #OZE #Rosja https://niebezpiecznik.pl/post/rosja-atak-polska-energetyka-oze-osd/

Komunikat szkoleniowy

W najbliższych tygodniach realizujemy szkolenia z dwóch tematów, które chcieliśmy Wam w dzisiejszym wpisie przybliżyć:
1. Bezpieczeństwo Sieci Komputerowych (Testy Penetracyjne)
Termin: 28-30 stycznia, w Krakowie
2. Zaawansowany OSINT: pozyskiwanie informacji na temat ludzi i firm
Termin: 16-17 lutego, on-line
Termin: 18 lutego, on-line, (to wariant fast-track, materiał jest skompresowany do 1 dnia)
Termin: 26-27 lutego, w Warszawie
Więcej o szkoleniu “Bezpieczeństwo Sieci Komputerowych”
To szkolenie to w zasadzie warsztaty — minimum teorii, maksimum praktyki. Jako uczestnik otrzymasz od nas dostęp do wirtualnej sieci firmowej i przez 3 dni szkolenia po kolei nauczysz się jak testować pod kątem bezpieczeństwa różne hosty, które w tej sieci się znajdują oraz jak się na nie “włamywać”. Ale to szkolenie to nie tylko atak, to także defensywa — omawiamy to, co trzeba zrobić, żeby ataki utrudnić lub uniemożliwić.
To szkolenie jest naszym zdaniem obowiązkowe dla administratorów i devopsów oraz każdego, kogo ciągnie w stronę realizowania profesjonalnych testów penetracyjnych.
Wszystkie terminy tego szkolenia znajdziesz na stronie Bezpieczeństwo Sieci Komputerowych, a najbliższe dla Twojej wygody listujemy poniżej:
Kraków: 28-30 stycznia 2026r. — zostało 5 wolnych miejsc
Ostatnio ktoś zarejestrował się 21 stycznia 2026r. → zarejestruj się na to szkolenie


3944 PLN netto (do 20 stycznia)
4444 PLN netto (od 21 stycznia)
Wrocław: 18-20 lutego 2026r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 09 stycznia 2026r. → zarejestruj się na to szkolenie


3944 PLN netto (do 23 stycznia)
4444 PLN netto [...]

https://niebezpiecznik.pl/post/komunikat-szkoleniowy/

Kup voucher na szkolenia Niebezpiecznika 2026

Jak zwykle, pod koniec roku, dajemy znać wszystkim tym, którzy wciąż mają budżet szkoleniowy do wydania, ale żaden z terminów naszych szkoleń w 2025 im nie pasuje:
Możecie kupić voucher na dowolny termin dowolnego naszego szkolenia w 2026. Płacicie teraz, idziecie na szkolenie w 2026, budżet Wam nie przepada.
Vouchery nie są imienne, więc jak Was awansują na manager-który-już-nie-musi-się-szkolić, to możecie na szkolenie w 2026 wysłać kogoś innego :-) Co więcej, vouchery nie muszą opiewać na całą kwotę danego szkolenia — tyle ile wpłacisz, tyle odliczymy podczas rejestracji w 2026 roku.
Jest jeszcze jeden powód, dla którego warto z vouchera skorzystać teraz. W styczniu, jak co roku, poniesiemy ceny udziału w naszych szkoleniach. Zakup vouchera teraz sprawi, że rejestracje na szkolenie w 2026 rozliczymy Ci po cenach z 2025 roku. Pieniądze zostaną zaoszczędzone, szef będzie zadowolony, księgowość nie będzie płakać — wszyscy wygrywają!
Aby zamówić voucher wypełnij ten formularz. Możesz wpisać w polu “Uwagi” nazwę szkolenia, którego ma dotyczyć voucher albo kwotę, jaką chcesz umieścić na swoim voucherze. Masz pytania? Zadzwoń pod numer 12-44-202-44.
Jakie szkolenia można na voucher?
Wszystkie. Ich pełną listę znajdziesz tutaj. Voucher obejmuje też nasz wykład “Jak nie dać się zhackować?” z którym ponownie w 2026 roku odwiedzimy największe polskie miasta, a więc może to być….
dobry pomysł na prezent dla pracowników pod choinkę
Aby zamówić voucher wypełnij ten formularz, wpisując w polu “Uwagi” nazwę szkolenia, którego ma dotyczyć voucher albo kwotę, jaką chcesz umieścić na swoim voucherze. Masz pytania? Zadzwoń pod numer 12-44-202-44

Planujemy Was zaprosić w 2026 do firmy na zamknięte szkolenie — można na to voucher?
Można! Jeśli [...]

#Niebezpiecznik #Szkolenia #Vouchery

https://niebezpiecznik.pl/post/kup-voucher-na-szkolenia-niebezpiecznika-2026/

Fala włamań do e-dzienników różnych szkół na terenie całej Polski

W ostatnich dniach rodzice posiadający konta w dziennikach Librus i Vulcan, otrzymali od nauczycieli różnego rodzaju szokujące, kłamliwe, a niekiedy nawet sprośne wiadomości. Próbowano ich też okraść. Oczywiście, za tymi działaniami nie stali nauczyciele. Ktoś przejął ich konta…
My ze swoich źródeł wiemy o dwóch takich incydentach. Jeden dotyczył systemu Vulcan w szkole na Dolnym Śląsku, gdzie z konta nauczycielki, która jest na urlopie macierzyńskim, ktoś nagle wysłał prośbę o wpłatę “35 zł na podany numer telefonu” bo organizowana jest wycieczka do kina.

Drugi z przypadków nie nadaje się do cytowania, ale dotyczył konkurencyjnej platformy Librus. Zachowanie tego atakującego pokazało małe wyrafinowanie i raczej brak dobrych pomysłów na spieniężenie dostępu do konta nauczyciela.
Od wczoraj w atakach na dzienniki szkolne kontaktują się z nami dziennikarze. Marcin udzielił wypowiedzi telewizji Polsat, a Piotra będziecie mogli posłuchać w wiadomościach TVP. Dziennikarze z którymi rozmawialiśmy posiadali informacje o kolejnych incydentach tego typu — wszystko więc wskazuje na szerzej zakrojoną akcję. Nie chodzi o jedną szkołę. Nie chodzi o jeden system elektronicznych dzienników. Ministra edukacji Barbara Nowacka w wypowiedzi dla Radia Zet przyznała, że do MEN dotarły informacje o trzech incydentach, ale naszym zdaniem po prostu nie wszystkie zostały (jeszcze) do ministerstwa zgłoszone.
To wina nauczycieli, niekoniecznie platformy
Wszystkie przypadki, o których słyszeliśmy do momentu opublikowania tego tekstu opierały się na zalogowaniu na konto użytkownika (nauczyciela). Nie mamy więc żadnych informacji o “włamaniu na serwery tego czy innego e-dziennika”, ale informacje o zalogowaniu się na konta określonych [...]

#Dzieci #Librus #MEN #Szkoła #Vulcan

https://niebezpiecznik.pl/post/fala-wlaman-do-e-dziennikow-roznych-szkol-na-terenie-calej-polski/

Dane dzieci i rodziców z kilku żłobków były dostępne publicznie

Pliki umów zawartych pomiędzy rodzicami a żłobkami w Łodzi były dostępne publicznie i możliwe do pobrania przez każdego. Powód? Błąd w aplikacji, która miała ułatwiać organizowanie pracy w żłobkach.
Co się wydarzyło?
Jak poinformowała nas pewna zaniepokojona osoba, na jednej stronie powiązanej z Politechniką Łódzką dostępny był taki oto indeks plików:

Indeks obejmował ponad 4900 plików PDF zatytułowanych jako “umowa” (większość plików) lub “aneks” (niektóre). Znajdowało się tam także kilkadziesiąt plików ZIP, ale tych nie dało się pobrać. Każdy z plików PDF był kopią umowy zawartej pomiędzy rodzicami a kierownikiem jednego z miejskich żłobków w Łodzi. W umowach znajdowały się następujące dane rodziców lub opiekunów dziecka w tym:

nazwiska,
numery PESEL,
adresy zamieszkania,
numery telefonów.

Niektóre pliki zawierały puste pola, ale nie analizowaliśmy pełnego zestawu tych danych i nie wiemy jaki odsetek mogły stanowić pliki bez danych lub z cząstkowymi danymi. Pliki z umowami były dodawane w latach 2024-2025.

 
Numery PESEL dzieci też wyciekły
Wyciekły również numery PESEL dzieci ponieważ były one zawarte w nazwach plików. Aplikacja miała też inne niezabezpieczone endpointy, które dawały dostęp do innych danych np. na temat wyżywienia. Trafiały się w nich imiona i nazwiska dzieci oraz – w niektórych przypadkach – adresy zamieszkania dzieci.
Na podstawie wszystkiego co wyciekło dałoby się wywnioskować różne dodatkowe informacje np. czy rodzice mieszkają razem albo u którego z rodziców mieszka dziecko, albo czy dieta wskazuje na jakąś chorobę. Nie dokonywaliśmy takich analiz, ale potencjał tego co ujrzeliśmy był dla nas dość oczywisty.
Co robiły dane rodziców na [...]

#Łódź #DaneOsobowe #Dzieci #RODO #Wyciek #Złobki

https://niebezpiecznik.pl/post/dane-dzieci-i-rodzicow-z-kilku-zlobkow-byly-dostepne-publicznie/

Nieskuteczna anonimizacja w dokumentach ze sprawy Epsteina

Zwykła przeglądarka PDF-ów i umiejętność kopiowania tekstu – tyle wystarczyło, aby poznać niektóre z “utajnionych” szczegółów sprawy Epsteina. Jak widzicie na przełomie lat 2025/2026 takie rzeczy ciągle się zdarzają.

Zakładamy, że słyszeliście o sprawie Jeffreya Epsteina i wiecie, że amerykański Departament Sprawiedliwości opublikował bibliotekę dokumentów, które tej sprawy dotyczą. Jest ona dostępna pod adresem Justice.gov/epstein.
Jawność dokumentów miała umożliwić prześwietlenie wszystkich osób zamieszanych w tę sprawę, ale administracji Trumpa chyba nie zależało na pełnej jawności. Z dokumentów usunięto niektóre znane już wcześniej materiały (m.in. zdjęcia) co było świetnym wyzwalaczem efektu Streisand. Poza tym wiele dokumentów zawiera zaczernione fragmenty. Absolutnie nie mamy zamiaru bawić się w politykę i wygłaszać opinii na temat tego, czy “anonimizacja” była konieczna czy nie. Pragniemy tylko odnotować, że nie zawsze była skuteczna.
W zestawie dokumentów znajdziecie choćby takie rzeczy jak pozew w sprawie ST-20-CV-14, który – jak widać – zawiera zaczernione fragmenty.

Deanonimizacji tego fragmentu można dokonać na dwa sposoby. Można zaznaczyć zaczerniony tekst i skopiować do innej aplikacji. Można też (w niektórych przeglądarkach PDF) po prostu zaznaczyć tekst, co spowoduje zmianę formatowania i jego ujawnienie (jak na zrzucie poniżej).
Zdeanonimizowany dokument (ten sam fragment co powyżej)
Podkreślamy, że wiele dokumentów opublikowanych przez DoJ zanonimizowano skutecznie, niemniej zdarzają się dokumenty anonimizowane poprzez zmianę koloru tła tekstu lub nałożenie na fragmenty dokumentu czarnych prostokątów. Jest to więc powtarzanie takich błędów jakie nie raz opisywaliśmy czy [...]

#Anonimizacja #DaneWrażliwe #Epstein #OchronaDanych #OSINT

https://niebezpiecznik.pl/post/nieskuteczna-anonimizacja-w-dokumentach-ze-sprawy-epsteina/

⚠️ Uwaga klienci mBanku!

Obserwujemy falę e-maili, w których przestępcy podszywając się pod mBank, pod pretekstem aktualizacji numeru telefonu wyłudzają dane dostępowe do rachunku bankowego. Oto jak wygląda e-mail oraz docelowa strona udająca stronę logowania do mBanku:

Nadawca: mBaпk {RÓŻNE ADRESY E-MAIL}
Temat: Potwierdź swój numer telefonu – Sprawa: 6733-310
Szanowny Kliencie, Szanowna Klientko, aby kontynuować dostęp do swojego konta, ważne jest zaktualizowanie głównego numeru telefonu. Prosimy o dokonanie tej aktualizacji w ciągu 48 godzin, aby uniknąć zawieszenia konta.
Możesz teraz dokonać aktualizacji, klikając w poniższy link {RÓŻNE URL} Dziękujemy za współpracę i zrozumienie.
Z poważaniem,
Twój zespół online mBank.

Wiadomości wysyłane są z różnych adresów e-mail. Zwróćcie uwagę na literę “п” w nazwie banku. Jeśli ofiara kliknie w link, zostanie przekierowana na wiarygodnie wyglądającą stronę, która poprosi o uzupełnienie formularza logowania. Podanie tych danych oraz kolejnych informacji o które poproszą oszuści może spowodować kradzież pieniędzy.
Po czym poznać, że to oszustwo?
Choć strona, na jaką przekierowuje link z wiadomości e-mail wygląda jak prawdziwa strona mBanku, to jej adres nie jest poprawnym adresem mBanku. Pamiętaj, aby zawsze przed wpisaniem hasła dokładnie sprawdzić, na jakiej stronie się logujesz.

Uzupełniłem formularz, co teraz?
Jeśli wprowadziłeś login i hasło na fałszywej stronie, natychmiast zadzwoń na mLinię i poinformuj o tym bank.
Ostrzeż bliskich!
Jak zwykle, zachęcamy do ostrzeżenia Waszych najbliższych, którzy mają konta w mBanku. Wg naszych szacunków, przestępcy rozesłali sporo wiadomości, a niektóre z fałszywych serwisów, które wykorzystują do wykradania danych wciąż są aktywne. Możesz też zachęcić najbliższych do instalacji naszej darmowej aplikacji CyberAlerty [...]

#Cyberalert #MBank #Phishing

https://niebezpiecznik.pl/post/uwaga-klienci-mbanku-3/

Oto błąd, który pozwalał za darmo zamawiać jedzenie z cateringu “Kuchnia Vikinga” i z jeszcze jednego

Istotne błędy bezpieczeństwa można znaleźć nawet jeśli nie jest się zawodowym pentesterem. Przekonał się o tym nasz Czytelnik Tomek Stojanov, który przekonał aplikację do zamawiania dietetycznego cateringu by w nieskończoność zwiększała mu saldo. Tomek to jednak uczciwy klient, więc postanowił błąd ujawnić. I dobrze się stało, bo – jak wykazała analiza – z tego samego błędu korzystał ktoś jeszcze. Już nie taki etyczny.
Chcecie darmowy obiad, śniadanie i kolację od Vikinga?
W połowie listopada do naszej redakcji zgłosił się Tomek, który nie jest ani programistą ani specjalistą od bezpieczeństwa, ale jest człowiekiem spostrzegawczym. W czasie korzystania z aplikacji cateringu dietetycznego o nazwie “Kuchnia Vikinga” zauważył coś dziwnego… Aplikacja pozwalała na złożenie zamówienia i anulowanie go. Po anulowaniu użytkownikowi naliczały się punkty lojalnościowe o równowartości kwoty zamówienia. Punkty mogły być wykorzystywane do opłacenia kolejnych zamówień. I teraz ważna rzecz:
Proces anulowania trochę trwał, a użytkownik mógł w trakcie tego “trwania” anulować dostawę po raz kolejny. I kolejny. I kolejny, zanim to pierwsze anulowanie dobiegło końca.
Poniżej film z akcji nagrany przez Tomka:

Błąd jak widzicie poważny. Mógł powodować straty finansowe po stronie dostawcy cateringu.
Tomek błąd chciał zgłosić, ale miał z tym problem…
Odezwał się do firmy MasterLife Solutions, która jest dostawcą aplikacji mobilnej dla Kuchni Vikinga. Ta odesłała go do serwisu Intigriti (służącego do obsługi zgłoszeń typu bug bounty), który dla osoby [...]

#Aplikacje #Żabka #CateringDietetyczny #Intigriti #KuchniaVikinga #MasterLifeSolutions #RaceCondition #TomekStojanov

https://niebezpiecznik.pl/post/oto-blad-ktory-pozwalal-za-darmo-zamawiac-jedzenie-z-cateringu-kuchnia-vikinga-i-z-jeszcze-jednego/

ERP i cyberbezpieczeństwo: jak policzyć ROI, gdy ryzyko incydentów rośnie z roku na rok?

Rosnąca liczba procesów, danych i narzędzi w firmach powoduje, że w każdej organizacji prędzej czy później nadchodzi moment decyzji o wdrożeniu systemu ERP. Spójny system zarządzania zasobami to już nie tylko udogodnienie, ale warunek utrzymania konkurencyjności. A w coraz bardziej cyfrowych organizacjach, ERP pełni też rolę centralnego systemu porządkującego dane i przepływy informacji, co znacząco ogranicza ryzyka operacyjne — w tym te z obszarów cyberbezpieczeństwa i zgód regulacyjnych. Ale czy inwestycja w ERP rzeczywiście się zwraca? I jak to policzyć?

Chcesz wiedzieć, czy SAP jest dla Ciebie? Masz pytania w temacie wdrożeń ERP? Zapraszamy na webinar z ekspertami, który odbędzie się 11 grudnia. Rejestracja pod tym linkiem.

Czym właściwie jest ERP?
ERP, czyli Enterprise Resource Planning, to oprogramowanie służące do planowania i koordynacji zasobów przedsiębiorstwa. Łączy kluczowe obszary działalności – finanse, produkcję, logistykę, sprzedaż – w jeden spójny system. Mimo to temat wdrożenia ERP często ustępuje miejsca bieżącym potrzebom firmy. Tymczasem to decyzja strategiczna, a nie operacyjna – wpływa na efektywność wszystkich procesów w długim horyzoncie.
Kiedy przychodzi moment rozmowy o budżecie, kluczowe staje się przedstawienie argumentów finansowych. I choć wiele efektów wdrożenia widać dopiero w praktyce, potencjalny zwrot z inwestycji (ROI) można oszacować z dużą dokładnością.
Centralizacja danych – fundament efektywności
Jednym z najważniejszych atutów ERP jest konsolidacja informacji w jednym miejscu. Dane rozproszone w różnych działach i narzędziach zostają połączone w spójne repozytorium i są dostępne dla uprawnionych użytkowników. Zamiast wielu [...]

#ARTYKUŁSPONSOROWANY #ERP #ROI

https://niebezpiecznik.pl/post/erp-i-cyberbezpieczenstwo-jak-policzyc-roi-gdy-ryzyko-incydentow-rosnie-z-roku-na-rok/

⚠️ Uwaga na SMS od “mObywatela”

Na telefony Polaków wysyłane są SMS-y od nadawcy “mOBYWATEL”. Wiadomości informują, że w “skrzynce odbiorczej mObywatel” czeka na nas wiadomość i proszą o zalogowanie się. Oto jak wygląda SMS:

Skrócony link w wiadomości prowadził pod adres zakupionej przedwczoraj domeny obywatel[.]cloud wskazującej na serwer 193.200.16.47. Strona aktualnie nie jest dostępna — nie udało nam się ustalić, co dokładnie na niej się znajdowało, ale domyślamy się, że celem atakujących mogło być wyłudzenie danych dostępowych i/lub zapoznanie się z pozostałymi informacjami, które na temat każdego z nas dostępne są w aplikacji mObywatel.
Niestety, dane z aplikacji mObywatel są bardzo przydatne m.in. do ataków socjotechnicznych dotyczących bankowości internetowej. Dodatkowo, o mObywatelu jest ostatnio dość głośno. Z tego powodu, choć skala ataku nie była wielka, postanowiliśmy rozesłać ostrzeżenie przed tą kampanią do użytkowników naszej aplikacji CyberAlerty. Spodziewamy się że niebawem pojawia się kolejne ataki wykorzystujące wątek “mObywatela”.
Jeśli nie masz naszej aplikacji CyberAlerty, to rozważ jej instalacje. Jedyne co robi, to ostrzega Cię przed atakami zagrażającymi bezpieczeństwu Twoich danych i pieniędzy. Jest darmowa, działa na Androidzie i iPhonie. Pobierzesz ją z oficjalnych sklepów — tu bezpośredni link.
PS. A dla użytkowników mObywatela małą rada: włączcie logowanie do apki biometrią i zapamiętajcie, że to wystarczy, więc nigdzie nie musicie podawać żadnych haseł. Ci z urządzeniami z gorszą jakością biometrii mogą dodatkowo ustawić PIN.
Przeczytaj także:

Minister Cyfryzacji chce dodać …streaming meczy do mObywatela. Dlaczego to zły pomysł?
Uwaga na SMS-y obiecujące kupony od Żabki!
Uwaga na SMS od PGE

#Cyberalert #MObywatel

https://niebezpiecznik.pl/post/uwaga-na-sms-od-mobywatela/