Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

Przywykliśmy do tego, że kamery i monitoring pojawiają się w różnych miejscach. Taksówkach, autobusach, budynkach, garażach, aptekach, a nawet osiedlowych sklepach. I większość osób nie ma z kamerami problemu, bo zakłada że do nagrań sięga się tylko “po przestępstwie”. Aby sprawdzić kto coś zniszczył, ukradł, napadł. A co, gdybyśmy Wam powiedzieli, że klientów Żabki obserwować mógł każdy?
Ah, ten monitoring…
Wiemy z własnych obserwacji, że instalowanie systemów monitoringu w wielu miejscach w Polsce jest beztroskie. Rejestratory często są montowane w publicznie dostępnych miejscach, co naraża je na atak fizyczny. A jak są schowane, to dostęp do nich nierzadko odbywa się po sieci Wi-Fi (rozgłaszanej z routera podłączonego wprost do rejestratora), przy czym nazwa sieci jest tak nieprzewidywalna jak np. “kamery“.
Bywa też, że rejestrator jest podłączony do internetu, a dostęp do niego jest możliwy od strony sieci publicznej przez każdego, jeśli nie zadbano o odpowiednią konfigurację… Z kronikarskiego obowiązku musimy tu jednak dodać uwagę techniczną: uzyskanie dostępu do profesjonalnego monitoringu wymaga odpowiedniej aplikacji. Trzeba w niej podać adres IP, port, login i hasło. Ale problem w tym, że porty często są standardowe, loginy często są domyślne (w rodzaju “user” lub “admin”), a hasła często bywają bardzo oczywiste (np. adres1234) bądź łatwe do “wyliczenia”.
Czy podglądania tak źle skonfigurowanych instalacji monitoringu wizyjnego może być problemem? Opowiemy o tym na dwóch przykładach.
Monitoring w tajemniczej Żabce
W zeszły poniedziałek jeden z naszych Czytelników dał nam znać, że monitoring pewnego sklepu “Żabka” jest dostępny publicznie na określonym numerze IP, z loginem “admin” [...]

#Żabka #CCTV #Interparking #Monitoring #RODO #UODO

https://niebezpiecznik.pl/post/monitoring-wizyjny-cctv-publicznie-dostepny-zabka/

Byłyśmy wczoraj w #Gliwice w #TePeWu
Rozmawiałyśmy m.in. o #iwa-ait #AnarchoSyndykalizm o tym jakie problemy mają #lokatorzy i pracownicy #żabka

dzięki @8petros za zaproszenie!

Oto błąd, który pozwalał za darmo zamawiać jedzenie z cateringu “Kuchnia Vikinga” i z jeszcze jednego

Istotne błędy bezpieczeństwa można znaleźć nawet jeśli nie jest się zawodowym pentesterem. Przekonał się o tym nasz Czytelnik Tomek Stojanov, który przekonał aplikację do zamawiania dietetycznego cateringu by w nieskończoność zwiększała mu saldo. Tomek to jednak uczciwy klient, więc postanowił błąd ujawnić. I dobrze się stało, bo – jak wykazała analiza – z tego samego błędu korzystał ktoś jeszcze. Już nie taki etyczny.
Chcecie darmowy obiad, śniadanie i kolację od Vikinga?
W połowie listopada do naszej redakcji zgłosił się Tomek, który nie jest ani programistą ani specjalistą od bezpieczeństwa, ale jest człowiekiem spostrzegawczym. W czasie korzystania z aplikacji cateringu dietetycznego o nazwie “Kuchnia Vikinga” zauważył coś dziwnego… Aplikacja pozwalała na złożenie zamówienia i anulowanie go. Po anulowaniu użytkownikowi naliczały się punkty lojalnościowe o równowartości kwoty zamówienia. Punkty mogły być wykorzystywane do opłacenia kolejnych zamówień. I teraz ważna rzecz:
Proces anulowania trochę trwał, a użytkownik mógł w trakcie tego “trwania” anulować dostawę po raz kolejny. I kolejny. I kolejny, zanim to pierwsze anulowanie dobiegło końca.
Poniżej film z akcji nagrany przez Tomka:

Błąd jak widzicie poważny. Mógł powodować straty finansowe po stronie dostawcy cateringu.
Tomek błąd chciał zgłosić, ale miał z tym problem…
Odezwał się do firmy MasterLife Solutions, która jest dostawcą aplikacji mobilnej dla Kuchni Vikinga. Ta odesłała go do serwisu Intigriti (służącego do obsługi zgłoszeń typu bug bounty), który dla osoby [...]

#Aplikacje #Żabka #CateringDietetyczny #Intigriti #KuchniaVikinga #MasterLifeSolutions #RaceCondition #TomekStojanov

https://niebezpiecznik.pl/post/oto-blad-ktory-pozwalal-za-darmo-zamawiac-jedzenie-z-cateringu-kuchnia-vikinga-i-z-jeszcze-jednego/

Back from Poland (I was a few days here to see one of my pardner 💞) I had so many nosebleeds its crazy (like 3 to 5 times a day)
Also Źabka HOTDOG!!!!

#me #selfie #zabka

Zaprzągłem #perplexity.ai do pracy i oto jest - nowa wersja programu do malowania sieci sklepów #Żabka we Wrocławiu na podstawie danych #openstreetmap. Dość łatwo można ją przerobić, żeby rysowała wszystkie punkty sprzedaży kebabów w Krakowie itp.

Edit: we Wrocławiu wg OSM jest 416 punktów sieci Żabka - moim zdaniem dużo!

https://github.com/wlbirula/Mapa_Zabek#

is Polish żabka actually bad?

Watch me eat some stuff at: https://youtu.be/khlfyUZsOjY

#fyp #reels #shorts #Poland #zabka #żabka #food #test #review #zapiekanka #pizza

I can't believe this is real holy crap
https://github.com/TehFridge/Zappka3DS

#3ds #homebrew #poland #zabka #zappka