Content
Tagged: SIA “1.”
Drošības ievainojamība “Rīgas Satiksme” biļešu sistēmas E-talons dzeltenajos talonos
Pateicoties šai ievainojamībai esot iespējams ar vienu vienīgu «dzelteno» papīra e-talonu braukt bezgalīgu skaitu reižu. «Viss, kas nepieciešams, lai izmantotu atklāto drošības ievainojamību, esot viedtelefons ar NFC iekārtu, kas mūsdienās nav retums, kā arī internetā par padsmit eiro iegādājama Ķīnā ražota klonēšanas karte.» Ievainojamībā tiek izmantota kartes simulācija, lai sazinātos ar transporta līdzeklī izvietoto E-talona […]
Pirmā masīvā Heartbleed ievainojamības skenēšana veikta no Latvijas Universitātes tīkla
To detect post-disclosure scanning, we similarly examined packet traces from LBNL, ICSI, and the EC2 honeypot. The first activity we observed originated from a host at the University of Latvia on April 8, starting at 15:18 UTC (21 hours 29 minutes after public disclosure), targeting 13 hosts at LBNL. This first attack was unusual in […]
Nedēļu pēc SIA «Rīgas Karte» izstrādātās «e-maks.lv» sistēmas atklāšanas, tajā pamanīta un novērsta nopietna drošības ievainojamība, kura krāpniekiem pavēra plašas iespējas piesavināties lielas naudas summas, «Apollo» informēja IT drošības uzņēmums «Possible.lv». Sistēma «e-maks.lv» ir pirmais solis «Rīgas Satiksmes» sabiedriskā transporta e-talonu funkcionalitātes papildināšanā, ļaujot ar to norēķināties arī ārpus transportlīdzekļiem. Ikviens, izmantojot e-pasta adresi, var […]
Iekšlietu ministrijas Informācijas centrs ar vienu piegājienu nespēj salabot CAPTCHA apiešanu
Iekšlietu ministrijas Informācijas centrs nodrošina pakalpojumu, kas ļauj noskaidrot, vai konkrēts dokuments ir anulēts, pazaudēts utml. (iekļauts Nederīgo dokumentu reģistrā). Lai ierobežotu automatizētu informācijas ieguvi no reģistra, lietotnes izstrādātājs tai ir pievienojis drošības kodu (CAPTCHA), kas obligāti jāievada, lai pieprasītu datus. Šī drošības koda realizācijā ir atklāta būtiska nepilnība. Pašu nepilnību gan raksturojam kā zemas […]
Zinot lietotājvārdu un pastāvīgo paroli, Swedbank ļauj uzzināt klienta vārdu un uzvārdu
Pārbaudot Swedbank mobilās aplikācijas drošību, tika atklāta interesanta kļūme, kas ļauj iegūt klienta vārdu un uzvārdu, ja zināms lietotāja numurs un pastāvīgā parole. Lai gan personas datu iegūšanai nepietiek ar lietotāja numuru vien, tomēr standarta autorizācijas gadījumos (bankas mājaslapa, banklink utml.) klienta dati netiek izpausti, kamēr netiek ievadīts kods no kalkulatora vai kodu kartes. Uzmanības […]
Mana uzņēmuma piedāvāto pakalpojumu klāsts atsvaidzinoši kontrastē ar tirgū esošo. Piedāvājam drošības incidentu izmeklēšanu, ielaušanās testus, izmantojot arī sociālo inženieriju, nedokumentētu protokolu analīzi, programmatūras reversinženieriju u.c. Labprāt palīdzēšu Tev un Tavam uzņēmumam gan sniedzot konsultācijas, gan izstrādājot nepieciešamo programmatūru, gan arī apmācot Tavus darbiniekus. Ja tas Tev būtu lietderīgi, tad dod ziņu un sarunāsim, jo […]