تشریح کامل و بسیار مفیدی از عملیات pivoting
https://pentest.blog/explore-hidden-networks-with-double-pivoting/
#pivoting
#network
@sec_nerd
https://pentest.blog/explore-hidden-networks-with-double-pivoting/
#pivoting
#network
@sec_nerd
شرکت Tio network متعلق به paypal مورد حمله هکرها قرار گرفت.
این شرکت کانادایی شبکه ای شامل بیش از 60 هزار دستگاه و کیوسک پرداخت را در آمریکای شمالی داراست.
در این حمله اطلاعات یک میلیون و ششصد هزار مشتری این شرکت به سرقت رفت.
https://securityaffairs.co/wordpress/66309/data-breach/paypal-tio-networks-data-breach.html
#breach
#news
@sec_nerd
این شرکت کانادایی شبکه ای شامل بیش از 60 هزار دستگاه و کیوسک پرداخت را در آمریکای شمالی داراست.
در این حمله اطلاعات یک میلیون و ششصد هزار مشتری این شرکت به سرقت رفت.
https://securityaffairs.co/wordpress/66309/data-breach/paypal-tio-networks-data-breach.html
#breach
#news
@sec_nerd
Security Affairs
PayPal-owned company TIO Networks data breach affects 1.6 million customers
PayPal confirmed that one of the companies it owns, TIO Networks, suffered a security breach, that affected 1.6 million customers.
کسانی که از سایت sci-hub مقاله دانلود میکردند و اخیرا دچار مشکل شده اند میتوانند با استفاده از DNSهای این وبسایت، تا فیکس شدن این مشکل توسط تیم sci-hub به این سایت دسترسی داشته باشند: 80.82.77.83&84
جیکوب رینز 38 ساله به جرم هک کردن کارفرمای سابق خود به شش سال حبس در زندان فدرال امریکا محکوم شد.
این فرد بدلیل دزدیدن اسرار تجاری و محتوای جنسی کودکان تحت تعقیب قرار گرفت.کارفرمای جیکوب پس از اینکه وی از شرکت رفت بجای وی مدیر آی تی جدیدی استخدام کرد. مدیر جدید در سال 2014 متوجه ورود شخصی به کامپیوتر با استفاده از ارتباط ftp گردید و با دنبال کردن حرکات وی فهمید این شخص فایلهای شرکت را به سرور دیگری منتقل میکند. جیکوب سه بار با استفاده از ارتباط RDP وارد کامپیوتر قبلی خود شد و اطلاعاتی را سرقت کرد.
ماموران fbi پس از پیدا کردن آی پی جیکوب که از یک سرویس خانگی AT&T استفاده میکرد و بازرسی کامپیوتر وی فهمیدند که او به دنبال تصاویر آزار کودکان زیر سن قانونی نیز بوده است.
از یک DVD مجموع 7 هزار تصویر جنسی از کودکان یافت شد و یک ارتباط p2p نیز برای به اشتراک گذاری این تصاویر و حجم زیادی از تصاویر و ویدئوهای مذکور در سایر سیستم های او بدست آمد.
https://www.bleepingcomputer.com/news/security/former-sysadmin-caught-hacking-his-ex-employer-by-his-replacement/
#news
#fbi
#pervert
#usa
@sec_nerd
این فرد بدلیل دزدیدن اسرار تجاری و محتوای جنسی کودکان تحت تعقیب قرار گرفت.کارفرمای جیکوب پس از اینکه وی از شرکت رفت بجای وی مدیر آی تی جدیدی استخدام کرد. مدیر جدید در سال 2014 متوجه ورود شخصی به کامپیوتر با استفاده از ارتباط ftp گردید و با دنبال کردن حرکات وی فهمید این شخص فایلهای شرکت را به سرور دیگری منتقل میکند. جیکوب سه بار با استفاده از ارتباط RDP وارد کامپیوتر قبلی خود شد و اطلاعاتی را سرقت کرد.
ماموران fbi پس از پیدا کردن آی پی جیکوب که از یک سرویس خانگی AT&T استفاده میکرد و بازرسی کامپیوتر وی فهمیدند که او به دنبال تصاویر آزار کودکان زیر سن قانونی نیز بوده است.
از یک DVD مجموع 7 هزار تصویر جنسی از کودکان یافت شد و یک ارتباط p2p نیز برای به اشتراک گذاری این تصاویر و حجم زیادی از تصاویر و ویدئوهای مذکور در سایر سیستم های او بدست آمد.
https://www.bleepingcomputer.com/news/security/former-sysadmin-caught-hacking-his-ex-employer-by-his-replacement/
#news
#fbi
#pervert
#usa
@sec_nerd
BleepingComputer
Former Sysadmin Caught Hacking His Ex-Employer by His Replacement
On Wednesday, November 29, a Kansas City court sentenced a Missouri man to six years in federal prison without parole for hacking his former employer, stealing trade secrets, and for accessing child pornography.
اطلاعات نزدیک به 1700 دانشجوی دانشگاه rutgers امریکا بخاطر اشتباه فنی منتشر شد.
این اطلاعات مربوط به دانشجویان دانشکده کامپیوتر بوده و شامل شماره دانشجویی، معدل و برنامه کلاسی بوده است.
https://www.dailytargum.com/article/2017/12/data-security-breach-at-rutgers-leaves-the-information-of-1700-students-unprotected
#breach
#news
#usa
#rutgers
@sec_nerd
این اطلاعات مربوط به دانشجویان دانشکده کامپیوتر بوده و شامل شماره دانشجویی، معدل و برنامه کلاسی بوده است.
https://www.dailytargum.com/article/2017/12/data-security-breach-at-rutgers-leaves-the-information-of-1700-students-unprotected
#breach
#news
#usa
#rutgers
@sec_nerd
The Daily Targum
Data security breach at Rutgers leaves the information of 1,700 students unprotected | The Daily Targum
The Daily Targum is where you can find Rutgers University's campus news, Scarlet Knights sports coverage, features, opinions and breaking news for New Brunswick, New Jersey
Enumerates S3 buckets manually or via certstream
slurp
https://github.com/bbb31/slurp
#aws
#cloud
#pentest
@sec_nerd
slurp
https://github.com/bbb31/slurp
#aws
#cloud
#pentest
@sec_nerd
اجرای XSS در فایرفاکس با استفاده از فیلدهای ورودی غیرفعال
https://plnkr.co/edit/IWkEvVkdH4yhwgknVis5?p=preview
#firefox
#xss
@sec_nerd
https://plnkr.co/edit/IWkEvVkdH4yhwgknVis5?p=preview
#firefox
#xss
@sec_nerd
plnkr.co
Untitled
Plunker is an online community for creating, collaborating on and sharing your web development ideas.
فردی که در ایالت میشیگان با هک کردن شبکه یک زندان محلی قصد آزاد کردن زودهنگام دوست خود را داشت توسط fbi دستگیر شد.
کنرادز وویتس ۲۷ ساله ابتدا سعی کرد با ارسال ایمیل فیشینگ به کارکنان زندان و جا زدن خود بعنوان یک کارمند دادگاه و ساخت دامنه جعلی برای وب سایت رسمی بخش Washtenaw در میشیگان، آنها را وادار به اجرای بدافزار کند اما این روش موفق نبود.
وی سپس به مهندسی اجتماعی تلفنی روی آورد و با معرفی خود بعنوان کارشناس بخش آی تی زندان، از کارمندان خواست که از سایت خاصی که معرفی کرده بود برنامه ای را تحت عنوان بروز رسانی سیستم زندان دانلود و اجرا کنند.
اینبار وی موفق شد و توانست وارد شبکه بخش Washtenaw شده و به سیستم XJail که مربوط به اطلاعات زندانیان بود وارد شود. وی با دستکاری رکوردهای یکی از زندانیان قصد داشت وی را پیش از موعد از زندان آزاد کند.
کارمندان زندان با دیدن این تغییر مراتب را به اطلاع fbi رسانده و کنرادز دستگیر شد.
https://www.bleepingcomputer.com/news/security/man-hacks-jail-computer-network-to-get-friend-released-early/
#fbi
#Usa
#news
@sec_nerd
کنرادز وویتس ۲۷ ساله ابتدا سعی کرد با ارسال ایمیل فیشینگ به کارکنان زندان و جا زدن خود بعنوان یک کارمند دادگاه و ساخت دامنه جعلی برای وب سایت رسمی بخش Washtenaw در میشیگان، آنها را وادار به اجرای بدافزار کند اما این روش موفق نبود.
وی سپس به مهندسی اجتماعی تلفنی روی آورد و با معرفی خود بعنوان کارشناس بخش آی تی زندان، از کارمندان خواست که از سایت خاصی که معرفی کرده بود برنامه ای را تحت عنوان بروز رسانی سیستم زندان دانلود و اجرا کنند.
اینبار وی موفق شد و توانست وارد شبکه بخش Washtenaw شده و به سیستم XJail که مربوط به اطلاعات زندانیان بود وارد شود. وی با دستکاری رکوردهای یکی از زندانیان قصد داشت وی را پیش از موعد از زندان آزاد کند.
کارمندان زندان با دیدن این تغییر مراتب را به اطلاع fbi رسانده و کنرادز دستگیر شد.
https://www.bleepingcomputer.com/news/security/man-hacks-jail-computer-network-to-get-friend-released-early/
#fbi
#Usa
#news
@sec_nerd
Cutter
رابط گرافیکی Qt و C++ برای فریمورک مهندسی معکوس radare2
https://github.com/radareorg/cutter
#RE
#radare2
@sec_nerd
رابط گرافیکی Qt و C++ برای فریمورک مهندسی معکوس radare2
https://github.com/radareorg/cutter
#RE
#radare2
@sec_nerd
عدم نیاز به کرک کردن هش های NTLM با استفاده از Responder و Empire
https://threat.tevora.com/quick-tip-skip-cracking-responder-hashes-and-replay-them/
#responder
#windows
#network
#empire
@sec_nerd
https://threat.tevora.com/quick-tip-skip-cracking-responder-hashes-and-replay-them/
#responder
#windows
#network
#empire
@sec_nerd
Threat Blog
Skip Cracking Responder Hashes and Relay Them
Background Responder is a go-to tool for most pentesters. We use it quite often on pentests to quickly gain access to a client’s domain. However, when clients enforce strong password policies and their users don’t choose passwords like 'Ilovemykids2017!'…
دپارتمان امنیت داخلی امریکا به تازگی شرکت DJI چین که در زمینه تولید کوادکوپتر فعالیت دارد را به جاسوسی متهم کرد.
اطلاعاتی حساسی مانند سیستم های ریلی، سیستم های آب شرب، مکانهای ذخیره سازی مواد خطرناک و ساختار بزرگراه ها پل ها و ریلها توسط کوادکوپترهای تجاری و نرم افزارهای این شرکت جمع آوری میشوند.
برنامه های این شرکت که برای گوشی های اندرویدی ساخته شده اند بصورت خودکار مکانها و تصاویر را با تگهای GPS همراه کرده و همزمان به دیتای گوشی و سیستم تشخیص چهره آن نیز دسترسی دارند.
این اطلاعات به سرورهای ابری موجود در چین، تایوان و هنگ کنگ ارسال میشوند.
https://thehackernews.com/2017/12/dji-drone-china-spying.html
#usa
#china
#spy
#news
@sec_nerd
اطلاعاتی حساسی مانند سیستم های ریلی، سیستم های آب شرب، مکانهای ذخیره سازی مواد خطرناک و ساختار بزرگراه ها پل ها و ریلها توسط کوادکوپترهای تجاری و نرم افزارهای این شرکت جمع آوری میشوند.
برنامه های این شرکت که برای گوشی های اندرویدی ساخته شده اند بصورت خودکار مکانها و تصاویر را با تگهای GPS همراه کرده و همزمان به دیتای گوشی و سیستم تشخیص چهره آن نیز دسترسی دارند.
این اطلاعات به سرورهای ابری موجود در چین، تایوان و هنگ کنگ ارسال میشوند.
https://thehackernews.com/2017/12/dji-drone-china-spying.html
#usa
#china
#spy
#news
@sec_nerd
The Hacker News
Is Your DJI Drone a Chinese Spy? Leaked DHS Memo Suggests
The US government accuses the popular drone maker DJI of sending sensitive information about U.S. critical infrastructure to China.
اطلاعات ۳۱ میلیون کاربر برنامه موبایلی Ai.Type به سرقت رفت.
این اطلاعات که متعلق به مشتریان اندروید و iOS بود بصورت محافظت نشده در پایگاه داده مانگو دی بی قرار داشت.
این برنامه که اسراییلی است در دیتابیس خود دارای 577 گیگابایت ، اطلاعات مشتریان بود که این اطلاعات شامل جزییات حساسی مانند شماره تلفن، نام مالک، نام شبکه همراه، شماره sms، اطلاعاتی از تنظیمات، نسخه اندروید، IMEI، ایمیل، کشور، رسانه های اجتماعی، تصاویر و مکانها بوده است.
https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records
#breach
#android
#aitype
#israel
@sec_nerd
این اطلاعات که متعلق به مشتریان اندروید و iOS بود بصورت محافظت نشده در پایگاه داده مانگو دی بی قرار داشت.
این برنامه که اسراییلی است در دیتابیس خود دارای 577 گیگابایت ، اطلاعات مشتریان بود که این اطلاعات شامل جزییات حساسی مانند شماره تلفن، نام مالک، نام شبکه همراه، شماره sms، اطلاعاتی از تنظیمات، نسخه اندروید، IMEI، ایمیل، کشور، رسانه های اجتماعی، تصاویر و مکانها بوده است.
https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records
#breach
#android
#aitype
#israel
@sec_nerd
Mackeeper
22 Data Breaches We Found and Reported in 2017
Find out more about the biggest 2017 data breaches in this MacKeeper report!
آژانس اطلاعات داخلی انگلیس ادعا کرد طرح داعش برای ترور ترزا می را خنثی کرده است!
https://bit.ly/2BB1JTO
#news
#england
#isis
@sec_nerd
https://bit.ly/2BB1JTO
#news
#england
#isis
@sec_nerd
امنیت اطلاعات
لیست قیمتهای خدمات هک و دیتاهای مختلف در بلک مارکت های زیرزمینی! #hack #malware @sec_nerd
امنیت اطلاعات
شرکت uber در سال ۲۰۱۶ مورد نفوذ قرار گرفت و اطلاعات شخصی شامل نام، آدرس و شماره تلفن 57 میلیون کاربر این سایت توسط هکرها سرقت شد. این شرکت برای رسانه ای نکردن این موضوع مبلغ صد هزار دلار به هکرها پرداخت کرد! https://www.grahamcluley.com/uber-hackers-paid…
جزییات جدیدی از این حمله و میزان اطلاعات لو رفته و همچنین هکر آن منتشر شده است.
این حمله که در اکتبر 2016 رخ داده حاوی اطلاعات 57 میلیون کاربر از جمله 600 هزار راننده ثبت شده در شرکت Uber بوده است.
سال پیش شرکت uber با راه اندازی رقابت bugBounty برای کشف باگ در وب سایتهای خود، این موضوع را توسط وبسایت hackerone که مرجع تمامی شرکتها و هکرهای کلاه سفید برای کشف باگ و رفع ایرادات است، بصورت عمومی اعلام کرد اما در حین این رقابت هکری موفق شد به این حجم از دیتا دست یابد. مسئولان وبسایت هکروان و uber برای اینکه هکر مربوطه دیتای بدست آمده را حذف و فراموش کند مبلغ 100 هزار دلار به وی پرداخت کردند.
به همین دلیل مدیراجرایی uber، دارا خسروشاهی چندی پیش دو تن از کارمندان بلندپایه امنیتی این شرکت را اخراج کرد، زیرا معتقد بود این موضوع باید در زمان رخ دادن آن به مبادی زیربط گزارش داده میشد.
@sec_nerd
پرداخت این مبلغ در رقابتهای کشف باگ غیرمعمول بوده و همچنین پرداخت پول به هکری که دست به سرقت اطلاعات زده است خارج از عرف می باشد.
اما هکروان فقط نقش میزبانی این رقابت را داشته و مسئولیتی در قبال پرداختها ندارد.
طبق اعلام دو منبع، uber هویت این هکر را در اختیار دارد، با وی تفاهم نامه ای برای عدم افشای اطلاعات امضا کرده و همچنین سیستم شخصی وی را با عملیات فارنسیک برای اطمینان از پاکسازی کامل دیتای uber بررسی کرده است.
این شخص که ۲۰ سال دارد در فلوریدا به همراه مادرش در خانه ای کوچک زندگی میکند و با این پول قصد کمک به پرداخت هزینه های زندگی اش را داشته است.
تیم امنیتی uber نیز قصد ندارد این فرد را تحت تعقیب قرار دهد.
https://www.reuters.com/article/us-uber-cyber-payment-exclusive/exclusive-uber-paid-20-year-old-florida-man-to-keep-data-breach-secret-sources-idUSKBN1E101C
#uber
#breach
#ransom
@sec_nerd
این حمله که در اکتبر 2016 رخ داده حاوی اطلاعات 57 میلیون کاربر از جمله 600 هزار راننده ثبت شده در شرکت Uber بوده است.
سال پیش شرکت uber با راه اندازی رقابت bugBounty برای کشف باگ در وب سایتهای خود، این موضوع را توسط وبسایت hackerone که مرجع تمامی شرکتها و هکرهای کلاه سفید برای کشف باگ و رفع ایرادات است، بصورت عمومی اعلام کرد اما در حین این رقابت هکری موفق شد به این حجم از دیتا دست یابد. مسئولان وبسایت هکروان و uber برای اینکه هکر مربوطه دیتای بدست آمده را حذف و فراموش کند مبلغ 100 هزار دلار به وی پرداخت کردند.
به همین دلیل مدیراجرایی uber، دارا خسروشاهی چندی پیش دو تن از کارمندان بلندپایه امنیتی این شرکت را اخراج کرد، زیرا معتقد بود این موضوع باید در زمان رخ دادن آن به مبادی زیربط گزارش داده میشد.
@sec_nerd
پرداخت این مبلغ در رقابتهای کشف باگ غیرمعمول بوده و همچنین پرداخت پول به هکری که دست به سرقت اطلاعات زده است خارج از عرف می باشد.
اما هکروان فقط نقش میزبانی این رقابت را داشته و مسئولیتی در قبال پرداختها ندارد.
طبق اعلام دو منبع، uber هویت این هکر را در اختیار دارد، با وی تفاهم نامه ای برای عدم افشای اطلاعات امضا کرده و همچنین سیستم شخصی وی را با عملیات فارنسیک برای اطمینان از پاکسازی کامل دیتای uber بررسی کرده است.
این شخص که ۲۰ سال دارد در فلوریدا به همراه مادرش در خانه ای کوچک زندگی میکند و با این پول قصد کمک به پرداخت هزینه های زندگی اش را داشته است.
تیم امنیتی uber نیز قصد ندارد این فرد را تحت تعقیب قرار دهد.
https://www.reuters.com/article/us-uber-cyber-payment-exclusive/exclusive-uber-paid-20-year-old-florida-man-to-keep-data-breach-secret-sources-idUSKBN1E101C
#uber
#breach
#ransom
@sec_nerd