HomeSecurityΕντοπίστηκαν 2 bugs στο LEGO marketplace, BrickLink

Εντοπίστηκαν 2 bugs στο LEGO marketplace, BrickLink

Αναλυτές ασφαλείας ανακάλυψαν δύο ευπάθειες ασφαλείας API στο BrickLink, το επίσημο online marketplace μεταχειρισμένων και vintage τούβλων LEGO του Ομίλου LEGO.

Εντοπίστηκαν 2 bugs στο LEGO marketplace, BrickLink

Με πάνω από ένα εκατομμύριο μέλη, το BrickLink είναι η πιο εκτεταμένη παγκόσμια κοινότητα των φαν των LEGO.

Δύο ζητήματα ασφάλειας API που ανακάλυψε η Salt Security θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να κάνει take over στους λογαριασμούς των μελών, να αποκτήσει πρόσβαση και να κλέψει προσωπικά αναγνωρίσιμες πληροφορίες (PII) που είναι αποθηκευμένες στην πλατφόρμα ή ακόμη και να αποκτήσει πρόσβαση σε δεδομένα εσωτερικής παραγωγής και να θέσει σε κίνδυνο εσωτερικούς servers.

lego

Τρωτά σημεία API, μια σε βάθος ανάλυση

#secnews #comet 

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnNKeGUwV1JxZUtV

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη

SecNewsTV 15 hours ago

#secnews #drones #pentagon 

Το Πεντάγωνο δήλωσε χθες ότι δεν γνωρίζει τι ακριβώς είναι αυτά τα μυστηριώδη drones που πετούσαν πάνω από το Νιου Τζέρσεϊ και άλλες περιοχές των βορειοανατολικών ΗΠΑ, τις τελευταίες εβδομάδες. Ανέφερε ότι δεν έχει στοιχεία που να αποδεικνύουν ότι προέρχονταν από ξένη οντότητα και δεν ήταν στρατιωτικά drones των ΗΠΑ.

Τα σχόλια έρχονται μια ημέρα μετά από μια ακρόαση στο Κογκρέσο που επικεντρώθηκε στην αυξανόμενη δραστηριότητα των drones στον αμερικανικό ουρανό.

Μάθετε περισσότερα για: Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
https://www.secnews.gr/634751/ti-leei-pentagono-gia-mistiriodi-drones-new-jersey/

00:00 Εισαγωγή
00:18 Δηλώσεις Πενταγώνου
00:59 Ακρόαση στο Κογκρέσο και FBI
01:35 Περιορισμοί, ανησυχίες και θεωρίες

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #drones #pentagon

Το Πεντάγωνο δήλωσε χθες ότι δεν γνωρίζει τι ακριβώς είναι αυτά τα μυστηριώδη drones που πετούσαν πάνω από το Νιου Τζέρσεϊ και άλλες περιοχές των βορειοανατολικών ΗΠΑ, τις τελευταίες εβδομάδες. Ανέφερε ότι δεν έχει στοιχεία που να αποδεικνύουν ότι προέρχονταν από ξένη οντότητα και δεν ήταν στρατιωτικά drones των ΗΠΑ.

Τα σχόλια έρχονται μια ημέρα μετά από μια ακρόαση στο Κογκρέσο που επικεντρώθηκε στην αυξανόμενη δραστηριότητα των drones στον αμερικανικό ουρανό.

Μάθετε περισσότερα για: Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
https://www.secnews.gr/634751/ti-leei-pentagono-gia-mistiriodi-drones-new-jersey/

00:00 Εισαγωγή
00:18 Δηλώσεις Πενταγώνου
00:59 Ακρόαση στο Κογκρέσο και FBI
01:35 Περιορισμοί, ανησυχίες και θεωρίες

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lnc3NGZfOW9mQmtj

Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey

SecNewsTV 20 hours ago

Κατά τη διάρκεια της εξερεύνησης του ιστότοπου BrickLink, η ομάδα αναλυτών της Salt Security ανακάλυψε πιθανές ευπάθειες που εντοπίστηκαν στα πεδία user input.

Το πρώτο είναι ένα ελάττωμα cross-site scripting (XSS) στο πλαίσιο διαλόγου “Find Username” της ενότητας αναζήτησης κουπονιών, το οποίο θα επέτρεπε σε έναν εισβολέα να εισάγει και να εκτελέσει κώδικα στον υπολογιστή του στόχου χρησιμοποιώντας έναν ειδικά κατασκευασμένο σύνδεσμο.

Εκμεταλλευόμενος το Session ID που αποκαλύπτεται σε μια διαφορετική σελίδα, ένας εισβολέας μπορεί να χρησιμοποιήσει την ευπάθεια XSS για να καταλάβει και να αποκτήσει πρόσβαση στο λογαριασμό του χρήστη.

Η πρόσβαση στον λογαριασμό σημαίνει έκθεση όλων των δεδομένων που είναι αποθηκευμένα στην πλατφόρμα, συμπεριλαμβανομένων των προσωπικών στοιχείων, της διεύθυνσης ηλεκτρονικού ταχυδρομείου, της διεύθυνσης αποστολής, του ιστορικού παραγγελιών, των κουπονιών, των λαμβανόμενων σχολίων, των επιθυμητών αντικειμένων και του ιστορικού μηνυμάτων.

Το δεύτερο bug που ανακαλύφθηκε ήταν στη σελίδα “Upload to Wanted List”, όπου οι χρήστες έχουν τη δυνατότητα να ανεβάσουν λίστες XML με ανταλλακτικά LEGO που ελπίζουν να βρουν και να αγοράσουν.

Εκμεταλλευόμενοι ένα πρόβλημα στο σύστημα endpoint parsing, οι αναλυτές της Salt Security εξαπέλυσαν μια επιτυχημένη επίθεση XML External Entity (XXE) injection και συμπεριέλαβαν μια αναφορά σε μια εξωτερική οντότητα στο αρχείο τους.

Η επίθεση XXE τους επέτρεψε να διαβάζουν αρχεία στον web server και να εκτελούν μια επίθεση request forgery (SSRF) από την πλευρά του server, η οποία θα μπορούσε να οδηγήσει στην εξαγωγή των AWS EC2 tokens για τον server.

Αφού ειδοποιήθηκε από ερευνητές ασφαλείας για τις ευπάθειες που ανακαλύφθηκαν, η LEGO ενήργησε γρήγορα και έλυσε όλα τα προβλήματα άμεσα.

Δείτε επίσης: HTML smuggling τεχνική χρησιμοποιεί αρχεία SVG και διανέμει το QBot

Σε ότι αφορά την εταιρεία LEGO: Συνολικά, το παιχνίδι με Lego είναι υπέροχο τόσο για τα παιδιά όσο και για τους ενήλικες! Όχι μόνο προσφέρει ώρες ψυχαγωγίας, αλλά έχει και πολλά κρυφά οφέλη που βοηθούν στην ανάπτυξη σημαντικών δεξιοτήτων, όπως οι λεπτές κινητικές δεξιότητες, οι ικανότητες επίλυσης προβλημάτων, η δημιουργικότητα, η φαντασία, η υπομονή και η επιμονή – όλα χρήσιμα χαρακτηριστικά, ανεξάρτητα από την πορεία καριέρας που θα επιλέξει κάποιος αργότερα στη ζωή του! Έτσι, αν ψάχνετε για έναν ελκυστικό τρόπο για το παιδί σας (ή τον εαυτό σας!) να διασκεδάσει και ταυτόχρονα να μάθει κάτι καινούργιο, τότε σίγουρα σκεφτείτε να πάρετε ένα σετ LEGO! Δεν θα το μετανιώσετε!

Δείτε επίσης: NoReboot bug: iPhone Backdoor που δεν ανιχνεύεται και θυμίζει Predator

Οι κυβερνοεπιθέσεις γίνονται όλο και πιο διαδεδομένες και ο τομέας του λιανικού εμπορίου αποτελεί ιδιαίτερα ελκυστικό στόχο για τους λόγω της έμφασης που δίνεται στη δημιουργία εσόδων σε αντίθεση με την ενίσχυση της ασφάλειας.

Για να παραμείνετε ασφαλείς κατά τις αγορές σας, είναι απαραίτητο να χρησιμοποιείτε ισχυρά credentials σύνδεσης λογαριασμού και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων, όποτε είναι διαθέσιμος. Επιπλέον, για αυξημένη ασφάλεια κατά την online παραγγελία, προτείνουμε τη χρήση λογαριασμού επισκέπτη ή εικονικής/προσωρινής κάρτας πληρωμής, αν είναι δυνατόν.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS