Adam Ziaja

Adam Ziaja (ur. 27 września 1986 w Katowicach) – polski ekspert bezpieczeństwa teleinformatycznego i kryminalistyki cyfrowej, biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie ze szczególnym uwzględnieniem specjalizacji takich jak informatyka śledcza, analiza powłamaniowa, hacking i cyberprzestępczość, członek organizacji non-profit MalwareMustDie zwalczającej cyberprzestępczość, prezes zarządu polskiej spółki RED TEAM zajmującej się cyberbezpieczeństwem. W 2014 roku był członkiem zespołu ComCERT, który zajął pierwsze miejsce na największych cywilnych ćwiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe.

W 2019 roku opublikował serię artykułów z analizą wykrytego przez niego ataku badWPAD na szeroką skalę, który w dużej mierze dotyczył również Polski. Pomógł także w przejęciu domen WPAD umożliwiających ten atak przy pomocy kolizji DNS, za co otrzymał podziękowania od europejskich narodowych zespołów reagowania na incydenty CERT. Jest autorem publikacji „Praktyczna analiza powłamaniowa”, która wywołała szeroki oddźwięk w środowisku związanym z bezpieczeństwem cybernetycznym. Jest również współautorem dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CSIRT. Autor rozdziału „Bezpieczeństwo aplikacji webowych” w książce „Przestępczość teleinformatyczna 2014” oraz współautor poradnika „Bezpieczeństwo IT w kancelarii”. Wieloletni prelegent na naukowej konferencji „Techniczne Aspekty Przestępczości Teleinformatycznej” (TAPT). Swój pierwszy artykuł „Niebezpieczny Livebox” – opisujący pełny scenariusz możliwości zdalnego włamania do routerów Livebox Neostrady – opublikował w 2008 roku w nieistniejącym już magazynie Xploit wydawnictwa Linux New Media AG.

Odkrył błędy w oprogramowaniu wielu międzynarodowych podmiotów i odpowiedzialnie zgłosił, za co otrzymał podziękowania na oficjalnych witrynach, m.in.: Acquia, Adobe (2014), Apple (2012), Base CRM (2013), BlackBerry (2013), Deutsche Telekom, GitLab (2013), iFixit (2012), LastPass, Netflix (2013), Nokia (2013), Prezi, ShareLaTeX, SoundCloud , Uniwersytet Harvarda, Yandex (2013), Zynga (2012), również w polskich firmach m.in.: Onet.pl (2013), Interia.pl (2014), Wirtualna Polska (2013), Empik (2013) oraz Home.pl (2013). Zarazem był jednym z pierwszych bug hunterów, którzy odpowiedzialnie zgłaszali błędy bezpieczeństwa zgodnie z polityką responsible disclosure (będącą przeciwieństwem full disclosure, gdzie haker publicznie ujawnia szczegóły występującej podatności).

• CVE-2019-10677 – Reflected i Stored Cross-Site Scripting (XSS) we wszystkich modelach routerów DASAN Zhone ZNID
• CVE-2015-2149 – Stored Cross-Site Scripting (XSS) w aplikacji MyBB
• CVE-2014-1695 – Stored Cross-Site Scripting (XSS) w aplikacji OTRS
• CVE-2014-2554
• Podatność Server-Side Request Forgery (SSRF) w oprogramowaniu GeoNode (2013) wykorzystywanym przez Uniwersytet Harvarda

• Strona domowa Adama Ziaji (prezentacje, publikacje)