Bardziej szczegółowe omówienie incydentu związanego z bezpieczeństwem z maja 2019 r .: opinie na blogu

Jan 25 2021

Właśnie opublikowaliśmy aktualizację incydentu związanego z bezpieczeństwem, który wydarzył się w maju 2019 r., Ze szczegółami technicznymi dotyczącymi tego, co się stało, jak to się stało, oraz środków zaradczych, które zastosowaliśmy, aby zapobiec ponownemu wystąpieniu takiego incydentu. Oto kilka fragmentów postu - pierwszy z wprowadzenia:

12 maja 2019 roku około godziny 00:00 czasu UTC zostaliśmy ostrzeżeni o nieoczekiwanej eskalacji uprawnień dla nowego konta użytkownika przez wielu członków społeczności. Użytkownik, którego nikt nie rozpoznał, uzyskał dostęp na poziomie moderatora i programisty we wszystkich witrynach sieci Stack Exchange Network. Naszą natychmiastową reakcją było odebranie uprawnień i zawieszenie tego konta, a następnie uruchomienie procesu identyfikacji i kontroli działań, które doprowadziły do ​​zdarzenia.

Po wstępnym odkryciu stwierdziliśmy, że eskalacja uprawnień była tylko wierzchołkiem góry lodowej, a atak w rzeczywistości spowodował eksfiltrację naszego kodu źródłowego i nieumyślne ujawnienie informacji umożliwiających identyfikację (e-mail, prawdziwe imię i nazwisko, adresy IP) 184 użytkowników sieci Stack Exchange (wszyscy zostali powiadomieni). Na szczęście żadna z baz danych - ani publiczna (czytaj: zawartość Stack Exchange), ani prywatna (Teams, Talent czy Enterprise) - nie została eksfiltrowana. Ponadto nie ma dowodów na bezpośredni dostęp do naszej wewnętrznej infrastruktury sieciowej, a osoba atakująca nigdy nie miała dostępu do danych w produktach Teams, Talent lub Enterprise.

A z ostatniego akapitu:

Ten incydent przypomniał nam o kilku podstawowych praktykach bezpieczeństwa, których wszyscy powinni przestrzegać:

  1. Rejestruj cały ruch przychodzący. Prowadzimy dzienniki wszystkich połączeń przychodzących. Umożliwiło to wszystkie nasze dochodzenia. Nie możesz zbadać, czego nie rejestrujesz.
  2. Użyj 2FA. Ten pozostały system, który nadal korzysta ze starszego uwierzytelniania, może być Twoją największą luką w zabezpieczeniach.
  3. Lepiej strzeż tajemnic. TeamCity ma sposób na ochronę tajemnic, ale okazało się, że nie używamy go konsekwentnie. Poinformuj inżynierów, że „sekrety to nie tylko hasła”. Chroń również klucze SSH i parametry połączeń z bazą danych. W razie wątpliwości chroń je. Jeśli musisz przechowywać sekrety w repozytorium Git, chroń je za pomocą git-crypt lub Blackbox .
  4. Weryfikuj żądania klientów. Im bardziej niezwykłe jest żądanie klienta, tym ważniejsze jest sprawdzenie, czy żądanie jest uzasadnione.
  5. Traktuj raporty bezpieczeństwa poważnie. Jesteśmy wdzięczni, że nasza społeczność tak szybko zgłosiła podejrzaną aktywność. Dziękuję Ci!

W poście na blogu jest o wiele więcej - nie krępuj się zadawać pytań lub komentarzy związanych z poniższym postem, a my dołożymy wszelkich starań, aby na nie odpowiedzieć. Nie możemy komentować żadnych innych szczegółów związanych z atakiem poza tym, co jest zawarte w poście na blogu, ze względu na trwające dochodzenia.

Odpowiedzi

28 Luuklag Jan 26 2021 at 02:11

Czy możesz skomentować zamiary napastników?

Czy wygląda na to, że szukali określonego celu / pewnych danych (użytkowników)?

A może raczej „ciekawski nastolatek” szperający patykami, sprawdzający, jak daleko mogą się dostać?

PS dzięki za otwartość w tej sprawie, to naprawdę doceniane!

27 GeorgeStocker Jan 25 2021 at 22:46

Ta linia:

Ten akt wyszukiwania rzeczy (pytań odwiedzin) w sieci Stack Exchange staje się częstym zjawiskiem i pozwala nam przewidzieć i zrozumieć metodologię atakującego w nadchodzących dniach. (podkreślenie moje)

sprawia, że ​​brzmi to jak w czasie rzeczywistym , ponieważ atak miał miejsce, można było określić, co zrobiłby atakujący na podstawie tego, co odwiedził w Stack Overflow, zamiast tego, co zrobił, patrząc na to, co zobaczyli (po ataku). Który miałeś na myśli?

20 ShadowWizardisVaccinating Jan 25 2021 at 22:58

Kilka pytań związanych głównie z napastnikiem:

  1. Co się stało z napastnikiem?
  2. Czy zawiesiłeś ich konto?
  3. Czy SE skontaktowało się z napastnikiem w dowolnym momencie?
  4. Dlaczego nie ujawnisz tożsamości napastnika?
  5. Czy ktoś inny próbował później użyć tej samej metody ataku?
19 bad_coder Jan 26 2021 at 00:01

Czy po drugiej stronie wydarzeń był wykrywalny cykl snu?

Edytuj, aby wyjaśnić:

Kiedy zdałeś sobie sprawę z napastnika i śledziłeś niektóre z ich działań w miarę ich rozwoju, czy zauważyłeś coś przypominającego cykl biologiczny, zarówno codzienny, jak i retrospektywny? Np .: Jedzenie (1-2 godzinne przerwy), spanie (8-godzinny wzorzec braku aktywności), „drzemki” (90 minut), itd.?

18 MadScientist Jan 26 2021 at 17:45

To nie jest tak naprawdę część incydentu, ale bardziej ogólne obawy dotyczące środków bezpieczeństwa wokół kont pracowników. Incydent składał się z wielu etapów, ale ostatnim z nich było zwiększenie uprawnień konta SE. Mogę sobie wyobrazić o wiele prostsze sposoby, aby spróbować tego, niż uzyskanie dostępu administratora do serwera CI za pośrednictwem instancji deweloperskiej w celu wykonania kodu SQL w środowisku produkcyjnym, i interesuje mnie, jakie środki zaradcze i praktyki bezpieczeństwa wdrożyło SE, aby chronić się przed prostszymi próbami uzyskania dostęp do konta pracownika.

Nie możesz oczywiście umieścić głównych witryn SE za zaporą ogniową, więc zawsze będą one narażone. A wewnętrzna metoda logowania SE nie zapewnia żadnych metod 2FA, co wydaje mi się nieco niepokojące.

  • czy konta pracowników 2FA są chronione za pomocą innych środków (lub innych dostawców logowania)?
  • Czy są jakieś środki zapewniające, że żadne prywatne adresy e-mail ani dostawcy logowania nie są dołączani do kont pracowników, które mogłyby być mniej bezpieczne i nadal służyć do otrzymywania wiadomości pomocniczych w celu uzyskania dostępu do konta?
  • czy istnieje monitorowanie prób logowania z nowych źródeł na konta pracowników?
  • czy istnieją dodatkowe zabezpieczenia dla niebezpiecznych narzędzi pracowników na wypadek, gdyby ktoś uzyskał dostęp do trwającej sesji konta pracownika (np. wymaganie ponownego hasła i / lub tokena 2FA podczas uzyskiwania dostępu do narzędzi krytycznych dla bezpieczeństwa)

Coś takiego jak spear phishing jest prawdopodobnie nadal jednym z bardziej prawdopodobnych sposobów, w jakie ktoś może próbować uzyskać dostęp do konta pracownika.

16 SonictheCuriouserHedgehog Jan 26 2021 at 03:35

Mniej więcej w tym samym czasie, gdy miał miejsce ten incydent bezpieczeństwa, kilka dni później niektórzy użytkownicy zaczęli zauważać, że połączenie na Twitterze na czacie już nie działa . Pracownik następnie potwierdził w lutym następnego roku, że rzeczywiście został celowo niepełnosprawny z powodu konieczności „wypełnienia niektórych luk” w wyniku tego incydentu związanego z bezpieczeństwem.

Czy możemy uzyskać pełne wyjaśnienie, dlaczego korzystanie z Twittera na czacie musiało zostać wyłączone w wyniku tego incydentu związanego z bezpieczeństwem? W opublikowanym wówczas poście na blogu stwierdzono, że „inne potencjalne wektory” zostały wówczas zamknięte, a wiadomość od personelu z lutego 2020 r., Do której dołączyłem powyżej, stwierdzała, że ​​funkcja oneboxingu na Twitterze „wykorzystała jedną z luk, które zlikwidowaliśmy”. Co to było i jakie zagrożenie bezpieczeństwa stwarzało?

Wreszcie, czy jest jakiś sposób, aby ta funkcjonalność mogła zostać ponownie zaimplementowana w bezpieczny sposób? W sierpniu 2020 r., Kilka miesięcy po powyższym komunikacie personelu, zgłoszony wówczas raport o błędzie został oznaczony jako status-bydesign przez innego pracownika. Czy żądanie funkcji przywrócenia projektu (w bezpieczny sposób) byłoby rozważane, czy też nie można tego zrobić bez otwarcia wektora ataku?

10 Zhaph-BenDuguid Jan 26 2021 at 00:35

Oznaczałbym, że typy parametrów „hasło” w TeamCity nie są uważane za zbyt bezpieczne:

Wartość hasła jest przechowywana w plikach konfiguracyjnych w TeamCity Data Directory. W zależności od ustawień szyfrowania serwera, wartość jest zaszyfrowana lub zaszyfrowana przy użyciu klucza niestandardowego.

Wartość dziennika kompilacji jest ukryta za pomocą prostego algorytmu wyszukiwania i zamiany, więc jeśli masz trywialne hasło „123”, wszystkie wystąpienia „123” zostaną zastąpione, potencjalnie ujawniając hasło. Ustawienie parametru na typ hasła nie gwarantuje, że nie będzie można pobrać wartości surowej. Każdy administrator projektu może go pobrać, a każdy programista, który może zmienić skrypt kompilacji, może potencjalnie napisać złośliwy kod, aby uzyskać hasło.

10 Makoto Jan 26 2021 at 06:15

Dlaczego magiczne łącze w programie deweloperskim było widoczne dla CM (prawdopodobnie tylko w programie deweloperskim) było prawdziwym magicznym linkiem?

10 AnitShresthaManandhar Jan 27 2021 at 14:50

To naprawdę niesamowity raport z incydentu! Jeden z najlepszych, jakie przeczytałem.

Dziękuję Stack za upublicznienie tego i Dean za wspaniały tekst!

Ciekawi mnie tylko kilka rzeczy:

  • Jaka jest wielkość zespołu reagowania na incydenty?
  • Czy podczas dochodzenia przestrzegano jakichś szczegółowych protokołów?
  • Jaki kluczowy czynnik był brany pod uwagę przy zaangażowaniu zewnętrznego dostawcy zabezpieczeń? Jakie punkty wzięto pod uwagę przy wyborze tego konkretnego dostawcy?
  • Jakie wnioski wyciągnięto od zewnętrznego dostawcy zabezpieczeń? Czy ich proces audytu był inny (skuteczny / nieefektywny) od tego, z którego już korzystał zespół?

Artykuł daje dobry wgląd w całą architekturę Stack i procesy rozwojowe. Bardziej szczegółowa lektura lub link, jeśli istnieje już artykuł na ten temat, byłby świetny.

7 xiaomiklos Feb 04 2021 at 06:04

W sekcji „Porady dla innych”:

Rejestruj cały ruch przychodzący. Prowadzimy dzienniki wszystkich połączeń przychodzących. Umożliwiło to wszystkie nasze dochodzenia. Nie możesz zbadać, czego nie rejestrujesz.

W jaki sposób sieć tak obciążona jak Stack Exchange może rejestrować cały ruch przychodzący? Czy w tych dziennikach są wpisy serwera WWW, przepływy adresów IP czy pełne sesje TCP?

Mogę zarejestrować większość wpisów i prób połączenia w mojej małej sieci, ale nie mam pojęcia, jak robi to tak duża sieć.

1 bad_coder Jan 28 2021 at 00:50

Czy możesz jaśniej wyjaśnić, co oznaczają „nieruchomości dostępne publicznie” w poniższym cytacie?

mamy bazę danych zawierającą dziennik całego ruchu do naszych publicznie dostępnych właściwości

Jak napisać poprawny mikro-test porównawczy w Javie?
Pandy 101
Jak wyodrębnić dane z JSON za pomocą PHP?
Co oznacza „Błąd krytyczny: nieoczekiwanie znaleziono zero podczas rozpakowywania wartości opcjonalnej”?
Co to jest debugger i jak może mi pomóc zdiagnozować problemy?
Co oznacza błąd „Nie można znaleźć symbolu” lub „Nie można rozwiązać symbolu”?
Dlaczego te konstrukcje używają niezdefiniowanego zachowania przed i po inkrementacji?
Jak zweryfikować adres e-mail za pomocą wyrażenia regularnego?
Jakie są zasady dotyczące używania podkreślenia w identyfikatorze C ++?
Dlaczego nie powinienem #include <bits / stdc ++. H>?
Czy „Funkcje strzałek” i „Funkcje” są równoważne / wymienne?
Nauka wyrażeń regularnych [zamknięte]
Jak przekazać zmienne i dane z PHP do JavaScript?
Który operator równości (== vs ===) powinien być używany w porównaniach JavaScript?
Błąd składni spowodowany użyciem słowa zastrzeżonego jako nazwy tabeli lub kolumny w MySQL
Używanie async / await z pętlą forEach
Jak wyśrodkować w poziomie element <div>
Co to jest ślad stosu i jak mogę go użyć do debugowania błędów aplikacji?
Dlaczego elementy flex nie zmniejszają się ponad rozmiar zawartości?
Jak wydrukować obiekt Java bez otrzymywania komunikatu „SomeType @ 2f92e0f4”?
Jak przekonwertować istniejący interfejs API wywołania zwrotnego na obietnice?
Czy JavaScript jest językiem przekazującym lub przekazującym wartość?
Ostateczny przewodnik i lista książek C.
XMLHttpRequest nie może załadować XXX Nie nagłówka „Access-Control-Allow-Origin”
3 sprawdzone sposoby na poprawę umiejętności pisania
zaimki są bardzo przerażające
Niedzielne S'mores
Oglądanie telewizji z kotami: więź między przyjaciółmi
Wyszukiwanie informacji o nazwach domen
Koniec z hasłami — w jaki sposób klucze dostępu zastąpią Twoje hasło
Pomocna wskazówka właściciela psa: dlaczego ważne jest, aby pies wąchał na spacerze
Występ solowy rudowłosej dziewczyny
Rewolucja w miejscu pracy: najlepsi eksperci omawiają pracę hybrydową i zdalną
Co możesz zrobić w swoim okresie oczekiwania (czekając na wylądowanie Twoja pierwsza praca w technologii)
Zbieranie OSINT na potrzeby polowania na zagrożenia
„Robienie w San Francisco”
Jak uratować planetę i zarabiać pieniądze
Zawsze zagrożenie: dlaczego osoby brązowe i czarne nie mogą czuć się komfortowo w Stanach Zjednoczonych
Powolna erozja: ujawnianie sposobów, w jakie ludzie marnują swoje kariery
Śledź każdego, kto ma tylko numer telefonu | Śledztwo OSINT
Najczęstsze przyczyny błędów danych w globalnej liście płac
NIEOGRANICZONE ŻYCIE
Zabójstwo Jordana Neely'ego i problem „patriotycznego” rasizmu
Dlaczego niektórzy freelancerzy udają swoje życie
Faryzeusz z misją
Medytacje o Mamie
Dziennik Ouvert
BARD VS ChatGPT: Testowanie problemów analitycznych
Kłamstwo kowbojskie
Wskazówki dotyczące przejścia na cyberbezpieczeństwo bez zaplecza technicznego.
Archiwum tego zagrożenia: tom 7 Black Basta
Mężczyzna traci pracę po tym, jak „delikatny” pies biega za biegaczami i rowerzystami z sąsiedztwa
Finansowanie usuwania dwutlenku węgla w RO24
Suwerenność językowa w Walii
Nauka w tygodniu pracy ma większe znaczenie niż myślisz
Czy każdy z Was czuł wokół siebie różnorodność....?
Wyzwanie czytelnicze Goodreads jest toksyczne
Teorie pamięci: jak zapamiętujemy rzeczy — część 2
Uczeń staje się nauczycielem
Prześladowania chrześcijan: przestępstwo z nienawiści, o którym nie mówimy
Co wpływa na podcast?
Tworzenie bezpiecznego środowiska pracy
Żona zaprosiła nieznajomych, by zjednoczyli się z nią podczas podróży służbowej
Jak Robert F. Kennedy Jr. wykorzystuje strategię Birther Trumpa
Dwa lata projektowania – dobre, złe i brzydkie…
Ponowne przemyślenie mediów: pięć prawd McChesneya i przyszłość komunikacji
Niebezpieczne rozmowy
„Odsłonięty Rów Mariański: Odsłonięcie przerażających ukrytych prawd otchłani”
Integralność bycia reaktorem muzycznym?
Pierwsza książka dla dzieci o tym, jak się naćpać
Telewizja sieciowa Twitter
Czym jest efektywny altruizm?
Rolling Stones: Keith Richards został wkurzony przez 1 grupę fanów muzyki, którzy skrytykowali zespół
Petula Clark powiedziała, że ​​„Downtown” ujawniła desperacką piosenkę
Dolly Parton pomogła swojej „inwalidzkiej” babci, gdy żadne inne wnuki by tego nie zrobiły - ona też zrobiła jej psikusa
Winona Ryder kiedyś udostępniła wszystkie swoje postacie jako „brzydką dziewczynę” na początku swojej kariery
Najlepszy czas na odwiedzenie miejsca kręcenia „Domku na prerii”.
Spojrzenie wstecz na rolę Buddy'ego Ebsena w „The Andy Griffith Show”
MIA zaatakowała kiedyś utwór „Give Peace a Chance” Johna Lennona
„My Way” Franka Sinatry nie był tak duży jak jego „Old MacDonald”
Paul McCartney: Cierpienie sprawiło, że 1 piosenka z „białego albumu” Beatlesów była dobra
„Ciekawy przypadek Natalii Grace”: gdzie są dziś Nataila, Kristine i Michael Barnett?
Paul McCartney był tak zestresowany jedynym odwołanym koncertem The Beatles, że zwymiotował
Piosenka wczesnych Beatlesów, która była jednym z „najbardziej ekscytujących występów” zespołu, według Insidera Fab Four
Dolly Parton znalazła Boga w opuszczonym kościele Lokalni nastolatkowie wykorzystywani do seksu
Paul McCartney podzielił się tym, co zrobiło na nim największe wrażenie w Johnie Lennonie, kiedy spotkali się po raz pierwszy
Stevie Nicks „przyczepiła się” do 1 piosenki Joni Mitchell, kiedy poczuła, że ​​jej kariera muzyczna zawodzi
Christopher Nolan kiedyś żałował, że przeczytał scenariusz „Pulp Fiction” Quentina Tarantino
Jak Melissa Gilbert uratowała ptaka, łapiąc go pod koszulą nocną
Donovan porównał jedną ze swoich piosenek do „Lucy in the Sky with Diamonds” The Beatles
Jana Duggar: Wszystko, co powiedziała o miłości i jej 5-letnie okno na znalezienie „jednego”
John Lennon powiedział 1 linijkę w „Revolution” The Beatles skomentował policję
Sam Heughan dokładnie wie, co weźmie z zestawu „Outlander” - „Czuję się, jakbym był Jamiem, kiedy je zakładam”
Piosenka Paula Simona, która doskonale sparodiowała Boba Dylana 
John Lennon powiedział, że piosenka B-52 brzmiała „jak muzyka Yoko”
Dlaczego Paul McCartney był „strzeżony” przed mówieniem prawdy o The Beatles
Paul McCartney powiedział, że „When I'm Sixty-Four” The Beatles to żart
Ringo Starr odmawia grania z kliknięciami, co czyni go lepszym perkusistą
Jak umarł John Ritter: spojrzenie wstecz na śmierć aktora „Three's Company”.
„Nie śpij w metrze” zdumiona Petula Clark
Taylor Sheridan właśnie dodał jedną ze swoich ulubionych gwiazd „Yellowstone” do obsady „Lawmen: Bass Reeves”
Quentin Tarantino podzielił się kiedyś najciekawszą postacią, jaką kiedykolwiek napisał, w „Pulp Fiction”
Mick Jagger powiedział, że „Their Satanic Majesties Request” The Rolling Stones zostało zainspirowane Acid, a nie The Beatles
Paul McCartney powiedział, że miał „szczęście”, że nigdy nie brał heroiny 
Paul McCartney powiedział, że „Sierż. Pepper' Song nie jest o heroinie
Brad Pitt i Harrison Ford musieli wymyślić „The Devil's Own” w locie, kiedy „scenariusz został wyrzucony”
Menedżer Led Zeppelin, Peter Grant, zobaczył fałszywy zespół, który zdobył nagrodę Grammy, zanim zrobił to Zep
David Bowie prawie napisał musical składający się z fałszywych piosenek Boba Dylana
Gene Simmons mówi, że komiksy KISS mogą potencjalnie „odtworzyć ludzkość”.
Judy Norton z „The Waltons” zdała sobie sprawę, że czasami była „bachorem” podczas kręcenia serialu
John Lennon powiedział, dlaczego „The Tonight Show” był „najbardziej żenującym” programem, w jakim kiedykolwiek był
Paul McCartney wyobrażał sobie, jak jego mama zareagowałaby na jego sukces
Billy Crystal i Robin Williams zareklamowali całą swoją kameę „Przyjaciele”.
Jak Paul McCartney zareagował na tytuł utworu The Beatles „Lucy in the Sky with Diamonds”
„Sympathy for the Devil” The Rolling Stones pierwotnie brzmiało jak muzyka brazylijska
Kariera aktorska Bradleya Coopera była zagrożona, kiedy pracował z Julią Roberts w tym projekcie
Porady Jimmy'ego Page'a dla młodych muzyków pochodzą prosto z Podręcznika mówcy motywacyjnego
Jak przywrócić ustawienia fabryczne iPhone'a?
Czy nowo zmierzony bozon W może złamać model standardowy?
Nikt nie może żyć bez krezki, ale co ona robi?
Wesele opiekunowie zwierząt przygotują psiaka na wspaniały dzień
Hagfish: ta przypominająca węgorz śluzowa maszyna to koszmar drapieżnika
Przekaż swoje włosy, aby pomóc utrzymać naszą wodę w czystości
Wielkie Ucieczki! 5 dzikich zwierząt, które odpadły i poszły w biegu
Atlas Moth to Behe-moth, plus 5 innych faktów
Jaka jest różnica między demokracją a republiką?
Czym jest trucizna pigułka i czy Twitter utrzyma Elona Muska w Bay?
Co to jest rozmazywanie i czy może oczyścić przestrzeń z negatywnej energii?
Skąd pochodzi fraza „On the Lam”?
Dlaczego Sriracha jest ulubionym gorącym sosem wszystkich?
Spojrzenie na najbardziej niezapomniane wesela w Białym Domu
Elon Musk jest właścicielem Twittera. Co może pójść nie tak?
The Secrets of Airline Travel Quiz
Chief Plenty Coups: Wizjonerski przywódca i obrońca Narodu Wron
Czy musisz mieć pozytywne nastawienie, aby pokonać raka?
Ketanji Brown Jackson mianowany sędzią Sądu Najwyższego
Nie wyrzucaj tych kartonowych tub! 10 sposobów na ich ponowne wykorzystanie
Najwyższa góra w Układzie Słonecznym jest znacznie wyższa niż Everest
Czy wirtualne elektrownie mogą pomóc ustabilizować amerykańską sieć energetyczną?
Jaka jest różnica między drożdżami błyskawicznymi a aktywnymi suchymi?
Dlaczego duże firmy, takie jak Tesla i Amazon, dzielą akcje
Czym jest ludobójstwo i czy Rosja popełnia je na Ukrainie?
Czy zjadłbyś Casu Marzu, nielegalny ser z robakami?
Rycerz Mieczy: znaczenie i interpretacja karty Tarota
Czy gotowanie indukcyjne jest lepsze niż gazowe czy elektryczne?
Kim był Poncjusz Piłat przed i po ukrzyżowaniu Jezusa?
Może możesz być za chudy? Poznaj najchudszy drapacz chmur na świecie
Papużki faliste są super towarzyskie i robią świetne zwierzęta
5 wymownych i trwałych cytatów Mayi Angelou
Modliszka z orchidei wygląda jak kwiat, „żądli” jak pszczoła
Który grejpfrut jest najsłodszy — biały, czerwony czy różowy?
1500 $ Dzisiaj kupuje przepustkę Yellowstone za 2172
Dlaczego w USA nie ma „bezzwrotnego” systemu rozliczania podatków?
Znaczenie tatuaży ze średnikami: symbol odporności i solidarności
Mała grupa Samarytan nadal praktykuje swoją starożytną religię
Jak pozbyć się much drenażowych?
Where in the World Are You? Take our GeoGuesser Quiz
Prypeć: ukraińskie miasto duchów w cieniu Czarnobyla
Ukraińscy uchodźcy mogą nigdy nie wrócić do domu, nawet po zakończeniu wojny
Martha Mitchell: Kobieta, która za dużo wiedziała o Watergate
Inspirująca, tragiczna historia Sophie Scholl, studentki, która przeciwstawiła się Hitlerowi
Czy powinieneś używać Facebooka czy Google do logowania się do innych witryn?
Tylko 50 osób mieszka na wyspie Pitcairn, jednym z najodleglejszych miejsc na Ziemi
Susza, zmiany klimatyczne zagrażają przyszłości energetyki wodnej w USA
Wiedźmin powraca do animacji i przynosi ze sobą nowy-stary głos
Put Ya Lighters Up: Ohio staje się 24. stanem, który zalegalizował marihuanę do celów rekreacyjnych
10 najsmutniejszych robotów, jakie kiedykolwiek zbudowano
Jak zlokalizować i wyczyścić filtr zmywarki
Tak, to chyba tyle, jeśli chodzi o Lokiego
Darren Aronofsky udowodni swój talent reżyserując film biograficzny o Elonie Musku dla A24
Jak zaoszczędzić czas i pieniądze podczas modernizacji łazienki, zdaniem wykonawców
Australijski policjant skazany za wyciągnięcie broni w związku z groźbą spoilerów z Top Gun: Maverick
Dzień Sądu Ostatecznego czai się w nowym klipie Netflixa „Leave the World Behind”.
Z raportu wynika, że ​​telefony i iPad burmistrza Nowego Jorku skonfiskowane przez FBI
Odwołanie meczu Coyote vs. Acme złamało serce załodze
Krążą plotki, że Max i Netflix pracują nad pakietem do transmisji strumieniowej za 10 dolarów
Po wycofaniu się ISS europejscy astronauci będą mogli wskoczyć na komercyjną stację kosmiczną Airbusa
Recenzja Samsunga Galaxy S23 FE: proste przyjemności prostego telefonu
Studio Last Of Us żegna się z kolejnym dyrektorem
Na właściwych oponach Toyota Prius prowadzi się prawie tak samo przyjemnie jak Volkswagen GTI
Zarząd SAG-AFTRA zatwierdza wstępne porozumienie z AMPTP
Wjedź na pokład nowojorskiego pociągu do śmieci, który został zbudowany do wysysania śmieci z torów
W tym tygodniu Sam Altman przymierzył golf Steve’a Jobsa
Marvels zmierza ku jednemu z najgorszych otwarć kasowych w historii MCU
Wreszcie mod Halo Infinite dla osób, które nie potrafią celować
Valve twierdzi, że Steam Deck 2 będzie dostępny jeszcze przez dwa lub trzy lata
Terminator powróci jako serial anime Netflix
Na długo przed Klątwą Albert Brooks połączył „reality TV” z „Prawdziwym życiem”.
Jak tłumaczyć strony internetowe w dowolnej przeglądarce
Pracownicy SpaceX mają złamania kości i urazy głowy w wyniku lekceważenia przez firmę zasad bezpieczeństwa – zgłaszają roszczenia
James Gunn utrzymuje grę Superman: Legacy w oryginalnym miejscu wydania
Crunchyroll przestanie oferować własną aplikację do mangi w przyszłym miesiącu
Szybkość, moc i jakość — VIZIO zapewnia doskonałą rozrywkę domową
Terminator powraca, tym razem jako anime
Na zdjęciach: Wspomnienie legendarnego astronauty NASA Franka Bormana
Dzisiejsze wskazówki (i odpowiedzi) dotyczące NYT Connections na niedzielę 12 listopada 2023 r
Nerf i Cabbage Patch Kids wprowadzeni do Narodowej Galerii Sław Zabawek
Sherrone Moore jest teraz wszystkimi fanami stanu Michigan
Dane CDC pokazują, że coraz więcej rodziców znajduje wymówki, aby nie szczepić swoich dzieci
Najwyraźniej Fran Drescher i The Rock składają wnioski o kandydowanie na prezydenta
Przestań pozwalać swoim dzieciom bawić się karmą dla psów
David Harbour dokucza swojemu Frankensteinowi w serialu Creature Commandos z DC
Dzisiejsze wskazówki (i odpowiedzi) dotyczące połączeń NYT na sobotę 11 listopada 2023 r
Masters of the Universe: Revolution drażni Hordaka Keitha Davida
Więc co, do cholery, SAG-AFTRA właściwie zyskało na tym całym uderzeniu?
Wielka Dziesiątka ogłasza stan wojenny, reszta futbolu uniwersyteckiego zastanawia się, czy im się to uda
Bentley wyposaży Twój jacht już teraz, co oznacza, że ​​orki będą miały szansę zrobić najzabawniejszą rzecz z możliwych
Jak uniknąć jednorazowych opłat dodatkowych podczas podróży solo
Sceny po napisach Marvela wprowadzają zmiany w grze MCU
Final Fantasy VII Rebirth może wywołać szalony zwrot w stronę Zacka
Whoopi Goldberg pokazuje Kit Harington swoją „Grę o tron” - toaletę inspirowaną: „Prawdziwy żelazny tron”
Muni Long mówi, że jeszcze nie „przetworzyła”, zdobywając 3 nominacje Grammy: „Wszystko idzie tak szybko”
Marvel faktycznie publikuje fikcyjne wspomnienie Scotta Langa z „Ant-Man and the Wasp: Quantumania”
Paul McCartney o byciu „romantycznym” z żoną Nancy Shevell: „Całkowicie przesadzam z walentynkami”
Kalendarium związku Gartha Brooksa i Trishy Yearwood
Kim jest żona Jasona Kennedy'ego? Wszystko o Lauren Scruggs Kennedy
Kalendarium związku Suzanne Somers i Alana Hamela
Bob Barker, wieloletni gospodarz programu „The Price Is Right”, zmarł w wieku 99 lat: „Najlepszy MC na świecie”
Chelsea Houska z „Nastoletniej mamy” dzieli się płaczliwymi reakcjami na odnowienie 2. sezonu programu HGTV: „Tak wiele znaczy”
Zaginiona 17-letnia dziewczyna prawdopodobnie zamarzła na śmierć po wjechaniu do rowu w wiejskim stanie Wisconsin: urzędnicy
W tej tajnej sekcji wyprzedaży w szafie Nordstrom kryje się ponad 2500 stylów na zimną pogodę — od 6 USD
Kobieta, która zmarła 37 lat temu po tym, jak została znaleziona nieprzytomna na autostradzie w stanie Georgia, została zidentyfikowana jako zaginiona mama 4-latki
Lizzo przyznała znak towarowy dla „100% THAT Bitch” w odwróceniu po odrzuceniu wniosku
Łyżwiarstwo figurowe w USA „sfrustrowane” brakiem ostatecznej decyzji w zawodach drużynowych, wzywa do sprawiedliwego orzeczenia
Kupujący zgadzają się, że ta zamiatarka Black + Decker jest „znacznie szybsza” niż tradycyjna miotła i jest w sprzedaży
Kim jest żona Vince'a Vaughna? Wszystko o Kyli Weber
Eric i Jessie James Decker zawsze „całują się nawzajem” - a dzieciom się to nie podoba
Melissa Gorga nie jest pewna, czy rozwiąże spór z Teresą Giudice: „Jak toksyczne można pozwolić, by coś się stało?”
Kalendarium związku Maggie Gyllenhaal i Petera Sarsgaarda
Bengals Running Back Joe Mixon poszukiwany nakazem aresztowania wydanym za rzekome wycelowanie broni palnej w kobietę
Piosenkarka „Flashdance” Irene Cara zmarła z powodu nadciśnienia i wysokiego cholesterolu: raport
Lista posiadłości Kirstie Alley zawiera dom późnej gwiazdy na Florydzie za 6 milionów dolarów, który kupiła od Lisy Marie Presley
Rodzina Yary Shahidi: wszystko o rodzicach i rodzeństwie aktorki
Dwayne Johnson mówi, że jego mama jest „w porządku” po nocnym wypadku samochodowym, „będzie nadal oceniana”
Córka Kevina Jonasa, Alena, wygląda na dorosłą na zdjęciu urodzinowym: „9 lat nie wydaje się prawdziwe”
Kim jest żona Jaya Shetty’ego? Wszystko o Radhi Devlukii-Shetty
Kobieta znaleziona żywa i „z trudem łapiąc powietrze” w worku na zwłoki w domu pogrzebowym w Iowa
Znaleziono ciała prawdopodobnie należące do raperów zaginionych od czasu odwołania koncertu: „Nie zasłużyli na to”
Olimpijka Jasmine Camacho-Quinn świętuje, że jej brat Robert Quinn zmierza na Super Bowl
Heather Rae i Tarek El Moussa witają swojego synka: „Nasze serca są takie szczęśliwe”
Matthew McConaughey ujawnia, że ​​wróżka kazała mu zagrać w filmie „Jak stracić faceta w 10 dni”
Susan Lucci ze łzami w oczach wspomina zmarłego męża, kiedy przyznaje, że „nie jest gotowa” na randki
Wszystko o relacjach Zoë Kravitz z rodzicami Lennym Kravitzem i Lisą Bonet
Danielle Moné Truitt z „Prawa i porządku” uważa, że ​​fani zostali „oszukani; Autorstwa Stablera i Bensona Kiss Tease
Yasmin Vossoughian z MSNBC mówi, że lekarz zwolnił jej bóle w klatce piersiowej jako refluks, a potem zaczął się jej „koszmar”
Profesor Purdue University aresztowany za rzekomy handel metamfetaminą i proponowanie kobietom usług seksualnych
Tom Girardi uczestniczy w rozprawie, aby określić, czy jest on uprawniony do stanięcia przed sądem pod zarzutem oszustwa
TJ Watt chce, aby Tom Brady i brat JJ zostali razem wprowadzeni do Galerii Sław NFL
Molly Ringwald świętuje 22. rocznicę z mężem Panio Gianopoulosem: „Najlepsza decyzja, jaką kiedykolwiek podjęłam”
Animal Rescue ostrzega „Nigdy nie farbuj ptaka” po tym, jak „walczący” różowy gołąb został znaleziony błąkający się po Nowym Jorku
Kupujący Amazon mówią, że śpią „jak rozpieszczone dziecko” dzięki tym jedwabnym poszewkom na poduszki, które kosztują zaledwie 10 USD
Kim jest mąż Lisy Vanderpump? Wszystko o Kenie Toddzie
Posiadłość Kim Zolciak-Biermann i Kroy Biermann List w Gruzji na sprzedaż w Splicie
Randkowa historia Drake'a: od Rihanny do Jennifer Lopez
Charly Reynolds ujawnia niedawną operację strun głosowych: „Miałem problemy ze śpiewaniem”
Margaret Josephs broni „niszczycielskiego” wyboru Melissy i Joe Gorga, aby pominąć ślub Teresy Giudice
Kim jest narzeczony JWoww? Wszystko o Zacku Claytonie Carpinello
W jakim wieku najlepiej rozpocząć przemianę z kobiety w mężczyznę?
Mam 30 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Czy spironolakton jest zły dla HTZ?
Dlaczego nigdy nie widziałem osoby transpłciowej między kobietą a mężczyzną?
Jakie to uczucie, gdy rosną piersi podczas zmiany płci z męskiej na żeńską?
Mam 19 lat i jestem jedynakiem. Wpadam w depresję i martwię się, że coś się stanie moim rodzicom, ponieważ to wszystko, co mam. Nie mam żadnych przyjaciół i nie udało mi się ich zdobyć podczas pandemii. Boję się samotności, co mogę zrobić, aby sobie pomóc?
W przyszłym miesiącu skończę 16 lat. Jak mam zatrudnić terapeutę, jeśli moja mama uważa, że ​​go nie potrzebuję?
Mam 13 lat w depresji i chcę iść z tym do lekarza, ale boję się tego i że moi rodzice uznają to za moje hormony i tak dalej. Co powinienem zrobić?
Co powinno się stać, jeśli nigdy nie przejdziesz przez okres dojrzewania?
Jaka jest najważniejsza rzecz, o której 14-letni nastolatek powinien pamiętać?
Mam dziś 19 lat. Jaka jest najważniejsza rzecz, której powinienem się nauczyć?
Mam 23 lata. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Przechodzę z kobiety na mężczyznę. Jakie powinno być moje nowe imię?
Czy dobrym pomysłem jest rozpoczęcie HTZ w wieku 18 lat (transpłciowy)?
Jak rozpocząć przejście z mężczyzny na kobietę? W środku zawsze byłam dziewczyną. Co muszę zrobić?
Mam 13 lat, jestem osobą transpłciową (ftm) i od kilku miesięcy spotykam się z terapeutą. Jak mam jej powiedzieć, że jestem transseksualistą i dać jej radę, żeby wyszła?
Jaka jest najbardziej użyteczna rzecz, jaką mogę zrobić, gdy mam 14 lat?
Twoim zdaniem, która zmiana płci jest trudniejsza, z kobiety na mężczyznę (KM) czy z mężczyzny na kobietę (MK)?
Czy HTZ jest zalecane dla nastolatków transpłciowych?
Jak żyć pełnią życia jako 19-latek?
Czy 18 lat to dobry wiek na rozpoczęcie przejścia na MTF?
Jako 13-latek, jak mogę oszczędzać i przechowywać pieniądze bez wiedzy moich rodziców?
Jakie leki mogą zmienić mężczyznę w kobietę bez operacji?
Czy to w porządku, że mam 13 lat, ale w głębi serca wciąż jestem dzieckiem?
Jaki jest najlepszy sposób na naturalne przejście z mężczyzny w kobietę?
Czy wszyscy przechodzą okres dojrzewania?
Mam 17 lat i planuję przejść do HRT, kiedy skończę studia w tym roku jako 18-latek. Do tego czasu, co mogłem zrobić, aby poczuć się bardziej kobieco?
Za miesiąc skończę 17 lat i myślałem, że tak naprawdę nie czuję się inaczej niż w wieku 11 lat, czy to normalne? Czy naprawdę zmienię się z wiekiem?
Jutro skończę 16 lat. Jaką konkretną radę możesz dać 16-letniemu chłopcu?
Jakie zmiany zajdą, jeśli przejdziesz na HTZ w wieku 13 lat?
Jakie są negatywne skutki okresu dojrzewania (zdrowie psychiczne itp.)?
Transgender: Jaka była najtrudniejsza część twojej przemiany z mężczyzny w kobietę?
Jakie są niezbędne umiejętności życiowe, które mogę opanować podczas tego 3-miesięcznego lata? Mam 17 lat.
Mam 21 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Jeśli chcę dowiedzieć się, jak rozpocząć leczenie zmiany płci, jakiego lekarza powinienem odwiedzić?
Mam 17 lat, co powinienem zrobić, aby zdobyć więcej wiedzy?
Czy możesz zacząć hormony MTF HRT w wieku 13 lat?
Mam 14 lat, jakie rady chciałbyś mi udzielić, co będzie pomocne do końca mojego życia?
Czy operacja pośladków jest tego warta, aby przejść z mężczyzny w kobietę?
Czy nadal jestem osobą transpłciową (FTM), jeśli objawy zaczęły pojawiać się dopiero w okresie dojrzewania?
Jak mogę zmienić swoje życie w wieku 17 lat?
Co może zrobić 14-latek, aby uczynić swoje życie lepszym/łatwiejszym?
Jakie są plusy i minusy dojrzewania?
Jak zatrzymać dojrzewanie bez blokerów dojrzewania?
Czy dojrzewanie przebiega etapami? Czy może się zatrzymać, a potem zacząć od nowa?
Mam 19 lat. Czy nadal przechodzę okres dojrzewania?
Jak mogę otrzymać HTZ, nie mówiąc, że chcę HTZ?
Mam 14 lat, której hobby łatwo się nudzi. Jak odnajduję swoją pasję i talent?
Co to jest wyjątek NullPointerException i jak to naprawić?
Jak zrobić świetny powtarzalny przykład R.
Jak zwrócić odpowiedź z wywołania asynchronicznego?
Czy matematyka zmiennoprzecinkowa jest zepsuta?
Co to jest niezdefiniowany odwołanie / nierozwiązany błąd zewnętrznego symbolu i jak to naprawić?
Czy mogę rzucić wynik malloc?
Jak uzyskać dostęp do prawidłowego „this” w wywołaniu zwrotnym?
Odniesienie - co oznacza to wyrażenie regularne?
Jak uniknąć używania Select w Excel VBA
Funkcja poczty PHP nie kończy wysyłania wiadomości e-mail
Dlaczego moja zmienna pozostaje niezmieniona po zmodyfikowaniu jej w funkcji? - Odwołanie do kodu asynchronicznego
UTF-8 w całości
mysqli_fetch_assoc () oczekuje błędów parametru / wywołania funkcji członkowskiej bind_param (). Jak zdobyć rzeczywisty błąd mysql i go naprawić?
Jak zrobić dobre, powtarzalne przykłady pand
Skaner pomija nextLine () po użyciu next () lub nextFoo ()?
Jak korzystać z ThreeTenABP w Android Project
Niestety MyApp przestała działać. Jak mogę to rozwiązać?
Jak działa słowo kluczowe „to”?
Pytanie użytkownika o wprowadzenie danych, dopóki nie poda prawidłowej odpowiedzi
„Najmniejsze zdumienie” i argument zmienny domyślny
Jaka jest wyraźna obietnica konstrukcji przeciwwzorcowej i jak jej uniknąć?
Zastosowanie wielu ramek JFrames: dobra czy zła praktyka? [Zamknięte]
Jak obrócić ramkę danych?
Oficjalne strategie lokalizatora dla webdrivera
ja/answers
es/answers
de/answers
fr/answers
th/answers
pt/answers
ru/answers
vi/answers
it/answers
ko/answers
tr/answers
id/answers
pl/answers
hi/answers
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved