Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloud

Cloud

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

by

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Puma terkena pelanggaran data setelah serangan ransomware Kronos

by

Pabrikan pakaian olahraga Puma terkena pelanggaran data menyusul serangan ransomware yang menghantam Kronos, salah satu penyedia layanan manajemen tenaga kerja Amerika Utara, pada Desember 2021.

Pemberitahuan pelanggaran data yang diajukan ke beberapa kantor jaksa agung awal bulan ini mengatakan penyerang juga mencuri informasi pribadi milik karyawan Puma dan tanggungan mereka dari lingkungan cloud Kronos Private Cloud (KPC) sebelum mengenkripsi data.

Kronos menggambarkan KPC sebagai penyimpanan aman yang dilindungi dari serangan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi.

Ini digunakan sebagai fasilitas server untuk meng-hosting Workforce Central, Workforce TeleStaff, Enterprise Archive, TeleTime IP, Extensions for Healthcare (EHC), dan lingkungan FMSI.

“Pada 7 Januari 2022, Kronos mengonfirmasi bahwa beberapa informasi pribadi Anda termasuk di antara data yang dicuri. Kami memberi tahu PUMA tentang insiden ini pada 10 Januari 2022.”

Meskipun pemberitahuan pelanggaran tidak menyebutkan berapa banyak karyawan Puma yang informasinya dicuri selama serangan itu, informasi yang diberikan kepada Kantor Kejaksaan Agung Maine mengungkapkan bahwa operator ransomware mendapatkan data milik 6.632 orang.

Puma juga mengatakan bahwa dokumen yang dicuri selama serangan ransomware Kronos termasuk Nomor Jaminan Sosial dalam pengajuan dengan kantor yang sama.

Orang-orang yang terkena dampak pelanggaran data ini juga ditawarkan dua tahun keanggotaan Experian IdentityWorks gratis, yang dilengkapi dengan pemantauan kredit, pemulihan identitas, dan asuransi pencurian identitas.

Peretas juga mencuri kode sumber untuk aplikasi internal Puma pada bulan Agustus dan menjualnya di portal kebocoran data Marketo. Serangan itu dikonfirmasi oleh kepala komunikasi korporat Puma, Robert-Jan Bartunek.

Pembaruan 08 Februari, 04:41 EST: Kepala Komunikasi Senior Puma Kerstin Neuber mengatakan bahwa tidak ada data pelanggan Puma yang terpengaruh dalam pernyataan tindak lanjut yang dikirim setelah kami menerbitkan:

Pada 10 Januari 2022, PUMA Amerika Utara diberi tahu bahwa UKG/ Kronos, salah satu vendor PUMA, sedang mengurangi dampak insiden ransomware. Pelanggaran hanya terjadi di dalam sistem UKG/Kronos. Tidak ada sistem di jaringan PUMA yang dilanggar dan tidak ada data pelanggan PUMA yang terpengaruh. Insiden itu terbatas pada Private Cloud Kronos.

UKG/ Kronos telah melibatkan pakar keamanan siber, memberi tahu pihak berwenang, dan berkomunikasi dengan mereka yang terkena dampak. Setiap pertanyaan media terkait dengan pelanggaran UKG/Kronos yang mendasari harus diarahkan ke UKG karena masalah tersebut sedang diselidiki.

Sumber : Bleeping Computer

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

by

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

by

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Keamanan cloud beralih ke ‘dev’ bukan ‘ops,’ kata Snyk

by

Penyedia platform keamanan pengembang Snyk membawa pendekatan keamanan cloud yang membuat perusahaan menonjol dari yang lain di ruang angkasa, dan ada tanda-tanda pasar akan semakin bergerak ke arah perusahaan yang tumbuh cepat, menurut Guy Podjarny, salah satu pendiri dan presiden dari Snyk.

Dalam pernyataan email kepada VentureBeat, Podjarny menjawab pertanyaan tentang munculnya kategori baru dalam keamanan cloud — platform perlindungan aplikasi cloud-native, atau CNAPP. Penawaran CNAPP menyatukan berbagai alat yang berbeda, termasuk alat untuk mengamankan infrastruktur cloud, identitas dan izin cloud, mesin virtual, wadah, dan fungsionalitas tanpa server.

Daripada CNAPP, Snyk mengatakan itu menawarkan “CNAS,” atau keamanan aplikasi asli cloud. Platform ini bertujuan untuk memberikan pendekatan “mengutamakan pengembang” terhadap keamanan cloud, dengan alat yang dibuat agar familiar bagi pengembang. Perusahaan pada akhirnya bertujuan untuk mewujudkan perusahaan alat pengembang daripada perusahaan keamanan — dengan alat pemindaian kode yang dimaksudkan untuk dimasukkan ke dalam proses pengembang untuk memastikan keamanan aplikasi sejak awal.

Menurut Podjarny, hal tersebut membuat Snyk berbeda dari vendor di ruang CNAPP, yang mencakup vendor keamanan siber yang sudah mapan bersama dengan beberapa startup keamanan yang didanai teratas saat ini.

“Sementara pemain CNAPP fokus pada operasi — mengamati sistem yang dikerahkan dan menjalankan untuk mengidentifikasi dan menanggapi ancaman — Snyk berlabuh di dev dan kode, memodelkan aplikasi untuk mengidentifikasi masalah lebih awal dan mencegah penyebarannya,” kata Podjarny dalam pernyataannya kepada VentureBeat. “Pendekatan ini, yang kami sebut CNAS, membawa pendekatan ‘shift left’ AppSec yang berevolusi menjadi keamanan cloud karena jauh lebih efisien dan hemat biaya.”

Akan selalu ada kebutuhan untuk pendekatan Dev dan Ops untuk CNAPP, tetapi seiring waktu penekanannya akan bergeser dari yang terakhir ke yang pertama, kata Podjarny.

Selengkapnya: Venture Beat

Regulator Singapura Menghukum Pelanggaran Data Terbesar yang Pernah Ada: Hampir 5,9 Juta Info Pelanggan Hotel Terekspos

by

RedDoorz.com malu setelah meninggalkan kunci akses AWS di APK

Komisi Perlindungan Data Pribadi Singapura (PDPC) telah mengeluarkan denda sebesar SG $ 74.000 ($ 54.456) pada perusahaan travel Commeasure, yang mengoperasikan situs web pemesanan travel bernama RedDoorz yang mengekspos 5,9 juta data pelanggan — pelanggaran data terbesar yang ditangani oleh Komisi sejak awal.

PDPC mengumumkan hukuman karena “gagal menerapkan pengaturan keamanan yang wajar untuk mencegah akses tidak sah dan eksfiltrasi data pribadi pelanggan yang dihosting dalam database cloud”.

RedDoorz mulai hidup di Indonesia sebelum pindah operasi ke Singapura, dari sana ia mengumpulkan pemesanan hotel murah di kota-kota tertentu di Asia Tenggara. Pengguna memilih hotel murah dari RedDoorz berdasarkan foto, area dan harga. Ketika wisatawan tiba, pengalaman kamar hotel diganti namanya menjadi RedDoorz dan dilengkapi dengan layanan tertentu – seperti WiFi, TV, dan air minum.

Commeasure mengetahui ada pelanggaran data pelanggan RedDoorz pada September 2020, ketika sebuah perusahaan cybersecurity yang berbasis di Atlanta memberi tahu perusahaan induk tentang peretasan dan menawarkan layanan perbaikan. Dalam seminggu, perusahaan teknologi perjalanan memberi tahu PDPC.

Data yang dicuri termasuk nama, nomor kontak, alamat email, ulang tahun, kata sandi akun RedDoorz terenkripsi dan informasi pemesanan. Menurut putusan PDPC, database tidak termasuk nomor kartu kredit. Jarahan itu disiapkan untuk dijual di forum hacker.

Kesalahan langkah yang membuat data dicuri kembali ke hari-hari startup perusahaan, ketika kunci akses AWS disematkan ke dalam paket aplikasi Android (APK) yang tersedia untuk diunduh dari Google Play Store. APK, yang dibuat pada tahun 2015 dan terakhir diperbarui pada Januari 2018, secara keliru ditandai sebagai kunci “uji” oleh pengembang pada saat itu. Itu tetap terlihat meskipun dianggap “mati” sampai perusahaan diberitahu tentang pelanggaran pada tahun 2020.

Dengan kunci akses AWS di tangan, crims dapat memperoleh akses dan exfiltrate catatan pelanggan yang dihosting di database cloud Amazon RDS. RedDoorz memang melakukan upaya untuk melindungi data – misalnya dengan menyewa perusahaan cybersecurity dan menggunakan alat obfuscation Java Proguard untuk mencegah rekayasa balik APK – tetapi itu semua sia-sia karena file yang relevan tidak pernah dievaluasi.

Pendiri dan CEO RedDoorz, Amit Samberwal, mengatakan kepada The Register:

Kami segera melakukan tinjauan internal dan kemudian melibatkan perusahaan cybersecurity eksternal untuk meningkatkan langkah-langkah keamanan. Pada saat itu, kami juga telah memberi tahu semua pengguna, media publik, dan otoritas masing-masing tentang pelanggaran tersebut. PDPC di Singapura baru-baru ini menyelesaikan penyelidikan setelah lebih dari satu setengah tahun, dan menganggap kasus ini ditutup dengan denda $ 74K yang dikenakan.

Commeasure mengatakan kepada PDPC bahwa kegagalan untuk menerapkan proses yang cukup kuat untuk mengelola inventaris kunci akses infrastrukturnya adalah karena pergantian karyawan yang tinggi. Itu tidak berjalan dengan baik dengan Komisi. Namun, otoritas pengatur mengatakan mempertimbangkan perilaku kooperatif perusahaan, tindakan perbaikan, tinjauan keamanan yang tidak efektif namun teratur, dan keadaan yang tidak menguntungkan menjadi bisnis perhotelan di tengah pandemi, karena memutuskan hukuman keuangan.

Komisi memberi Commeasure 30 hari untuk membayar sebelum bunga masuk.

Sumber: The Register

Rilisnya RHEL 8.5 Membawa Beberapa Peningkatan dan Fitur

by

Baru-baru ini, Red Hat Enterprise Linux atau RHEL 8.5 dirilis. RHEL 8.5 Beta menghadirkan patch kernel langsung untuk konsol web, berdasarkan proyek Cockpit open-source. Selain itu, rilis membawa beberapa peran sistem dan peningkatan manajemen dan menghilangkan kebutuhan untuk secara eksplisit meminta akses beta. Selanjutnya, rilis mendatang akan dibuat khusus untuk meningkatkan efisiensi RHEL sehingga mudah dikelola dan disebarkan.

Dengan RHEL Beta ini, beberapa peran sistem yang baru dan lebih baik menggabungkan:

  • Peran sistem RHEL untuk VPN meminimalkan waktu yang dibutuhkan untuk mengonfigurasi terowongan VPN dan juga meminimalkan kemungkinan pengaturan yang salah dikonfigurasi. Selain itu, ini mendukung konfigurasi VPN host-to-host dan mesh.
  • Peran sistem RHEL untuk Microsoft SQL Server memungkinkan administrator Database (DBA) dan admin TI untuk penginstalan cepat, konfigurasi, dan penyempurnaan SQL Server secara otomatis.
    Peran sistem RHEL untuk sinkronisasi waktu menggunakan opsi Network Time Security (NTS) baru sebagai bagian dari peran sistem sinkronisasi waktu saat ini.
  • Peran sistem RHEL untuk Postfix sepenuhnya kompatibel dengan RHEL 8.5, yang memungkinkan admin untuk melewati konfigurasi manual Postfix, mengotomatiskan seluruh proses termasuk instalasi, konfigurasi dan inisialisasi server.
  • Peran sistem RHEL untuk Penyimpanan menghadirkan dukungan untuk volume Logical Volume Manager (LVM) dan Virtual Data Optimizer (VDO) dan ukuran volume yang menunjukkan ukuran total kumpulan dalam persentase.

Selengkapnya: Cloud Host News