Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Rekam Serangan DDoS dengan 25,3 Miliar Permintaan Penyalahgunaan HTTP/2 Multiplexing

by

Perusahaan keamanan siber Imperva telah mengungkapkan bahwa mereka telah mengurangi serangan penolakan layanan (DDoS) terdistribusi dengan total lebih dari 25,3 miliar permintaan pada 27 Juni 2022.

“Serangan kuat,” yang menargetkan perusahaan telekomunikasi China yang tidak disebutkan namanya, dikatakan telah berlangsung selama empat jam dan mencapai puncaknya pada 3,9 juta permintaan per detik (RPS).

“Penyerang menggunakan multiplexing HTTP/2, atau menggabungkan beberapa paket menjadi satu, untuk mengirim beberapa permintaan sekaligus melalui koneksi individu,” kata Imperva dalam sebuah laporan yang diterbitkan pada 19 September.

Serangan itu diluncurkan dari botnet yang terdiri dari hampir 170.000 alamat IP berbeda yang mencakup router, kamera keamanan, dan server yang disusupi yang berlokasi di lebih dari 180 negara, terutama AS, Indonesia, dan Brasil.

Pengungkapan itu juga muncul saat penyedia infrastruktur web Akamai mengatakan pihaknya menerjunkan serangan DDoS baru yang ditujukan untuk pelanggan yang berbasis di Eropa Timur pada 12 September, dengan lalu lintas serangan melonjak pada 704,8 juta paket per detik (pps).

Korban yang sama sebelumnya ditargetkan pada 21 Juli 2022, dengan cara yang sama di mana volume serangan meningkat hingga 853,7 gigabit per detik (Gbps) dan 659,6 juta pps selama 14 jam.

Craig Sparling dari Akamai mengatakan perusahaan telah “dibombardir tanpa henti dengan serangan penolakan layanan (DDoS) terdistribusi yang canggih,” menunjukkan bahwa serangan tersebut dapat bermotivasi politik dalam menghadapi perang berkelanjutan Rusia melawan Ukraina.

Kedua upaya mengganggu adalah serangan banjir UDP di mana penyerang menargetkan dan membanjiri port sewenang-wenang pada host target dengan paket User Datagram Protocol (UDP).

UDP, karena tanpa koneksi dan tanpa sesi, menjadikannya protokol jaringan yang ideal untuk menangani lalu lintas VoIP. Tetapi sifat-sifat yang sama ini juga dapat membuatnya lebih rentan terhadap eksploitasi.

Sumber: The Hackernews

AS menambahkan dua operator China lagi ke daftar ‘ancaman keamanan nasional’

by

Komisi Komunikasi Federal AS (FCC) telah menambahkan dua perusahaan China ke dalam daftar pemasok peralatan komunikasi yang dinilai mengancam keamanan nasional: Pacific Network Corp, anak perusahaannya yang sepenuhnya dimiliki ComNet (USA) LLC, dan China Unicom (Amerika).

Sekarang, bekerja sama dengan mitra keamanan nasional kami, kami mengambil tindakan tambahan untuk menutup pintu bagi perusahaan-perusahaan ini dengan menambahkan mereka ke Daftar Tercakup FCC, ”kata Ketua Jessica Rosenworcel.

Penambahan terbaru bergabung dengan Huawei, ZTE Corporation, vendor komunikasi radio Hytera, sistem pengawasan video Hikvision dan Dahua, serta perusahaan keamanan siber yang berbasis di Rusia Kaspersky, ditambah perusahaan telekomunikasi China Mobile dan China Telecom, yang sudah ada dalam daftar.

Perusahaan-perusahaan baru itu mendapat tempat di daftar sepuluh kuat sekarang karena mereka diyakini “tunduk pada eksploitasi, pengaruh dan kontrol pemerintah China, dan risiko keamanan nasional yang terkait dengan eksploitasi, pengaruh, dan kontrol semacam itu.” Oleh karena itu, mereka menimbulkan “risiko yang tidak dapat diterima terhadap keamanan nasional Amerika Serikat.”

FCC pada dasarnya percaya bahwa perusahaan tidak akan dapat menolak permintaan dari Beijing yang dapat mencakup spionase atau pengumpulan intelijen.

ComNet juga mendapatkan tempatnya dalam daftar karena FCC percaya interkoneksinya ke jaringan telekomunikasi AS dan pelanggan dapat memfasilitasi spionase ekonomi, pengumpulan intelijen, “atau sebaliknya memberikan kemampuan strategis untuk menargetkan, mengumpulkan, mengubah, memblokir, dan merutekan ulang lalu lintas jaringan. .”

ComNet dan China Unicom telah dilarang beroperasi di AS dan, dengan melabeli mereka sebagai ancaman keamanan, FCC telah menjelaskan bahwa berbisnis dengan keduanya berbahaya bagi perusahaan AS.

Pada tingkat yang lebih praktis, daftar tersebut juga berarti pembeli AS yang berbelanja menggunakan subsidi federal seperti Dana Layanan Universal FCC senilai $5 miliar sekarang dilarang berurusan dengan kedua perusahaan tersebut.

Sumber: The Register

2K Memperingatkan Pengguna yang Terkena Dampak untuk Mengubah Semua Kata Sandi yang Tersimpan

by

Penerbit 2K telah memperingatkan pengguna agar tidak membuka email atau mengklik tautan dari halaman support setelah mengonfirmasi bahwa mereka telah diretas.

Lebih dari sekadar akun palsu yang mengirim email palsu, Dukungan 2K sendiri telah disusupi, dengan peretas mengirim email yang tampaknya sah yang berisi tautan berbahaya. Akibatnya, situs web dukungan 2K menjadi offline.

Jika pengguna telah mengeklik tautan tersebut, 2K merekomendasikan agar mereka segera mengubah kata sandi yang disimpan di browser web (seperti pengisian otomatis Chrome), memasang perangkat lunak anti-virus, mengaktifkan autentikasi multi-faktor, dan memeriksa bahwa tidak ada setelan penerusan akun email telah diubah.

2K mengatakan “Sebelumnya hari ini kami mengetahui bahwa pihak ketiga yang tidak sah secara ilegal mengakses kredensial salah satu vendor kami ke platform meja bantuan yang digunakan 2K untuk memberikan dukungan kepada pelanggan kami,”

“Pihak yang tidak berwenang mengirim komunikasi ke pemain tertentu yang berisi tautan berbahaya. Tolong jangan buka email apa pun atau klik tautan apa pun yang Anda terima dari akun dukungan 2K Games.”

Penerbit juga mengingatkan pengguna bahwa mereka tidak akan pernah meminta kata sandi atau informasi pribadi lainnya, dan akan mengumumkan kapan situs web dan emailnya aman untuk digunakan lagi.

Beberapa hari terakhir telah menjadi waktu yang sangat aktif untuk serangan cyber. Rockstar Games memiliki sekitar 90 video gameplay Grand Theft Auto 6 yang bocor setelah menjadi korban peretasan, dan meskipun itu dan 2K berbagi perusahaan induk yang sama dari Take-Two Interactive, saat ini tidak ada yang menunjukkan bahwa kedua serangan tersebut terkait.

Sumber: IGN Southeast Asia

Fitur baru google memungkinkan prngguna untuk dapat menghapus hasil penelusuran yang berisi data pribadi anda

by

Google telah merilis alat yang memudahkan pengguna untuk mengirim permintaan penghapusan hasil pencarian yang berisi alamat, nomor telepon, dan informasi pribadi lainnya.

Pengguna dapat mengirim permintaan penghapusan data pribadi mereka dengan mengklik menu titik tiga di kanan atas. Setelah itu akan muncul panel “Tentang hasil ini” kemudian pilih “Hapus hasil” di bagian bawah layar.

Pengguna juga dapat memantau permintaan di item menu “Hasil tentang Anda”, yang tersedia dengan mengetuk profil pengguna di kanan atas.

Setelah itu pengguna kemudian dapat memantau kemajuan permintaan melalui filter “Semua permintaan”, “Sedang berlangsung” dan “Disetujui”.

Halaman yang sama juga memungkinkan pengguna membuat permintaan baru dengan langkah “Mengapa Anda ingin menghapus hasil ini”. Opsi di sana termasuk “Ini menunjukkan info kontak pribadi saya,” “Ini menunjukkan kontak saya dengan maksud untuk menyakiti saya,” “Ini menunjukkan info pribadi lainnya,” “Ini berisi info ilegal” dan “Ini sudah ketinggalan zaman.” Namun sebelumnya, Google telah mengatakan bahwa tidak semua permintaan dapat dikabulkan:

Penting untuk diperhatikan bahwa ketika kami menerima permintaan penghapusan, kami akan mengevaluasi semua konten di halaman web untuk memastikan bahwa kami tidak membatasi ketersediaan informasi lain yang berguna secara luas, misalnya dalam artikel berita.

Dan tentu saja, menghapus informasi kontak dari Google Penelusuran tidak menghapusnya dari web, itulah sebabnya pengguna mungkin harus menghubungi situs hosting secara langsung.

Sumber: Engadget

VMware, Microsoft memperingatkan serangan malware Chromeloader yang meluas

by

VMware dan Microsoft memperingatkan kampanye malware Chromeloader yang sedang berlangsung dan meluas yang telah berkembang menjadi ancaman yang lebih berbahaya, terlihat menjatuhkan ekstensi browser berbahaya, malware node-WebKit, dan bahkan ransomware dalam beberapa kasus.

Infeksi Chromeloader melonjak pada Q1 2022, dengan para peneliti di Red Canary memperingatkan tentang bahaya pembajak peramban yang digunakan untuk afiliasi pemasaran dan penipuan iklan.

Saat itu, malware menginfeksi Chrome dengan ekstensi berbahaya yang mengarahkan lalu lintas pengguna ke situs iklan untuk melakukan penipuan klik dan menghasilkan pendapatan bagi pelaku ancaman.

Beberapa bulan kemudian, Unit 42 Jaringan Palo Alto memperhatikan bahwa Chromeloader berkembang menjadi pencuri info, mencoba mengambil data yang disimpan di browser sambil mempertahankan fungsi adwarenya.

Pada Jumat malam, Microsoft memperingatkan tentang “kampanye penipuan klik luas yang sedang berlangsung” yang dikaitkan dengan aktor ancaman yang dilacak sebagai DEV-0796 menggunakan Chromeloader untuk menginfeksi korban dengan berbagai malware.

Alur serangan Chromeloader
Sumber: Microsoft

Hari ini, analis di VMware menerbitkan laporan teknis yang menjelaskan berbagai varian Chromeloader yang digunakan pada bulan Agustus dan bulan ini, beberapa di antaranya menurunkan muatan yang jauh lebih kuat.

Malware ChromeLoader dikirimkan dalam file ISO yang didistribusikan melalui iklan berbahaya, pengalihan browser, dan komentar video YouTube.

File ISO telah menjadi metode populer untuk mendistribusikan malware sejak Microsoft mulai memblokir makro Office secara default. Selanjutnya, ketika mengklik dua kali pada ISO di Windows 10 dan yang lebih baru, mereka secara otomatis dipasang sebagai CDROM di bawah huruf drive baru, menjadikannya cara yang efisien untuk mendistribusikan beberapa file malware sekaligus.

File yang terdapat dalam arsip ISO ChromeLoader

ISO ChromeLoader biasanya berisi empat file, arsip ZIP yang berisi malware, file ICON, file batch (biasanya bernama Resources.bat) yang menginstal malware, dan pintasan Windows yang meluncurkan file batch.

Sebagai bagian dari penelitian mereka, VMware mengambil sampel setidaknya sepuluh varian Chromeloader sejak awal tahun, dengan yang paling menarik muncul setelah Agustus.

Contoh pertama adalah program yang meniru OpenSubtitles, sebuah utilitas yang membantu pengguna menemukan subtitle untuk film dan acara TV. Dalam kampanye ini, pelaku ancaman pindah dari file “Resources.bat” mereka yang biasa dan beralih ke file bernama “properties.bat,” yang digunakan untuk menginstal malware dan membangun kegigihan dengan menambahkan kunci Registry.

Kasus penting lainnya adalah “Flbmusic.exe,” meniru pemutar Musik FLB, menampilkan runtime Electron dan memungkinkan malware memuat modul tambahan untuk komunikasi jaringan dan pengintaian port.

Untuk beberapa varian, serangan berubah menjadi sedikit destruktif, mengekstraksi ZipBombs yang membebani sistem dengan operasi pembongkaran besar-besaran.

Yang lebih memprihatinkan, varian Chromeloader terbaru terlihat menyebarkan ransomware Enigma dalam file HTML.

Enigma adalah jenis ransomware lama yang menggunakan penginstal berbasis JavaScript dan executable tertanam sehingga dapat diluncurkan langsung dari browser default.

Setelah enkripsi selesai, ekstensi nama file “.enigma” ditambahkan ke file, sementara ransomware menjatuhkan file “readme.txt” yang berisi instruksi untuk korban.

Karena adware tidak menyebabkan kerusakan signifikan pada sistem korban, selain memakan bandwidth, biasanya adware merupakan ancaman yang diabaikan atau diremehkan oleh analis.

Namun, setiap perangkat lunak yang bersarang ke dalam sistem tanpa terdeteksi adalah kandidat untuk masalah yang lebih signifikan, karena pembuatnya mungkin menerapkan modifikasi yang memfasilitasi opsi monetisasi yang lebih agresif.

Sumber: Bleeping Computer

Microsoft Teams dianggap tidak aman untuk digunakan oleh peneliti keamanan

by

Firma riset keamanan siber yang berbasis di California, Vectra, telah menemukan kelemahan pada Microsoft Teams versi desktop yang berpotensi di mana token autentikasi disimpan dalam teks biasa, yang membuatnya rentan terhadap serangan pihak ketiga.

Masalah ini memengaruhi aplikasi Teams berdasarkan kerangka kerja Electron perusahaan, yang berjalan di mesin Windows, macOS, dan Linux.

Vectra mengatakan bahwa kredensial ini secara teoritis dapat dicuri oleh penyerang yang memiliki akses sistem lokal atau jarak jauh. Microsoft menyadari kerentanan ini, meskipun perusahaan tampaknya tidak terburu-buru untuk memperbaikinya.

Peretas dengan akses yang diperlukan dapat mencuri data dari pengguna Teams online dan berpotensi menirunya saat mereka offline.

Identitas ini kemudian dapat digunakan di seluruh aplikasi seperti Outlook atau Skype dengan menghindari persyaratan otentikasi multifaktor (MFA).

“Bahkan lebih merusak, penyerang dapat merusak komunikasi yang sah dalam suatu organisasi dengan selektif menghancurkan, exfiltrating, atau terlibat dalam serangan phishing yang ditargetkan,” Connor Peoples, arsitek keamanan di Vectra, mengatakan. Dia mencatat bahwa kerentanan khusus ini hanya ada pada versi desktop Teams karena kurangnya “kontrol keamanan tambahan untuk melindungi data cookie.”

Untuk menyampaikan maksudnya ke Microsoft, Vectra bahkan mengembangkan bukti konsep yang merinci eksploitasi, memungkinkan para peneliti untuk mengirim pesan ke akun individu yang token aksesnya dikompromikan.

Meskipun platform Electron memudahkan pembuatan aplikasi untuk desktop, platform ini tidak menyertakan langkah-langkah keamanan penting seperti enkripsi atau lokasi file yang dilindungi sistem, standar.

Cybersecurity Dark Reading (melalui Engadget) mendekati perusahaan untuk mengomentari kerentanan Teams dan menerima tanggapan yang cukup hangat, dan mengatakan bahwa celah keamanan ini “tidak memenuhi standar kami untuk layanan segera karena mengharuskan penyerang untuk terlebih dahulu mendapatkan akses ke jaringan sasaran.” Namun, perusahaan tidak mengesampingkan kemungkinan perbaikan yang diluncurkan di masa depan.

Pengguna disarankan untuk tidak menggunakan aplikasi desktop Microsoft Teams hingga perbaikan. Sebagai alternatif lain, gunakan aplikasi web Teams yang memiliki perlindungan tambahan.

Sumber: Android Police

Google, Microsoft Bisa Mendapatkan Kata Sandi Anda Melalui Periksa Ejaan Browser Web

by Leave a Comment

Fitur pemeriksa ejaan yang diperluas di browser web Google Chrome dan Microsoft Edge mengirimkan data formulir, termasuk informasi pengenal pribadi (PII) dan dalam beberapa kasus, kata sandi, masing-masing ke Google dan Microsoft.

Meskipun ini mungkin merupakan fitur yang diketahui dan dimaksudkan dari browser web ini, hal ini menimbulkan kekhawatiran tentang apa yang terjadi pada data setelah transmisi dan seberapa aman praktiknya, terutama jika menyangkut bidang kata sandi.

Baik Chrome dan Edge dikirimkan dengan pemeriksa ejaan dasar yang diaktifkan. Namun, fitur seperti Chrome’s Enhanced Spellcheck atau Microsoft Editor saat diaktifkan secara manual oleh pengguna, menunjukkan potensi risiko privasi ini.

Pembajakan ejaan: Itu pemeriksaan ejaan Anda mengirim PII ke Big Tech

Saat menggunakan browser web utama seperti Chrome dan Edge, data formulir Anda ditransmisikan ke Google dan Microsoft, masing-masing, jika fitur pemeriksa ejaan yang disempurnakan diaktifkan.

Bergantung pada situs web yang Anda kunjungi, data formulir itu sendiri dapat mencakup PII—termasuk namun tidak terbatas pada Nomor Jaminan Sosial (SSN)/Nomor Asuransi Sosial (SIN), nama, alamat, email, tanggal lahir (DOB), informasi kontak, informasi bank dan pembayaran, dan sebagainya.

Josh Summitt, salah satu pendiri & CTO perusahaan keamanan JavaScript otto-js menemukan masalah ini saat menguji deteksi perilaku skrip perusahaannya.

Jika Chrome Enhanced Spellcheck atau Edge’s Microsoft Editor (pemeriksa ejaan) diaktifkan, “pada dasarnya apa pun” yang dimasukkan dalam bidang formulir browser ini dikirim ke Google dan Microsoft.

“Selanjutnya, jika Anda mengklik ‘tampilkan kata sandi’, pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi Anda, pada dasarnya Membajak Eja data Anda,” jelas otto-js dalam sebuah posting blog.

“Beberapa situs web terbesar di dunia memiliki paparan untuk mengirimkan PII pengguna sensitif Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, saat pengguna masuk atau mengisi formulir. Kekhawatiran yang lebih signifikan bagi perusahaan adalah paparan yang disajikan untuk kredensial perusahaan perusahaan ke aset internal seperti database dan infrastruktur cloud.”

Pengguna mungkin sering mengandalkan opsi “tampilkan kata sandi” di situs tempat menyalin-menempelkan kata sandi tidak diperbolehkan, misalnya, atau ketika mereka menduga mereka salah ketik.

Untuk mendemonstrasikan, otto-js membagikan contoh pengguna yang memasukkan kredensial pada platform Cloud Alibaba di browser web Chrome—meskipun situs web apa pun dapat digunakan untuk demonstrasi ini.

Dengan mengaktifkan pemeriksaan ejaan yang disempurnakan, dan dengan asumsi pengguna mengetuk fitur “tampilkan kata sandi”, bidang formulir termasuk nama pengguna dan kata sandi dikirimkan ke Google di googleapis.com.

Sebuah demonstrasi video juga telah dibagikan oleh perusahaan:

BleepingComputer juga mengamati kredensial yang dikirimkan ke Google dalam pengujian kami menggunakan Chrome untuk mengunjungi situs-situs utama seperti:

CNN—nama pengguna dan kata sandi saat menggunakan ‘tampilkan kata sandi’
Facebook.com—nama pengguna dan kata sandi saat menggunakan ‘tampilkan kata sandi’
SSA.gov (Login Jaminan Sosial)—hanya kolom nama pengguna
Bank of America—hanya kolom nama pengguna
Verizon—bidang nama pengguna saja
Solusi HTML sederhana: ‘spellcheck=false’
Meskipun transmisi bidang formulir terjadi dengan aman melalui HTTPS, mungkin tidak segera jelas tentang apa yang terjadi pada data pengguna setelah mencapai pihak ketiga, dalam contoh ini, server Google.

“Fitur pemeriksaan ejaan yang disempurnakan memerlukan keikutsertaan dari pengguna,” juru bicara Google mengonfirmasi kepada BleepingComputer. Perhatikan, bahwa ini berbeda dengan pemeriksa ejaan dasar yang diaktifkan di Chrome secara default dan tidak mengirimkan data ke Google.

Untuk meninjau apakah Enhanced spell check diaktifkan di browser Chrome Anda, salin-tempel tautan berikut di bilah alamat Anda. Anda kemudian dapat memilih untuk mengaktifkan atau menonaktifkannya:

Seperti yang terlihat dari tangkapan layar, deskripsi fitur secara eksplisit menyatakan bahwa dengan Enhanced spell check diaktifkan, “teks yang Anda ketik di browser dikirim ke Google.”

“Teks yang diketik oleh pengguna mungkin merupakan informasi pribadi yang sensitif dan Google tidak melampirkannya ke identitas pengguna mana pun dan hanya memprosesnya di server untuk sementara. Untuk lebih memastikan privasi pengguna, kami akan berupaya untuk mengecualikan sandi secara proaktif dari pemeriksaan ejaan,” lanjut Google dalam pernyataannya yang dibagikan kepada kami.

“Kami menghargai kolaborasi dengan komunitas keamanan, dan kami selalu mencari cara untuk melindungi privasi pengguna dan informasi sensitif dengan lebih baik.”

Adapun Edge, Microsoft Editor Spelling & Grammar Checker adalah addon browser yang perlu diinstal secara eksplisit agar perilaku ini terjadi.

BleepingComputer menghubungi Microsoft jauh sebelumnya sebelum dipublikasikan. Kami diberitahu bahwa masalah ini sedang diselidiki tetapi kami belum mendengar kabar.

otto-js menjuluki vektor serangan “Spell-jacking” dan menyatakan keprihatinan bagi pengguna layanan cloud seperti Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager, dan LastPass.

Bereaksi terhadap laporan otto-js, baik AWS dan LastPass mengurangi masalah tersebut. Dalam kasus LastPass, perbaikan dicapai dengan menambahkan atribut HTML sederhana spellcheck=”false” ke bidang kata sandi:

Atribut HTML ‘pemeriksaan ejaan’ ketika ditinggalkan dari bidang input teks formulir biasanya dianggap benar oleh browser web secara default. Bidang masukan dengan ‘pemeriksaan ejaan’ yang secara eksplisit disetel ke false tidak akan diproses melalui pemeriksa ejaan peramban web.

“Perusahaan dapat mengurangi risiko berbagi PII pelanggan mereka – dengan menambahkan ‘periksa ejaan = salah’ ke semua bidang input, meskipun ini dapat menimbulkan masalah bagi pengguna,” jelas otto-js merujuk pada fakta, pengguna sekarang tidak akan dapat lagi untuk menjalankan teks yang mereka masukkan melalui pemeriksa ejaan.

“Atau, Anda dapat menambahkannya hanya ke bidang formulir dengan data sensitif. Perusahaan juga dapat menghapus kemampuan ‘menampilkan kata sandi’. Itu tidak akan mencegah pembajakan ejaan, tetapi itu akan mencegah kata sandi pengguna dikirim.”

Cukup ironis, kami mengamati formulir login Twitter, yang dilengkapi dengan opsi “tampilkan kata sandi”, memiliki atribut HTML “pemeriksaan ejaan” bidang kata sandi yang secara eksplisit disetel ke true:

Sebagai perlindungan tambahan, pengguna Chrome dan Edge dapat mematikan Enhanced Spell Check (dengan mengikuti langkah-langkah yang disebutkan di atas) atau menghapus add-on Microsoft Editor dari Edge hingga kedua perusahaan merevisi pemeriksa ejaan yang diperluas untuk mengecualikan pemrosesan bidang sensitif, seperti kata sandi.

Sumber:

Pasangan Peretas Menghapus Data Jaringan Hotel untuk Bersenang-senang

by

Peretas mengatakan kepada BBC bahwa mereka melakukan serangan siber yang merusak terhadap pemilik Holiday Inn, Intercontinental Hotels Group (IHG) “untuk bersenang-senang”.

Menggambarkan diri mereka sebagai pasangan dari Vietnam, mereka mengatakan bahwa mereka pertama kali mencoba serangan ransomware, kemudian menghapus sejumlah besar data ketika mereka digagalkan.

Mereka mengakses database perusahaan FTSE 100 berkat kata sandi yang mudah ditemukan dan lemah, Qwerty1234.

Seorang ahli mengatakan kasus ini menyoroti sisi balas dendam dari peretas kriminal.

IHG yang berbasis di Inggris mengoperasikan 6.000 hotel di seluruh dunia, termasuk merek Holiday Inn, Crowne Plaza, dan Regent.

Pada hari Senin minggu lalu, pelanggan melaporkan masalah yang meluas dengan pemesanan dan check-in.

Selama 24 jam IHG menanggapi keluhan di media sosial dengan mengatakan bahwa perusahaan “sedang menjalani pemeliharaan sistem”.

Kemudian pada Selasa sore ia memberi tahu investor bahwa itu telah diretas.

“Saluran pemesanan dan aplikasi lain telah terganggu secara signifikan sejak kemarin,” katanya dalam pemberitahuan resmi yang diajukan ke London Stock Exchange.

Gambar, yang telah dikonfirmasi oleh IHG adalah asli, menunjukkan bahwa mereka memperoleh akses ke email Outlook internal perusahaan, obrolan Tim Microsoft, dan direktori server.

“Serangan kami awalnya direncanakan untuk menjadi ransomware tetapi tim TI perusahaan terus mengisolasi server sebelum kami memiliki kesempatan untuk menyebarkannya, jadi kami pikir ada beberapa [sic] yang lucu. Kami melakukan serangan wiper sebagai gantinya,” salah satu peretas dikatakan.

Serangan wiper adalah bentuk serangan cyber yang menghancurkan data, dokumen, dan file secara permanen.

Spesialis keamanan siber Rik Ferguson, wakil presiden keamanan di Forescout, mengatakan insiden itu adalah kisah peringatan karena, meskipun tim TI perusahaan awalnya menemukan cara untuk menangkis mereka, para peretas masih dapat menemukan cara untuk menyerang mereka. kerusakan.

“Perubahan taktik para peretas tampaknya lahir dari frustrasi dendam,” katanya. “Mereka tidak bisa menghasilkan uang sehingga mereka menyerang, dan itu benar-benar mengkhianati fakta bahwa kita tidak berbicara tentang penjahat dunia maya ‘profesional’ di sini.”

IHG mengatakan sistem yang dihadapi pelanggan kembali normal tetapi layanan itu mungkin tetap terputus-putus.

Para peretas tidak menunjukkan penyesalan tentang gangguan yang mereka timbulkan terhadap perusahaan dan pelanggannya.

“Kami tidak merasa bersalah, sungguh. Kami lebih suka memiliki pekerjaan legal di Vietnam tetapi upahnya rata-rata $300 per bulan. Saya yakin peretasan kami tidak akan banyak merugikan perusahaan.”

Peretas mengatakan tidak ada data pelanggan yang dicuri tetapi mereka memiliki beberapa data perusahaan, termasuk catatan email.

TeaPea mengatakan mereka memperoleh akses ke jaringan TI internal IHG dengan menipu seorang karyawan agar mengunduh perangkat lunak berbahaya melalui lampiran email yang dijebak.

Mereka juga harus melewati pesan prompt keamanan tambahan yang dikirim ke perangkat pekerja sebagai bagian dari sistem otentikasi dua faktor.

Para penjahat kemudian mengatakan bahwa mereka mengakses bagian paling sensitif dari sistem komputer IHG setelah menemukan detail login untuk brankas kata sandi internal perusahaan.

“Nama pengguna dan kata sandi untuk lemari besi tersedia untuk semua karyawan, sehingga 200.000 staf dapat melihat. Dan kata sandinya sangat lemah,” kata mereka kepada BBC.

Anehnya, kata sandinya adalah Qwerty1234, yang secara teratur muncul di daftar kata sandi yang paling umum digunakan di seluruh dunia.

“Data sensitif seharusnya hanya tersedia untuk karyawan yang membutuhkan akses ke data itu untuk melakukan pekerjaan mereka, dan mereka harus memiliki tingkat akses minimum [yang diperlukan] untuk menggunakan data itu,” kata Ferguson, setelah melihat tangkapan layar.

“Bahkan kata sandi yang sangat rumit sama tidak amannya dengan kata sandi sederhana jika dibiarkan terbuka.”

Seorang juru bicara IHG membantah bahwa rincian brankas kata sandi tidak aman, mengatakan bahwa penyerang harus menghindari “keamanan berlapis”, tetapi tidak akan memberikan perincian tentang keamanan ekstra.

“IHG menggunakan strategi pertahanan mendalam untuk keamanan informasi yang memanfaatkan banyak solusi keamanan modern,” tambahnya.

Sumber: MSN