Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data / Data Breach

Data Breach

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

by

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

  • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
  • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
  • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Pelanggan T-Mobile yang Terkena Dampak Pelanggaran Data Pribadi

by

Kedua kalinya tahun ini, T-Mobile mengumumkan pelanggaran data besar karena pelanggan diminta untuk mulai memantau kredit mereka.

Aktor jahat telah mengakses informasi pelanggan, termasuk jaminan sosial dan nomor ID pemerintah. Perusahaan juga memberitahu pelanggan bahwa informasi akun keuangan dan catatan panggilan bukan bagian dari pelanggaran.

Disamping itu, T-Mobile memiliki sejumlah perlindungan untuk mencegah pelanggaran seperti ini terjadi. Pengamanan berfungsi seperti yang dirancang untuk memperingatkan perusahaan tentang seseorang yang mengakses informasi pelanggan pada Februari dan Maret 2023.

Sebelumnya pada bulan Januari, sebanyak 37 juta pelanggan T-Mobile terkena dampaknya, namun tidak ada jaminan sosial atau nomor ID pemerintah yang diambil.

T-Mobile mengatakan telah mengatur ulang nomor pin untuk pelanggan yang terpengaruh dan menyediakan pemantauan kredit selama dua tahun kepada pelanggan yang terkena pelanggaran.

Selengkapnya: 10News

Biro Perlindungan Keuangan Konsumen mengatakan mantan karyawan mengirim info rahasia tentang 256.000 orang ke email pribadi

by

Biro Perlindungan Keuangan Konsumen (CFPB) mengonfirmasi pelanggaran data pada hari Kamis yang melibatkan informasi pribadi “sekitar 256.000 akun konsumen di satu institusi”.

Seorang pejabat di CFPB memberi tahu Recorded Future News bahwa mereka menemukan bahwa seorang mantan karyawan mengirimkan catatan rahasia ke akun email pribadi mereka dalam 14 email berbeda.

Karyawan tersebut diberi wewenang untuk mengakses file tetapi dua spreadsheet yang dikirim ke alamat email pribadi mereka memiliki nama dan nomor rekening yang terkait dengan rekening di lembaga keuangan. Nomor tersebut digunakan secara internal oleh institusi, dan CFPB mengatakan nomor tersebut tidak dapat digunakan untuk mengakses akun pelanggan.

Mantan karyawan tersebut telah diperintahkan untuk menghapus email dan memberikan bukti bahwa email tersebut telah dihapus – tetapi pejabat menegaskan bahwa karyawan tersebut belum memenuhinya. CFPB mengatakan sekarang bekerja sama dengan Kantor Inspektur Jenderal dalam masalah ini.

The Wall Street Journal melaporkan bahwa agensi tersebut mengetahui tentang insiden tersebut pada 21 Februari dan mulai memberi tahu Kongres pada 21 Maret.

Sebagian besar informasi disimpan dalam dua spreadsheet, tetapi dokumen lain yang dikirim memiliki informasi pribadi dari pelanggan di tujuh lembaga keuangan yang berbeda.

“CFPB menangani privasi data dengan sangat serius, dan transfer data pribadi dan rahasia yang tidak sah ini sama sekali tidak dapat diterima,” kata seorang juru bicara kepada Recorded Future News.

“Semua karyawan CFPB dilatih dalam kewajiban mereka berdasarkan peraturan Biro dan hukum Federal untuk menjaga informasi rahasia atau pribadi. Kami telah merujuk masalah ini ke Kantor Inspektur Jenderal, dan kami mengambil tindakan yang tepat untuk mengatasi insiden ini.”

Selengkapnya: The Record

Keheningan tidak membawa Anda ke mana pun dalam pelanggaran data

by

Dalam cybersecurity, ungkapan “apa yang tidak mereka ketahui tidak akan merugikan mereka” tidak hanya salah, tetapi juga berbahaya. Meskipun demikian, ini adalah moto yang tetap ada di buku pedoman PR banyak organisasi, seperti yang ditunjukkan oleh pelanggaran data LastPass dan Fortra baru-baru ini.
LastPass telah menolak untuk menjawab salah satu pertanyaan TechCrunch+ sejak dikonfirmasi pada bulan Desember bahwa peretas telah mengeksfiltrasi brankas kata sandi terenkripsi pelanggan sebulan sebelumnya. Fortra tidak hanya menolak untuk menjawab pertanyaan kami tetapi juga menyembunyikan detail pelanggaran keamanan baru-baru ini — yang berpotensi memengaruhi lebih dari 130 pelanggan korporatnya — di balik paywall di situs webnya.
TechCrunch+ telah mengetahui bahwa LastPass telah kehilangan pelanggan karena pendekatan penanganan diam-diam terhadap pelanggarannya. Dan Fortra kemungkinan akan menghadapi nasib serupa setelah TechCrunch+ mendengar dari banyak pelanggan bahwa mereka baru mengetahui bahwa data mereka telah dicuri setelah menerima permintaan uang tebusan; Fortra telah meyakinkan mereka bahwa datanya aman.
Perusahaan yang lebih kecil juga menggunakan pendekatan perawatan diam-diam untuk data breach: Kamp pengkodean teknologi anak-anak iD Tech gagal mengakui pelanggaran Januari yang melihat peretas mengakses data pribadi hampir 1 juta pengguna, termasuk nama, tanggal lahir, kata sandi disimpan dalam teks biasa, dan sekitar 415.000 alamat email unik. Orang tua yang khawatir memberi tahu kami pada saat itu bahwa mereka baru menyadari pelanggaran tersebut setelah menerima pemberitahuan dari layanan pemberitahuan pelanggaran data pihak ketiga.
Serangan siber sekarang menjadi fakta dalam berbisnis: Hampir setengah dari organisasi AS mengalami serangan siber pada tahun 2022, dan penyerang semakin menargetkan bisnis yang lebih kecil karena fakta bahwa mereka dipandang sebagai target yang lebih mudah daripada perusahaan besar. Ini berarti bahwa startup Anda kemungkinan besar akan dikompromikan di beberapa titik.

selengkapnya : techcrunch.com

AT&T memberi tahu 9 juta pelanggan tentang pelanggaran data setelah peretasan vendor

by

AT&T memberi tahu sekitar 9 juta pelanggan bahwa beberapa informasi mereka terungkap setelah vendor pemasaran diretas pada bulan Januari.

“Informasi Jaringan Kepemilikan Pelanggan dari beberapa akun nirkabel terungkap, seperti jumlah saluran pada akun atau paket tarif nirkabel,” AT&T memberi tahu BleepingComputer.

“Informasi tersebut tidak mengandung informasi kartu kredit, Nomor Jaminan Sosial, kata sandi akun, atau informasi pribadi sensitif lainnya. Kami memberi tahu pelanggan yang terpengaruh.”

Sementara pemberitahuan pelanggaran data tidak membagikan jumlah pelanggan yang terkena dampak, AT&T memberi tahu BleepingComputer bahwa “sekitar 9 juta akun nirkabel telah mengakses Informasi Jaringan Kepemilikan Pelanggan mereka.”

Data CPNI yang terekspos mencakup nama depan pelanggan, nomor akun nirkabel, nomor telepon nirkabel, dan alamat email.

“Sebagian kecil pelanggan yang terkena dampak juga memiliki paparan nama paket tarif, jumlah yang lewat jatuh tempo, jumlah pembayaran bulanan, berbagai biaya bulanan dan/atau menit yang digunakan. Informasi tersebut sudah berumur beberapa tahun,” kata AT&T.

Perusahaan menambahkan bahwa sistemnya tidak dikompromikan dalam insiden keamanan vendor dan bahwa data yang terbuka sebagian besar terkait dengan kelayakan peningkatan perangkat.

“​Kami telah memberi tahu penegak hukum federal tentang akses tidak sah CPNI Anda seperti yang dipersyaratkan oleh Komisi Komunikasi Federal,” kata AT&T dalam surat pemberitahuan pelanggaran CPNI, pertama kali ditemukan oleh DataBreaches.net dan dikirim dari att@message.att-mail. com.

“Laporan kami kepada penegak hukum tidak berisi informasi spesifik tentang akun Anda, hanya akses tidak sah yang terjadi.”

Pelanggan disarankan untuk menonaktifkan pembagian data CPNI di akun mereka dengan membuat Permintaan Pembatasan CPNI untuk mengurangi risiko paparan di masa mendatang jika AT&T menggunakannya untuk tujuan pemasaran vendor pihak ketiga.

Selengkapnya: Bleeping Computer

Acer mengatakan server untuk teknisi perbaikan diakses oleh peretas

by

Pembuat komputer Taiwan Acer telah mengkonfirmasi bahwa mereka mengalami pelanggaran yang melibatkan kebocoran dokumen teknisi terkait dengan manual staf, dokumentasi model produk, dan lainnya.

Dalam sebuah pernyataan Selasa kepada The Record, perusahaan mengatakan “tidak ada indikasi bahwa data konsumen disimpan di server itu.”

“Kami baru-baru ini mendeteksi insiden akses tidak sah ke salah satu server dokumen kami untuk teknisi perbaikan,” kata perusahaan itu, mencatat bahwa penyelidikan sedang berlangsung.

Pernyataan tersebut muncul setelah seseorang menawarkan data 160GB untuk dijual di forum peretas yang mereka klaim berasal dari Acer.

Orang yang menjual database mengatakan memiliki “presentasi rahasia”, manual dan binari serta informasi tentang ponsel, tablet, dan laptop. Posting tersebut juga mengatakan kunci produk digital pengganti dan lainnya disertakan dalam database.

Acer telah menghadapi beberapa pelanggaran data dalam beberapa tahun terakhir, termasuk serangan ransomware yang menarik perhatian pada tahun 2021 yang melibatkan permintaan uang tebusan sebesar $50 juta dari grup kejahatan dunia maya REvil. Serangan itu menghantam jaringan back-office perusahaan.

Raksasa perangkat keras itu juga mengalami pelanggaran pada 2021 dan 2012 yang melibatkan detail pelanggan dan informasi masuk untuk pengecer dan distributor India serta 20.000 kredensial pengguna.

Acer adalah pembuat komputer pribadi terbesar keenam di dunia, dengan pangsa pasar sekitar 6% dari seluruh penjualan global. Perusahaan melaporkan total pendapatan sekitar $9 miliar pada tahun 2022.

sumber : therecord.media

‘Jumlah terbatas’ karyawan News Corp mengirim surat pemberitahuan pelanggaran setelah serangan siber bulan Januari

by

Karyawan News Corp dikirimi surat pemberitahuan pelanggaran minggu ini setelah pelanggaran Januari 2022 yang diyakini perusahaan dilakukan oleh pemerintah China.

Pada hari Rabu, News Corp menyerahkan dokumen ke Massachusetts yang mengonfirmasi pelanggaran tersebut. Seorang juru bicara News Corp tidak akan memberi tahu The Record berapa banyak orang yang dikirimi surat, tetapi setidaknya satu orang di Massachusetts dikirimi salinannya.

Juru bicara mengonfirmasi bahwa surat pemberitahuan pelanggaran dikirim sehubungan dengan insiden Januari 2022 tetapi mereka menambahkan bahwa itu memengaruhi “sejumlah kecil” karyawan, sesuatu yang mereka umumkan tahun lalu. Sebagian besar karyawan tidak menjadi sasaran, menurut juru bicara.

News Corp memiliki The Wall Street Journal, Dow Jones, New York Post, dan beberapa properti media lainnya.

News Corp melaporkan dalam pengajuan SEC bahwa penyelidikannya menunjukkan bahwa “keterlibatan pemerintah asing mungkin terkait dengan aktivitas ini, dan data itu telah diambil.”

Dalam surat yang pertama kali dilaporkan oleh Bleeping Computer dan bertanggal 22/2/2023, News Corp mengatakan mereka awalnya menemukan serangan siber pada 20 Januari 2022, ketika email bisnis dan sistem penyimpanan dokumen yang digunakan oleh beberapa bisnis News Corp diakses.

Informasi yang termasuk dalam pelanggaran berkisar dari nama dan tanggal lahir hingga nomor Jaminan Sosial, nomor SIM, nomor paspor, informasi rekening keuangan, informasi medis, dan informasi asuransi kesehatan.

Mereka menawarkan korban perlindungan identitas dan pemantauan kredit gratis selama dua tahun melalui Experian.

Setelah serangan diumumkan, Mandiant memberi tahu The Wall Street Journal bahwa mereka yakin serangan itu dilakukan oleh aktor ancaman yang beroperasi untuk kepentingan pemerintah China.

Ini adalah kedua kalinya peretas yang didukung negara China meretas Wall Street Journal setelah insiden lain pada 2013.

sumber : therecord

TELUS menyelidiki kebocoran kode sumber yang dicuri, data karyawan

by

Telekomunikasi terbesar kedua di Kanada, TELUS sedang menyelidiki potensi pelanggaran data setelah aktor ancaman membagikan sampel online dari apa yang tampaknya merupakan data karyawan. Pelaku ancaman kemudian memposting tangkapan layar yang tampaknya menunjukkan repositori kode sumber pribadi dan catatan penggajian yang dipegang oleh perusahaan.

TELUS sejauh ini belum menemukan bukti pencurian data pelanggan korporat atau retail dan terus memantau potensi kejadian tersebut.

“Karyawan TELUS [sic] dari pelanggaran yang sangat baru. Kami memiliki lebih dari 76 ribu email unik dan selain itu, kami memiliki informasi internal yang terkait dengan setiap karyawan yang diambil dari API Telus,” tulis postingan forum tersebut.

Sementara BleepingComputer belum dapat mengonfirmasi kebenaran klaim pelaku ancaman, set sampel kecil yang diposting oleh penjual memang memiliki nama dan alamat email yang valid sesuai dengan karyawan TELUS saat ini, terutama pengembang perangkat lunak dan staf teknis.

Pada hari Selasa, 21 Februari, pelaku ancaman yang sama telah membuat postingan forum lainnya—kali ini menawarkan untuk menjual repositori GitHub pribadi TELUS, kode sumber, serta catatan penggajian perusahaan.

“Dalam repositori terdapat backend, frontend, [informasi middleware,] kunci AWS, kunci autentikasi Google, Kode Sumber, Aplikasi Pengujian, Staging/Prod/testing, dan banyak lagi!” menyatakan posting terbaru penjual.

Penjual selanjutnya membanggakan bahwa kode sumber yang dicuri berisi “sim-swap-api” perusahaan yang konon akan memungkinkan musuh untuk melakukan serangan pertukaran SIM.

Meskipun pelaku ancaman telah menyebut ini sebagai “pelanggaran PENUH” dan berjanji untuk menjual “segala sesuatu yang terkait dengan Telus”, masih terlalu dini untuk menyimpulkan bahwa insiden memang terjadi di TELUS atau mengesampingkan pelanggaran vendor pihak ketiga.

“Kami sedang menyelidiki klaim bahwa sejumlah kecil data yang terkait dengan kode sumber internal TELUS dan informasi anggota tim TELUS terpilih telah muncul di web gelap,” kata juru bicara TELUS kepada BleepingComputer.

“Kami dapat mengonfirmasi bahwa hingga saat ini penyelidikan kami, yang kami luncurkan segera setelah kami mengetahui insiden tersebut, belum mengidentifikasi data pelanggan korporat atau ritel apa pun.

Selengkapnya: Bleeping Computer