Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Data Breach

Data Breach

Lebih dari 3.200 aplikasi membocorkan kunci API Twitter, beberapa memungkinkan pembajakan akun

by

Peneliti keamanan siber telah menemukan 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke publik, yang berpotensi memungkinkan aktor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.

Penemuan itu milik perusahaan keamanan siber CloudSEK, yang meneliti kumpulan aplikasi besar untuk kemungkinan kebocoran data dan menemukan 3.207 aplikasi membocorkan Kunci Konsumen dan Rahasia Konsumen yang valid untuk API Twitter.

Saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.

Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler tempat pelaku ancaman dapat menemukannya.

Salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware , penipuan cryptocurrency, dll.

Perincian aplikasi yang rentan (CloudSEK)

CloudSEK menjelaskan bahwa kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis.

Dalam kasus ini, kredensial disimpan dalam aplikasi seluler di lokasi berikut:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

CloudSEK merekomendasikan pengembang menggunakan rotasi kunci API untuk melindungi kunci autentikasi, yang akan membatalkan kunci yang terbuka setelah beberapa bulan.

CloudSEK membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.

Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.

Satu pengecualian penting adalah Ford Motors, yang merespons dan menerapkan perbaikan pada aplikasi ‘Ford Events’ yang juga membocorkan kunci API Twitter.

Sumber: Bleeping Computer

Layanan Proxy 911 Meledak Setelah Mengungkapkan Pelanggaran

by

911[.]re, layanan proxy yang sejak 2015 telah menjual akses ke ratusan ribu komputer Microsoft Windows setiap hari, mengumumkan minggu ini bahwa ia akan ditutup setelah pelanggaran data yang menghancurkan komponen utama dari operasi bisnisnya. Penutupan tiba-tiba terjadi sepuluh hari setelah KrebsOnSecurity menerbitkan pandangan mendalam tentang 911 dan koneksinya ke program afiliasi bayar-per-instal yang diam-diam menggabungkan perangkat lunak proxy 911 dengan judul lain, termasuk utilitas “gratis” dan perangkat lunak bajakan.

911[.]re is adalah salah satu jaringan “proksi perumahan” asli, yang memungkinkan seseorang untuk menyewa alamat IP perumahan untuk digunakan sebagai relai untuk komunikasi Internetnya, memberikan anonimitas dan keuntungan dianggap sebagai pengguna perumahan berselancar di web.

Layanan proxy perumahan sering dipasarkan kepada orang-orang yang mencari kemampuan untuk menghindari pemblokiran khusus negara oleh penyedia streaming film dan media utama. Tetapi beberapa dari mereka — seperti 911 — membangun jaringan mereka sebagian dengan menawarkan layanan “VPN gratis” atau “proksi gratis” yang didukung oleh perangkat lunak yang mengubah PC pengguna menjadi relai lalu lintas bagi pengguna lain. Dalam skenario ini, pengguna memang bisa menggunakan layanan VPN gratis, tetapi mereka sering tidak menyadari bahwa hal itu akan mengubah komputer mereka menjadi proxy yang memungkinkan orang lain menggunakan alamat Internet mereka untuk bertransaksi online.

Dari perspektif situs web, lalu lintas IP pengguna jaringan proxy perumahan tampaknya berasal dari alamat IP perumahan yang disewa, bukan dari pelanggan layanan proxy. Layanan ini dapat digunakan dengan cara yang sah untuk beberapa tujuan bisnis — seperti perbandingan harga atau intelijen penjualan — tetapi layanan ini disalahgunakan secara besar-besaran untuk menyembunyikan aktivitas kejahatan dunia maya karena dapat mempersulit pelacakan lalu lintas berbahaya ke sumber aslinya.

Sebagaimana dicatat dalam cerita KrebsOnSecurity 19 Juli di 911, layanan proxy mengoperasikan beberapa skema bayar-per-instal yang membayar afiliasi untuk secara diam-diam menggabungkan perangkat lunak proxy dengan perangkat lunak lain, terus menghasilkan aliran proxy baru yang stabil untuk layanan tersebut.

Dalam beberapa jam setelah cerita itu, 911 memposting pemberitahuan di bagian atas situsnya, mengatakan, “Kami sedang meninjau jaringan kami dan menambahkan serangkaian langkah-langkah keamanan untuk mencegah penyalahgunaan layanan kami. Top-up saldo proxy dan pendaftaran pengguna baru ditutup. Kami meninjau setiap pengguna yang ada, untuk memastikan penggunaannya sah dan [sesuai] dengan Persyaratan Layanan kami.”

Pada pengumuman ini, semua terjadi di berbagai forum kejahatan dunia maya, di mana banyak pelanggan 911 lama melaporkan bahwa mereka tidak dapat menggunakan layanan tersebut. Orang lain yang terkena dampak pemadaman mengatakan tampaknya 911 mencoba menerapkan semacam aturan “kenali pelanggan Anda” – bahwa mungkin 911 hanya mencoba menyingkirkan pelanggan yang menggunakan layanan tersebut untuk aktivitas kejahatan dunia maya dalam jumlah besar.

Kemudian pada tanggal 28 Juli, situs web 911 mulai mengalihkan ke pemberitahuan yang mengatakan, “Dengan menyesal kami memberi tahu Anda bahwa kami secara permanen menutup 911 dan semua layanannya pada tanggal 28 Juli.”

Menurut 911, layanan tersebut diretas pada awal Juli, dan ditemukan bahwa seseorang memanipulasi saldo sejumlah besar akun pengguna. 911 mengatakan penyusup menyalahgunakan antarmuka pemrograman aplikasi (API) yang menangani pengisian akun ketika pengguna melakukan setoran keuangan dengan layanan tersebut.

“Tidak yakin bagaimana peretas bisa masuk,” bunyi pesan 911. “Oleh karena itu, kami segera mematikan sistem isi ulang, pendaftaran pengguna baru, dan penyelidikan dimulai.”

Namun penyusup masuk, kata 911, mereka juga berhasil menimpa server, data, dan cadangan data tersebut.

“Pada 28 Juli, sejumlah besar pengguna melaporkan bahwa mereka tidak dapat masuk ke sistem,” lanjut pernyataan itu. “Kami menemukan bahwa data di server dirusak oleh peretas, mengakibatkan hilangnya data dan cadangan. Ini [sic] mengkonfirmasi bahwa sistem isi ulang juga diretas dengan cara yang sama. Kami terpaksa membuat keputusan sulit ini karena hilangnya data penting yang membuat layanan tidak dapat dipulihkan.”

Dioperasikan sebagian besar di luar China, 911 adalah layanan yang sangat populer di banyak forum kejahatan dunia maya, dan ini menjadi sesuatu yang mirip dengan infrastruktur penting bagi komunitas ini setelah dua dari pesaing lama 911 — layanan proxy berbasis malware VIP72 dan LuxSocks — menutup pintu mereka di masa lalu tahun.

Sekarang, banyak di forum kejahatan yang mengandalkan 911 untuk operasi mereka bertanya-tanya apakah ada alternatif yang sesuai dengan skala dan utilitas yang ditawarkan 911. Konsensus tampaknya menjadi “tidak.”

Saya kira kita akan segera belajar lebih banyak tentang insiden keamanan yang menyebabkan 911 meledak. Dan mungkin layanan proxy lain akan bermunculan untuk memenuhi apa yang tampaknya menjadi permintaan yang berkembang untuk layanan tersebut saat ini, dengan pasokan yang relatif sedikit.

Sementara itu, ketidakhadiran 911 mungkin bertepatan dengan penangguhan hukuman terukur (jika hanya berumur pendek) dalam lalu lintas yang tidak diinginkan ke tujuan Internet teratas, termasuk bank, retailer platform tailers dan cryptocurrency, karena banyak mantan pelanggan layanan proxy berebut untuk membuat pengaturan alternatif.

Riley Kilmer, salah satu pendiri layanan pelacakan proxy Spur.us, mengatakan jaringan 911 akan sulit untuk ditiru dalam jangka pendek.

“Spekulasi saya adalah [pesaing 911 yang tersisa] akan mendapatkan dorongan besar dalam jangka pendek, tetapi pemain baru pada akhirnya akan datang,” kata Kilmer. “Tidak satu pun dari itu adalah pengganti yang baik untuk LuxSocks atau 911. Namun, mereka semua akan mengizinkan siapa pun untuk menggunakannya. Untuk tingkat penipuan, upaya akan terus berlanjut tetapi melalui layanan penggantian ini yang seharusnya lebih mudah dipantau dan dihentikan. 911 memiliki beberapa alamat IP yang sangat bersih.”

911 bukan satu-satunya penyedia proxy besar yang mengungkapkan pelanggaran minggu ini terkait dengan API yang tidak diautentikasi: Pada 28 Juli, KrebsOnSecurity melaporkan bahwa API internal yang diekspos ke web telah membocorkan database pelanggan untuk Microleaves, layanan proxy yang merotasi alamat IP pelanggannya setiap lima sampai sepuluh menit. Penyelidikan itu menunjukkan Microleaves — seperti 911 — memiliki sejarah panjang dalam menggunakan skema bayar-per-instal untuk menyebarkan perangkat lunak proxy-nya.

Sumber: Kresbon Security

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Pelanggaran data mangatoon mengekspos data dari 23 juta akun

by

Platform membaca komik Mangatoon telah mengalami pelanggaran data yang mengekspos informasi milik 23 juta akun pengguna setelah seorang peretas mencurinya dari basis data Elasticsearch yang tidak aman.

Mangatoon juga merupakan aplikasi iOS dan Android yang sangat populer digunakan oleh jutaan pengguna untuk membaca komik Manga online.

Minggu ini, layanan pemberitahuan pelanggaran data Have I Been Pwned (HIBP) menambahkan 23 juta akun Mangatoon ke platform mereka.

“Mangatoon memiliki 23 juta akun yang dibobol pada bulan Mei. Pelanggaran itu mengekspos nama, alamat email, jenis kelamin, identitas akun media sosial, token auth dari login sosial dan hash kata sandi MD5 asin,” tweet akun HIBP.

Penambahan database Mangatoon dilakukan setelah pemilik HIBP, Troy Hunt, mencoba menghubungi perusahaan tentang pelanggaran data tanpa hasil.

Pengguna Mangatoon sekarang dapat mencari alamat email mereka di HIBP dan memeriksa apakah akun mereka merupakan bagian dari pelanggaran.

Pelanggaran data dilakukan oleh seorang hacker terkenal bernama “pompompurin,” yang mengatakan mereka mencuri database dari server Elasticsearch yang menggunakan kredensial lemah.

Folder yang berisi database Mangatoon yang dicuri
Sumber: pompompurin

pompompurin membagikan sampel database dengan BleepingComputer, yang kami konfirmasikan sebagai akun yang valid di platform Mangatoon.

Ketika ditanya apakah mereka akan merilis atau menjual database secara publik, mereka mengatakan bahwa mereka mungkin akan membocorkannya di beberapa titik.

pompompurin telah terlibat dalam pelanggaran profil tinggi lainnya, termasuk mengirim email serangan siber palsu melalui Portal Perusahaan Penegakan Hukum FBI (LEEP) dan mencuri data pelanggan dari Robinhood.

Setelah forum hacking RaidForums disita oleh penegak hukum, pompompurin meluncurkan forum serupa yang disebut Breached.

Sumber: Bleeping Computer

Security advisory secara tidak sengaja mengekspos sistem yang rentan

by

Security advisory untuk kerentanan (CVE) yang diterbitkan oleh MITRE secara tidak sengaja telah mengekspos tautan ke konsol admin jarak jauh dari lebih dari selusin perangkat IP yang rentan setidaknya sejak April 2022.

Penasihat CVE yang diterbitkan oleh MITRE mendapatkan sindikasi kata demi kata di sejumlah besar sumber publik, umpan, situs berita infosec, dan vendor yang menyediakan data tersebut kepada pelanggan mereka.

Bagian “referensi” dari nasihat ini biasanya mencantumkan tautan ke sumber asli (tulisan, posting blog, demo PoC) yang menjelaskan kerentanan. Namun, menyertakan tautan ke sistem yang belum ditambal secara publik berpotensi memungkinkan pelaku ancaman untuk sekarang menargetkan sistem ini dan melakukan aktivitas jahat mereka.

Penasihat kerentanan yang diterbitkan oleh MITRE untuk kerentanan pengungkapan informasi dengan tingkat keparahan tinggi pada bulan April secara ironis mengungkapkan tautan ke lebih dari selusin perangkat IoT langsung yang rentan terhadap kelemahan tersebut.

Bukan hal yang aneh jika penasihat keamanan menyertakan bagian “referensi” dengan beberapa tautan yang memvalidasi keberadaan kerentanan. Namun, tautan semacam itu biasanya mengarah pada demonstrasi atau penulisan bukti konsep (PoC) yang menjelaskan kerentanan daripada sistem yang rentan itu sendiri.

Setelah kerentanan dipublikasikan, penyerang menggunakan mesin pencari IoT publik seperti Shodan atau Censys untuk memburu dan menargetkan perangkat yang rentan.

Semua ini membuat kasus yang sangat luar biasa untuk buletin keamanan publik untuk mencantumkan bukan hanya satu tetapi lokasi dari beberapa perangkat rentan yang masih terhubung ke internet.

Karena sejumlah besar sumber bergantung pada MITER dan NVD/NIST untuk menerima umpan kerentanan, penasihat CVE (dihapus di bawah) telah disindikasikan oleh beberapa vendor, sumber publik, dan layanan yang menyediakan data CVE, seperti yang diamati oleh BleepingComputer.

Penasihat MITRE CVE mencantumkan lebih dari selusin tautan ke kamera IP yang rentan (BleepingComputer)

Mengklik salah satu tautan “referensi” di atas akan mengarahkan pengguna ke dasbor administrasi jarak jauh dari kamera IP atau perangkat video (rentan), yang berpotensi memungkinkan mereka untuk melihat umpan kamera langsung atau mengeksploitasi kerentanan.

Will Dormann, seorang analis kerentanan di Pusat Koordinasi CERT (CERT/CC) menyebut ini “hal yang tidak normal dan sangat BURUK” untuk dilakukan. Dan, peneliti keamanan Jonathan Leitschuh mengatakan hal yang sama dalam sebuah pernyataan kepada BleepingComputer.

Memang benar, penasehat CVE itu sendiri diterbitkan oleh MITRE, organisasi induk dari proyek CVE yang sering kali menjadi titik kontak pertama bagi pengguna yang melaporkan kerentanan keamanan dalam sistem pihak ketiga dan meminta pengidentifikasi CVE.

Namun, BleepingComputer menemukan bahwa sumber asli dari kesalahan tersebut adalah catatan keamanan yang diterbitkan oleh satu atau lebih peneliti keamanan China di GitHub sementara entri CVE MITRE untuk kerentanan telah “dipesan” dan menunggu produksi.

Dalam versi saran GitHub inilah beberapa tautan ke perangkat yang rentan terdaftar sebagai “contoh”. Dan informasi ini tampaknya telah disalin-tempel di entri CVE MITRE yang kemudian disindikasikan di beberapa situs:

Original security advisory di publis ke GitHub tetapi sekarang sudah dihapus (BleepingComputer)

Ironisnya, nasihat asli yang diterbitkan ke GitHub telah lama dihapus.

Perhatikan, dalam beberapa jam setelah email kami ke MITRE, saran CVE diperbarui dengan cepat untuk menghapus semua tautan “referensi” yang menunjuk ke perangkat IoT yang rentan, baik dari repo CVEProject GitHub MITRE dan database. Tetapi pembaruan ini mungkin tidak menghapus informasi ini dari sumber pihak ketiga yang telah mengambil dan menerbitkan salinan entri sebelumnya.

Sumber: Bleeping Computer

Marriott terkena data breach baru dan upaya pemerasan yang gagal

by

Raksasa hotel Marriott International mengonfirmasi bahwa mereka terkena pelanggaran data lain setelah aktor ancaman yang tidak dikenal melanggar salah satu propertinya dan mencuri 20GB file.

Para penyerang hanya dapat menembus salah satu properti rantai, BWI Airport Marriott, dan hanya memiliki akses ke jaringannya untuk waktu yang terbatas.

Meskipun perusahaan tidak membagikan informasi apa pun tentang data yang dicuri dengan BleepingComputer, ia mengatakan kepada DataBreaches (yang pertama kali melaporkan insiden tersebut) bahwa dokumen senilai 20GB yang dicuri selama pelanggaran berisi file bisnis internal yang tidak sensitif dan beberapa informasi kartu kredit.

Namun, pihak Marriott belum mau membeberkan apakah pelaku pembobolan informasi milik tamu hotel, karyawannya, atau keduanya.

Para penyerang juga berusaha memeras Marriot di bawah ancaman membocorkan file yang dicuri secara online. Namun, grup hotel mengatakan kepada BleepingComputer bahwa mereka “tidak melakukan pembayaran atau memberikan apa pun kepada pelaku ancaman.”

Marriott mengatakan bahwa mereka memberi tahu FBI dan menyewa perusahaan keamanan pihak ketiga untuk menyelidiki insiden tersebut.

Raksasa hotel menambahkan bahwa mereka akan memberi tahu regulator data yang relevan dan sekitar 300-400 orang yang terkena dampak pelanggaran data ini.

Ini adalah pelanggaran data ketiga yang dikonfirmasi Marriott sejak 2018 setelah mengungkap informasi pribadi 5,2 juta tamu hotel (termasuk kontak dan detail pribadi) dalam pelanggaran data yang diungkapkan pada 2020.

Perusahaan juga mengumumkan pada November 2018 bahwa database reservasi tamu Starwood Hotels yang berisi info tentang ratusan juta tamu telah diretas.

Marriott menemukan insiden tersebut dua tahun setelah akuisisi Starwood dan mengatakan informasi yang dicuri dalam insiden tersebut termasuk nama tamu, info pribadi, alamat, nomor paspor tak terenkripsi, dan informasi pembayaran terenkripsi AES-128.

Seperti yang ditambahkan Marriott pada saat itu, tanda-tanda akses tidak sah terdeteksi sejak tahun 2014, mengorbankan informasi pribadi sekitar 339 juta catatan tamu secara global.

Kantor Komisaris Informasi Inggris (ICO) mendenda Marriott International £14,4 juta (sekitar $24 juta) karena melanggar Peraturan Perlindungan Data Umum (GDPR).

Sumber: Bleeping Computer

Peretas mengklaim telah mencuri data 1 miliar warga Tiongkok

by

Seorang aktor ancaman anonim menjual beberapa database yang mereka klaim berisi lebih dari 22 terabyte informasi curian pada sekitar 1 miliar warga China untuk 10 bitcoin (sekitar $195.000).

Pengumuman tersebut diposting di forum peretas oleh seseorang yang menggunakan nama ‘ChinaDan’, yang mengatakan bahwa informasi tersebut bocor dari database Kepolisian Nasional Shanghai (SHGA).

Berdasarkan informasi yang mereka bagikan mengenai data yang diduga dicuri, database berisi nama warga negara China, alamat, nomor ID nasional, nomor info kontak, dan beberapa miliar catatan kriminal.

ChinaDan juga membagikan sampel dengan 750.000 catatan yang berisi info pengiriman, informasi ID, dan catatan panggilan polisi. Catatan ini akan memungkinkan pembeli yang tertarik untuk memverifikasi bahwa data yang dijual tidak palsu.

“Pada tahun 2022, database Shanghai National Police (SHGA) bocor. Database ini berisi banyak TB data dan informasi tentang Miliaran warga China,” kata aktor ancaman itu dalam postingannya pekan lalu.

“Basis data berisi informasi tentang 1 Miliar penduduk nasional Tiongkok dan beberapa miliar catatan kasus, termasuk: Nama, Alamat, Tempat Lahir, Nomor ID Nasional, Nomor Ponsel, Semua Rincian Kejahatan / Kasus.”

Pelaku ancaman mengonfirmasi bahwa data dieksfiltrasi dari cloud pribadi lokal yang disediakan oleh Aliyun (Alibaba Cloud), bagian dari jaringan polisi China (alias jaringan keamanan publik).

Gambar: BleepingComputer

Pada hari Minggu, CEO Binance Zhao Changpeng mengkonfirmasi bahwa pakar intelijen ancaman perusahaannya melihat klaim ChinaDan dan mengatakan bahwa kebocoran itu kemungkinan disebabkan oleh database ElasticSearch yang secara tidak sengaja diekspos oleh agen pemerintah China secara online.

Jika klaim ChinaDan terbukti akurat, ini akan menjadi pelanggaran data paling signifikan yang pernah berdampak pada China dan salah satu yang terbesar dalam sejarah.

Sumber: Bleeping Computer

Bagaimana Startup Rental yang Belum Pernah Saya Dengar Membocorkan Alamat Rumah Saya?

by

Saya menganggap diri saya orang yang cukup sadar privasi, berusaha keras untuk menghindari pelacakan online dan, sebagian besar, menghindari email spam. Tetapi ketika saya mendapati diri saya menatap alamat rumah saya di situs web perusahaan yang belum pernah saya dengar, saya tahu di suatu tempat saya salah.

Beberapa hari sebelum sewa kami jatuh tempo pada akhir April, pasangan saya menerima email dari pemilik gedung apartemen kami tentang cara baru kami dapat membayar sewa sambil mengumpulkan poin hadiah, seperti program loyalitas. Itu adalah tawaran yang bagus pada saat harga sewa mencapai rekor tertinggi, jadi dia mengklik dan memuat situs web perusahaan hadiah sewa Bilt Rewards dan dengan jelas menampilkan nama lengkapnya dan nomor apartemen kami.

Sudah ini cukup mengkhawatirkan. Gedung apartemen kami telah memberikan informasinya kepada Bilt dan kami sekarang melihatnya di situs webnya. Saya tidak pernah mendapatkan email yang diterima pasangan saya. Tapi saya penasaran, apakah Bilt punya informasi saya juga?

Setiap kali dia mengklik tautan di email, itu membuka halaman web Bilt pribadi yang sama yang menunjukkan nama dan nomor apartemennya karena halaman web itu mengambil informasinya langsung dari server Bilt melalui API. (API memungkinkan dua hal untuk berbicara satu sama lain melalui internet, dalam hal ini server Bilt menyimpan informasi kami dan situs webnya.) Anda dapat melihat ini menggunakan alat pengembang browser, tidak perlu trik mewah. Menggunakan alat browser, Anda juga dapat melihat bahwa situs web juga menarik nama gedung apartemen tempat kami tinggal, meskipun tidak ditampilkan di situs web Bilt.

Paling-paling ini adalah upaya kotor untuk mempersonalisasi halaman pendaftaran, dan paling buruk itu adalah pelanggaran alamat rumah kami. Tetapi juga memungkinkan untuk mengambil informasi yang sama langsung dari server Bilt hanya dengan menggunakan alamat emailnya — tidak diperlukan tautan email khusus — yang, seperti kebanyakan dari kita yang alamat emailnya bersifat publik, sayangnya tidak memerlukan banyak tebakan.

Saya memasukkan alamat email saya dan situs tersebut mengembalikan nama saya, nama gedung dan nomor apartemen, semuanya sama dengan informasi pasangan saya. Bagaimana mungkin sebuah startup yang belum pernah saya dengar sampai saat ini mendapatkan dan membocorkan alamat rumah saya?

Saya salah satu dari sekitar 50 juta penyewa di Amerika Serikat. Saya tinggal di luar New York City dengan pasangan saya dan dua kucing kami di sebuah gedung apartemen milik Equity Residential, salah satu tuan tanah perusahaan terbesar di AS dengan lebih dari 80.000 apartemen sewaan di bawah manajemennya. Bahkan kemudian, Ekuitas adalah salah satu dari sekitar 20 pemilik perusahaan termasuk Blackstone, AvalonBay dan Starwood yang mencakup lebih dari dua juta rumah, atau sekitar 4% dari semua perumahan sewa AS.

Masuki Bilt, salah satu dari banyak startup yang muncul berkat ledakan baru-baru ini di bidang teknologi properti, atau proptech, seperti yang dikenal luas. Bilt didirikan oleh pengusaha Ankur Jain pada Juni 2021 dan memungkinkan penyewa mendapatkan hadiah setiap kali mereka melakukan pembayaran sewa. Melalui kemitraan dengan sebagian besar pemilik perusahaan terbesar, Bilt sekarang menawarkan program hadiah sewa ke lebih dari dua juta rumah sewa di seluruh AS, termasuk rumah seperti milik saya yang dimiliki oleh Equity.

Saya mulai dengan menganggap ini sebagai cerita pelanggaran data lain yang pernah saya bahas di masa lalu dan ingin tahu siapa lagi yang terpengaruh.

Panggilan pertama saya adalah ke tetangga di gedung yang sama, yang ketika diberitahu tentang bagaimana situs web Bilt membocorkan alamat saya, setuju untuk memeriksa apakah dia juga terpengaruh. Saya mengeluarkan laptop saya dan kami memasukkan alamat emailnya ke API Bilt, yang segera mengembalikan namanya, nama gedung dan nomor apartemennya; wajahnya berubah dari gentar menjadi ngeri, seperti yang telah saya lakukan pada hari sebelumnya.

Panggilan kedua saya adalah ke Ken Munro, pendiri firma pengujian keamanan siber Inggris Pen Test Partners, nama yang mungkin Anda ketahui dari pertemuan sebelumnya dengan layanan online yang bocor, seperti sepeda Peloton, aplikasi ponsel cerdas, dan mainan seks sesekali. Tanpa sepengetahuan saya, salah satu rekannya di Amerika Serikat memiliki apartemen di gedung saya dan mengkonfirmasi kepada saya bahwa rincian alamat rumahnya juga diekspos oleh API.

Sekarang kami berada di empat orang yang informasinya diekspos oleh situs web Bilt yang bocor hanya dengan mengetahui alamat email mereka.

Saya menghubungi Bilt, yang tanggapannya tidak bagus.

“API yang Anda kirim di bawah ini berfungsi sebagaimana mestinya,” jawab Jain, sekarang CEO Bilt. (Jain menyatakan emailnya “tidak direkam”, yang mengharuskan kedua belah pihak menyetujui persyaratan sebelumnya. Saya memberi tahu Jain bahwa kami akan menerbitkan tanggapannya karena tidak ada kesempatan untuk menolak.)

“Satu-satunya pengecualian untuk ini adalah beberapa bangunan yang dioperasikan oleh Equity Residential, di mana mereka belum mengintegrasikan Bilt ke portal penduduk asli mereka,” kata Jain. “Tetapi mengingat jumlah bangunan yang sedikit, Equity membuat keputusan berisiko untuk mengirim undangan email dan halaman arahan menggunakan pendekatan yang lebih manual dalam jangka pendek. Untuk bangunan percontohan kecil ini, halaman arahan yang dihasilkan menggunakan API ini hanya memerlukan email,” katanya.

Jain mengatakan bahwa informasi dikembalikan oleh API “tersedia secara luas dan mudah melalui pencarian catatan publik mana pun,” dan bahwa “tidak ada informasi pribadi yang diungkapkan melalui API ini yang tidak tersedia di seluruh catatan publik ini.” (Jain dan saya harus setuju untuk tidak setuju karena sampai saat ini saya telah menyimpan alamat rumah saya sebagian besar dari internet — dan bagaimanapun juga, hanya karena informasi pribadi seseorang dipublikasikan di satu tempat bukanlah pembenaran untuk membuatnya publik di tempat lain.)

Ketika dihubungi untuk memberikan komentar, juru bicara Equity Marty McKenna mengatakan: “Kami menggunakan proses ini di sejumlah bangunan terbatas sementara kami menyelesaikan integrasi kami dengan Bilt. Kami tidak setuju bahwa ini adalah masalah keamanan,” kata McKenna.

McKenna berulang kali menolak untuk mengatakan berapa banyak bangunan Ekuitas yang memiliki penghuni yang informasinya terungkap. Tapi informasi saya sendiri yang bocor meninggalkan petunjuk yang menunjukkan jumlahnya bisa jadi setidaknya 21 bangunan Ekuitas, berjumlah ribuan penyewa. Saat ditanya soal jumlah bangunan, McKenna tak mempermasalahkan angka tersebut.

Bilt akhirnya memasang API bocornya pada 26 Mei, hampir sebulan setelah saya pertama kali melakukan kontak.

Tetapi masih belum jelas bagaimana Bilt mendapatkan informasi saya untuk memulai, tanpa menyebutkan pengumpulan data atau berbagi dalam perjanjian sewa yang saya tandatangani.

McKenna memecahkan misteri itu, memberi tahu saya: “Equity Residential berbagi informasi dengan penyedia layanan untuk memungkinkan layanan diberikan kepada penghuni kami. Kewenangan kami untuk melakukannya terletak pada Ketentuan Penggunaan dan Kebijakan Privasi kami yang tersedia di situs web kami.”

Jawaban singkatnya adalah ya, kebijakan privasi di situs web yang tidak terpikirkan oleh siapa pun — atau saya pikir — untuk dibaca. Dari saat Anda memasuki gedung Equity, kebijakan privasinya memungkinkan berbagai pengumpulan data, termasuk pengumpulan offline, seperti data yang dikumpulkan tentang Anda saat Anda menandatangani perjanjian untuk menyewa apartemen. Dan sebagian besar data tersebut dapat dibagikan dengan perusahaan pihak ketiga karena berbagai alasan, seperti menawarkan layanan atas nama Ekuitas. Perusahaan seperti Bilt, menurut kebijakan tersebut, “mungkin memiliki akses [ke informasi pengenal pribadi] untuk memberikan layanan ini kepada kami atau atas nama kami.”

Dan itu tidak unik untuk Ekuitas. Banyak pemilik perusahaan lain menggunakan bahasa yang sama dalam kebijakan privasi mereka yang memberi mereka kebebasan yang luas untuk mengumpulkan, menggunakan, dan membagikan atau menjual informasi pribadi Anda.

AvalonBay, yang memiliki 79.000 apartemen di seluruh pantai timur AS, menggunakan bahasa kata demi kata yang sama dalam kebijakan privasinya tentang memberikan informasi pribadi tentang penyewanya kepada pihak ketiga yang bekerja sama dengannya. Itu dapat mencakup layanan binatu, penyedia parkir mobil, atau — seperti Bilt — pemroses pembayaran sewa. Dan jumlah pihak ketiga yang memiliki akses ke informasi pribadi Anda dapat bertambah dengan cepat.

Erin McElroy, asisten profesor di Departemen Studi Amerika di University of Texas di Austin, yang penelitiannya mencakup proptech dan perumahan, mengatakan kepada TechCrunch bahwa perumahan diperlakukan lebih sebagai komoditas daripada hak atau barang sosial. Dengan penyewa yang semakin dibingkai sebagai konsumen, banyak dari apa yang mungkin dialami seseorang saat menggunakan produk atau layanan tertentu sekarang juga dialami sebagai penyewa. “Itu strategis dan bagian tak terpisahkan dengan korporatisasi dan finansialisasi perumahan, yang tentu saja penyewa tidak menganggap diri mereka sebagai konsumen dan membaca semua cetakan kecil dalam perjanjian sewa mereka, membayangkan hal seperti ini mungkin terjadi,” kata McElroy.

Beberapa kebijakan privasi melangkah lebih jauh. GID, yang memiliki lebih dari 86.000 unit hunian, memiliki kebijakan privasi yang secara eksplisit mengizinkannya untuk menjual sejumlah besar informasi pribadi penyewanya kepada afiliasinya, perusahaan manajemen lain, dan pialang data yang selanjutnya mengumpulkan, menggabungkan, dan menjual informasi Anda kepada orang lain.

“Sangat umum untuk memiliki kebijakan privasi yang mengatur penggunaan data,” Lisa Sotto, pengacara privasi dan mitra di Hunton Andrews Kurth, mengatakan kepada TechCrunch melalui panggilan telepon. Sotto mengatakan bahwa kebijakan privasi bukanlah kata-kata kosong: “Mereka diatur oleh Komisi Perdagangan Federal, dan FTC melarang praktik perdagangan yang tidak adil atau menipu.”

FTC dapat, dan terkadang memang, mengambil tindakan terhadap perusahaan yang menyalahgunakan data atau memiliki praktik keamanan data yang buruk, seperti perusahaan data hipotek yang mengekspos informasi pribadi yang sensitif, upaya untuk menutupi pelanggaran data, dan perusahaan teknologi karena melanggar janji privasi mereka. Seperti yang ditulis oleh pengacara di firma hukum Orrick: “Fakta bahwa Anda dapat menjual data penyewa Anda tidak berarti Anda harus menjual data itu.”

Tetapi tidak ada aturan yang secara khusus melindungi pembagian informasi pribadi penyewa.

Sebaliknya, terserah masing-masing negara bagian untuk membuat undang-undang. Hanya segelintir negara bagian AS – California, Connecticut, Colorado, Utah, dan Virginia – yang telah mengesahkan undang-undang privasi yang melindungi konsumen di negara bagian tersebut, kata Sotto. Dan hanya hukum California yang saat ini berlaku pada saat penulisan.

California menjadi negara bagian AS pertama untuk memberlakukan hak privasi individu — mirip dengan yang ditawarkan kepada semua orang Eropa di bawah GDPR. Undang-Undang Privasi Konsumen California, atau CCPA seperti yang diketahui, mulai berlaku pada Januari 2020 dan memberikan hak kepada warga California untuk mengakses, mengubah, dan menghapus data yang dikumpulkan oleh perusahaan dan organisasi. CCPA menjadi duri besar di pihak perusahaan yang haus data karena undang-undang memaksa mereka untuk mengukir pengecualian luas dalam kebijakan privasi mereka untuk memungkinkan orang California hak untuk memilih keluar dari penjualan data mereka ke pihak ketiga. Itu juga sering mengharuskan perusahaan untuk menawarkan kebijakan privasi yang sepenuhnya terpisah untuk penduduk California, seperti yang telah dilakukan GDPR bertahun-tahun sebelumnya.

CCPA, seperti GDPR, tidak sempurna untuk sedikitnya. Tetapi sebagai undang-undang privasi seluruh negara bagian AS yang pertama, undang-undang itu menetapkan standar bagi negara bagian lain untuk mengikuti dan, idealnya, meningkat seiring waktu.

Virginia adalah negara bagian berikutnya dengan undang-undang yang mulai berlaku pada Januari 2023. Tetapi para kritikus menyebut RUU itu “lemah,” di samping laporan bahwa teks RUU itu ditulis oleh pelobi Amazon dan Microsoft, yang bekerja untuk melayani kepentingan perusahaan mereka. Raksasa teknologi mendukung dan mendorong undang-undang privasi negara bagian yang sangat dilobi, seperti Virginia, dengan tujuan akhir mendorong undang-undang federal yang akan menciptakan aturan selimut yang lebih lemah di seluruh AS yang akan menggantikan tambal sulam undang-undang negara bagian — termasuk California, di mana aturannya adalah terkuat.

Tetapi sementara sebagian kecil orang Amerika dilindungi oleh beberapa undang-undang privasi, mayoritas tinggal di negara bagian yang memiliki sedikit atau tidak ada perlindungan terhadap pembagian informasi seseorang.

“Benar-benar ada kekurangan undang-undang,” kata McElroy. “Penyewa umumnya tidak diberi tahu apa pun tentang jenis data apa yang dikumpulkan tentang mereka. Mereka tidak memiliki kesempatan untuk menyetujui dan mereka tidak diberi indikasi potensi bahaya apa pun, ”kata mereka.

Apakah saya akan pindah ke apartemen ini dengan mengetahui bahwa pemilik perusahaan saya akan membagikan informasi pribadi saya dengan pihak ketiga yang tidak terlalu peduli untuk melindunginya? Mungkin tidak. Tetapi dengan harga sewa yang meroket dan penurunan ekonomi global yang membayangi, meskipun ada rekor keuntungan oleh beberapa pemilik perusahaan terbesar di Amerika, penyewa mungkin tidak punya banyak pilihan.

“Saat perumahan tersapu oleh perusahaan-perusahaan ini, ada krisis perumahan yang terjangkau di sebagian besar kota dan penyewa tidak bisa terlalu pilih-pilih dalam mencari tempat untuk disewa,” kata McElroy. “Seringkali penyewa terpaksa melupakan menemukan pemilik dengan kebijakan data yang tidak terlalu kasar hanya karena tidak ada pilihan.”

Jadi, bagaimana startup teknologi mendapatkan alamat rumah saya? Mudah dan legal. Sedangkan untuk membocorkannya? Itu hanya keamanan yang buruk.

Sumber: TechCrunch