Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Data Breach

Data Breach

Bagaimana Startup Rental yang Belum Pernah Saya Dengar Membocorkan Alamat Rumah Saya?

by

Saya menganggap diri saya orang yang cukup sadar privasi, berusaha keras untuk menghindari pelacakan online dan, sebagian besar, menghindari email spam. Tetapi ketika saya mendapati diri saya menatap alamat rumah saya di situs web perusahaan yang belum pernah saya dengar, saya tahu di suatu tempat saya salah.

Beberapa hari sebelum sewa kami jatuh tempo pada akhir April, pasangan saya menerima email dari pemilik gedung apartemen kami tentang cara baru kami dapat membayar sewa sambil mengumpulkan poin hadiah, seperti program loyalitas. Itu adalah tawaran yang bagus pada saat harga sewa mencapai rekor tertinggi, jadi dia mengklik dan memuat situs web perusahaan hadiah sewa Bilt Rewards dan dengan jelas menampilkan nama lengkapnya dan nomor apartemen kami.

Sudah ini cukup mengkhawatirkan. Gedung apartemen kami telah memberikan informasinya kepada Bilt dan kami sekarang melihatnya di situs webnya. Saya tidak pernah mendapatkan email yang diterima pasangan saya. Tapi saya penasaran, apakah Bilt punya informasi saya juga?

Setiap kali dia mengklik tautan di email, itu membuka halaman web Bilt pribadi yang sama yang menunjukkan nama dan nomor apartemennya karena halaman web itu mengambil informasinya langsung dari server Bilt melalui API. (API memungkinkan dua hal untuk berbicara satu sama lain melalui internet, dalam hal ini server Bilt menyimpan informasi kami dan situs webnya.) Anda dapat melihat ini menggunakan alat pengembang browser, tidak perlu trik mewah. Menggunakan alat browser, Anda juga dapat melihat bahwa situs web juga menarik nama gedung apartemen tempat kami tinggal, meskipun tidak ditampilkan di situs web Bilt.

Paling-paling ini adalah upaya kotor untuk mempersonalisasi halaman pendaftaran, dan paling buruk itu adalah pelanggaran alamat rumah kami. Tetapi juga memungkinkan untuk mengambil informasi yang sama langsung dari server Bilt hanya dengan menggunakan alamat emailnya — tidak diperlukan tautan email khusus — yang, seperti kebanyakan dari kita yang alamat emailnya bersifat publik, sayangnya tidak memerlukan banyak tebakan.

Saya memasukkan alamat email saya dan situs tersebut mengembalikan nama saya, nama gedung dan nomor apartemen, semuanya sama dengan informasi pasangan saya. Bagaimana mungkin sebuah startup yang belum pernah saya dengar sampai saat ini mendapatkan dan membocorkan alamat rumah saya?

Saya salah satu dari sekitar 50 juta penyewa di Amerika Serikat. Saya tinggal di luar New York City dengan pasangan saya dan dua kucing kami di sebuah gedung apartemen milik Equity Residential, salah satu tuan tanah perusahaan terbesar di AS dengan lebih dari 80.000 apartemen sewaan di bawah manajemennya. Bahkan kemudian, Ekuitas adalah salah satu dari sekitar 20 pemilik perusahaan termasuk Blackstone, AvalonBay dan Starwood yang mencakup lebih dari dua juta rumah, atau sekitar 4% dari semua perumahan sewa AS.

Masuki Bilt, salah satu dari banyak startup yang muncul berkat ledakan baru-baru ini di bidang teknologi properti, atau proptech, seperti yang dikenal luas. Bilt didirikan oleh pengusaha Ankur Jain pada Juni 2021 dan memungkinkan penyewa mendapatkan hadiah setiap kali mereka melakukan pembayaran sewa. Melalui kemitraan dengan sebagian besar pemilik perusahaan terbesar, Bilt sekarang menawarkan program hadiah sewa ke lebih dari dua juta rumah sewa di seluruh AS, termasuk rumah seperti milik saya yang dimiliki oleh Equity.

Saya mulai dengan menganggap ini sebagai cerita pelanggaran data lain yang pernah saya bahas di masa lalu dan ingin tahu siapa lagi yang terpengaruh.

Panggilan pertama saya adalah ke tetangga di gedung yang sama, yang ketika diberitahu tentang bagaimana situs web Bilt membocorkan alamat saya, setuju untuk memeriksa apakah dia juga terpengaruh. Saya mengeluarkan laptop saya dan kami memasukkan alamat emailnya ke API Bilt, yang segera mengembalikan namanya, nama gedung dan nomor apartemennya; wajahnya berubah dari gentar menjadi ngeri, seperti yang telah saya lakukan pada hari sebelumnya.

Panggilan kedua saya adalah ke Ken Munro, pendiri firma pengujian keamanan siber Inggris Pen Test Partners, nama yang mungkin Anda ketahui dari pertemuan sebelumnya dengan layanan online yang bocor, seperti sepeda Peloton, aplikasi ponsel cerdas, dan mainan seks sesekali. Tanpa sepengetahuan saya, salah satu rekannya di Amerika Serikat memiliki apartemen di gedung saya dan mengkonfirmasi kepada saya bahwa rincian alamat rumahnya juga diekspos oleh API.

Sekarang kami berada di empat orang yang informasinya diekspos oleh situs web Bilt yang bocor hanya dengan mengetahui alamat email mereka.

Saya menghubungi Bilt, yang tanggapannya tidak bagus.

“API yang Anda kirim di bawah ini berfungsi sebagaimana mestinya,” jawab Jain, sekarang CEO Bilt. (Jain menyatakan emailnya “tidak direkam”, yang mengharuskan kedua belah pihak menyetujui persyaratan sebelumnya. Saya memberi tahu Jain bahwa kami akan menerbitkan tanggapannya karena tidak ada kesempatan untuk menolak.)

“Satu-satunya pengecualian untuk ini adalah beberapa bangunan yang dioperasikan oleh Equity Residential, di mana mereka belum mengintegrasikan Bilt ke portal penduduk asli mereka,” kata Jain. “Tetapi mengingat jumlah bangunan yang sedikit, Equity membuat keputusan berisiko untuk mengirim undangan email dan halaman arahan menggunakan pendekatan yang lebih manual dalam jangka pendek. Untuk bangunan percontohan kecil ini, halaman arahan yang dihasilkan menggunakan API ini hanya memerlukan email,” katanya.

Jain mengatakan bahwa informasi dikembalikan oleh API “tersedia secara luas dan mudah melalui pencarian catatan publik mana pun,” dan bahwa “tidak ada informasi pribadi yang diungkapkan melalui API ini yang tidak tersedia di seluruh catatan publik ini.” (Jain dan saya harus setuju untuk tidak setuju karena sampai saat ini saya telah menyimpan alamat rumah saya sebagian besar dari internet — dan bagaimanapun juga, hanya karena informasi pribadi seseorang dipublikasikan di satu tempat bukanlah pembenaran untuk membuatnya publik di tempat lain.)

Ketika dihubungi untuk memberikan komentar, juru bicara Equity Marty McKenna mengatakan: “Kami menggunakan proses ini di sejumlah bangunan terbatas sementara kami menyelesaikan integrasi kami dengan Bilt. Kami tidak setuju bahwa ini adalah masalah keamanan,” kata McKenna.

McKenna berulang kali menolak untuk mengatakan berapa banyak bangunan Ekuitas yang memiliki penghuni yang informasinya terungkap. Tapi informasi saya sendiri yang bocor meninggalkan petunjuk yang menunjukkan jumlahnya bisa jadi setidaknya 21 bangunan Ekuitas, berjumlah ribuan penyewa. Saat ditanya soal jumlah bangunan, McKenna tak mempermasalahkan angka tersebut.

Bilt akhirnya memasang API bocornya pada 26 Mei, hampir sebulan setelah saya pertama kali melakukan kontak.

Tetapi masih belum jelas bagaimana Bilt mendapatkan informasi saya untuk memulai, tanpa menyebutkan pengumpulan data atau berbagi dalam perjanjian sewa yang saya tandatangani.

McKenna memecahkan misteri itu, memberi tahu saya: “Equity Residential berbagi informasi dengan penyedia layanan untuk memungkinkan layanan diberikan kepada penghuni kami. Kewenangan kami untuk melakukannya terletak pada Ketentuan Penggunaan dan Kebijakan Privasi kami yang tersedia di situs web kami.”

Jawaban singkatnya adalah ya, kebijakan privasi di situs web yang tidak terpikirkan oleh siapa pun — atau saya pikir — untuk dibaca. Dari saat Anda memasuki gedung Equity, kebijakan privasinya memungkinkan berbagai pengumpulan data, termasuk pengumpulan offline, seperti data yang dikumpulkan tentang Anda saat Anda menandatangani perjanjian untuk menyewa apartemen. Dan sebagian besar data tersebut dapat dibagikan dengan perusahaan pihak ketiga karena berbagai alasan, seperti menawarkan layanan atas nama Ekuitas. Perusahaan seperti Bilt, menurut kebijakan tersebut, “mungkin memiliki akses [ke informasi pengenal pribadi] untuk memberikan layanan ini kepada kami atau atas nama kami.”

Dan itu tidak unik untuk Ekuitas. Banyak pemilik perusahaan lain menggunakan bahasa yang sama dalam kebijakan privasi mereka yang memberi mereka kebebasan yang luas untuk mengumpulkan, menggunakan, dan membagikan atau menjual informasi pribadi Anda.

AvalonBay, yang memiliki 79.000 apartemen di seluruh pantai timur AS, menggunakan bahasa kata demi kata yang sama dalam kebijakan privasinya tentang memberikan informasi pribadi tentang penyewanya kepada pihak ketiga yang bekerja sama dengannya. Itu dapat mencakup layanan binatu, penyedia parkir mobil, atau — seperti Bilt — pemroses pembayaran sewa. Dan jumlah pihak ketiga yang memiliki akses ke informasi pribadi Anda dapat bertambah dengan cepat.

Erin McElroy, asisten profesor di Departemen Studi Amerika di University of Texas di Austin, yang penelitiannya mencakup proptech dan perumahan, mengatakan kepada TechCrunch bahwa perumahan diperlakukan lebih sebagai komoditas daripada hak atau barang sosial. Dengan penyewa yang semakin dibingkai sebagai konsumen, banyak dari apa yang mungkin dialami seseorang saat menggunakan produk atau layanan tertentu sekarang juga dialami sebagai penyewa. “Itu strategis dan bagian tak terpisahkan dengan korporatisasi dan finansialisasi perumahan, yang tentu saja penyewa tidak menganggap diri mereka sebagai konsumen dan membaca semua cetakan kecil dalam perjanjian sewa mereka, membayangkan hal seperti ini mungkin terjadi,” kata McElroy.

Beberapa kebijakan privasi melangkah lebih jauh. GID, yang memiliki lebih dari 86.000 unit hunian, memiliki kebijakan privasi yang secara eksplisit mengizinkannya untuk menjual sejumlah besar informasi pribadi penyewanya kepada afiliasinya, perusahaan manajemen lain, dan pialang data yang selanjutnya mengumpulkan, menggabungkan, dan menjual informasi Anda kepada orang lain.

“Sangat umum untuk memiliki kebijakan privasi yang mengatur penggunaan data,” Lisa Sotto, pengacara privasi dan mitra di Hunton Andrews Kurth, mengatakan kepada TechCrunch melalui panggilan telepon. Sotto mengatakan bahwa kebijakan privasi bukanlah kata-kata kosong: “Mereka diatur oleh Komisi Perdagangan Federal, dan FTC melarang praktik perdagangan yang tidak adil atau menipu.”

FTC dapat, dan terkadang memang, mengambil tindakan terhadap perusahaan yang menyalahgunakan data atau memiliki praktik keamanan data yang buruk, seperti perusahaan data hipotek yang mengekspos informasi pribadi yang sensitif, upaya untuk menutupi pelanggaran data, dan perusahaan teknologi karena melanggar janji privasi mereka. Seperti yang ditulis oleh pengacara di firma hukum Orrick: “Fakta bahwa Anda dapat menjual data penyewa Anda tidak berarti Anda harus menjual data itu.”

Tetapi tidak ada aturan yang secara khusus melindungi pembagian informasi pribadi penyewa.

Sebaliknya, terserah masing-masing negara bagian untuk membuat undang-undang. Hanya segelintir negara bagian AS – California, Connecticut, Colorado, Utah, dan Virginia – yang telah mengesahkan undang-undang privasi yang melindungi konsumen di negara bagian tersebut, kata Sotto. Dan hanya hukum California yang saat ini berlaku pada saat penulisan.

California menjadi negara bagian AS pertama untuk memberlakukan hak privasi individu — mirip dengan yang ditawarkan kepada semua orang Eropa di bawah GDPR. Undang-Undang Privasi Konsumen California, atau CCPA seperti yang diketahui, mulai berlaku pada Januari 2020 dan memberikan hak kepada warga California untuk mengakses, mengubah, dan menghapus data yang dikumpulkan oleh perusahaan dan organisasi. CCPA menjadi duri besar di pihak perusahaan yang haus data karena undang-undang memaksa mereka untuk mengukir pengecualian luas dalam kebijakan privasi mereka untuk memungkinkan orang California hak untuk memilih keluar dari penjualan data mereka ke pihak ketiga. Itu juga sering mengharuskan perusahaan untuk menawarkan kebijakan privasi yang sepenuhnya terpisah untuk penduduk California, seperti yang telah dilakukan GDPR bertahun-tahun sebelumnya.

CCPA, seperti GDPR, tidak sempurna untuk sedikitnya. Tetapi sebagai undang-undang privasi seluruh negara bagian AS yang pertama, undang-undang itu menetapkan standar bagi negara bagian lain untuk mengikuti dan, idealnya, meningkat seiring waktu.

Virginia adalah negara bagian berikutnya dengan undang-undang yang mulai berlaku pada Januari 2023. Tetapi para kritikus menyebut RUU itu “lemah,” di samping laporan bahwa teks RUU itu ditulis oleh pelobi Amazon dan Microsoft, yang bekerja untuk melayani kepentingan perusahaan mereka. Raksasa teknologi mendukung dan mendorong undang-undang privasi negara bagian yang sangat dilobi, seperti Virginia, dengan tujuan akhir mendorong undang-undang federal yang akan menciptakan aturan selimut yang lebih lemah di seluruh AS yang akan menggantikan tambal sulam undang-undang negara bagian — termasuk California, di mana aturannya adalah terkuat.

Tetapi sementara sebagian kecil orang Amerika dilindungi oleh beberapa undang-undang privasi, mayoritas tinggal di negara bagian yang memiliki sedikit atau tidak ada perlindungan terhadap pembagian informasi seseorang.

“Benar-benar ada kekurangan undang-undang,” kata McElroy. “Penyewa umumnya tidak diberi tahu apa pun tentang jenis data apa yang dikumpulkan tentang mereka. Mereka tidak memiliki kesempatan untuk menyetujui dan mereka tidak diberi indikasi potensi bahaya apa pun, ”kata mereka.

Apakah saya akan pindah ke apartemen ini dengan mengetahui bahwa pemilik perusahaan saya akan membagikan informasi pribadi saya dengan pihak ketiga yang tidak terlalu peduli untuk melindunginya? Mungkin tidak. Tetapi dengan harga sewa yang meroket dan penurunan ekonomi global yang membayangi, meskipun ada rekor keuntungan oleh beberapa pemilik perusahaan terbesar di Amerika, penyewa mungkin tidak punya banyak pilihan.

“Saat perumahan tersapu oleh perusahaan-perusahaan ini, ada krisis perumahan yang terjangkau di sebagian besar kota dan penyewa tidak bisa terlalu pilih-pilih dalam mencari tempat untuk disewa,” kata McElroy. “Seringkali penyewa terpaksa melupakan menemukan pemilik dengan kebijakan data yang tidak terlalu kasar hanya karena tidak ada pilihan.”

Jadi, bagaimana startup teknologi mendapatkan alamat rumah saya? Mudah dan legal. Sedangkan untuk membocorkannya? Itu hanya keamanan yang buruk.

Sumber: TechCrunch

Geng peretas masuk ke pembuat chip Silicon Valley AMD karena kata sandi pekerja yang mengerikan

by

Sebuah pembangkit tenaga listrik teknologi Silicon Valley dilaporkan menghadapi pelanggaran data, sebagian, karena penggunaan kata sandi yang mengerikan oleh karyawan seperti, eh, “kata sandi” dan “123456.”

AMD, produsen microchip yang berkantor pusat di Santa Clara, menjadi mangsa kru peretas yang semakin terkenal yang dikenal sebagai RansomHouse, menurut laporan oleh TechCrunch dan Restore Privacy.

Raksasa semikonduktor mengkonfirmasi pembobolan digital dalam sebuah pernyataan kepada media. “Pada 27 Juni, kami mengetahui bahwa organisasi penjahat dunia maya dengan nama RansomHouse mengklaim memiliki data yang dicuri dari AMD,” bunyi pernyataan yang dikirim ke SFGATE pada Kamis pagi. “Kami sedang menyelidiki klaim tersebut dan sedang melakukan kontak dengan petugas penegak hukum.”

Perusahaan tidak menjawab ketika ditanya mengapa karyawan di pabrik multinasional tidak tunduk pada aturan perlindungan kata sandi standar, seperti mengubah kata sandi secara teratur atau harus memasukkan angka dan simbol di dalam kata sandi.

“Sayang sekali itu adalah kata sandi asli yang digunakan oleh karyawan AMD, tetapi yang lebih memalukan bagi Departemen Keamanan AMD yang mendapat pembiayaan signifikan sesuai dengan dokumen yang kami dapatkan — semua berkat kata sandi ini,” sebuah catatan yang diterbitkan oleh RansomHouse berbunyi, menurut TechCrunch.

Produsen microchip Silicon Valley telah lama menjadi saingan utama Intel di pasar CPU; itu seharusnya memiliki beberapa kemiripan keamanan kata sandi mengingat perawakannya.

Christofer Hoff, seorang eksekutif di layanan pengelola kata sandi LastPass, mengatakan kepada SFGATE bahwa pelanggaran seperti ini “mudah dihindari bahkan jika aturan kebersihan dan keamanan yang paling dasar diikuti.”

Tampaknya juga lebih banyak pelanggaran ini sedang dalam proses. RansomHouse telah mendapatkan reputasi untuk menargetkan organisasi besar, membocorkan data dari salah satu pedagang grosir terbesar di Afrika dan agen pemerintah Kanada sejak akhir tahun lalu.

Sumber:

Peretas iCloud mendapat 9 tahun penjara karena mencuri foto telanjang

by

Seorang pria California yang meretas ribuan akun Apple iCloud dijatuhi hukuman 8 tahun penjara setelah mengaku bersalah atas konspirasi dan penipuan komputer pada Oktober 2021.

Sejak awal September 2014, Hao Kuo Chi, 41 tahun dari La Puente, California, mulai memasarkan dirinya sebagai “icloudripper4you,” seseorang yang mampu membobol akun iCloud dan mencuri apa pun yang ada di penyimpanan iCloud yang ditautkan (dalam apa yang dia sebut sebagai “merobek”).

“Pria ini memimpin kampanye teror dari komputernya, menyebabkan ketakutan dan penderitaan bagi ratusan korban,” kata agen FBI David Walker.

Untuk mengkompromikan akun yang ditargetkan, Chi menggunakan email yang memungkinkannya untuk menyamar sebagai perwakilan dukungan pelanggan Apple dan menipu target agar menyerahkan ID dan kata sandi Apple mereka, menurut dokumen pengadilan.

Setelah mengkompromikan akun iCloud, dia akan mencari dan mencuri foto dan video telanjang dari penyimpanan online korban (disebut sebagai “wins”), membaginya dengan konspirator yang kemudian menerbitkannya secara online.

Chi juga membagikan beberapa foto dan video kompromi di situs porno balas dendam yang sekarang sudah tidak berfungsi (Anon-IB) tanpa persetujuan korbannya dan bermaksud “untuk mengintimidasi, melecehkan, atau mempermalukan.”

Sampai tertangkap, Chi memperoleh akses tidak sah ke ratusan akun iCloud target dari seluruh Amerika Serikat, termasuk Arizona, California, Florida, Kentucky, Louisiana, Maine, Massachusetts, Ohio, Pennsylvania, Carolina Selatan, dan Texas.

“Akun email Chi berisi kredensial iCloud dari sekitar 4.700 korban. Akun ini juga mengungkapkan bahwa dia telah mengirim konten yang dicuri dari korban ke konspirator lebih dari 300 kali,” ungkap Departemen Kehakiman hari ini.

Dia menyimpan 3,5 terabyte konten curian dari lebih dari 500 korban di cloud dan penyimpanan fisik, dengan sekitar 1 terabyte penyimpanan cloud didedikasikan untuk foto dan video telanjang yang dicuri.

“Chi mengorbankan ratusan wanita di seluruh negeri, membuat mereka takut akan keselamatan dan reputasi mereka,” kata Jaksa AS Roger Handberg.

Sumber: Bleeping Computer

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

by

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

FBI memperingatkan, peretas menjual kredensial jaringan perguruan tinggi AS

by

Penjahat dunia maya menawarkan untuk menjual kredensial akses jaringan seharga ribuan dolar AS untuk institusi pendidikan tinggi yang berbasis di Amerika Serikat.

Jenis iklan ini hadir di forum online penjahat dunia maya yang tersedia untuk umum serta pasar di web gelap.

Penjahat dunia maya menawarkan untuk menjual kredensial akses jaringan seharga ribuan dolar AS untuk institusi pendidikan tinggi yang berbasis di Amerika Serikat.

Jenis iklan ini hadir di forum online penjahat dunia maya yang tersedia untuk umum serta pasar di web gelap.

Informasi sensitif terdiri dari kredensial jaringan dan akses jaringan pribadi virtual (VPN) “ke banyak” organisasi pendidikan tinggi di AS.

Dalam beberapa kasus, penjual memposting tangkapan layar yang membuktikan bahwa kredensial memberikan akses yang diiklankan.

Harga untuk kredensial semacam itu bervariasi antara beberapa dolar AS hingga ribuan, kata badan tersebut dalam peringatan yang dirilis minggu ini.

Penjahat dunia maya memiliki beberapa metode untuk mengumpulkan nama pengguna dan kata sandi, salah satu yang paling umum adalah phishing.

Menguji kredensial dari email yang terkait dengan organisasi pendidikan tinggi, yang diperoleh dari pelanggaran di berbagai layanan online, juga merupakan praktik yang sering dilakukan.

Selengkapnya: Bleeping Computer

Pelacak web pihak ketiga mencatat apa yang Anda ketik sebelum mengirimkan

by

Sebuah studi ekstensif yang melihat situs web peringkat 100k teratas telah mengungkapkan bahwa banyak yang membocorkan informasi yang Anda masukkan dalam formulir situs ke pelacak pihak ketiga bahkan sebelum Anda menekan kirim.

Data yang bocor ini mencakup pengenal pribadi, alamat email, nama pengguna, kata sandi, atau bahkan pesan yang dimasukkan ke dalam formulir dan kemudian dihapus dan tidak pernah benar-benar dikirimkan.

Kebocoran data ini licik karena pengguna internet secara otomatis berasumsi bahwa informasi yang mereka ketik di situs web tidak disimpan sampai mereka mengirimkannya, tetapi untuk hampir 3% dari semua situs yang diuji, ini tidak terjadi.

Penelitian dilakukan oleh peneliti universitas yang menggunakan crawler berbasis alat DuckDuckGo Tracker Radar Collector untuk memantau aktivitas eksfiltrasi.

Perayap dilengkapi dengan pengklasifikasi pembelajaran mesin yang telah dilatih sebelumnya yang mendeteksi bidang email dan kata sandi dan mencegat akses skrip ke bidang tersebut.

Diagram fungsi perayap (GitHub)

Para peneliti menguji 2,8 juta halaman di 100.000 situs dengan peringkat tertinggi di dunia dan menemukan bahwa 1.844 situs web memungkinkan pelacak mengeksfiltrasi alamat email sebelum dikirimkan saat dikunjungi dari Eropa.

Namun, ketika mengunjungi situs web yang sama dari AS, jumlah situs yang mengumpulkan informasi sebelum diserahkan melonjak menjadi 2.950.

Akhirnya, peneliti menentukan 52 situs web untuk mengumpulkan kata sandi dengan cara yang sama, tetapi semuanya mengatasi masalah tersebut setelah menerima laporan peneliti.

Tujuan pelacak situs web adalah untuk memantau aktivitas pengunjung, memperoleh titik data yang terkait dengan preferensi, mencatat interaksi, dan mempertahankan ID anonim (secara teoritis) persisten untuk setiap pengguna.

Situs tersebut menggunakan pelacak untuk memberikan pengalaman online yang lebih dipersonalisasi kepada penggunanya, tetapi mereka juga mengizinkan pelacak pihak ketiga untuk membantu pengiklan menayangkan iklan bertarget kepada pengunjung mereka dan meningkatkan keuntungan moneter.

Situs teratas menggunakan pelacak bocor (kuleuven.be)

Banyak dari pelacak pihak ketiga ini menggunakan skrip yang memantau penekanan tombol saat berada di dalam formulir, dan menyimpan konten, bahkan sebelum pengguna menekan tombol kirim

Dampak nyata dari memasukkan data pada formulir yang dicatat adalah kehilangan anonimitas pelacak, dan pada saat yang sama, risiko privasi dan keamanan muncul.

Data yang dikumpulkan oleh peneliti universitas menunjukkan bahwa masalahnya berasal dari sejumlah kecil pelacak yang lazim di web.

Misalnya, pelacak LiveRamp ditemukan di 662 situs yang alamat emailnya dicatat, Taboola ada di 383, Verizon mengumpulkan data dari 255 situs, dan Adobe’s Bizible berjalan di 191 situs.

Pelacak third party dan pemiliknya (kuleuven.be)

Dalam kategori perampasan kata sandi, Yandex berada di puncak daftar dengan jumlah kasus terkonfirmasi tertinggi.

Setengah dari pihak pertama dan ketiga yang terdaftar telah menanggapi para peneliti dengan komentar dan penjelasan, yang menghubungkan pengumpulan dengan kesalahan.

Perbedaan antara statistik UE dan AS dikaitkan dengan keberadaan GDPR, konteks peraturan hukum untuk melindungi data pribadi pengguna internet UE yang diproses oleh entitas online.

Kasus kepatuhan di sini tergantung pada pengungkapan pengumpulan data yang dimasukkan dalam formulir situs web, yang perlu dirinci dan didefinisikan dengan jelas.

Misalnya, ‘kami membagikan data pribadi Anda dengan mitra pemasaran tertentu’ tidak cocok untuk GDPR.

Menurut penelitian, eksfiltrasi email oleh pihak ketiga melalui pelacak melanggar setidaknya tiga persyaratan GDPR, yaitu prinsip transparansi, prinsip pembatasan tujuan, dan tidak adanya permintaan persetujuan.

Pelanggaran GDPR yang dikonfirmasi dapat dihukum dengan denda hingga 20.000.000 Euro atau hingga 4% dari omset tahunan global entitas.

Cara terbaik untuk mengatasi masalah ini adalah dengan memblokir semua pelacak pihak ketiga menggunakan pemblokir internal browser Anda. Semua browser utama memiliki pemblokir bawaan, dan Anda akan menemukannya di bagian privasi menu pengaturan.

Selain itu, layanan relai email pribadi memberi pengguna kemampuan untuk menghasilkan alamat email pseudonim, jadi meskipun seseorang mengambilnya, identifikasi tidak akan mungkin dilakukan.

Terakhir, bagi mereka yang ingin mengambil pendekatan yang lebih terlibat, para peneliti telah membuat dan merilis add-on browser bernama Leak Inspector, yang memantau peristiwa eksfiltrasi di situs mana pun dan memperingatkan pengguna yang sesuai.

Sumber: Bleeping Computer

Perusahaan perangkat lunak medis didenda €1,5 juta karena membocorkan data 490 ribu pasien

by

Otoritas perlindungan data Prancis (CNIL) mendenda vendor perangkat lunak medis Dedalus Biology dengan EUR 1,5 juta karena melanggar tiga pasal GDPR (Peraturan Perlindungan Data Umum).

Dedalus Biology memberikan layanan kepada ribuan laboratorium medis di negara ini dan denda adalah untuk mengekspos rincian sensitif dari 491.939 pasien dari 28 laboratorium.

Basis data bocor secara online dan mengungkapkan detail pasien berikut:

  • Nama lengkap
  • Nomor KTP
  • Nama dokter yang meresepkan
  • Tanggal pemeriksaan
  • Informasi medis seperti status HIV, kanker, penyakit genetik, kehamilan, perawatan, dll.
  • Informasi genetik (dalam beberapa kasus)

Informasi ini telah dibagikan secara luas di internet, sehingga klien Dedalus Biology menghadapi risiko rekayasa sosial, phishing, scammed, dan bahkan pemerasan.

Tanda-tanda pertama kebocoran database muncul sejak Maret 2020, dengan ANSSI mengeluarkan peringatan terkait ke salah satu laboratorium yang terpapar pada November 2020.

Pada Februari 2021, majalah Prancis ZATAZ menemukan penjualan kumpulan data tertentu di web gelap dan mengonfirmasi bahwa informasi itu valid.

Data bocor yang dijual di web gelap (ZATAZ)

Dedalus Biology melanggar pasal 29 undang-undang GDPR, yaitu kegagalan untuk mematuhi instruksi pengontrol. Lebih khusus lagi, selama migrasi dari perangkat lunak vendor yang berbeda, atas permintaan dua laboratorium medis, Dedalus mengekstrak lebih banyak informasi daripada yang dibutuhkan.

Pelanggaran kedua menyangkut pasal 32 GDPR, yang membuat pemroses data bertanggung jawab atas kegagalan mengamankan informasi.

Pasal ketiga GDPR yang dilanggar adalah nomor 28, yang mencakup kewajiban untuk memberikan kontrak formal atau tindakan hukum untuk pemrosesan data atas nama pengontrol (laboratorium).

Untuk pelanggaran di atas, CNIL memutuskan untuk mengenakan denda sebesar 1,5 juta Euro ($ 1,58 juta), dihitung sebagai 10% dari pendapatan tahunan perusahaan.

Meskipun Dedalus berharap untuk menerima hukuman yang lebih ringan berdasarkan kesediaannya untuk berkolaborasi dengan penyelidik CNIL, kantor perlindungan data mencatat bahwa perusahaan tidak mengambil langkah untuk membatasi penyebaran data yang bocor secara online, sehingga tidak ada dasar untuk mengenali faktor-faktor yang meringankan.

Sumber: Bleeping Computer

Redis, MongoDB, dan Elastic: database terekspos teratas tahun 2022

by

Peneliti keamanan telah memperhatikan peningkatan jumlah basis data yang terbuka secara publik ke Internet, dengan 308.000 diidentifikasi pada tahun 2021. Pertumbuhan terus berlanjut dari kuartal ke kuartal, memuncak pada bulan-bulan pertama tahun ini.

Pada kuartal pertama tahun 2022, jumlah basis data yang terpapar mencapai puncaknya menjadi 91.200 instance, kata peneliti intelijen dan riset ancaman Group-IB dalam sebuah laporan.

Jumlah database yang terbuka untuk setiap kuartal (Grup-IB)

Mengekspos database di depan publik internet dalam banyak kasus karena kesalahan konfigurasi. Peretas sering memburu mereka menggunakan sistem pengindeksan mesin pencari yang dapat dijangkau dari web terbuka untuk mencuri konten atau untuk pemerasan finansial.

Group-IB menggunakan solusi Manajemen Permukaan Serangan untuk memindai seluruh ruang IPv4 untuk port terbuka yang relevan untuk mengakses database dan untuk memeriksa apakah indeks atau tabel tersedia.

Tim Bobak, Pemimpin Produk Manajemen Permukaan Serangan di Group-IB, mengatakan bahwa solusi perusahaan terbatas untuk memeriksa apakah database terbuka atau tidak dan tidak memiliki kemampuan untuk mengumpulkan atau menganalisis konten database.

Data telemetri yang dikumpulkan dengan cara ini tidak menunjukkan apakah database terbuka rentan terhadap kelemahan keamanan atau jika pihak yang tidak berwenang mengaksesnya saat terpapar di web.

Sebagian besar instans terbuka yang ditemukan oleh Group-IB berada di server yang berbasis di server AS dan China, sementara Jerman, Prancis, dan India juga memiliki persentase yang mencolok.

Peta panas instans database terbuka (Group-IB)

Ketika datang ke sistem manajemen basis data yang digunakan dalam instans yang terpapar, kebanyakan dari mereka adalah Redis, dengan hampir dua kali lipat jumlah runner-up di Q1 2022, MongoDB. Elastis menyumbang porsi yang lebih kecil yaitu masih dalam puluhan ribu, sedangkan MySQL mencatat instance paling sedikit yang terdeteksi oleh Group-IB.

Jenis sistem manajemen basis data (Group-IB)

Sistem manajemen ini telah mengambil tindakan untuk memperingatkan admin saat mereka mengonfigurasi instans untuk akses publik tanpa kata sandi, tetapi masalah tetap ada.

Tujuan basis data tidak hanya untuk menyimpan data tetapi juga memungkinkan cara langsung dan nyaman untuk berbagi data ini, analisisnya oleh anggota tim lainnya.

Semakin banyak orang yang terlibat dalam proses manajemen basis data akhir-akhir ini, dan pada akhirnya mereka mencoba untuk memudahkan dan mempercepat akses jadi mengabaikan proses masuk seringkali merupakan cara yang paling mudah dan jelas bagi mereka.

Sayangnya, admin membutuhkan waktu rata-rata 170 hari untuk menyadari kesalahan konfigurasi dan memperbaiki masalah eksposur, yang lebih dari cukup bagi aktor jahat untuk menemukan instance dan menyedot kontennya.

Waktu yang dibutuhkan untuk memperbaiki kesalahan konfigurasi (Group-IB)

Paparan data tidak hanya menyebabkan hilangnya kepercayaan pelanggan dan gangguan bisnis, tetapi juga denda besar yang dikenakan oleh kantor perlindungan data karena kegagalan mengamankan informasi klien yang sensitif.

Bobak Grup-IB mencatat bahwa sebagian besar masalah yang mengganggu keamanan basis data dapat dengan mudah dicegah.

Tahun lalu, lebih dari 50% keterlibatan respons insiden kami berasal dari kesalahan keamanan berbasis perimeter yang dapat dicegah. Basis data yang menghadap publik, port terbuka, atau instans cloud yang menjalankan perangkat lunak yang rentan semuanya merupakan risiko penting tetapi pada akhirnya dapat dihindari. Karena kompleksitas jaringan perusahaan terus berkembang, semua perusahaan harus memiliki visibilitas lengkap atas permukaan serangan mereka. – Tim Bobak, Grup-IB

Keamanan basis data dapat dipastikan jika admin mengikuti langkah-langkah penting tertentu saat menyiapkan instans dan setelah sesi pemeliharaan. Ini dapat diringkas sebagai berikut: Selengkapnya

Sumber: Bleeping Computer