Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Data Breach

Data Breach

Nvidia mengonfirmasi sedang menyelidiki ‘insiden’, yang dilaporkan merupakan serangan siber

by

Nvidia mengonfirmasi kepada The Verge, Bloomberg, Reuters, dan lainnya bahwa mereka sedang menyelidiki sebuah “insiden” — beberapa jam setelah The Telegraph melaporkan bahwa raksasa pembuat chip grafis itu mengalami serangan siber yang menghancurkan yang “benar-benar membahayakan” sistem internal perusahaan selama dua hari terakhir. .

“Kami sedang menyelidiki sebuah insiden. Kegiatan bisnis dan komersial kami terus berlanjut tanpa gangguan. Kami masih bekerja untuk mengevaluasi sifat dan ruang lingkup acara tersebut dan tidak memiliki informasi tambahan untuk dibagikan saat ini,” bunyi pernyataan melalui juru bicara Nvidia Hector Marinez.

Bahkan sumber The Telegraph tidak menyarankan bahwa Nvidia memiliki data yang dicuri atau dihapus, dan tidak ada saran saat ini bahwa “insiden” itu mungkin terkait dengan invasi Rusia ke Ukraina, meskipun serangan siber telah menjadi bagian dari ofensif, dan infrastruktur internet juga menjadi sasaran di sana.

Bloomberg sekarang melaporkan itu adalah serangan ransomware kecil, mengutip “orang yang akrab dengan insiden itu.”

Namun, jika perusahaan yang berbasis di AS seperti Nvidia menjadi sasaran, hal itu dapat memicu pembalasan dari Amerika Serikat. “Jika Rusia mengejar serangan siber terhadap perusahaan kami, infrastruktur penting kami, kami siap untuk meresponsnya,” kata Presiden Biden dalam pidatonya pada hari Kamis.

Sementara dugaan serangan dilaporkan melumpuhkan email Nvidia, kami menerima pernyataan Nvidia hari ini dari alamat email Nvidia.

Nvidia juga secara misterius meminta pers Rabu malam untuk mendorong kembali pengumuman kecil yang akan tiba pada hari Kamis, tanpa memberikan penjelasan. Waktu itu sejalan dengan ketika The Telegraph melaporkan bahwa sistem Nvidia telah disusupi.

Selengkapnya: The Verge

T-Mobile Mengatakan Pelanggaran Data Baru yang Disebabkan oleh Serangan Swap SIM

by Leave a Comment

T-Mobile mengkonfirmasi bahwa laporan terbaru tentang pelanggaran data baru terkait dengan pemberitahuan yang dikirim ke “sejumlah kecil pelanggan” yang menjadi korban serangan pertukaran SIM.

“Kami memberi tahu sejumlah kecil pelanggan bahwa kartu SIM yang ditugaskan ke nomor ponsel di akun mereka mungkin telah dipindahkan secara ilegal atau informasi akun terbatas dilihat,” kata juru bicara T-Mobile kepada BleepingComputer.

“Pertukaran SIM yang tidak sah sayangnya merupakan kejadian umum di seluruh industri, namun masalah ini dengan cepat diperbaiki oleh tim kami, menggunakan perlindungan di tempat kami, dan kami secara proaktif mengambil langkah-langkah perlindungan tambahan atas nama mereka.”

T-Mobile menolak untuk memberikan rincian tambahan ketika diminta untuk info lebih lanjut tentang jumlah total pelanggan yang terkena dampak dan metode yang digunakan oleh penyerang untuk melakukan serangan swap SIM berhasil.

“Kami tidak memberikan informasi tambahan saat ini. Terima kasih!,” kata seorang juru bicara perusahaan kepada BleepingComputer.

Pertukaran SIM (juga dikenal sebagai pembajakan SIM) memungkinkan penyerang untuk mengendalikan nomor ponsel target dengan menipu atau menyuap karyawan operator untuk menetapkan kembali nomor tersebut ke kartu SIM yang dikendalikan penyerang.

Hal ini memungkinkan aktor ancaman untuk mengendalikan nomor telepon korban mereka dan menggunakannya untuk memotong otentikasi multi-faktor berbasis SMS (MFA), mencuri kredensial mereka, masuk ke rekening bank korban untuk mencuri uang, atau membajak akun online mereka dengan mengubah kata sandi.

Semua pelanggan T-Mobile mencari pesan teks atau email yang mencurigakan yang berpura-pura berasal dari T-Mobile. Jangan mengklik tautan apa pun jika Anda menerimanya, karena penyerang dapat menggunakannya untuk memanen kredensial Anda.

Sumber: Bleepingcomputer

Perusahaan Fintech yang terkena peretasan Log4j menolak untuk membayar uang tebusan $ 5 juta

by

Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.

“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Hampir 2 juta data pelanggan ONUS disiapkan untuk dijual di forum

Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Serangan siber di Mitsubishi Electric merupakan ancaman keamanan

by

Serangan siber Juni 2019 pada Mitsubishi Electric Corp. mengkompromikan data yang merupakan kebocoran informasi keamanan nasional sensitif yang pertama kali diakui secara publik di Jepang, Kementerian Pertahanan mengakui.

Kementerian, yang merilis temuannya pada 24 Desember dalam penyelidikannya terhadap 59 kasus, mengatakan hampir 20.000 file diakses. Ia menambahkan bahwa sejak itu telah mengambil langkah-langkah untuk mengatasi sabotase seperti ini dan mengeluarkan peringatan lisan pada 22 Desember kepada Mitsubishi Electric, pembuat peralatan elektronik terkemuka yang sangat terlibat dalam proyek-proyek pertahanan, infrastruktur dan transportasi.

Asahi Shimbun memecahkan laporan serangan siber yang menakjubkan pada Januari 2020 dan pejabat Mitsubishi Electric mencurigai kelompok peretasan China. Bulan berikutnya, Kementerian Pertahanan mengakui bahwa insiden itu melibatkan tiga kasus yang bersifat sensitif terkait dengan peralatan pertahanan.

Namun dalam pengungkapan terbarunya, kementerian mengungkapkan bahwa hampir 20.000 file data yang bocor berisi informasi terkait pertahanan.

Diakui bahwa kebocoran 59 file data tersebut berdampak serius pada keamanan nasional. Namun, menolak untuk membocorkan isi spesifik dari file data dengan alasan mereka berisi informasi sensitif.

Selengkapnya: Asahi

Pemerintah Inggris membagikan 585 juta kata sandi dengan Have I Been Pwned

by

Badan Kejahatan Nasional Inggris telah menyumbangkan lebih dari 585 juta kata sandi ke layanan Have I Been Pwned yang memungkinkan pengguna memeriksa apakah informasi login mereka telah bocor secara online.

Sama seperti kata sandi yang berasal dari FBI, kumpulan besar password ini telah ditambahkan ke data Kata Sandi Pwned yang dapat dicari jika kata sandi telah disusupi.

Pengumpulan kata sandi NCA berasal dari Unit Kejahatan Siber Nasional (NCCU), yang dikumpulkan selama investigasi insiden keamanan siber.

Troy Hunt, pencipta layanan Have I Been Pwned (HIBP), hari ini mengumumkan bahwa setelah mengimpor dan menguraikan data dari NCA, satu set 225.665.425 kata sandi ditemukan benar-benar baru.

Proyek Kata Sandi Pwned HIBP memungkinkan lembaga penegak hukum di banyak negara menambahkan kata sandi yang ditemukan selama penyelidikan. Dengan demikian, layanan lain yang menggunakan Pwned Passwords API dapat melindungi penggunanya dari serangan pengambilalihan akun.

NCA memberi tahu Hunt bahwa sumber kata sandi adalah lokasi penyimpanan cloud milik perusahaan Inggris yang digunakan aktor tak dikenal untuk menyimpan data login yang disusupi.

Para penyelidik menyadari bahwa kredensial berasal dari beberapa pelanggaran data dan bahwa pihak ketiga dapat mengaksesnya “untuk melakukan penipuan lebih lanjut atau pelanggaran dunia maya.”

Selengkapnya: Bleeping Computer

Perusahaan Pengujian DNA Mengungkap Pelanggaran Data yang Mempengaruhi 2,1 Juta Orang

by

DNA Diagnostics Center (DDC), sebuah perusahaan pengujian DNA yang berbasis di Ohio, telah mengungkapkan insiden peretasan yang mempengaruhi 2.102.436 orang.

Insiden itu mengakibatkan pelanggaran data yang dikonfirmasi yang terjadi antara 24 Mei 2021 dan 28 Juli 2021, dan perusahaan menyelesaikan penyelidikan internalnya pada 29 Oktober 2021.

Informasi yang diakses peretas mencakup hal-hal berikut:

  • Nama lengkap
  • Nomor kartu kredit + CVV
  • Nomor kartu debit + CVV
  • Nomor rekening keuangan
  • Kata sandi akun platform

Database yang bocor berisi cadangan data terdahulu yang berasal dari tahun 2004 dan 2012, dan itu tidak terkait dengan sistem aktif dan database yang digunakan oleh DDC saat ini.

“Basis data yang terkena dampak dikaitkan dengan organisasi pengujian genetik nasional yang tidak pernah digunakan DDC dalam operasinya dan belum aktif sejak 2012.”

“DDC memperoleh aset tertentu dari organisasi pengujian genetik nasional ini pada tahun 2012 yang mencakup informasi pribadi tertentu, dan oleh karena itu, dampak dari insiden ini tidak terkait dengan DDC.”

DDC bekerja sama dengan pakar keamanan cyber eksternal untuk mendapatkan kembali kepemilikan file yang dicuri dan memastikan bahwa aktor ancaman tidak akan menyebarkannya lebih lanjut. Sejauh ini, belum ada laporan penipuan atau penggunaan yang tidak benar dari rincian yang dicuri.

Selengkapnya: Bleepingcomputer

Panasonic Menyingkap Pelanggaran Data Setelah Peretasan Jaringan

by

Konglomerat multinasional Jepang Panasonic mengungkapkan pelanggaran keamanan setelah aktor ancaman yang tidak diketahui memperoleh akses ke server di jaringannya bulan ini.

“Panasonic Corporation telah mengkonfirmasi bahwa jaringannya diakses secara ilegal oleh pihak ketiga pada 11 November 2021,” kata perusahaan itu dalam siaran pers yang dikeluarkan Jumat.

“Sebagai hasil dari penyelidikan internal, ditentukan bahwa beberapa data pada server file telah diakses selama intrusi.”

Panasonic telah melaporkan insiden tersebut kepada otoritas terkait dan telah mengambil langkah-langkah untuk mencegah akses ke jaringannya dari server eksternal.

Raksasa elektronik Jepang juga telah menyewa jasa pihak ketiga untuk menyelidiki serangan itu — yang ditandai Panasonic sebagai “kebocoran” dalam siaran pers — dan menemukan apakah ada data yang diakses selama intrusi termasuk informasi pribadi pelanggan.

“Selain melakukan penyelidikan sendiri, Panasonic saat ini bekerja dengan organisasi pihak ketiga spesialis untuk menyelidiki kebocoran dan menentukan apakah pelanggaran tersebut melibatkan informasi pribadi pelanggan dan / atau informasi sensitif yang terkait dengan infrastruktur sosial,” tambah perusahaan itu.

Panasonic ingin menyampaikan permintaan maaf yang tulus atas kekhawatiran atau ketidaknyamanan yang diakibatkan oleh insiden ini. -Panasonic

Server Panasonic dilaporkan diretas pada bulan Juni

Sementara siaran pers yang dikeluarkan tidak termasuk banyak rincian mengenai garis waktu serangan, outlet Jepang, termasuk Mainichi dan NHK, mengatakan para penyerang memiliki akses ke server Panasonic antara Juni dan November, seperti yang pertama kali dilaporkan oleh The Record.

Selain itu, mereka mendapatkan akses ke informasi sensitif pelanggan dan karyawan sampai Panasonic melihat aktivitas berbahaya pada 11 November.

Serangan terhadap server Panasonic adalah bagian dari serangkaian panjang insiden lain yang melibatkan perusahaan Jepang dalam beberapa tahun terakhir.

Kawasaki, NEC, Mitsubishi Electric, dan kontraktor pertahanan Kobe Steel dan Pasco juga telah mengungkapkan insiden keamanan dan, dalam beberapa kasus, bahkan kebocoran data.

Sumber: Bleepingcomputer

Pelanggaran data GoDaddy menghantam reseller layanan hosting WordPress

by

GoDaddy mengatakan pelanggaran data yang baru-baru ini diungkapkan yang memengaruhi sekitar 1,2 juta pelanggan juga telah menghantam beberapa reseller layanan WordPress Terkelola.

Menurut Dan Rice, VP of Corporate Communications di GoDaddy, enam reseller yang juga terkena dampak pelanggaran besar-besaran ini adalah tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, dan Host Europe.

GoDaddy mengakuisisi merek-merek ini setelah membeli perusahaan hosting web dan layanan cloud Host Europe Group pada 2017 dan Media Temple pada 2013.

“Tidak ada merek lain yang terpengaruh. Merek-merek itu telah menghubungi pelanggan masing-masing dengan detail spesifik dan tindakan yang direkomendasikan.” Rice memberi tahu perusahaan keamanan WordPress Wordfence.

Pelanggaran data ditemukan oleh GoDaddy hari Rabu lalu, pada 17 November, tetapi, sebagaimana diungkapkan secara terpisah dalam pengajuan Senin dengan Komisi Sekuritas dan Bursa AS, data pelanggan terungkap setidaknya sejak 6 September 2021, setelah pelaku ancaman yang tidak dikenal mengakses ke lingkungan hosting WordPress Terkelola perusahaan tersebut.

Ini bukan pelanggaran data atau insiden keamanan siber pertama yang diungkapkan raksasa web hosting dalam beberapa tahun terakhir.

Pelanggaran lain terungkap tahun lalu, pada bulan Mei, ketika GoDaddy memberi tahu pelanggan bahwa peretas menggunakan kredensial akun hosting web mereka untuk terhubung ke akun hosting mereka melalui SSH.

Pada tahun 2019, GoDaddy menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, yang berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja situs web secara keseluruhan.

Selengkapnya: Bleeping Computer