Data

Fintech Startup Menawarkan $ 500 untuk Payroll Passwords

May 11, 2021 by Winnie the Pooh

Salah satu startup keuangan yang menargetkan gig worker market menawarkan hingga $ 500 kepada siapa pun yang bersedia menyerahkan nama pengguna dan kata sandi akun penggajian yang diberikan kepada mereka oleh perusahaan mereka, ditambah pembayaran rutin untuk setiap bulan setelahnya saat kredensial tersebut masih berfungsi.

Argyle.com yang berbasis di New York mengatakan sedang membangun platform tempat orang-orang yang mengerjakan banyak pekerjaan dan/atau pekerjaan sampingan dapat meningkatkan kredit dan opsi pekerjaan mereka dengan menggabungkan semua data pekerjaan pertunjukan mereka di satu tempat.

Dalam hal ini, Argyle mempermainkan sebagian besar pasar data ketenagakerjaan yang jauh lebih besar yang didominasi oleh biro kredit utama, yang telah mengerahkan dan menjual akses ke data ketenagakerjaan selama bertahun-tahun.

Di blognya, Argyle membayangkan sebuah dunia di mana perusahaan memilih untuk mengintegrasikan antarmuka platform aplikasinya (API) dan membagikan data penggajian karyawan mereka. Pada saat yang sama, perusahaan tampaknya menjadi bagian dari upaya di mana pekerja non-gaji diminta untuk membayar kembali kepercayaan mereka sebelumnya dengan menjual kredensial penggajian.

Jika Argyle khawatir kedua tujuan ini mungkin bertentangan, yang tidak jelas dengan melihat beberapa upaya langsung ke konsumennya.

Selengkapnya dapat dibaca melalui link ini.

Anti-Vaxxer Membajak Kode QR di Situs Check-In COVID-19

April 30, 2021 by Winnie the Pooh

Kode Quick-response (QR) yang digunakan oleh program pelacakan kontak COVID-19 dibajak oleh seorang pria yang hanya menggunakan kode QR scam di atasnya untuk mengarahkan pengguna ke situs web anti-vaksinasi, menurut polisi setempat.

Dia sekarang menghadapi dua tuduhan “operasi menghalangi yang dilakukan relatif terhadap COVID-19 di bawah Undang-Undang Manajemen Darurat,” kata Kepolisian Australia Selatan dalam sebuah pernyataan yang mengumumkan penangkapan tersebut.

Penegak hukum menambahkan peringatan tambahan untuk calon penipu kode QR: “Setiap orang yang ditemukan merusak atau menghalangi kode QR bisnis kemungkinan akan menghadapi penangkapan dan hukuman pengadilan hingga $ 10.000.”

Polisi mengatakan tidak ada data pribadi yang dibobol, tetapi insiden tersebut menyoroti bahwa yang benar-benar dibutuhkan penyerang hanyalah printer dan paket label Avery untuk melakukan kerusakan nyata.

Dalam hal ini, kode QR digunakan oleh aplikasi resmi CovidSafe pemerintah Australia Selatan untuk mengakses kamera perangkat, memindai kode dan mengumpulkan data lokasi waktu nyata untuk digunakan pelacakan kontak jika terjadi wabah COVID-19, ABC News Australia melaporkan.

Ada banyak data pribadi yang ditautkan ke satu kode QR yang menunggu untuk dicuri.

Selengkapnya: Threat Post

Experian API Membocorkan Skor Kredit Kebanyakan Orang Amerika

April 30, 2021 by Winnie the Pooh

Seorang peneliti mengklaim bahwa nilai kredit dari hampir setiap orang Amerika diekspos melalui alat API yang digunakan oleh biro kredit Experian, yang menurutnya dibiarkan terbuka di situs pemberi pinjaman bahkan tanpa perlindungan keamanan dasar.

Experian membantah kekhawatiran dari komunitas keamanan bahwa masalah tersebut dapat menjadi sistemik.

Alat tersebut, yang bernama Experian Connect API, memungkinkan pemberi pinjaman untuk mengotomatiskan kueri skor FICO. Bill Demirkapi, mahasiswa tahun kedua di Rochester Institute of Technology, sedang berbelanja pinjaman mahasiswa ketika ia menemukan pemberi pinjaman yang akan memeriksa kelayakannya hanya dengan nama, alamat dan tanggal lahir, menurut laporan yang diterbitkan.

Demirkapi terkejut dan memutuskan untuk melihat kodenya, yang menunjukkan bahwa koneksi ke API Experian ada di belakang alat tersebut, katanya.

“Tidak seorang pun seharusnya dapat melakukan pemeriksaan kredit Experian dengan hanya informasi yang tersedia untuk umum,” kata Demirkapi kepada Krebs On Security, yang merupakan orang pertama yang mengungkap cerita tentang kebocoran tersebut.

Selain skor kredit mentah, Krebs mengatakan bahwa dia dapat menggunakan koneksi API untuk mendapatkan “faktor risiko” dari Experian yang menjelaskan potensi kekurangan dalam riwayat kredit seseorang.

Selengkapnya: The Threat Post

Perubahan privasi utama Apple sudah tiba. Ini yang perlu Anda ketahui

April 27, 2021 by Winnie the Pooh

Apple meluncurkan fitur privasi utama pada hari Senin yang akan memungkinkan pengguna iOS untuk memutuskan bagaimana mereka ingin data pribadi mereka ditangani – sebuah langkah yang mengkhawatirkan beberapa perusahaan, termasuk Facebook.

Pengguna iOS sekarang harus memberikan izin eksplisit kepada aplikasi untuk melacak perilaku mereka dan menjual data pribadi mereka, seperti usia, lokasi, kebiasaan belanja dan informasi kesehatan, kepada pengiklan.

Meskipun banyak aplikasi telah memungkinkan orang untuk mengelola ini selama bertahun-tahun, itu biasanya terkubur jauh di dalam pengaturan pengguna dan kebijakan privasi yang bertele-tele.

Di iOS 14.5, pengembang sekarang diharuskan untuk meminta pengguna melalui peringatan pop-up apakah mereka dapat “melacak aktivitas Anda di seluruh aplikasi dan situs perusahaan lain”. Orang yang tidak setuju akan melihat lebih sedikit iklan yang dipersonalisasi. Dan begitu pengguna membuat pilihan, mereka dapat merubah pikiran melalui menu setting.

Apple (AAPL) juga menambahkan label baru pada bulan Desember ke App Store-nya yang menjelaskan jenis data pengguna yang dikumpulkan dan dibagikan untuk setiap aplikasi, mulai dari informasi keuangan dan lokasi hingga riwayat penelusuran dan pembelian.

Selengkapnya: CNN

Login untuk 1,3 juta server Windows RDP dikumpulkan dari pasar peretas

April 22, 2021 by Winnie the Pooh

Nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan yang secara historis dikompromikan telah dibocorkan oleh UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri.

Dengan kebocoran besar-besaran kredensial akses jarak jauh yang disusupi ini, para peneliti, untuk pertama kalinya, melihat sekilas ekonomi kejahatan dunia maya yang ramai dan dapat menggunakan data tersebut untuk mengakhiri serangan siber sebelumnya.

Admin jaringan juga akan mendapatkan keuntungan dari layanan baru yang diluncurkan oleh perusahaan keamanan siber Advanced Intel yang disebut RDPwned yang memungkinkan organisasi untuk memeriksa apakah kredensial RDP mereka telah dijual di pasar.

UAS, atau ‘Ultimate Anonymity Services,’ adalah pasar yang menjual kredensial masuk Windows Remote Desktop, Nomor Jaminan Sosial yang dicuri, dan akses ke server proxy SOCKS.

Apa yang membuat UAS menonjol adalah bahwa ini adalah pasar terbesar, melakukan verifikasi manual kredensial akun RDP yang dijual, menawarkan dukungan pelanggan, dan memberikan tip tentang cara mempertahankan akses jarak jauh ke komputer yang disusupi.

Sejak Desember 2018, sekelompok peneliti keamanan memiliki akses rahasia ke database untuk pasar UAS dan diam-diam telah mengumpulkan kredensial RDP yang dijual selama hampir tiga tahun.

Database ini telah dibagikan dengan Advanced Intel’s Vitali Kremez, yang juga membagikan salinan yang telah disunting dengan BleepingComputer untuk ditinjau.

Setelah ditinaju, server RDP yang terdaftar berasal dari seluruh dunia, termasuk lembaga pemerintah dari enam puluh tiga negara, dengan Brasil, India, dan Amerika Serikat menjadi tiga teratas.

Vitali Kremez telah meluncurkan layanan baru bernama RDPwned yang memungkinkan perusahaan dan admin mereka untuk memeriksa apakah server mereka terdaftar dalam database.

Selengkapnya: Bleeping Computer

Peretas mengambil data dari 500 juta pengguna LinkedIn dan telah mempostingnya untuk dijual secara online

April 9, 2021 by Winnie the Pooh

Data dari 500 juta pengguna LinkedIn telah dihapus dan dijual secara online, menurut laporan dari Cyber News. Seorang juru bicara LinkedIn mengonfirmasi kepada Insider bahwa ada kumpulan data informasi publik yang diambil dari platform tersebut.

“Sementara kami masih menyelidiki masalah ini, kumpulan data yang diposting tampaknya menyertakan informasi yang dapat dilihat publik yang diambil dari LinkedIn digabungkan dengan data yang dikumpulkan dari situs web atau perusahaan lain,” kata juru bicara LinkedIn kepada Insider dalam sebuah pernyataan. “Scraping data anggota kami dari LinkedIn melanggar persyaratan layanan kami dan kami terus bekerja untuk melindungi anggota kami dan datanya.”

LinkedIn memiliki 740 juta pengguna, menurut situs webnya, jadi data yang dilaporkan dari 500 juta pengguna berarti sekitar dua pertiga dari basis pengguna platform dapat terpengaruh.

Data tersebut mencakup akun ID, nama lengkap, alamat email, nomor telepon, informasi tempat kerja, jenis kelamin, dan tautan ke akun media sosial lainnya.

Data tersebut telah diposting untuk dijual di forum peretas, dan penulis posting juga membocorkan sampel 2 juta catatan sebagai bukti konsep, menurut CyberNews. Peretas mencoba menjual kumpulan data dengan jumlah 4 digit, per outlet, dan berpotensi dalam bentuk bitcoin.

Paul Prudhomme, seorang analis di perusahaan intelijen keamanan IntSights, mengatakan kepada Insider bahwa data yang terungkap itu penting karena pelaku kejahatan dapat menggunakannya untuk menyerang perusahaan melalui informasi karyawan mereka.

Selengkapnya: Business Insider

Have I Been Pwned menambahkan pencarian untuk nomor telepon Facebook yang bocor

April 7, 2021 by Winnie the Pooh

Pengguna Facebook sekarang dapat menggunakan situs pemberitahuan pelanggaran data Have I Been Pwned untuk memeriksa apakah nomor telepon mereka terungkap dalam kebocoran data terbaru situs sosial tersebut.

Akhir pekan lalu, seorang pelaku ancaman merilis bocoran data berisi informasi bagi 533 juta pengguna Facebook. Informasi ini termasuk nomor telepon dan ID Facebook untuk hampir semua akun yang terbuka dan informasi opsional lainnya seperti nama, jenis kelamin, status hubungan, lokasi, pekerjaan, tanggal lahir, dan alamat email.

Data ini awalnya dikumpulkan pada 2019 dan dijual secara pribadi pada saat itu. Seiring waktu, data diperdagangkan dan dijual antara pelaku ancaman yang berbeda dengan harga yang lebih rendah dan lebih rendah sampai akhirnya dirilis secara gratis di forum peretas akhir pekan ini.

Ketika dirilis, data telah ditambahkan ke layanan pemberitahuan pelanggaran data Have I Been Pwned sehingga pengguna dapat mencari tahu apakah email mereka ada di kebocoran data Facebook.

Namun, komponen utama kebocoran ini adalah nomor telepon pengguna Facebook, bukan alamat email, dan oleh karena itu Have I Been Pwned tidak dapat secara akurat memberi tahu pengguna jika mereka terungkap dalam pelanggaran.

Untuk lebih akurat mengingatkan pengguna, Hunt telah memperbarui Have I Been Pwned sehingga pengguna sekarang dapat mencari nomor telepon mereka di situs tersebut untuk menentukan apakah kebocoran tersebut mengungkap info Facebook mereka.

Saat mencari nomor telepon, pengguna harus memasukkan kode negara mereka karena kebocoran data menyimpan nomor tersebut.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Data

Cookies Settings