Privacy

Polisi: Hacker Belanda Memperoleh Hampir Semua Data Pribadi Orang Austria

January 27, 2023 by Flamango

Seorang hacker belanda ditangkap pada November. Polisi mengatakan bahwa tersangka memperoleh dan menawarkan untuk dijual nama lengkap, alamat, dan tanggal lahir hampir semua orang di Austria.

Kira-kira penduduk Austria berjumlah 9,1 juta dan penyelidik mengonfirmasi bahwa 9 juta set data telah dikonfirmasi keasliannya. Hacker juga telah menjual kumpulan data serupa dari Italia, Belanda, dan Kolombia.

Polisi menambahkan bahwa kemungkinan orang tak dikenal diyakini telah membayar data yang tersedia secara bebas di internet.

Tersangka berusia 25 tahun itu ditangkap di sebuah apartemen Amsterdam, dikenal oleh polisi internasional dan sedang diselidiki oleh polisi Belanda dan otoritas kehakiman, kata polisi Austria.

Polisi tidak merinci konsekuensi keamanan data Austria.

Selengkapnya: REUTERS

DuoLingo Menyelidiki Posting Darkweb yang Menawarkan Data dari 2,6 Juta Akun

January 25, 2023 by Flamango

Platform pembelajaran bahasa DuoLingo mengatakan sedang menyelidiki posting di forum hacker yang menawarkan informasi tentang 2,6 juta akun pelanggan seharga $1.500.

Perwakilan perusahaan mengatakan mereka mengetahui postingan tersebut yang menawarkan email, nomor telepon, kursus yang diambil, dan informasi lain tentang bagaimana pelanggan menggunakan platform tersebut. Namun, tidak ada pelanggaran data.

Hacker memperoleh informasi dari pengikisan interface pemrograman aplikasi (API) yang terbuka dan memberikan sampel data dari 1.000 akun.

Basis data DuoLingo (tergores) telah terdaftar untuk dijual di forum hacker (FalconFeedsio)

Kasus DuoLingo ini adalah masalah luas yang memengaruhi banyak perusahaan teknologi terbesar yang sedang beroperasi.

Saat ini terdapat sejumlah tools yang memungkinkan orang mengikis API dan mengekstrak data dari situs web. Terkadang informasinya bersifat publik tetapi dalam banyak kasus terungkap melalui tautan ke situs lain.

Selengkapnya: The Record

200 aplikasi Android dan iOS Berbahaya Menguras Rekening Bank

January 25, 2023 by Flamango

Sejumlah 203 aplikasi iOS dan Android berbahaya pertama kali ditemukan oleh Kementerian Ekonomi dan Masyarakat Digital (DES) Thailand dan National Cyber Security Center (NCSC) Inggris.

DES memutuskan untuk memberitahu publik tentang aplikasi buruk ini di halaman Facebook-nya setelah ditemukan mencuri informasi pribadi, menguras rekening bank pengguna, mengambil kendali remote dari smartphone yang terinfeksi dan digunakan untuk melakukan pencurian identitas.

Aplikasi tersebut mencakup berbagai kategori mulai dari aplikasi obrolan, filter foto, keyboard khusus, dan pengonversi PDF. Semua aplikasi tersebut mengandung malware dan melakukan tindakan berbahaya lainnya setelah terinstal di smartphone.

Belum ada informasi lebih lanjut mengenai jenis malware mana yang disebarkan. DES dan NCSC bekerja sama dengan Google dan Apple untuk menghapus aplikasi ini dari toko aplikasi masing-masing.

Dihimbau kepada para pengguna smartphone untuk segera menghapus aplikasi berbahaya yang telah disebutkan disini.

Tindakan pencegahan untuk tetap aman adalah berhati-hati saat memasang perangkat lunak baru, selalu memeriksa ulasan dan peringkat aplikasi di toko terlebih dahulu sebelum mengunduh apa pun, memastikan bahwa Google Play Protect diaktifkan karena terus memindai aplikasi yang ada serta aplikasi baru yang Anda unduh untuk mencari malware.

Selengkapnya: tom’s guide

Datadog Memutar Kunci Penandatanganan RPM yang Diekspos di Peretasan CircleCI

January 19, 2023 by Flamango

Perusahaan keamanan cloud Datadog mengatakan bahwa salah satu kunci penandatanganan RPM GPG dan frasa sandinya telah terungkap selama pelanggaran keamanan CircleCI baru-baru ini.

Pengungkapan Datadog muncul setelah CircleCI mengungkapkan pada hari Jumat bahwa sistemnya dilanggar melalui laptop insinyur yang terinfeksi malware.

CircleCI pertama kali mengungkapkan Datadog mengalami insiden keamanan pada awal Januari dan memperingatkan semua pelanggan untuk merotasi rahasia dan token mereka.

Meskipun Datadog belum menemukan bukti bahwa kunci tersebut bocor atau disalahgunakan, perusahaan merilis versi baru RPM Agen 5 untuk CentOS/RHEL yang ditandatangani dengan kunci baru dan merilis skrip penginstalan Linux baru yang menghapus kunci yang terpengaruh dari file repo Datadog dan database RPM.

Repo Datadog Tidak Disusupi
Penyerang memang berhasil mencuri kunci penandatanganan dan membuat paket RPM berbahaya, namun mereka tidak akan dapat menggunakannya untuk menargetkan pelanggan perusahaan tidak memiliki akses ke repositori paket resmi.

Pelanggan disarankan untuk memastikan bahwa sistem mereka berhenti mempercayai kunci yang terpengaruh, menghapus kunci, dan memverifikasi apakah semua yang diinstal dibuat oleh Datadog menggunakan petunjuk yang tersedia di sini.

Selengkapnya: BleepingComputer

Pelanggaran Data Nissan Amerika Utara Disebabkan oleh Database Vendor-Exposed

January 18, 2023 by Flamango

Nissan North America telah mulai mengirimkan pemberitahuan pelanggaran data yang memberitahu pelanggan tentang pelanggaran di penyedia layanan pihak ketiga yang mengungkap informasi pelanggan.

Insiden yang membuat 17.998 pelanggan Nisan terkena dampak ini dilaporkan ke Kantor Kejaksaan Agung Maine pada Senin lalu.

Pihak ketiga telah menerima data pelanggan dari Nissan untuk digunakan dalam mengembangkan dan menguji solusi perangkat lunak untuk pembuat mobil tersebut, yang secara tidak sengaja terekspos karena database yang tidak terkonfigurasi dengan baik.

Nissan memastikan database yang terbuka telah diamankan dan meluncurkan penyelidikan internal. Kemudian, pada 26 September 2022 diverifikasi bahwa orang yang tidak berwenang kemungkinan telah mengakses data tersebut, berupa nama lengkap, tanggal lahir, dan nomor akun NMAC (akun keuangan Nissan), namun tidak menyertakan detail kartu kredit atau nomor Jaminan Sosial.

Nissan menawarkan keanggotaan satu tahun untuk layanan perlindungan melalui Experian bagi penerima pemberitahuan pelanggaran.

Pada Oktober 2022, Toyota mengalami insiden keamanan data serupa yang menyebabkan sejumlah 296.019 informasi pribadi pelanggan terungkap.

Insiden tersebut terjadi karena repositori GitHub yang berisi kunci akses ke database perusahaan dibiarkan terbuka untuk akses publik selama lima tahun.

Rupanya Nissan dan perusahaan mobil lainnya terbukti mengikuti praktik keamanan API yang buruk di aplikasi seluler dan portal online mereka, yang berpotensi menyebabkan pengambilalihan akun dan pemaparan informasi sensitif.

Selengkapnya: BleepingComputer

Apa itu Sertifikat Digital? Cara Menghentikan Peretas Mencuri Data Sensitif

January 16, 2023 by Flamango

Sertifikat digital adalah kredensial elektronik yang mengikat identitas pemilik sertifikat yang juga dapat memasangkan kunci enkripsi elektronik yang dapat bersifat publik dan pribadi. Ini terutama digunakan untuk mengenkripsi informasi tanda secara digital.

Pekerjaan utama sertifikat digital adalah memastikan konten kunci publik, milik entitas yang bermasalah.

Siapa yang dapat Menerbitkan Sertifikat Digital?
Setiap entitas memiliki kewenangan untuk membuat PKI sendiri dan dapat menerbitkan sertifikat digital. Tapi beberapa kasus, pendekatannya bisa diubah dan masuk akal.

Jenis Sertifikat Digital
Ada beberapa jenis sertifikat digital yang digunakan oleh browser web dan server web yaitu Validasi Domain (DV SSL), Wildcard SSL, Organization Validated (OV SSL), Extended Validation (EV SSL), Sertifikat Penandatanganan Kode, dan Sertifikasi Klien.

Fitur yang Bermanfaat dari Sertifikat Digital
Sertifikat digital menjadi penting karena serangan siber. Disini kita akan mendapatkan beberapa fitur sertifikat digital yang dapat membantu kita untuk mengurangi serangan cyber. Berikut beberapa fitur yang bermanfaat dari sertifikat digital yaitu Keamanan, Skalabilitas, Keaslian, Keandalan, dan Kepercayaan Publik.

Jenis Keamanan apa yang ditawarkan oleh Sertifikat Digital?
Sertifikat digital berfungsi sebagai langkah verifikasi yang terutama digunakan untuk mengirim data rahasia yang membutuhkan perlindungan. Manfaat dari penggunaan sertifikat digital yaitu berupa Kerahasiaan Data, Integritas Data, Manajemen Akses, dan Penerimaan Transaksi.

Dalam kemajuan teknologi yang diiringi tumbuhnya kejahatan dunia maya yang terus meningkat, sertifikat digital membantu organisasi untuk memiliki komunikasi yang aman dengan melakukan transaksi online.

Selengkapnya: Cyber Security News

Pengawas pemerintah menghabiskan $15.000 untuk Memecahkan Kata Sandi Agen Federal dalam Hitungan Menit

January 12, 2023 by Coffee Bean

Laporan oleh Kantor Inspektur Jenderal untuk Departemen Dalam Negeri, yang bertugas mengawasi badan eksekutif AS yang mengelola tanah federal negara, taman nasional, dan anggaran miliaran dolar, mengatakan bahwa ketergantungan departemen pada kata sandi sebagai satu-satunya cara untuk melindungi beberapa sistem terpentingnya dan akun pengguna karyawannya telah melawan hampir dua dekade pedoman keamanan siber pemerintah sendiri untuk mengamanatkan otentikasi dua faktor yang lebih kuat.

Disimpulkan bahwa kebijakan kata sandi yang buruk menempatkan departemen pada risiko pelanggaran yang dapat menyebabkan “kemungkinan tinggi” gangguan besar pada operasinya.

Kata sandi itu sendiri tidak selalu dicuri dalam bentuk yang dapat dibaca. Kata sandi yang Anda buat di situs web dan layanan online biasanya diacak dan disimpan sedemikian rupa sehingga tidak dapat dibaca oleh manusia — biasanya berupa rangkaian huruf dan angka yang tampak acak — sehingga kata sandi yang dicuri oleh malware atau pelanggaran data tidak dapat dengan mudah digunakan di peretasan lebih lanjut. Ini disebut hashing kata sandi.

staf pengawas mengatakan bahwa mengandalkan klaim bahwa kata sandi yang memenuhi persyaratan keamanan minimum departemen akan memakan waktu lebih dari seratus tahun untuk pulih menggunakan perangkat lunak peretas kata sandi yang tersedia telah menciptakan “rasa aman yang salah”

Singkatnya, pengawas menghabiskan kurang dari $ 15.000 untuk membangun rig peretas kata sandi.Pengawas juga memulihkan ratusan akun milik pegawai pemerintah senior dan akun lain dengan hak keamanan yang ditingkatkan untuk mengakses data dan sistem sensitif.

Rig peretas kata sandi juga mengandalkan sejumlah besar data yang dapat dibaca manusia untuk dibandingkan dengan kata sandi yang diacak. Menggunakan perangkat lunak open source dan tersedia secara bebas seperti Hashcat dapat membandingkan daftar kata dan frasa yang dapat dibaca dengan kata sandi hash.

Dalam tanggapannya, Departemen Dalam Negeri mengatakan setuju dengan sebagian besar temuan inspektur jenderal dan mengatakan “berkomitmen” untuk melaksanakan perintah eksekutif pemerintahan Biden yang mengarahkan lembaga federal untuk meningkatkan pertahanan keamanan siber mereka.

sumber : techcrunch

Pencuri Identitas Melewati Keamanan Experian untuk Melihat Laporan Kredit

January 12, 2023 by Flamango

Pencuri identitas telah mengeksploitasi kelemahan keamanan yang mencolok di situs web Experian, salah satu dari tiga biro pelaporan kredit konsumen. Biasanya, Experian mengharuskan mereka yang mencari salinan laporan kredit mereka berhasil menjawab beberapa pertanyaan pilihan ganda tentang riwayat keuangan mereka. Namun hingga akhir tahun 2022, situs web Experian memungkinkan siapapun untuk mengabaikan pertanyaan ini dan langsung membuka laporan konsumen.

Pada bulan Desember, Jenya Kushnir, peneliti keamanan yang tinggal di Ukraina Menemukan metode yang digunakan oleh pencuri identitas setelah menghabiskan waktu di Telegram yang didedikasikan untuk menguangkan identitas yang disusupi.

Penjahat mengetahui bahwa mereka dapat menipu Experian agar memberi mereka akses ke laporan kredit siapapun hanya dengan mengedit alamat yang ditampilkan di URL browser pada titik tertentu dalam proses verifikasi identitas Experian.

Pada tahun 2021 KrebsOnSecurity mengungkapkan bagaimana pencuri identitas mengeksploitasi lemahnya autentikasi pada halaman pengambilan PIN Experian untuk mencairkan file kredit konsumen dan disampaikan kabar bahwa API Experian mengungkap skor kredit kebanyakan orang Amerika.

Yang Bisa Anda Lakukan
Pertama adalah kesadaran mengenai apa yang dikatakan perusahaan dibelakang konsumen, kemudian dokumentasi dan ajukan perselisihan dengan biro kredit.

Jika Anda belum melakukannya, pertimbangkan menjadikan tahun 2023 sebagai tahun membekukan file kredit di tiga biro pelaporan utama, termasuk Experian, Equifax, dan TransUnion.

Pembekuan dapat dicairkan kapanpun saat ingin mengajukan kredit baru atau pekerjaan baru. Namun harap berhati-hati, biro bisa saja mengarahkan pembekuan ke layanan “kunci kredit”.

Selengkapnya: KrebsonSecurity

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Privacy

Cookies Settings