Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Google akan Membayar $29,5 Juta untuk Menyelesaikan Gugatan atas Pelacakan Lokasi Pengguna

by

Google telah setuju untuk membayar total $29,5 juta untuk menyelesaikan dua tuntutan hukum berbeda yang diajukan oleh Indiana dan Washington, D.C., atas praktik pelacakan lokasi yang “menipu”.

Google diharuskan membayar $ 9,5 juta ke D.C. dan $ 20 juta ke Indiana setelah negara bagian menggugat perusahaan tersebut atas tuduhan bahwa perusahaan melacak lokasi pengguna tanpa persetujuan tertulis dari mereka.

Penyelesaian menambah $391,5 juta yang disetujui Google untuk dibayarkan ke 40 negara bagian atas tuduhan serupa bulan lalu. Tuntutan hukum datang sebagai tanggapan atas pengungkapan pada tahun 2018 bahwa perusahaan internet terus melacak keberadaan pengguna di Android dan iOS melalui pengaturan Aktivitas Web & Aplikasi meskipun telah menonaktifkan opsi Riwayat Lokasi.

Tuntutan hukum tersebut didasarkan pada kebijakan produk yang sudah ketinggalan zaman dan telah meluncurkan sejumlah peningkatan privasi dan transparansi yang memungkinkan pengguna untuk menghapus otomatis data lokasi yang terkait dengan akun mereka.

Google juga dituduh menggunakan pola gelap untuk menipu pengguna melakukan tindakan yang melanggar privasi dan membagikan informasi tanpa sepengetahuan mereka.

Perusahaan diperintahkan untuk memberi tahu pengguna dengan Riwayat Lokasi dan Aktivitas Web & Aplikasi diaktifkan tentang apakah data lokasi dikumpulkan, di samping langkah-langkah yang dapat diambil pengguna untuk menonaktifkan pengaturan dan menghapus data.

Google menyatakan akan mulai memberikan informasi lebih detail mengenai kontrol Aktivitas Web & Aplikasi, selain meluncurkan pusat informasi dan toggle baru untuk mematikan pengaturan Riwayat Lokasi dan Aktivitas Web & Aplikasi dan menghapus data sebelumnya di “one simple flow”.

Mengingat tingkat pelacakan dan pengawasan yang luas yang dapat disematkan oleh perusahaan teknologi ke dalam produk mereka, merupakan hal wajar jika konsumen diberi tahu tentang betapa pentingnya data pengguna, termasuk informasi tentang setiap gerakan mereka, menurut Jaksa Agung D.C. Karl A. Racine.

Selengkapnya: The Hacker News

Layanan PPI PrivateLoader Ditemukan Mendistribusikan Info-Mencuri Malware RisePro

by

Layanan pengunduh malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader digunakan untuk mendistribusikan malware pencuri informasi yang didokumentasikan sebelumnya yang dijuluki RisePro.

Setelah menemukan beberapa set log yang diekstraksi menggunakan malware di pasar kejahatan dunia maya ilegal, Pasar Rusia, Flashpoint dapat melihat pencuri yang baru diidentifikasi pada 13 Desember lalu.

Malware RisePro dikatakan memiliki kesamaan dengan malware pencuri info lainnya yang disebut sebagai Vidar stealer, merupakan cabang dari pencuri dengan nama kode Arkei yang muncul pada tahun 2018.

Perusahaan Keamanan Siber, SEKOIA, merilis analisisnya terhadap RisePro, mengidentifikasi lebih lanjut sebagian kode sumber tumpang tindih dengan PrivateLoader. Proses identifikasi mencakup mekanisme pengacakan string, metode HTTP dan pengaturan port, dan metode penyamaran pesan HTTP.

PrivateLoader adalah layanan unduhan yang memungkinkan pelanggannya mengirimkan muatan berbahaya ke host target.

Malware Wireshark

Tidak berbeda dengan pencuri lainnya, RisePro mampu mencuri berbagai data dari sebanyak 36 browser web, termasuk cookie, kata sandi, kartu kredit, dompet crypto, serta mengumpulkan file yang menarik dan memuat lebih banyak muatan.

Pengembang malware menyediakan saluran telegram untuk saranapelaku kriminal berinteraksi dengan sistem terinfeksi. Begitu pula dengan RisePro yang juga menawarkan data curiannya di telegram.

Belum diketahui jelas penulis RisePro, entah sekelompok pelaku ancaman yang sama di balik PrivateLoader, dan apakah RisePro dibundel secara eksklusif bersama dengan layanan PPI.

Selengkapnya: The Hacker News

Google membuat alat privasi pengaburan video internalnya menjadi sumber terbuka

by

Google telah mengumumkan bahwa dua dari teknologi peningkatan privasi (PET) terbarunya, termasuk yang mengaburkan objek dalam video, akan diberikan kepada siapa saja secara gratis melalui sumber terbuka. Alat baru tersebut merupakan bagian dari inisiatif Protected Computing Google yang dirancang untuk mengubah “bagaimana, kapan dan di mana data diproses untuk memastikan privasi dan keamanannya secara teknis,” kata perusahaan itu.

Yang pertama adalah proyek internal yang disebut Magritte, sekarang keluar di Github, yang menggunakan pembelajaran mesin untuk mendeteksi objek dan menerapkan kekaburan segera setelah muncul di layar. Itu dapat menyamarkan objek sewenang-wenang seperti plat nomor, tato, dan lainnya.

“Kode ini sangat berguna bagi jurnalis video yang ingin memberikan jaminan privasi yang lebih tinggi,” tulis Google dalam blognya. “Dengan menggunakan kode sumber terbuka ini, videografer dapat menghemat waktu dalam memburamkan objek dari video, sembari mengetahui bahwa algoritme ML yang mendasarinya dapat melakukan deteksi di seluruh video dengan akurasi tinggi.”

Yang lainnya dengan nama berat “Fully Homomorphic Encryption (FHE) Transpiler, memungkinkan pengembang untuk melakukan perhitungan pada data terenkripsi tanpa dapat mengakses informasi identitas pribadi. Google mengatakan itu dapat membantu industri seperti layanan keuangan, perawatan kesehatan, dan pemerintah, “di mana kekuatan jaminan keamanan seputar pemrosesan data sensitif adalah yang paling penting.”

Google mencatat bahwa PET mulai memasuki arus utama setelah sebagian besar merupakan latihan akademis. Gedung Putih baru-baru ini menggembar-gemborkan teknologi tersebut, dengan mengatakan “itu akan memungkinkan para peneliti, dokter, dan akses yang diizinkan lainnya untuk mendapatkan wawasan dari data sensitif tanpa pernah memiliki akses ke data itu sendiri.”

Google mencatat bahwa pemerintah AS dan Inggris mengadakan kontes tahun ini untuk mengembangkan solusi PET seputar kejahatan keuangan dan keadaan darurat kesehatan masyarakat.

Selengkapnya: engadget

DuckDuckGo Saat Ini Memblokir Pop-up Google Sign-in di Semua Situs

by

Aplikasi dan ekstensi DuckDuckGo saat ini memblokir pop-up Google Sign-in di semua aplikasi dan ekstensi browsernya, menghapus semua yang dianggap sebagai gangguan dan risiko privasi bagi penggunanya.

DuckDuckGo menawarkan mesin pencari yang berfokus pada privasi, layanan email, aplikasi seluler, dan ekstensi browser yang melindungi data. Perusahaan ini mengumumkan bahwa semua aplikasi dan ekstensi peramban Chrome, Firefox, Brave, dan Microsoft Edge sekarang akan secara aktif memblokir permintaan masuk Google yang ditampilkan di situs.

Google menawarkan opsi masuk tunggal di situs web untuk memungkinkan pengguna masuk dengan cepat ke platform baru menggunakan akun Google mereka untuk kenyamanan. Pengguna cukup masuk dengan Google saat opsi tersedia dan tidak perlu membuat akun baru lagi. Kelemahannya adalah situs web dan aplikasi yang digunakan pengguna untuk masuk dapat dilacak oleh Google.

Hasil pengawasan DuckDuckGo menunjukkan bahwa Google masih mengumpulkan data di situs yang masuk dengan Google. Misalnya, diinvestasi.com, banyak permintaan dibuat ke https://securepubads.g.doubleclick.net/gampad/ads.

Cookie menyedot data pengguna (kiri) dan diblokir (kanan) (DuckDuckGo)

Karena dirasa ini adalah risiko privasi, DuckDuckGo terpaksa mengambil pendekatan agresif dengan memblokir permintaan masuk Google, tidak pernah memberi pengguna opsi untuk menerima tawaran raksasa teknologi itu.

Hal yang sama juga berlaku untuk browser DuckDuckGo di macOS. Fitur pemblokiran Google dibangun ke dalam “Perlindungan”, dan tidak ada opsi untuk menonaktifkannya kecuali Anda menonaktifkan semua perlindungan privasi.

Browser DuckDuckGo di macOS, perlindungan diatur ke aktif (kiri) dan nonaktif (kanan) (BleepingComputer)

Perubahan DuckDuckGo untuk memblokir dugaan ancaman privasi kemungkinan akan menyebabkan masalah yang menggunakan masuk Google di situs web karena mereka tidak lagi dapat masuk.

Selengkapnya: BLEEPINGCOMPUTER

Peretas Mencuri Brankas Kata Sandi LastPass Terenkripsi, Tim The Verge Baru Saja Mendengarnya

by

Bulan lalu, perusahaan mengumumkan bahwa pelaku ancaman telah mengakses elemen tertentu dari informasi pelanggan. Sama seperti banyak pekerja AS yang pergi untuk liburan, perusahaan mengungkapkan itu berarti kata sandi terenkripsi mereka.

LastPass adalah salah satu aplikasi penyimpan dan pengaturan kata sandi yang populer. Baru-baru in LastPass mengumumkan pelanggaran data, yaitu peretas dapat menyalin cadangan data brankas pelanggan. LastPass berjanji untuk menyimpan semua kata sandi di satu tempat aman.

Pengguna yang masih memiliki akun untuk menyimpan kata sandi dan informasi sign-in di LastPass, kemungkinan besar sudah di tangan peretas. Perusahaan memastikan bahwa kata sandi akan aman jika tersusun dari kata sandi utama yang kuat sesuai anjuran dan secara berkala mengubah kata sandi situs web yang telah disimpan.

Pada bulan Agustus, LastPass mendapatkan kabar bahwa data pengguna telah diakses, namun tidak mempercayainya. Kemudian pada bulan November, LastPass mendeteksi gangguan dan tampaknya mengandalkan informasi yang dicuri dalam insiden Agustus.

CEO LastPass, Karim Toubba, mengatakan bahwa aktor jahat hanya bisa mendapatkan data terenkripsi dan karena itu, kata sandi utama haruslah bagus. Sangat sulit untuk mencoba memaksa menebak kata sandi utama tetapi tetap dapat dicoba untuk membukanya dengan menebak kata sandi acak atau brute-forcing. LastPass mengatakan tidak pernah memiliki akses ke kata sandi utama.

Data yang tidak terenkripsi dapat memberikan peretas petunjuk tentang situs web mana yang terdapat akun si target. Jika peretas menargetkan pengguna tertentu, hal itu dapat menjadi informasi kuat jika digabungkan dengan phishing atau jenis serangan lainnya.

Pengumuman ini muncul tiga hari sebelum natal, saat dimana banyak departemen IT akan berlibur dan orang cenderung kurang memperhatikan pengelolaan pembaruan kata sandi mereka.

Menurut Toubba, perusahaan mengambil segala macam tindakan pencegahan sebagai akibat dari pelanggaran awal dan pelanggaran sekunder yang mengungkap cadangan, termasuk menambahkan lebih banyak pencatatan untuk mendeteksi aktivitas mencurigakan di masa mendatang, membangun kembali lingkungan pengembangannya, merotasi kredensial, dan banyak lagi.

Selengkapnya: The Verge+

FTC Mendenda Pembuat Fortnite Epic Games $520 Juta Atas Privasi Anak-Anak dan Biaya Toko Barang

by

Komisi Perdagangan Federal (FTC) mengumumkan pada Senin pagi bahwa mereka akan menagih Epic Games dengan penyelesaian $520 juta atas tuduhan terkait privasi anak-anak. Epic Games, yang membuat game segala usia yang populer seperti “Fortnite” dan “Fall Guys,” diduga melanggar Undang-Undang Perlindungan Privasi Daring Anak (COPPA) dengan menerapkan trik desain, yang dikenal sebagai pola gelap untuk menipu jutaan pemain agar melakukan pembelian yang tidak disengaja, menurut FTC dalam siaran pers.

Denda yang dibayarkan terbagi menjadi dua, yaitu denda COPPA $275 juta dan FTC denda Epic $245 juta untuk mengembalikan uang pelanggan atas apa yang disebutnya pola gelap dan praktik penagihan.

FTC juga mempermasalahkan Epic terkait fitur teks langsung dan komunikasi suara default mereka. Hal ini diklaim FTC bahwa anak-anak terkena pelecehan, terpapar pada intimidasi, ancaman, pelecehan, dan masalah trauma psikologis saat bermain game.

Epic menanggapi berbagai tudingan dengan menunjuk ke fitur baru yang diluncurkan awal bulan ini yang disebut Cabined Accounts. Jika seorang pemain yang mendaftar masih dibawah batas usia persetujuan digital negara mereka, maka fitur obrolan dan pembelian akan dinonaktifkan. Orang tua mereka akan diberitahu melalui email dan dapat menyesuaikan pengaturan anak mereka jika mereka mau, apabila seorang anak mendaftar.

Dalam dua tahun terakhir, Epic telah mengumpulkan modal ventura lebih dari $3 miliar, terakhir dengan valuasi $31,5 miliar. Bersama dengan Lego, yang perusahaan induknya menginvestasikan $1 miliar, Epic sedang berupaya membangun metaverse ramah anak.

Epic juga terlibat dalam gugatan dengan Apple, mereka menentang kebijakan Apple yang dapat menghapus produk dari iOS App Store jika aplikasi mengalihkan pelanggan untuk membayar di dalam aplikasi, yang memberi Apple potongan 30%.

Selengkapnya: TechCrunch+

Epic Games Membayar $520 Juta Untuk Pelanggaran Privasi, Pola Gelap

by

Federal Trade Commission (FTC) mengatakan Epic Games, pembuat Fortnite, akan membayar $520 juta untuk menyelesaikan tuduhan pelanggaran undang-undang privasi anak-anak dan menggunakan pola gelap untuk mengelabui jutaan pemain agar melakukan pembelian dalam game yang tidak disengaja.

Pembayaran tersebut terdiri dari denda $275 juta yang memecahkan rekor karena melanggar Peraturan COPPA dan pengembalian dana sebesar $245 juta untuk konsumen yang terpengaruh oleh praktik penagihan dan pola gelap Epic.

FTC menuduh pencipta Fortnite melanggar COPPA (Undang-Undang Perlindungan Privasi Daring Anak-anak) dengan mengambil informasi pribadi dari pemain Fortnite di bawah 13 tahun tanpa memberi tahu atau mendapatkan persetujuan yang dapat diverifikasi dari orang tua mereka.

Keputusan Epic untuk mengaktifkan komunikasi suara dan teks real-time secara default untuk anak-anak dan remaja ini diduga menempatkan mereka pada risiko perundungan, pelecehan, dan bentuk bahaya lainnya.

Selain hukuman perdata $275 juta, Epic juga diminta untuk membuat komunikasi teks dan suara di Fortnite sebagai fitur opt-in untuk anak-anak dan remaja yang hanya dapat diaktifkan dengan persetujuan afirmatif orang tua melalui a pengaturan Privasi.


Jutaan Gamer yang Dibebankan Secara Salah
Dalam sebuah keluhan administratif terpisah, FTC juga menuduh Epic menggunakan pola gelap untuk menipu pemain Fortnite, termasuk anak-anak dan remaja, untuk melakukan pembelian dalam game yang tidak diinginkan.

Beberapa pola gelap yang digunakan untuk mencapai hal ini termasuk berbagai permintaan pembelian yang membingungkan dan penawaran menyesatkan yang mengarahkan para pemain melakukan pembelian yang tidak ingin mereka lakukan.

Perusahaan juga diduga menagih pemegang akun sebanyak ratusan dollar tanpa otorisasi dan mengunci akun pemain setelah mereka membantah tuduhan tidak sah.

Selain harus membayar denda, Epic juga dilarang memblokir akses pemain ke akun mereka setelah mereka membantah biaya yang tidak sah.

Pembuat Fortnite Membuat Perubahan Privasi dan Pembayaran
Epic Games mengeluarkan pernyataan bahwa mereka telah meningkatkan pengaturan privasi default Fortnite untuk mematuhi aturan FTC dan mengubah alur pembayaran untuk mencegah biaya yang tidak diinginkan.

Selengkapnya: BLEEPINGCOMPUTER

Peretas membocorkan info pribadi yang diduga dicuri dari 5,7 juta pengguna Gemini

by

Pertukaran crypto Gemini mengumumkan minggu ini bahwa pelanggan menjadi sasaran dalam kampanye phishing setelah aktor ancaman mengumpulkan informasi pribadi mereka dari vendor pihak ketiga.

Pemberitahuan tersebut muncul setelah beberapa postingan di forum peretas yang dilihat oleh BleepingComputer menawarkan untuk menjual database yang diduga dari Gemini yang berisi nomor telepon dan alamat email dari 5,7 juta pengguna.

Tim keamanan produk Gemini menerbitkan pemberitahuan singkat bahwa vendor pihak ketiga yang tidak disebutkan namanya mengalami “insiden” yang memungkinkan pelaku tidak sah mengumpulkan alamat email dan nomor telepon tidak lengkap milik beberapa pelanggan Gemini.

Akibat pelanggaran tersebut, pelanggan pertukaran crypto menerima email phishing. Tujuan penyerang belum diungkapkan tetapi akses ke akun dan informasi keuangan seperti itu biasanya yang diincar oleh pelaku ancaman.

Dalam laporan singkatnya, Gemini menggarisbawahi bahwa informasi akun dan sistemnya tidak terpengaruh dan dana serta akun pelanggan “tetap aman”.

Pemberitahuan tersebut muncul setelah beberapa postingan di forum peretas menawarkan untuk menjual database yang diduga dari Gemini yang berisi nomor telepon dan alamat email dari 5,7 juta pengguna.

Upaya awal untuk memonetisasi database dilakukan pada bulan September. Penulis tidak menyebutkan seberapa segar info tersebut tetapi meminta 30 bitcoin (sekitar $520.000 dengan nilai tukar saat ini).

Selengkapnya: Bleeping Computer