Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Security Breach

Security Breach

Kodi Mengungkapkan Pelanggaran Data Setelah Database Forum Untuk Dijual Secara Online

by

Yayasan Kodi telah mengungkapkan pelanggaran data setelah peretas mencuri basis data forum MyBB organisasi yang berisi data pengguna dan pesan pribadi dan berusaha menjualnya secara online.

Kodi adalah pemutar media, penyelenggara, dan suite streaming sumber terbuka lintas platform, yang mendukung beragam add-on pihak ketiga yang memungkinkan pengguna untuk mengakses konten dari berbagai sumber atau menyesuaikan pengalaman mereka.

Forum Kodi yang sekarang ditutup memiliki sekitar 401.000 anggota yang menggunakannya untuk membahas streaming media, bertukar tip, menawarkan dukungan, berbagi add-on baru, dan lebih banyak lagi dalam 3 juta postingan.

Tim Kodi mengatakan mereka mengungkapkan pelanggaran tersebut setelah mengetahui bahwa peretas menjual database yang dicuri secara online.

Basis data Kodi untuk dijual di forum peretasan yang dilanggar

Penjualnya, Amius, mengaku menjual database dump pada 15 Februari 2023, berisi informasi untuk 400.314 anggota forum Kodi, termasuk informasi untuk “banyak reseller iptv”.

Penjual menerima penawaran secara pribadi melalui Telegram, jadi tidak ada informasi tentang biaya database.

Situs Pelanggaran ditutup setelah pendiri dan pemiliknya, Pompompurin, ditangkap oleh FBI.

Basis data yang dicuri berisi semua posting forum publik, posting forum staf, pesan pribadi yang dikirim antara pengguna, dan data anggota forum, termasuk nama pengguna, alamat email, dan kata sandi terenkripsi (hash dan salted) yang dihasilkan oleh perangkat lunak MyBB (v1.8.27).

Sementara admin lain yang dikenal sebagai Baphomet berusaha menjaga agar situs tetap beroperasi, mereka kemudian menutupnya karena takut penegak hukum memiliki akses ke server.

selengkapnya : bleepingcomputer.com

Keluar dari TikTok, Sky News Australia: Risiko Keamanan ‘Terlalu Besar’ untuk Media

by

Penyiar Australia Sky News telah meninggalkan TikTok karena masalah keamanan Beijing yang terlalu besar, yang menyebabkan beberapa pemerintah Barat melarang aplikasi video pada perangkat yang digunakan oleh pejabat.

Sky News Australia adalah milik News Corp (NWSA) Rupert Murdoch, merupakan entitas terpisah dari penyiar Inggris Sky News, yang dimiliki oleh Sky Group, sebuah divisi dari konglomerat AS Comcast (CCZ).

TikTok merupakan jaringan mata-mata yang menyamar sebagai platform media sosial yang telah terbukti mencuri data jurnalis, warga negara, dan politisi secara ilegal.

Houghton menambahkan bahwa pihaknya mendesak (organisasi media) untuk mempertimbangkan dilema ini dan berhenti memperdagangkan keamanan dan integritas untuk beberapa pandangan yang tidak berharga.

Kekhawatiran lebih luas dikemukakan oleh para ahli di seluruh dunia bahwa TikTok menghadirkan risiko keamanan karena banyaknya data yang dikumpulkannya dari jutaan pengguna, dan kerentanannya terhadap potensi gangguan dari pemerintah China, yang memiliki pengaruh besar terhadap bisnis di yurisdiksinya.

Larangan Pemerintah
Amerika Serikat dan negara-negara Barat lainnya telah melarang aplikasi tersebut di perangkat pemerintah.

TikTok telah berulang kali membantah memiliki kaitan dengan Beijing, dan CEO perusahaan Shou Chew baru-baru ini mengatakan pada sidang kongres AS bahwa dia tidak melihat bukti bahwa pemerintah China memiliki akses ke data pengguna dan tidak pernah memintanya.

Sementara sejumlah pemerintah telah menghapus TikTok dari ponsel karyawannya, sebagian besar perusahaan berita besar belum mengikuti.

Dikenal sebagai saluran dengan komentar konservatifnya dan tahun lalu digambarkan dalam sebuah laporan oleh lembaga pemikir Inggris Institute for Strategic Dialogue. Sebelum menghapus akunnya, Houghton Sky News Australia memiliki 65.000 pengikut dan jutaan penayangan video.

Selengkapnya: CNN Business

Samsung Galaxy S22 diretas dua kali pada hari pertama Pwn2Own Toronto

by

Para kontestan telah meretas smartphone Samsung Galaxy S22 dua kali selama hari pertama kompetisi peretasan Pwn2Own Toronto 2022, edisi ke-10 dari acara yang berfokus pada konsumen.

Kontestan lain, Chim, juga mendemonstrasikan eksploitasi sukses yang menargetkan Samsung Galaxy S22 dan mampu melakukan serangan validasi masukan yang tidak tepat dan menghasilkan $25.000 (50% dari hadiah untuk putaran kedua penargetan perangkat yang sama) dan 5 poin Master of Pwn.

“Untuk putaran kedua dan selanjutnya pada setiap target, semua pemenang lainnya akan menerima 50% dari paket hadiah, namun mereka tetap akan mendapatkan poin Master of Pwn penuh.”

Menurut aturan kontes, dalam kedua kasus tersebut, perangkat Galaxy S22 menjalankan sistem operasi Android versi terbaru dengan semua pembaruan yang tersedia terpasang.

Selama hari pertama kompetisi ini, kontestan juga berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di printer dan router dari berbagai vendor, termasuk Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology, dan HP.

Kontes diperpanjang hingga empat hari
Selama acara peretasan Pwn2Own Toronto 2022 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peneliti keamanan dapat menargetkan ponsel, hub otomasi rumah, printer, router nirkabel, penyimpanan yang terhubung ke jaringan, speaker cerdas, dan perangkat lain, semuanya aktif sampai saat ini dan dalam konfigurasi default mereka.

Mereka dapat memenangkan hadiah tertinggi dalam kategori ponsel, dengan hadiah uang tunai hingga $200.000 untuk meretas smartphone Google Pixel 6 dan Apple iPhone 13.

Meretas perangkat Google dan Apple juga dapat memberikan bonus $50.000 jika eksploit dijalankan dengan hak istimewa tingkat kernel, menjadikan penghargaan maksimum untuk satu tantangan menjadi total $250.000 untuk rantai eksploitasi penuh dengan akses tingkat kernel.

Pwn2Own Toronto 2022 – Papan peringkat hari pertama (ZDI)

sumber : bleeping computer

Aplikasi dengan lebih dari 3 juta pemasangan membocorkan kunci API pencarian ‘Admin’

by

Para peneliti menemukan 1.550 aplikasi seluler membocorkan kunci API Algolia. Dari aplikasi tersebut, 32 diantaranya mengungkapkan rahasia admin, termasuk 57 kunci admin, memberi penyerang cara untuk mengakses informasi pengguna yang sensitif atau mengubah catatan dan pengaturan indeks aplikasi.

Penemuan eksposur ini berasal dari perusahaan keamanan siber yang berbasis di Singapura, CloudSEK.

Algolia API (Application Program Interface) adalah platform berpemilik untuk mengintegrasikan mesin telusur dengan fitur penemuan dan rekomendasi di situs web dan aplikasi yang digunakan oleh lebih dari 11.000 perusahaan.

Sistem menggunakan lima kunci API untuk Admin, Penelusuran, Pemantauan, Penggunaan, dan Analitik. Dari kunci tersebut, hanya Penelusuran yang dimaksudkan untuk publik dan tersedia di kode front-end, membantu pengguna melakukan kueri penelusuran di aplikasi.

Kunci Pemantauan memberi admin gambaran sekilas tentang status kluster mereka, Penggunaan dan Analitik memberikan statistik penggunaan, sedangkan kunci Admin menawarkan akses ke empat layanan kunci API lainnya, serta yang berikut ini:

  • Telusuri/Hapus indeks
  • Tambah/Hapus catatan
  • Daftar indeks
  • Atur pengaturan indeks
  • Log akses
  • Atribut yang tidak dapat diperbaiki

Menyalahgunakan layanan di atas dapat mengekspos data yang berisi perangkat pengguna dan detail akses jaringan, statistik penggunaan, log pencarian, dan manipulasi informasi terkait.

Pemindai otomatis CloudSEK menemukan bahwa 1.550 aplikasi membocorkan kunci Algolia API dan ID aplikasi, mempertaruhkan akses tidak sah ke informasi internal.

32 aplikasi yang membocorkan kunci Admin API lebih kritis, karena mereka mengekspos penggunanya ke risiko kebocoran data dan database ke modifikasi berbahaya yang dapat menimbulkan kerugian bisnis.

Aplikasi yang memperlihatkan kunci Algolia Admin API memiliki sekitar 3.250.000, dengan beberapa aplikasi masing-masing memiliki lebih dari satu juta unduhan.

Kategori yang paling rentan terkena kunci adalah aplikasi belanja, yang diunduh secara kolektif sebanyak 2,3 juta kali. Sedangkan kategori lain termasuk aplikasi berita, makanan dan minuman, pendidikan, kebugaran, fotografi, gaya hidup, produktivitas, medis, dan aplikasi bisnis, diunduh secara kolektif lebih dari 950.000 kali.

Sumber: Bleeping Computer

Influencer ‘Hushpuppi’ mendapat 11 tahun penjara karena penipuan dunia maya

by

Nama asli Nigeria berusia 40 tahun adalah Ramon Olorunwa Abbas, dan diperintahkan untuk membayar ganti rugi sebesar $ 1.732.841 kepada dua korban dikonfirmasi, sebuah firma hukum di AS dan seorang pengusaha di Qatar.

Meskipun tidak semua penipuan berhasil menipu target, Departemen Kehakiman AS mengatakan Abbas mengakui kepada jaksa bahwa selama 18 bulan, antara 2019 dan 2022, ia berkonspirasi untuk mencuci lebih dari $300 juta.

“Ramon Abbas, alias ‘Hushpuppi,’ menargetkan korban Amerika dan internasional, menjadi salah satu pencuci uang paling produktif di dunia,” kata Don Alway, Asisten Direktur yang Bertanggung Jawab Kantor Lapangan FBI di Los Angeles.

Hasil yang diperoleh Abbas dari kegiatan ini membantunya membangun persona di Instagram dengan memamerkan gaya hidup mewah, di mana ia memperoleh status influencer, yang selanjutnya membantu serangan rekayasa sosial terhadap target.

Abbas akhirnya ditangkap di Dubai, UEA, pada Juni 2020 dan mengaku bersalah atas tuduhan pencucian uang pada April 2021.

Pengumuman DoJ menggambarkan beberapa contoh percobaan penipuan yang dilakukan Abbas, dirangkum di bawah ini:

Januari 2019 – ditawarkan untuk mencuci $14,7 juta yang dicuri oleh peretas Korea Utara dalam perampokan siber bank Malta, mengarahkan jumlah tersebut melalui rekening di Rumania dan Bulgaria.

Mei 2019 – mencuci jutaan pound yang dicuri dari klub sepak bola (sepak bola) profesional di Inggris, menggunakan rekening bank Meksiko.

Oktober 2019 – menipu firma hukum yang berbasis di New York untuk mengirim $922.857 ke akun di bawah kendali seorang konspirator.

Alaumary diperintahkan untuk membayar ganti rugi lebih dari $30.000.000, yang menunjukkan bahwa ia memegang peran yang lebih sentral dalam skema tersebut, sebagai penerima utama dana yang dicuri.

sumber : bleeping computer

Pelanggaran software maker digunakan untuk backdoor sebanyak 200.000 server

by

Fishpig software maker e-commerce yang berbasis di Inggris dan digunakan oleh sebanyak 200.000 situs web, mendesak pelanggan untuk menginstal ulang atau memperbarui semua ekstensi program yang ada setelah menemukan pelanggaran keamanan pada server distribusinya yang memungkinkan para penjahat diam-diam melakukan backdoor sistem pelanggan.

Pelaku ancaman yang tidak dikenal menggunakan kendali mereka atas sistem FishPig untuk melakukan serangan rantai pasokan yang menginfeksi sistem pelanggan dengan Rekoobe, Backdoor canggih yang ditemukan pada bulan Juni.

Rekoobe menyamar sebagai server SMTP jinak dan dapat diaktifkan dengan perintah rahasia yang terkait dengan penanganan perintah startTLS dari penyerang melalui Internet. Setelah diaktifkan, Rekoobe menyediakan shell terbalik yang memungkinkan aktor ancaman untuk mengeluarkan perintah dari jarak jauh ke server yang terinfeksi.

FishPig adalah penjual integrasi Magento-WordPress. Magento adalah platform e-commerce open source yang digunakan untuk mengembangkan pasar online.

Tideswell mengatakan komitmen perangkat lunak terakhir yang dibuat ke servernya yang tidak menyertakan kode berbahaya dibuat pada 6 Agustus, membuat tanggal sedini mungkin kemungkinan terjadinya pelanggaran. Sansec, perusahaan keamanan yang menemukan pelanggaran dan pertama kali melaporkannya, mengatakan penyusupan itu dimulai pada atau sebelum 19 Agustus.

Tideswell mengatakan FishPig telah “mengirim email ke semua orang yang telah mengunduh sesuatu dari FishPig.co.uk dalam 12 minggu terakhir memperingatkan mereka atas apa yang terjadi.”

Dalam pengungkapan yang diterbitkan setelah Sansec advisory ditayangkan, FishPig mengatakan bahwa penyusup menggunakan akses mereka untuk menyuntikkan kode PHP berbahaya ke dalam file Helper/License.php yang disertakan di sebagian besar ekstensi FishPig.

Setelah diluncurkan, Rekoobe menghapus semua file malware dari disk dan hanya berjalan di memori. Untuk bersembunyi lebih lanjut, ia bersembunyi sebagai proses sistem yang mencoba meniru salah satu dari berikut ini:

/usr/sbin/cron -f
/sbin/udevd -d
crond
auditd
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –system
/sbin/init
/usr/sbin/chronyd
/usr/libexec/postfix/master
/usr/lib/packagekit/packagekitd

Backdoor kemudian menunggu perintah dari server yang terletak di 46.183.217.2. Perusahaan keamanan mencurigai bahwa pelaku ancaman mungkin berencana untuk menjual akses ke toko yang terkena dampak secara massal di forum peretasan.

Baik Sansec dan FishPig mengatakan pelanggan harus berasumsi bahwa semua modul atau ekstensi terinfeksi. FishPig merekomendasikan pengguna untuk segera memutakhirkan semua modul FishPig atau menginstalnya kembali dari sumber untuk memastikan tidak ada kode yang terinfeksi yang tersisa. Langkah-langkah khusus meliputi:

Instal Ulang Ekstensi FishPig (Pertahankan Versi)
rm -rf vendor/fishpig && composer clear-cache && composer install –no-cache
Tingkatkan Ekstensi FishPig
rm -rf vendor/fishpig && composer clear-cache && composer update fishpig/* –no-cache
Hapus File Trojan
Jalankan perintah di bawah ini dan kemudian restart server Anda.
rm -rf /tmp/.varnish7684

Sansec menyarankan pelanggan untuk menonaktifkan sementara ekstensi Fishpig berbayar, menjalankan pemindai malware sisi server untuk mendeteksi malware yang diinstal atau aktivitas tidak sah, dan kemudian memulai ulang server untuk menghentikan proses latar belakang yang tidak sah.

Selengkapnya : Arstechnica

Sistem pengembang LastPass diretas untuk mencuri kode sumber

by

Perusahaan pengelola kata sandi LastPass diretas dua minggu lalu, memungkinkan pelaku ancaman mencuri kode sumber dan informasi teknis milik perusahaan.

Sumber mengatakan bahwa karyawan berebut untuk menahan serangan setelah LastPass dilanggar.

Setelah mengirimkan pertanyaan tentang serangan itu, LastPass merilis peringatan keamanan hari ini yang mengonfirmasi bahwa itu dilanggar melalui akun pengembang yang disusupi yang digunakan peretas untuk mengakses lingkungan pengembang perusahaan.

Sementara LastPass mengatakan tidak ada bukti bahwa data pelanggan atau brankas kata sandi terenkripsi telah disusupi, pelaku ancaman memang mencuri bagian dari kode sumber mereka dan “informasi teknis hak milik LastPass.”

LastPass belum memberikan perincian lebih lanjut mengenai serangan itu, bagaimana pelaku ancaman menyusup ke akun pengembang, dan kode sumber apa yang dicuri.

Penasihat keamanan LastPass dikirim melalui email ke pelanggan

LastPass adalah salah satu perusahaan pengelola kata sandi terbesar di dunia, mengklaim telah digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis.

Karena konsumen dan bisnis menggunakan perangkat lunak perusahaan untuk menyimpan kata sandi mereka dengan aman, selalu ada kekhawatiran bahwa jika perusahaan diretas, itu dapat memungkinkan pelaku ancaman mengakses kata sandi yang disimpan.

Namun, LastPass menyimpan kata sandi di ‘lemari terenkripsi’ yang hanya dapat didekripsi menggunakan kata sandi utama pelanggan, yang menurut LastPass tidak dikompromikan dalam serangan siber ini.

Tahun lalu, LastPass mengalami serangan isian kredensial yang memungkinkan pelaku ancaman mengonfirmasi kata sandi utama pengguna. Juga terungkap bahwa kata sandi master LastPass dicuri oleh pelaku ancaman yang mendistribusikan malware pencuri kata sandi RedLine.

Karena itu, sangat penting untuk mengaktifkan otentikasi multi-faktor pada akun LastPass Anda sehingga pelaku ancaman tidak akan dapat mengakses akun Anda meskipun kata sandi Anda disusupi.

Sumber: Bleeping Computer

Lebih dari 9.000 Server VNC Terbuka Secara Online Tanpa Kata Sandi

by

Para peneliti telah menemukan setidaknya 9.000 titik akhir VNC (komputasi jaringan virtual) terbuka yang dapat diakses dan digunakan tanpa otentikasi, yang memungkinkan pelaku ancaman akses mudah ke jaringan internal.

VNC (komputasi jaringan virtual) adalah sistem platform-independen dimaksudkan untuk membantu pengguna terhubung ke sistem yang memerlukan pemantauan dan penyesuaian, menawarkan kontrol komputer jarak jauh melalui RFB (protokol penyangga bingkai jarak jauh) melalui koneksi jaringan.

Jika titik akhir ini tidak diamankan dengan benar dengan kata sandi, yang sering kali merupakan akibat dari kelalaian, kesalahan, atau keputusan yang diambil untuk kenyamanan, titik akhir ini dapat berfungsi sebagai titik masuk bagi pengguna yang tidak sah, termasuk pelaku ancaman dengan niat jahat.

Temuan yang mengkhawatirkan

Pemburu kelemahan keamanan di Cyble memindai web untuk mencari instans VNC yang terhubung ke internet tanpa kata sandi dan menemukan lebih dari 9.000 server yang dapat diakses.

Lebih buruk lagi, Cybcle menemukan beberapa contoh VNC yang terbuka ini untuk sistem kontrol industri, yang tidak boleh diekspos ke Internet.

Untuk melihat seberapa sering penyerang menargetkan server VNC, Cyble menggunakan alat intelijen sibernya untuk memantau serangan pada port 5900, port default untuk VNC. Cyble menemukan bahwa ada lebih dari enam juta permintaan selama satu bulan.

Sebagian besar upaya untuk mengakses server VNC berasal dari Belanda, Rusia, dan Amerika Serikat.

Permintaan untuk akses VNC

Permintaan untuk mengakses jaringan kritis melalui VNC yang terbuka atau retak sangat tinggi di forum peretas, karena jenis akses ini, dalam keadaan tertentu, dapat digunakan untuk penyusupan jaringan yang lebih dalam.

“Musuh dapat menyalahgunakan VNC untuk melakukan tindakan jahat sebagai pengguna yang masuk seperti membuka dokumen, mengunduh file, dan menjalankan perintah sewenang-wenang,” kata seorang peneliti Cyble kepada Bleeping Computer selama diskusi pribadi.

“Seorang musuh dapat menggunakan VNC untuk mengontrol dan memantau sistem dari jarak jauh guna mengumpulkan data dan informasi untuk beralih ke sistem lain di dalam jaringan.”

Sumber: BleepingComputer