Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Social Media

Social Media

Aplikasi Facebook dan Instagram Dapat Melacak Pengguna Melalui Browser dalam Aplikasi Mereka

by

Jika Anda mengunjungi situs web yang Anda lihat di Facebook dan Instagram, Anda mungkin memperhatikan bahwa Anda tidak diarahkan ke browser pilihan Anda melainkan browser dalam aplikasi khusus. Ternyata browser tersebut menyuntikkan kode javascript ke setiap situs web yang dikunjungi, memungkinkan induk Meta untuk berpotensi melacak Anda di seluruh situs web, peneliti Felix Krause telah menemukan.

“Aplikasi Instagram menyuntikkan kode pelacakan mereka ke setiap situs web yang ditampilkan, termasuk saat mengklik iklan, memungkinkan mereka [untuk] memantau semua interaksi pengguna, seperti setiap tombol dan tautan yang diketuk, pilihan teks, tangkapan layar, serta input formulir apa pun, seperti kata sandi, alamat dan nomor kartu kredit,” kata Krause dalam sebuah posting blog.

Penelitiannya berfokus pada Facebook dan Instagram versi iOS. Itu kuncinya karena Apple memungkinkan pengguna untuk memilih masuk atau keluar dari pelacakan aplikasi ketika mereka pertama kali membuka aplikasi, melalui Transparansi Pelacakan Aplikasi (ATT) yang diperkenalkan di iOS 14.5. Meta sebelumnya telah mengatakan bahwa fitur tersebut adalah “penghambat bisnis kami 2022… pada urutan $ 10 miliar.”

Meta mengatakan bahwa kode pelacakan yang disuntikkan mematuhi preferensi pengguna pada ATT. “Kode ini memungkinkan kami untuk mengumpulkan data pengguna sebelum menggunakannya untuk tujuan periklanan atau pengukuran yang ditargetkan,” kata seorang juru bicara kepada The Guardian. “Kami tidak menambahkan piksel apa pun. Kode dimasukkan sehingga kami dapat menggabungkan peristiwa konversi dari piksel. Untuk pembelian yang dilakukan melalui browser dalam aplikasi, kami meminta persetujuan pengguna untuk menyimpan informasi pembayaran untuk tujuan pengisian otomatis.”

Krause mencatat bahwa Facebook tidak selalu menggunakan injeksi javascript untuk mengumpulkan data sensitif. Namun, jika aplikasi membuka browser pilihan pengguna seperti Safari atau Firefox, tidak akan ada cara untuk melakukan injeksi javascript serupa di situs aman mana pun. Sebaliknya, pendekatan yang digunakan oleh browser dalam aplikasi Instagram dan Facebook “berfungsi untuk situs web apa pun, tidak peduli apakah itu dienkripsi atau tidak,” katanya.

Menurut penelitian Krause, WhatsApp tidak memodifikasi situs web pihak ketiga dengan cara yang sama. Karena itu, ia menyarankan agar Meta melakukan hal yang sama dengan Facebook dan Instagram, atau cukup gunakan Safari atau browser lain untuk membuka tautan. “Itu yang terbaik bagi pengguna, dan hal yang benar untuk dilakukan.” Untuk lebih lanjut, lihat ringkasan temuannya di sini.

Sumber: Endgadget

Pelanggaran Twitter Mengekspos Akun Anonim ke Peretas Negara Bangsa

by

Twitter mengkonfirmasi pada hari Jumat bahwa aktor jahat menggunakan kerentanan untuk mencocokkan informasi pribadi dengan akun Twitter yang berpotensi anonim, menimbulkan risiko bagi privasi pengguna.

Kerentanan memungkinkan seseorang untuk mencocokkan email atau nomor telepon ke akun Twitter mana pun yang terkait dengan informasi itu dan nama akun, tulis Twitter dalam blog pers.

“Kami dapat mengonfirmasi bahwa dampaknya bersifat global,” kata juru bicara Twitter dalam email. “Kami tidak dapat menentukan dengan tepat berapa banyak akun yang terpengaruh atau lokasi pemegang akun.”

Tidak ada kata sandi yang dikompromikan dalam pelanggaran.

Twitter mengatakan akan langsung memberi tahu pemilik akun yang dikonfirmasi terpengaruh. Perusahaan tidak memberikan sejumlah akun yang dikonfirmasi sebagai terpengaruh oleh pelanggaran keamanan. Namun, outlet berita Bleeping Computer melaporkan pada bulan Juli bahwa pelaku ancaman diduga menjual data dari 5,4 juta pengguna setelah mengeksploitasi pelanggaran tersebut. Twitter mencatat bahwa mereka mengetahui penyalahgunaan data melalui laporan pers tetapi tidak mengutip sumber atau detail tambahan apa pun.

“Jika Anda mengoperasikan akun Twitter dengan nama samaran, kami memahami risiko yang dapat ditimbulkan oleh insiden seperti ini dan sangat menyesalkan hal ini terjadi,” tulis Twitter dalam blognya, Jumat. “Untuk menjaga identitas Anda setertutup mungkin, kami sarankan untuk tidak menambahkan nomor telepon atau alamat email yang diketahui publik ke akun Twitter Anda.”

Sumber: CyberScoop

Pelanggaran Data Twitter Mengekspos Detail Kontak untuk 5,4 Juta Akun; Dijual Seharga $30k

by

Pelanggaran data Twitter telah memungkinkan penyerang mendapatkan akses ke detail kontak dari 5,4 juta akun. Twitter telah mengkonfirmasi kerentanan keamanan yang memungkinkan data diekstraksi.

Data – yang menghubungkan pegangan Twitter dengan nomor telepon dan alamat email – telah ditawarkan untuk dijual di forum peretasan, seharga $30.000.

Restore Privacy melaporkan bahwa pelanggaran itu dimungkinkan oleh kerentanan yang ditemukan kembali pada bulan Januari.

Kemungkinan penyerang memperoleh database nomor telepon dan alamat email yang ada yang diperoleh dari pelanggaran layanan lain, dan kemudian menggunakan detail ini untuk mencari ID Twitter yang sesuai.

Belum ada cara untuk memeriksa apakah akun Anda termasuk dalam pelanggaran data Twitter. Seperti biasa, perlu waspada terhadap serangan phishing – email yang mengaku berasal dari Apple, bank Anda, PayPal, penyedia email, dan sebagainya, dan yang meminta Anda untuk masuk ke akun Anda.

Taktik phishing yang umum adalah pesan yang memberi tahu Anda bahwa akun Anda berisiko dihapus, atau mengirim tanda terima palsu untuk pembelian bernilai tinggi, bersama dengan tautan untuk menyengketakan tagihan.

Perlindungan utama di sini adalah jangan pernah mengklik tautan yang dikirim melalui email. Selalu gunakan bookmark Anda sendiri, atau ketik URL yang dikenal.

Sumber: 9to5Mac

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Facebook telah mulai mengenkripsi tautan untuk melawan Stripping URL yang meningkatkan privasi

by

Facebook telah mulai menggunakan skema URL yang berbeda untuk tautan situs guna memerangi teknologi stripping URL yang digunakan browser seperti Firefox atau Brave untuk meningkatkan privasi dan mencegah pelacakan pengguna.

Beberapa situs, termasuk Facebook, menambahkan parameter ke alamat web untuk tujuan pelacakan. Parameter ini tidak memiliki fungsi yang relevan bagi pengguna, tetapi situs mengandalkannya untuk melacak pengguna di seluruh halaman dan properti.

Mozilla memperkenalkan dukungan untuk stripping URL di Firefox 102, yang diluncurkan pada Juni 2022. Firefox menghapus parameter pelacakan dari alamat web secara otomatis, tetapi hanya dalam mode penjelajahan pribadi atau ketika fitur Perlindungan Pelacakan browser disetel ke ketat. Pengguna Firefox dapat mengaktifkan stripping URL di semua mode Firefox, tetapi ini memerlukan konfigurasi manual. Brave Browser juga menghapus parameter pelacakan yang diketahui dari alamat web.

Kedua browser web menggunakan daftar parameter pelacakan yang diketahui untuk fungsi tersebut. Daftar perlu diperbarui setiap kali situs mengubah parameter pelacakan.

Facebook bisa saja mengubah skema yang digunakannya, tetapi ini hanya akan memberi Facebook jalan sementara. Tampaknya Facebook menggunakan enkripsi sekarang untuk melacak pengguna.

Sebelumnya, Facebook menggunakan parameter fbclid untuk tujuan pelacakan. Sekarang, mereka menggunakan URL seperti ini :

https://www.facebook.com/ghacksnet/posts/pfbid0RjTS7KpBAGt9FHp5vCNmRJsnmBudyqRsPC7ovp8sh2EWFxve1Mk2HaGTKoRSuVKpl?__cft__[0]=AZXT7WeYMEs7icO80N5ynjE2WpFuQK61pIv4kMN-dnAz27-UrYqrkv52_hQlS_TuPd8dGUNLawATILFs55sMUJvH7SFRqb_WcD6CCOX_zYdsebOW0TWyJ9gT2vxBJPZiAaEaac_zQBShE-UEJfatT-JMQT5-bvmrLz7NlgwSeL6fGKH9oY9uepTio0BHyCmoY1A&__tn__=%2CO%2CP-R .

Masalah utama di sini adalah tidak mungkin lagi menghapus bagian pelacakan URL, karena Facebook menggabungkannya dengan bagian dari alamat web yang diperlukan.

Karena tidak mungkin lagi mengidentifikasi bagian pelacakan dari alamat web, tidak mungkin lagi menghapusnya dari alamat secara otomatis. Dengan kata lain: Facebook berada di atas angin dalam hal pelacakan berbasis URL pada saat itu, dan hanya sedikit yang dapat dilakukan untuk menemukan cara untuk mendekripsi informasi.

Saat ini tidak ada opsi untuk mencegah pelacakan pengguna Facebook melalui tautan. Pengguna dapat menghindari Facebook, tetapi itu tidak mungkin dilakukan setiap saat. Pelacakan URL tidak banyak membantu jika sarana pelacakan lain, misalnya, melalui cookie atau data situs, tidak tersedia. Meskipun Facebook mendapatkan beberapa informasi dari pelacakan berbasis URL, Facebook tidak dapat menautkannya jika tidak ada data persisten yang tersedia.

Pengguna yang tidak masuk ke Facebook dan menghapus cookie dan data situs secara teratur, dapat menghindari sebagian besar pelacakan perusahaan.

Sumber: ghacks.net

Halaman Instagram dan Facebook Disneyland Diambil Alih oleh ‘Peretas Super’

by

Akun media sosial Disneyland telah diretas oleh ‘peretas super’ yang memproklamirkan diri yang membuat posting rasis dalam upaya untuk mencari ‘balas dendam’ di taman hiburan.

Peretas, yang mengidentifikasi dirinya sebagai David Do, mengambil alih akun Instagram dan Facebook taman itu pada Kamis pagi, membuat banyak postingan menghina yang mengancam orang kulit hitam.

Dia membuat beberapa posting yang menampilkan kata-n, mengklaim telah menemukan COVID-19 dan sedang mengerjakan virus COVID20 baru.

Dia juga mengungkapkan serangan itu sebagai balas dendam staf Disney yang mengejeknya ‘karena memiliki penis kecil.’

Disney menghapus posting dari akunnya – yang memiliki lebih dari 8,4 juta pengikut – dalam waktu satu jam.

Seorang juru bicara Disneyland mengatakan kepada DailyMail.com, “(Kami) bekerja cepat untuk menghapus konten tercela, mengamankan akun kami, dan tim keamanan kami sedang melakukan penyelidikan.”

Do membuat postingan pertamanya pada hari Kamis sekitar pukul 03.50 PST dengan tuduhan bahwa dia adalah seorang peretas super ‘di sini untuk membalas dendam kepada Disneyland.’

“Saya sangat lelah dengan semua karyawan Disney yang mengejek saya karena memiliki penis kecil,” tulisnya. ‘SIAPA ORANG Tangguh SEKARANG JEROME? HACKED ANDA F****ING F******.’

Di pos lain dia mengatakan dia ‘menciptakan covid dan menyalahkan wuhan,’ menambahkan: ‘Cuz f*** yall.’

“Saya sedang mengerjakan Covid20 – Anda lebih baik bersembunyi sebelum saya merilis virus baru yang mematikan ini,” tulisnya di posting lain, dengan keterangan foto pengusung jenazah hitam membawa peti mati. ‘Dengan bantuan kru DramaAlert saya @akademiks.’

Dia juga membagikan gambar dua pria yang diberi judul ‘u n***** sedang menonton Disney Channel,’ sebuah pernyataan rasis yang tampak pada promosi pertengahan 2000-an yang digunakan oleh stasiun televisi Disney.

‘Bintang Disney akan mengatakan slogannya yang populer ‘Anda sedang menonton Disney Channel’ dan menggambar telinga tikus yang ikonik menggunakan tongkat ajaib.

‘Disney land memberikan diskon besar-besaran,’ tambahnya. Dia berbagi dua selfie di cerita akun itu, dengan judul satu: ‘BUNUH SEMUA N******S. DAVID DO ADA DI SINI.’

Peretas juga mendorong pengguna media sosial untuk mengikuti akun Instagram pribadinya @chi11estpanda.

Akun tersebut diyakini milik David Do, namun DailyMail.com belum mengonfirmasi apakah Do yang terkait dengan @chi11estpanda bertanggung jawab atas peretasan tersebut.

Peretasan media sosial menandai kontroversi terbaru untuk The Walt Disney Company yang baru-baru ini berdebat dengan Gubernur Florida Ron DeSantis setelah aksi protes karyawan atas apa yang disebut RUU Don’t Say Gay di negara bagian itu.

Sumber: Daily Mail

Akun Twitter dan YouTube Angkatan Darat Inggris diretas untuk mendorong penipuan crypto

by

Akun Twitter dan YouTube Angkatan Darat Inggris diretas dan diubah untuk mempromosikan penipuan kripto online kemarin.

Khususnya, akun Twitter terverifikasi tentara mulai menampilkan NFT palsu dan skema pemberian kripto palsu.

Akun YouTube terlihat menayangkan streaming langsung “Ark Invest” yang menampilkan klip Elon Musk yang lebih lama untuk menyesatkan pengguna agar mengunjungi situs penipuan cryptocurrency.

Dalam sebuah pernyataan yang dirilis tadi malam, Kementerian Pertahanan Inggris mengkonfirmasi telah mendapatkan kembali kendali atas akun Twitter dan YouTube-nya yang telah diretas untuk mempromosikan penipuan cryptocurrency.

Pelaku ancaman telah membajak akun media sosial Angkatan Darat untuk mendorong Non-Fungible Token (NFT) palsu dan skema pemberian crypto palsu.

Akun Twitter terverifikasi Angkatan Darat Inggris diretas dan diganti namanya menjadi ‘pssssd’ (Wayback Machine)

Peretas semakin menargetkan akun Twitter terverifikasi untuk melakukan berbagai aktivitas jahat—mulai dari menipu korban demi uang hingga mengirimkan pemberitahuan “penangguhan” akun palsu, seperti yang dilaporkan oleh BleepingComputer minggu ini.

Twitter biasanya memverifikasi akun hanya jika akun tersebut mewakili selebritas, politisi, jurnalis, aktivis, pemberi pengaruh terkemuka, serta organisasi pemerintah dan swasta.

Untuk menerima ‘lencana biru’ terverifikasi, pengguna Twitter harus mengajukan permohonan verifikasi dan mengirimkan dokumentasi pendukung untuk menunjukkan mengapa akun mereka ‘terkenal.’

Mendapatkan lencana biru tidak mudah dan memilikinya dapat membuat akun terlihat lebih “asli”, yang membuatnya memberi insentif bagi pelaku ancaman untuk meretas akun terverifikasi yang ada dan merusaknya untuk tujuan mereka.

Dengan cara yang sama, saluran YouTube Angkatan Darat Inggris memulai “streaming langsung” video lama Elon Musk untuk memikat pengguna agar mengunjungi situs penipuan crypto “Ark Invest” palsu.

Saluran YouTube Angkatan Darat Inggris mempromosikan skema crypto Elon Musk palsu​​​​

Perhatikan, streaming langsung “Ark Invest” yang digunakan dalam serangan ini juga bukan hal baru.

Pada bulan Mei tahun ini, peneliti keamanan McAfee dan BleepingComputer telah melaporkan melihat banyak streaming langsung YouTube “Ark Invest” Elon Musk. Pada bulan Mei, Penipu di balik serangan semacam itu telah mencuri lebih dari $1,3 juta setelah streaming ulang versi yang diedit dari diskusi panel langsung lama tentang cryptocurrency yang menampilkan Elon Musk, Jack Dorsey, dan Cathie Wood di konferensi “The Word” Ark Invest.

Masih belum diketahui bagaimana tepatnya dua akun media sosial Angkatan Darat Inggris dibajak hampir bersamaan, dan apakah ada yang menjadi korban penipuan ini.

Sumber: Bleeping Computer

Akun Twitter resmi Perdana Menteri India Narendra Modi Diretas

by

Akun Twitter resmi Perdana Menteri India Narendra Modi (@narendramodi) sempat diretas oleh peretas yang belum teridentifikasi. Peretasan terjadi Minggu dini hari.

Hampir menggelikan bahwa peretasan Twitter Inc. lainnya — kali ini di akun Perdana Menteri Narendra Modi — sekali lagi menjadi kendaraan untuk mengumpulkan Bitcoin.

“India telah secara resmi mengadopsi bitcoin sebagai alat pembayaran yang sah,” tweet yang dikirim oleh peretas dari akunnya berbunyi. “Pemerintah telah secara resmi membeli 500 BTC dan mendistribusikannya ke semua penduduk negara itu.”

Meskipun pesan itu terdengar tidak masuk akal, seluruh insiden — dari eksploitasi hingga hasil — memberi tahu kita banyak tentang budaya peretasan dan berbagai aktor di luar sana yang mencoba membobol sistem komputer.

Ini bukan pertama kalinya.

Pada Juli 2020, lebih dari 100 akun terkenal diretas termasuk milik Barack Obama, Joe Biden, Bill Gates, Elon Musk, Kanye West, dan Apple Inc. Setelah mereka mendapatkan akses, para penyerang melanjutkan untuk mempromosikan penipuan Bitcoin kepada jutaan korban ini. ‘ pengikut.

Detail dari insiden itu meneteskan ironi yang lezat. Pertama, penggunaan Bitcoin oleh peretas sebenarnya adalah kehancuran mereka — petugas penegak hukum AS melacak akun cryptocurrency dan menemukan bahwa mereka telah menggunakan SIM mereka untuk otentikasi.

Dan, pelanggaran dilakukan melalui rekayasa sosial kuno — menipu staf Twitter untuk memberikan kredensial login, yang memungkinkan akses ke akun target.

Jadi meskipun ini adalah lelucon, ada sisi seriusnya. Harus menjadi perhatian serius bahwa salah satu outlet paling kuat di dunia sekali lagi diretas, memungkinkan akses tidak sah ke media yang setara dengan kode nuklir.

Selengkapnya: Economic Times