Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Social Media

Social Media

TikTok diretas, lebih dari 2 miliar catatan basis data pengguna dicuri.

by

Peneliti keamanan siber pada hari Senin menemukan potensi pelanggaran data dalam aplikasi video pendek China TikTok, yang diduga melibatkan hingga 2 miliar catatan basis data pengguna.

Beberapa analis keamanan siber men-tweet tentang penemuan “pelanggaran server tidak aman yang memungkinkan akses ke penyimpanan TikTok, yang mereka yakini berisi data pengguna pribadi”.

“Ini adalah peringatan Anda. #TikTok dilaporkan mengalami #pelanggaran #data, dan jika benar, mungkin ada dampak darinya dalam beberapa hari mendatang. Kami sarankan Anda mengubah #kata sandi TikTok Anda dan mengaktifkan Otentikasi Dua Faktor, jika Anda belum melakukannya sudah melakukannya,” cuit BeeHive CyberSecurity.

“Kami telah meninjau sampel data yang diekstraksi. Kepada pelanggan email dan klien pribadi kami, kami telah mengirimkan komunikasi peringatan,” tambahnya.

Troy Hunt, pencipta situs informasi pelanggaran data yang telah dibuat, memposting utas di Twitter untuk memverifikasi apakah data sampel itu asli atau tidak. Baginya, buktinya “sejauh ini tidak meyakinkan”.

BlueHornet|AgaisntTheWest memposting semua detail di forum yang dilanggar.

“Siapa yang mengira @TikTok akan memutuskan untuk menyimpan semua kode sumber backend internal mereka di satu instance Alibaba Cloud menggunakan kata sandi yang tidak berguna?” tweet mereka, memposting tentang betapa mudahnya mereka mengunduh data.

Seorang juru bicara TikTok mengatakan dalam laporan berita bahwa tim keamanan mereka “menyelidiki pernyataan ini dan memutuskan bahwa kode yang dimaksud sama sekali tidak terkait dengan kode sumber backend TikTok”.

Tim Riset Pembela Microsoft 365 baru saja menemukan kerentanan di aplikasi TikTok untuk Android yang memungkinkan peretas mengambil alih video pribadi jutaan pengguna setelah mereka mengklik tautan berbahaya.

Microsoft menemukan kerentanan tingkat tinggi dalam aplikasi TikTok Android, yang memungkinkan penyerang menyusup ke akun pengguna dengan satu klik.

Kerentanan, yang akan membutuhkan beberapa masalah untuk dirantai bersama untuk dieksploitasi, kini telah diperbaiki oleh perusahaan China.

“Penyerang dapat memanfaatkan kerentanan untuk membajak akun tanpa sepengetahuan pengguna jika pengguna yang ditargetkan hanya mengklik tautan yang dibuat khusus,” kata raksasa teknologi itu dalam sebuah pernyataan pekan lalu.

Sumber: Business Standard

Serangan phishing Instagram dengan tawaran Centang biru.

by

Kampanye phishing Instagram baru sedang berlangsung, mencoba menipu pengguna platform media sosial populer dengan memikat mereka dengan tawaran Centang biru.

Centang biru sangat didambakan karena Instagram menyediakannya ke akun yang diverifikasi keasliannya, mewakili tokoh masyarakat, selebritas, atau merek.

Email tombak dalam kampanye phishing yang baru-baru ini diamati, memberi tahu penerima bahwa mereka Instagram meninjau akun mereka dan menganggapnya memenuhi syarat untuk mendapatkan lencana biru.

Pengguna yang terjerat penipuan, diminta untuk mengisi formulir dan mengklaim lencana verifikasi mereka dalam 48 jam ke depan.

Kampanye baru ini ditemukan oleh analis ancaman di Vade, layanan keamanan email berbasis AI, yang melaporkan bahwa pesan pertama ke target dikirim pada 22 Juli.

Selama penerapan, volume distribusi email melonjak dua kali, sekali pada 28 Juli dan lagi pada 9 Agustus 2022, dengan lebih dari 1.000 pesan phishing per hari.

Pesan Phising tersebut menampilkan logo Instagram dan Facebook dan memberi tahu penerima bahwa akun mereka memenuhi syarat untuk lencana biru, mendesak mereka untuk mengklik tombol yang disematkan yang akan membawa mereka ke formulir pengiriman yang relevan.

Contoh email phishing (Vade)

Pengguna diperingatkan bahwa jika mereka mengabaikan pesan, formulir akan dihapus secara permanen dalam 48 jam, menciptakan rasa urgensi dan ilusi kesempatan terbatas.

Formulir phishing di-host di domain bernama “teamcorrectionbadges”, untuk membuatnya tampak seolah-olah Instagram menggunakan domain khusus yang terpisah untuk memverifikasi pengguna.

Proses phishing di situs itu bergantung pada bentuk tiga tahap, setiap langkah menampilkan logo Instagram, Facebook, WhatsApp, Messenger, dan Meta, dalam upaya menciptakan rasa legitimasi.

Langkah kedua dalam proses phishing
(Vade)

Formulir pertama meminta “nama pengguna”, yang kedua meminta korban untuk memasukkan “nama”, “email”, dan “nomor telepon”, sedangkan langkah ketiga dan terakhir meminta memasukkan “kata sandi” pengguna, untuk memverifikasi bahwa mereka memilikinya. Akun.

Setelah korban menyelesaikan prosesnya, sebuah pesan menginformasikan bahwa akun mereka sekarang telah diverifikasi dan tim Instagram akan menghubungi mereka dalam dua hari ke depan. ID kasus palsu juga ditampilkan pada langkah terakhir ini.

Pesan terlihat setelah terkena phishing (Vade)

Untuk memahami bagaimana Anda dapat melindungi diri dari penipuan ini, penting untuk mengetahui cara kerja program verifikasi Instagram.

Pertama, platform media sosial tidak akan pernah menghubungi Anda untuk menawarkan lencana biru. Pengguna hanya bisa mendapatkannya dengan menerapkan sendiri.

Kedua, mengajukan verifikasi hanya dapat dilakukan melalui platform resmi, tidak pernah dengan mengunjungi domain terpisah.

Ketiga, lencana biru Instagram disediakan untuk tokoh masyarakat, selebriti, dan merek terkenal, sehingga akun biasa tidak memenuhi syarat.

Untuk melindungi akun Anda, Instagram menawarkan autentikasi dua faktor untuk keamanan tambahan, jadi meskipun Anda memberikan semua detail Anda kepada pelaku phishing, kehilangan akses ke akun Anda akan lebih rumit.

Sumber: Bleeping Computer

Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

by

Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

  • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
  • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

    • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

    Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

    Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

    Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

    Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

    Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

    Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

    Sumber : Bleeping Computer

Aplikasi Facebook dan Instagram Dapat Melacak Pengguna Melalui Browser dalam Aplikasi Mereka

by

Jika Anda mengunjungi situs web yang Anda lihat di Facebook dan Instagram, Anda mungkin memperhatikan bahwa Anda tidak diarahkan ke browser pilihan Anda melainkan browser dalam aplikasi khusus. Ternyata browser tersebut menyuntikkan kode javascript ke setiap situs web yang dikunjungi, memungkinkan induk Meta untuk berpotensi melacak Anda di seluruh situs web, peneliti Felix Krause telah menemukan.

“Aplikasi Instagram menyuntikkan kode pelacakan mereka ke setiap situs web yang ditampilkan, termasuk saat mengklik iklan, memungkinkan mereka [untuk] memantau semua interaksi pengguna, seperti setiap tombol dan tautan yang diketuk, pilihan teks, tangkapan layar, serta input formulir apa pun, seperti kata sandi, alamat dan nomor kartu kredit,” kata Krause dalam sebuah posting blog.

Penelitiannya berfokus pada Facebook dan Instagram versi iOS. Itu kuncinya karena Apple memungkinkan pengguna untuk memilih masuk atau keluar dari pelacakan aplikasi ketika mereka pertama kali membuka aplikasi, melalui Transparansi Pelacakan Aplikasi (ATT) yang diperkenalkan di iOS 14.5. Meta sebelumnya telah mengatakan bahwa fitur tersebut adalah “penghambat bisnis kami 2022… pada urutan $ 10 miliar.”

Meta mengatakan bahwa kode pelacakan yang disuntikkan mematuhi preferensi pengguna pada ATT. “Kode ini memungkinkan kami untuk mengumpulkan data pengguna sebelum menggunakannya untuk tujuan periklanan atau pengukuran yang ditargetkan,” kata seorang juru bicara kepada The Guardian. “Kami tidak menambahkan piksel apa pun. Kode dimasukkan sehingga kami dapat menggabungkan peristiwa konversi dari piksel. Untuk pembelian yang dilakukan melalui browser dalam aplikasi, kami meminta persetujuan pengguna untuk menyimpan informasi pembayaran untuk tujuan pengisian otomatis.”

Krause mencatat bahwa Facebook tidak selalu menggunakan injeksi javascript untuk mengumpulkan data sensitif. Namun, jika aplikasi membuka browser pilihan pengguna seperti Safari atau Firefox, tidak akan ada cara untuk melakukan injeksi javascript serupa di situs aman mana pun. Sebaliknya, pendekatan yang digunakan oleh browser dalam aplikasi Instagram dan Facebook “berfungsi untuk situs web apa pun, tidak peduli apakah itu dienkripsi atau tidak,” katanya.

Menurut penelitian Krause, WhatsApp tidak memodifikasi situs web pihak ketiga dengan cara yang sama. Karena itu, ia menyarankan agar Meta melakukan hal yang sama dengan Facebook dan Instagram, atau cukup gunakan Safari atau browser lain untuk membuka tautan. “Itu yang terbaik bagi pengguna, dan hal yang benar untuk dilakukan.” Untuk lebih lanjut, lihat ringkasan temuannya di sini.

Sumber: Endgadget

Pelanggaran Twitter Mengekspos Akun Anonim ke Peretas Negara Bangsa

by

Twitter mengkonfirmasi pada hari Jumat bahwa aktor jahat menggunakan kerentanan untuk mencocokkan informasi pribadi dengan akun Twitter yang berpotensi anonim, menimbulkan risiko bagi privasi pengguna.

Kerentanan memungkinkan seseorang untuk mencocokkan email atau nomor telepon ke akun Twitter mana pun yang terkait dengan informasi itu dan nama akun, tulis Twitter dalam blog pers.

“Kami dapat mengonfirmasi bahwa dampaknya bersifat global,” kata juru bicara Twitter dalam email. “Kami tidak dapat menentukan dengan tepat berapa banyak akun yang terpengaruh atau lokasi pemegang akun.”

Tidak ada kata sandi yang dikompromikan dalam pelanggaran.

Twitter mengatakan akan langsung memberi tahu pemilik akun yang dikonfirmasi terpengaruh. Perusahaan tidak memberikan sejumlah akun yang dikonfirmasi sebagai terpengaruh oleh pelanggaran keamanan. Namun, outlet berita Bleeping Computer melaporkan pada bulan Juli bahwa pelaku ancaman diduga menjual data dari 5,4 juta pengguna setelah mengeksploitasi pelanggaran tersebut. Twitter mencatat bahwa mereka mengetahui penyalahgunaan data melalui laporan pers tetapi tidak mengutip sumber atau detail tambahan apa pun.

“Jika Anda mengoperasikan akun Twitter dengan nama samaran, kami memahami risiko yang dapat ditimbulkan oleh insiden seperti ini dan sangat menyesalkan hal ini terjadi,” tulis Twitter dalam blognya, Jumat. “Untuk menjaga identitas Anda setertutup mungkin, kami sarankan untuk tidak menambahkan nomor telepon atau alamat email yang diketahui publik ke akun Twitter Anda.”

Sumber: CyberScoop

Pelanggaran Data Twitter Mengekspos Detail Kontak untuk 5,4 Juta Akun; Dijual Seharga $30k

by

Pelanggaran data Twitter telah memungkinkan penyerang mendapatkan akses ke detail kontak dari 5,4 juta akun. Twitter telah mengkonfirmasi kerentanan keamanan yang memungkinkan data diekstraksi.

Data – yang menghubungkan pegangan Twitter dengan nomor telepon dan alamat email – telah ditawarkan untuk dijual di forum peretasan, seharga $30.000.

Restore Privacy melaporkan bahwa pelanggaran itu dimungkinkan oleh kerentanan yang ditemukan kembali pada bulan Januari.

Kemungkinan penyerang memperoleh database nomor telepon dan alamat email yang ada yang diperoleh dari pelanggaran layanan lain, dan kemudian menggunakan detail ini untuk mencari ID Twitter yang sesuai.

Belum ada cara untuk memeriksa apakah akun Anda termasuk dalam pelanggaran data Twitter. Seperti biasa, perlu waspada terhadap serangan phishing – email yang mengaku berasal dari Apple, bank Anda, PayPal, penyedia email, dan sebagainya, dan yang meminta Anda untuk masuk ke akun Anda.

Taktik phishing yang umum adalah pesan yang memberi tahu Anda bahwa akun Anda berisiko dihapus, atau mengirim tanda terima palsu untuk pembelian bernilai tinggi, bersama dengan tautan untuk menyengketakan tagihan.

Perlindungan utama di sini adalah jangan pernah mengklik tautan yang dikirim melalui email. Selalu gunakan bookmark Anda sendiri, atau ketik URL yang dikenal.

Sumber: 9to5Mac

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Facebook telah mulai mengenkripsi tautan untuk melawan Stripping URL yang meningkatkan privasi

by

Facebook telah mulai menggunakan skema URL yang berbeda untuk tautan situs guna memerangi teknologi stripping URL yang digunakan browser seperti Firefox atau Brave untuk meningkatkan privasi dan mencegah pelacakan pengguna.

Beberapa situs, termasuk Facebook, menambahkan parameter ke alamat web untuk tujuan pelacakan. Parameter ini tidak memiliki fungsi yang relevan bagi pengguna, tetapi situs mengandalkannya untuk melacak pengguna di seluruh halaman dan properti.

Mozilla memperkenalkan dukungan untuk stripping URL di Firefox 102, yang diluncurkan pada Juni 2022. Firefox menghapus parameter pelacakan dari alamat web secara otomatis, tetapi hanya dalam mode penjelajahan pribadi atau ketika fitur Perlindungan Pelacakan browser disetel ke ketat. Pengguna Firefox dapat mengaktifkan stripping URL di semua mode Firefox, tetapi ini memerlukan konfigurasi manual. Brave Browser juga menghapus parameter pelacakan yang diketahui dari alamat web.

Kedua browser web menggunakan daftar parameter pelacakan yang diketahui untuk fungsi tersebut. Daftar perlu diperbarui setiap kali situs mengubah parameter pelacakan.

Facebook bisa saja mengubah skema yang digunakannya, tetapi ini hanya akan memberi Facebook jalan sementara. Tampaknya Facebook menggunakan enkripsi sekarang untuk melacak pengguna.

Sebelumnya, Facebook menggunakan parameter fbclid untuk tujuan pelacakan. Sekarang, mereka menggunakan URL seperti ini :

https://www.facebook.com/ghacksnet/posts/pfbid0RjTS7KpBAGt9FHp5vCNmRJsnmBudyqRsPC7ovp8sh2EWFxve1Mk2HaGTKoRSuVKpl?__cft__[0]=AZXT7WeYMEs7icO80N5ynjE2WpFuQK61pIv4kMN-dnAz27-UrYqrkv52_hQlS_TuPd8dGUNLawATILFs55sMUJvH7SFRqb_WcD6CCOX_zYdsebOW0TWyJ9gT2vxBJPZiAaEaac_zQBShE-UEJfatT-JMQT5-bvmrLz7NlgwSeL6fGKH9oY9uepTio0BHyCmoY1A&__tn__=%2CO%2CP-R .

Masalah utama di sini adalah tidak mungkin lagi menghapus bagian pelacakan URL, karena Facebook menggabungkannya dengan bagian dari alamat web yang diperlukan.

Karena tidak mungkin lagi mengidentifikasi bagian pelacakan dari alamat web, tidak mungkin lagi menghapusnya dari alamat secara otomatis. Dengan kata lain: Facebook berada di atas angin dalam hal pelacakan berbasis URL pada saat itu, dan hanya sedikit yang dapat dilakukan untuk menemukan cara untuk mendekripsi informasi.

Saat ini tidak ada opsi untuk mencegah pelacakan pengguna Facebook melalui tautan. Pengguna dapat menghindari Facebook, tetapi itu tidak mungkin dilakukan setiap saat. Pelacakan URL tidak banyak membantu jika sarana pelacakan lain, misalnya, melalui cookie atau data situs, tidak tersedia. Meskipun Facebook mendapatkan beberapa informasi dari pelacakan berbasis URL, Facebook tidak dapat menautkannya jika tidak ada data persisten yang tersedia.

Pengguna yang tidak masuk ke Facebook dan menghapus cookie dan data situs secara teratur, dapat menghindari sebagian besar pelacakan perusahaan.

Sumber: ghacks.net