Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application

Software / Application

FTC meminta Amazon, Facebook, Twitter, dan 6 perusahaan teknologi lainnya untuk membagikan cara mereka mengumpulkan, melacak, dan menggunakan data konsumen online

by

  1. Komisi Perdagangan Federal AS memesan Amazon, Facebook, WhatsApp, YouTube, Discord, ByteDance, Reddit, Snap, dan Twitter untuk menunjukkan kepada agensi bagaimana mereka mengumpulkan dan menggunakan informasi pribadi seseorang secara online.
  2. Perintah tersebut menanyakan cara perusahaan melacak data dan menargetkan iklan online kepada konsumen, apakah mereka menggunakan algoritme untuk menangani informasi pribadi, dan bagaimana praktik online mereka memengaruhi anak-anak dan remaja.
  3. Perusahaan memiliki waktu 45 hari untuk menanggapi pesanan sejak hari mereka menerimanya.
  4. Anggota parlemen semakin mengisyaratkan bahwa mereka berniat menindak perusahaan teknologi, dan wacana publik berpusat di sekitar meminta perusahaan lebih bertanggung jawab.

sumber : BusinessInsider

Twitter didenda oleh pengawas perlindungan data UE karena pelanggaran GDPR

by

Komisi Perlindungan Data Irlandia mendenda Twitter €450.000 (~ $550.000) karena gagal memberi tahu DPC tentang pelanggaran dalam jangka waktu 72 jam yang diberlakukan oleh Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dan untuk mendokumentasikannya secara memadai.

Berdasarkan aturan GDPR, regulator data UE dapat mengenakan denda maksimum hingga €20 juta (sekitar $24,3 juta) atau 4% dari omset tahunan global perusahaan yang melanggar – mana saja yang lebih besar – untuk pelanggaran.

“Penyelidikan DPC dimulai pada Januari 2019 setelah menerima pemberitahuan pelanggaran dari Twitter dan DPC menemukan bahwa Twitter melanggar Pasal 33 (1) dan 33 (5) GDPR dalam hal kegagalan untuk memberi tahu pelanggaran tepat waktu ke DPC dan kegagalan untuk mendokumentasikan pelanggaran secara memadai,” kata DPC Irlandia.

Pelanggaran yang menyebabkan Twitter didenda disebabkan oleh bug berusia empat tahun di aplikasi Twitter Android yang bertanggung jawab atas pemaparan tweet pribadi akun yang dilindungi secara tidak sengaja.

“Pada 26 Desember 2018, kami menerima laporan bug melalui program bug bounty kami bahwa jika pengguna Twitter dengan akun yang dilindungi, menggunakan Twitter untuk Android, mengubah alamat email mereka, bug tersebut akan mengakibatkan akun mereka tidak terlindungi (private),” pemberitahuan pelanggaran dikirim ke DPC pada Januari 2019.

Twitter mengatakan bahwa pihaknya tidak menyadari tingkat keparahan masalah dan pelanggaran hingga 3 Januari 2019, saat proses respons insiden diaktifkan.

Sumber: Bleeping Computer

Bug Cisco 9.9/10-severity: Tambal kerentanan Jabber yang berbahaya ini pada Windows dan macOS

by

Cisco telah meluncurkan patch untuk beberapa kelemahan kritis yang memengaruhi klien Jabber untuk Windows, MacOS, dan aplikasi seluler untuk iOS dan Android.

Cacatnya buruk, dengan yang terburuk memiliki peringkat keparahan 9,9. Yang lebih buruk, cacat itu dimaksudkan untuk diperbaiki tiga bulan lalu dalam pembaruan untuk Jabber, tak lama setelah para peneliti merilis kode proof-of-concept eksploitasi untuk bug wormable, yang dapat dieksploitasi melalui pesan instan.

Jabber adalah platform enterprise chat dan pesan instan Cisco yang banyak digunakan, yang diakuisisi pada tahun 2008. Aplikasi ini didasarkan pada Chromium Embedded Framework (CEF), yang memungkinkan pengembang untuk menyematkan browser web berbasis Chromium dalam sandbox asli di aplikasi mereka.

Cisco mengatakan bahwa bug ini memungkinkan penyerang untuk “mengeksekusi program apapun pada sistem operasi yang mendasarinya dengan hak istimewa yang lebih tinggi atau mendapatkan akses ke informasi sensitif”.

Cisco mencatat bahwa kerentanan penanganan pesan baru dapat dieksploitasi jika penyerang dapat mengirim pesan Extensible Messaging and Presence Protocol (XMPP) ke sistem pengguna akhir yang menjalankan Cisco Jabber.

Tiga bug yang belum diperbaiki sepenuhnya dilacak sebagai CVE-2020-26085, CVE-2020-27127, dan CVE-2020-27132.

Watchcom melaporkan empat kerentanan ke Cisco awal tahun ini, dan itu diungkapkan oleh raksasa jaringan pada bulan September. Tetapi tiga di antaranya tidak diperbaiki dengan benar dalam pembaruan pada saat itu, menurut Watchcom.

Cisco juga menemukan dua bug tambahan di Jabber selama pengujian internal. Mereka dilacak sebagai CVE-2020-27133 dan CVE-2020-27134.

Sumber: ZDNet

Peretas dapat menggunakan koneksi server tidak aman WinZip untuk menjatuhkan malware

by

Komunikasi klien-server dalam versi tertentu dari alat kompresi file WinZip tidak aman dan dapat dimodifikasi untuk menyajikan malware atau konten palsu kepada pengguna.

WinZip telah menjadi utilitas lama bagi pengguna Windows dengan kebutuhan pengarsipan file di luar dukungan yang dibangun di dalam sistem operasi.

WinZip saat ini di versi 25 tetapi rilis sebelumnya memeriksa server untuk pembaruan melalui koneksi yang tidak terenkripsi, kelemahan yang dapat dieksploitasi oleh aktor jahat.

Martin Rakhmanov dari Trustwave SpiderLabs menangkap lalu lintas dari versi alat yang rentan untuk menunjukkan komunikasi yang tidak terenkripsi.

Mengingat sifat saluran komunikasi yang tidak aman, Rakhmanov mengatakan bahwa lalu lintas dapat “dirampas, dimanipulasi, atau dibajak” oleh penyerang di jaringan yang sama dengan pengguna WinZip.

Satu risiko yang berasal dari tindakan ini adalah DNS poisoning, yang mengelabui aplikasi agar mengambil pembaruan palsu dari server web jahat.

Pada versi WinZip yang rentan, penyerang juga dapat memperoleh informasi yang berpotensi sensitif seperti nama pengguna dan kode pendaftaran.

Peneliti mengatakan bahwa skenario ini juga disertai dengan risiko mengeksekusi kode arbitrary pada mesin korban karena WinZip menawarkan beberapa API “kuat” ke JavaScript.

Dengan dirilisnya WinZip 25, komunikasi cleartext tidak lagi terjadi. Pengguna disarankan untuk memperbarui ke versi yang terbaru.

Sumber: Bleeping Computer

Kerentanan RCE Wormable Zero-Click di Microsoft Teams

by

Bug zero-click remote code execution (RCE) di aplikasi desktop Microsoft Teams dapat memungkinkan seseorang untuk mengeksekusi kode arbitrary hanya dengan mengirim pesan obrolan yang dibuat khusus dan membahayakan sistem target.

Masalah ini dilaporkan ke pembuat Windows oleh Oskars Vegeris, seorang security engineer dari Evolution Gaming, pada 31 Agustus 2020, sebelum ditangani pada akhir Oktober.

“Tidak ada interaksi pengguna yang diperlukan, exploit dijalankan setelah melihat pesan chat,” Vegeris menjelaskan dalam laporan nya.

Hasilnya adalah “hilangnya kerahasiaan dan integritas total bagi pengguna akhir – akses ke obrolan pribadi, file, jaringan internal, kunci pribadi, dan data pribadi di luar MS Teams,” tambah peneliti.

Kabar buruknya lagi, RCE bersifat lintas platform – memengaruhi Microsoft Teams untuk Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764), dan web (teams.microsoft.com) – dan dapat dibuat worm-able, yang berarti dapat disebarkan dengan secara otomatis mengirim ulang muatan berbahaya ke saluran lain.

Sumber: The Hacker News

Ini bukan pertama kalinya kekurangan RCE diamati di Teams dan aplikasi perpesanan yang berfokus pada perusahaan.

Yang paling utama di antaranya adalah kerentanan RCE terpisah di Microsoft Teams (CVE-2020-17091) yang ditambal oleh perusahaan sebagai bagian dari Patch November 2020 pada Selasa bulan lalu.

Sumber: The Hacker News

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

by

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet

Sophos memberi tahu pelanggan tentang eksposur data setelah database salah konfigurasi

by

Vendor keamanan dunia maya yang berbasis di Inggris, Sophos, saat ini memberi tahu pelanggan melalui email tentang pelanggaran keamanan yang diderita perusahaan awal pekan ini. Informasi yang terpapar termasuk detail seperti nama depan dan belakang pelanggan, alamat email, dan nomor telepon (jika tersedia). Seorang juru bicara Sophos mengkonfirmasi email sebelumnya hari ini dan mengatakan kepada ZDNet bahwa hanya “sebagian kecil” dari pelanggan perusahaan yang terpengaruh tetapi tidak memberikan perkiraan jumlah.

Sophos mengatakan telah mengetahui kesalahan konfigurasi dari peneliti keamanan dan segera memperbaiki masalah yang dilaporkan. “Di Sophos, privasi dan keamanan pelanggan selalu menjadi prioritas utama kami. Kami menghubungi semua pelanggan yang terpengaruh,” kata perusahaan itu. “Selain itu, kami menerapkan langkah-langkah tambahan untuk memastikan pengaturan izin akses selalu aman.”

Ini adalah insiden keamanan besar kedua yang ditangani Sophos tahun ini. Pada bulan April, grup kejahatan dunia maya menemukan dan menyalahgunakan zero-day di firewall Sophos XG untuk membobol perusahaan di seluruh dunia. Para penyerang menyebarkan trojan Asnarok, dan setelah zero-day diumumkan ke publik, mereka mencoba menyebarkan ransomware – tetapi akhirnya gagal.

sumber : ZDNET

Facebook didenda di Korea Selatan karena membagikan data pengguna tanpa persetujuan

by

Facebook telah didenda 6,7 ​​miliar won, sekitar $ 6 juta, di Korea Selatan karena membagikan data pengguna tanpa persetujuan mereka. Komisi Perlindungan Informasi Pribadi (PIPC) mengatakan perusahaan AS membagikan data setidaknya 3,3 juta dari 18 juta penggunanya di Korea ke perusahaan lain tanpa persetujuan mereka antara Mei 2012 hingga Juni 2018.

Komisi tersebut mengatakan akan mengajukan tuntutan pidana terhadap Facebook karena melanggar undang-undang informasi pribadi setempat. Informasi yang dibagikan oleh Facebook termasuk nama pengguna, riwayat akademis, riwayat pekerjaan, kota asal, dan status hubungan.

Ketika pengguna masuk ke aplikasi pihak ketiga lainnya menggunakan akun Facebook mereka, informasi mereka dan milik teman mereka dibagikan dengan layanan yang mereka gunakan, kata PIPC. Teman-teman ini tidak menyadari bahwa informasi mereka dibagikan dengan layanan tersebut tanpa izin mereka, katanya.

“Seorang pengguna setuju untuk membagikan informasi mereka dengan layanan tertentu ketika mereka masuk dengan akun Facebook mereka. Namun, teman-teman pengguna tersebut tidak, dan mereka tidak menyadari bahwa data mereka juga sedang dibagikan,” kata komisi tersebut.

Aplikasi pihak ketiga ini kemudian menggunakan data yang disediakan oleh Facebook tanpa izin pengguna untuk membuat iklan yang disesuaikan untuk ditampilkan di layanan media sosial. Facebook akhirnya menghasilkan keuntungan yang tidak adil dengan membagikan data pengguna tanpa persetujuan mereka, kata PIPC.

Facebook juga menyimpan data kata sandi pengguna tanpa enkripsi, dan tidak memberi tahu pengguna secara teratur ketika perusahaan mengakses data mereka, tambahnya.

sumber : ZDNET