Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas membuktikan tidak perlu banyak hal untuk membajak satelit yang mati

by

Hanya dengan peralatan seharga $300 dan akses (legal) ke stasiun uplink, Anda juga dapat menyiarkan WarGames dari satelit Kanada yang dinonaktifkan—itulah yang ditunjukkan oleh Karl Koscher kepada semua orang selama akhir pekan di pertemuan tahunan peretas Def Con di Las Vegas.

Sebagai tulisan baru dari perincian Motherboard, setelah diberikan akses ke fasilitas uplink yang ditinggalkan, Koscher dan teman-temannya menggunakan radio yang ditentukan perangkat lunak yang disebut Hack RF untuk terhubung dengan satelit Anik F1R Kanada yang sudah tidak berfungsi tahun lalu.

Setelah 15 tahun melayani dengan setia, satelit telekomunikasi di orbit geostasioner kira-kira 22.236 mil di atas Bumi ditempatkan di padang rumput pada tahun 2020, dengan rencana selanjutnya untuk kemudian memindahkannya ke “orbit kuburan” pada November 2021.

Di jendela api penyucian itu, namun, Koscher dan rekan-rekannya dalam kelompok peretasan, ShadyTel, memperoleh kedua lisensi untuk menggunakan fasilitas uplink yang tidak digunakan bersama dengan sewa transponder satelit Anik F1R.

“Apa yang Anda lakukan dengan satelit? Apa yang dilakukan peretas dengan satelit?” Koscher memberi tahu Motherboard. “… Kami memiliki kesempatan untuk menggunakan satelit yang sedang dinonaktifkan… Kami juga memiliki kemampuan untuk menempatkan konten kami sendiri di sana.”

Yang, tentu saja, persis seperti yang dilakukan Koscher dan kru. Memanfaatkan satelit baru mereka, grup tersebut dapat melakukan streaming pembicaraan dari konferensi peretasan ToorCon tahun itu di San Diego pada siang hari sambil menayangkan film favorit penggemar di malam hari. Bandwidth ekstra juga memungkinkan mereka untuk mengatur saluran konferensi telepon dengan nomor khusus untuk menelepon dan menyiarkan ke seluruh benua.

Koscher melanjutkan untuk menjelaskan bagaimana satelit pada dasarnya hanya memantulkan sinyal apa pun yang dipancarkan ke arah mereka. “Tidak ada otentikasi atau apa pun,” katanya saat itu. Meskipun Anda secara hipotetis membutuhkan sinyal yang lebih kuat daripada siapa pun yang mencoba menyiarkan ke satelit, sinyal yang ditinggalkan memberikan peluang unik dan sederhana bagi siapa pun yang ingin meretas planet ini.

Sumber: Popsci

Manfaatkan kelemahan Realtek kritis yang memengaruhi banyak perangkat jaringan

by

Kode eksploitasi telah dirilis untuk kerentanan kritis yang memengaruhi perangkat jaringan dengan sistem RTL819x Realtek pada chip (SoC), yang diperkirakan berjumlah jutaan.

Cacat diidentifikasi sebagai CVE-2022-27255 dan penyerang jarak jauh dapat mengeksploitasinya untuk mengkompromikan perangkat yang rentan dari berbagai produsen peralatan asli (OEM), mulai dari router dan titik akses hingga repeater sinyal.

Para peneliti dari perusahaan keamanan siber Faraday Security di Argentina menemukan kerentanan di SDK Realtek untuk sistem operasi eCos open-source dan mengungkapkan detail teknisnya minggu lalu di konferensi peretas DEFCON.

Empat peneliti (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) yang dianggap menemukan kerentanan adalah mahasiswa ilmu komputer di Universitas Buenos Aires.

Presentasi mereka mencakup seluruh upaya yang mengarah untuk menemukan masalah keamanan, mulai dari memilih target hingga menganalisis firmware dan mengeksploitasi kerentanan, dan mengotomatiskan deteksi pada gambar firmware lainnya.

CVE-2022-27255 adalah buffer overflow berbasis tumpukan dengan skor keparahan 9,8 dari 10 yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode tanpa otentikasi dengan menggunakan paket SIP yang dibuat khusus dengan data SDP berbahaya.

Realtek mengatasi masalah pada bulan Maret dengan mencatat bahwa hal itu mempengaruhi seri rtl819x-eCos-v0.x dan seri rtl819x-eCos-v1.x dan dapat dieksploitasi melalui antarmuka WAN.

Empat peneliti dari Faraday Security telah mengembangkan kode eksploitasi proof-of-concept (PoC) untuk CVE-2022-27255 yang bekerja pada router Nexxt Nebula 300 Plus.

Para peneliti mencatat bahwa CVE-2022-27255 adalah kerentanan tanpa klik, yang berarti bahwa eksploitasi diam dan tidak memerlukan interaksi dari pengguna.

Penyerang yang mengeksploitasi kerentanan ini hanya membutuhkan alamat IP eksternal dari perangkat yang rentan.

Johannes Ullrich, Dekan Riset SANS mengatakan bahwa penyerang jarak jauh dapat mengeksploitasi kerentanan untuk tindakan berikut:

  • merusak perangkat
  • jalankan kode arbitrer
  • membangun Backdoor untuk ketekunan
  • merutekan ulang lalu lintas jaringan
  • mencegat lalu lintas jaringan

Ullrich memperingatkan bahwa jika eksploitasi untuk CVE-2022-27255 berubah menjadi worm, itu bisa menyebar ke internet dalam hitungan menit.

Meskipun patch telah tersedia sejak Maret, Ullrich memperingatkan bahwa kerentanan mempengaruhi “banyak (jutaan) perangkat” dan bahwa perbaikan tidak mungkin menyebar ke semua perangkat.

Ini karena beberapa vendor menggunakan Realtek SDK yang rentan untuk peralatan berdasarkan SoC RTL819x dan banyak dari mereka belum merilis pembaruan firmware.

Tidak jelas berapa banyak perangkat jaringan yang menggunakan chip RTL819x tetapi versi RTL819xD dari SoC hadir dalam produk dari lebih dari 60 vendor. Diantaranya ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, dan Zyxel.

Peneliti mengatakan bahwa:

  • Perangkat yang menggunakan firmware yang dibangun di sekitar Realtek eCOS SDK sebelum Maret 2022 rentan
  • Anda rentan bahkan jika Anda tidak mengekspos fungsionalitas antarmuka admin apa pun
  • Penyerang dapat menggunakan satu paket UDP ke port arbitrer untuk mengeksploitasi kerentanan
  • Kerentanan ini kemungkinan akan paling memengaruhi router, tetapi beberapa perangkat IoT yang dibangun di sekitar SDK Realtek juga mungkin terpengaruh

Ulrich membuat aturan Snort di sini yang dapat mendeteksi eksploitasi PoC. Itu mencari pesan “INVITE” dengan string “m=audio” dan terpicu ketika ada lebih dari 128 byte (ukuran buffer yang dialokasikan oleh Realtek SDK) dan jika tidak ada yang merupakan carriage return.

Pengguna harus memeriksa apakah peralatan jaringan mereka rentan dan menginstal pembaruan firmware dari vendor yang dirilis setelah Maret, jika tersedia. Selain itu, organisasi dapat mencoba memblokir permintaan UDP yang tidak diminta.

Sumber: Bleeping Computer

Peretas menemukan cara untuk melewati otentikasi multi-faktor

by

Sering dikatakan bahwa hal terpenting yang dapat Anda lakukan untuk melindungi akun dan jaringan yang lebih luas dari peretas adalah dengan menggunakan otentikasi multi-faktor (MFA).

MFA menciptakan dan penghalang tambahan untuk penyerang karena mengharuskan pengguna untuk memverifikasi tambahan bahwa upaya login benar-benar dilakukan oleh mereka. Verifikasi ini dapat melalui pesan SMS, aplikasi autentikator, atau bahkan kunci keamanan fisik. Jika penyerang memiliki kata sandi, tetapi bukan pesan verifikasi atau perangkat fisik, maka sistem tidak akan membiarkan mereka masuk dan mereka tidak dapat melanjutkan lebih jauh.

Baru-baru ini ada lonjakan serangan cyber yang bertujuan untuk menghindari keamanan otentikasi multi-faktor masa lalu. Menurut Microsoft, hanya dalam satu kampanye, 10.000 organisasi telah ditargetkan dengan cara ini selama setahun terakhir.

Salah satu opsi bagi peretas yang ingin menyiasati MFA adalah dengan menggunakan apa yang disebut serangan adversary-in-the-middle (AiTM) yang menggabungkan serangan phishing dengan server proxy antara korban dan situs web yang mereka coba masuki. Ini memungkinkan penyerang untuk mencuri kata sandi dan cookie sesi yang memberikan tingkat otentikasi tambahan yang dapat mereka manfaatkan – dalam hal ini untuk mencuri email. Pengguna hanya berpikir bahwa mereka telah masuk ke akun mereka seperti biasa.

Itu karena penyerang tidak merusak MFA sendiri, mereka telah berhasil melewatinya dengan mencuri cookie, dan sekarang dapat menggunakan akun seolah-olah mereka adalah pengguna, bahkan jika mereka pergi dan kembali lagi nanti. Itu berarti meskipun ada otentikasi multi-faktor, sayangnya dibuat berlebihan dalam situasi ini – dan itu buruk untuk semua orang.

Jadi, meskipun otentikasi multi-faktor sering menjadi penghalang, serangan ini menunjukkan bahwa itu tidak sempurna.

Dan ada skenario lain yang dapat dimanfaatkan untuk melewati otentikasi multi-faktor juga, karena dalam banyak kasus, sebuah kode diperlukan, dan seseorang harus memasukkan kode itu. Dan orang dapat ditipu atau dimanipulasi bahkan saat teknologi mencoba melindungi kita.

Dibutuhkan sedikit lebih banyak upaya dari penyerang, tetapi dimungkinkan untuk mengambil kode-kode ini. Misalnya, verifikasi SMS masih merupakan metode umum MFA bagi banyak orang, terutama untuk hal-hal seperti rekening bank dan kontrak telepon. Dalam beberapa kasus, pengguna diharuskan membacakan kode melalui telepon atau memasukkannya ke dalam layanan.

Ini adalah proses yang berpotensi rumit, tetapi mungkin saja penjahat dunia maya memalsukan saluran bantuan dan layanan lain yang meminta kode ke perangkat – terutama jika orang mengira mereka sedang berbicara dengan seseorang yang mencoba membantu mereka. Itu sebabnya banyak layanan akan mengawali kode SMS dengan peringatan bahwa mereka tidak akan pernah menelepon Anda untuk memintanya.

Metode lain yang dapat dimanfaatkan penjahat dunia maya untuk mem-bypass MFA adalah dengan menggunakan malware yang secara aktif mencuri kode. Misalnya, peretas dapat memperoleh akses ke akun dengan menggunakan malware trojan untuk melihat pengguna mendapatkan akses ke akun mereka, kemudian menggunakan akses yang mereka miliki dari perangkat yang terinfeksi untuk menjalankan bisnis mereka.

Sementara kata sandi yang kuat membantu Anda mengamankan akun online Anda yang berharga, otentikasi dua faktor berbasis perangkat keras membawa keamanan itu ke tingkat berikutnya.

Ada juga potensi bagi mereka untuk mengambil kendali perangkat tanpa sepengetahuan korban, menggunakan aplikasi authenticator dan menggunakan kode yang disediakan untuk mengakses akun yang mereka cari dari komputer lain dari jarak jauh.

Sejauh menyangkut jaringan atau akun, karena otentikasi telah digunakan dengan benar, itu adalah pengguna sah yang menggunakan layanan tersebut. Tetapi ada tanda-tanda jaringan dan tim keamanan informasi mana yang dapat diatur untuk diwaspadai, tanda-tanda ada sesuatu yang mungkin tidak benar, bahkan jika detail yang benar digunakan.

Meskipun tidak sepenuhnya sempurna, menggunakan otentikasi multi-faktor masih merupakan keharusan karena menghentikan sejumlah besar upaya upaya pengambilalihan akun. Tetapi ketika penjahat dunia maya menjadi lebih pintar, mereka semakin mengejarnya – dan itu membutuhkan tingkat pertahanan ekstra, terutama dari mereka yang bertanggung jawab untuk mengamankan jaringan.

Sumber: ZD Net

Rangkaian Emoji Ini Sebenarnya Malware

by

Dalam waktu dekat, peretas dapat menipu Anda hanya dengan mengirimkan serangkaian emoji acak ke komputer atau ponsel Anda, menurut peneliti keamanan siber.

Biasanya, ketika peretas menemukan kelemahan pada komputer atau ponsel target, mereka membuat apa yang disebut eksploitasi—sepotong kode yang dirancang untuk memanfaatkan kelemahan tersebut dan mengendalikan target. Sama seperti kode lainnya, exploit biasanya berisi string huruf dan simbol.

Selama pembicaraan di konferensi peretasan DEF CON di Las Vegas pada hari Jumat, peneliti keamanan Hadrien Barral dan Georges-Axel Jaloyan mengatakan mereka telah menemukan cara untuk menggunakan hanya serangkaian emoji untuk memberikan eksploitasi ke target. Peringatannya adalah bahwa ada keadaan khusus yang perlu terjadi agar eksploitasi emoji berfungsi.

Jayolan menjelaskan bahwa saat mengirimkan exploit ke target, harus melalui filter terlebih dahulu—misalnya, jika seorang hacker mengirimkan payloadnya melalui formulir yang hanya menerima huruf dan angka, maka payloadnya harus berupa huruf dan angka. Jadi, agar serangan emoji berfungsi, perlu melalui filter yang hanya menerima emoji, yang menurut Jaloyan tidak ada saat ini.

Kedua peneliti berbagi dengan Motherboard contoh eksploitasi yang hanya dibuat dari emoji. Mereka juga mempublikasikan detail teknis penelitian mereka di GitHub.

Namun, penelitian dan bukti konsep Barral dan Jaloyan menunjukkan bahwa menggunakan emoji untuk meretas target memang memungkinkan.

Ide peneliti adalah untuk mendidik penyerang dan pembela keamanan siber untuk menunjukkan kepada mereka bahwa ini mungkin, yang seharusnya mendorong mereka untuk mengubah perilaku mereka.

Selama penelitian mereka, Barral dan Jaloyan menemukan bahwa beberapa perangkat lunak kesulitan memproses emoji. Ini tidak berarti perangkat lunak ini dapat diretas dengan emoji, tetapi menunjukkan bahwa emoji cukup baru sehingga tidak semua komputer dan program mendukungnya.

VICE

USB Rubber Ducky yang baru lebih berbahaya dari sebelumnya

by

Alat peretasan yang sangat disukai memiliki inkarnasi baru, dirilis bertepatan dengan konferensi peretasan Def Con tahun ini, dan pencipta Darren Kitchen siap menjelaskannya kepada The Verge.

APA ITU?

Di mata manusia, USB Rubber Ducky terlihat seperti flash drive USB yang biasa-biasa saja. Jika dipasangkan ke komputer, mesin melihatnya sebagai keyboard USB — yang berarti ia menerima perintah penekanan tombol dari perangkat sama seperti jika seseorang mengetiknya.

Rubber Ducky asli dirilis lebih dari 10 tahun yang lalu dan menjadi favorit penggemar di kalangan peretas (bahkan ditampilkan dalam adegan Mr. Robot). Ada sejumlah pembaruan tambahan sejak itu, tetapi Rubber Ducky terbaru membuat lompatan ke depan dengan serangkaian fitur baru yang membuatnya jauh lebih fleksibel dan kuat dari sebelumnya.

APA YANG RUBBER DUCKY BISA LAKUKAN?

versi Rubber Ducky sebelumnya dapat melakukan serangan seperti membuat kotak pop-up Windows palsu untuk memanen kredensial login pengguna atau menyebabkan Chrome mengirim semua kata sandi yang disimpan ke server web penyerang. Tetapi serangan ini harus dibuat dengan hati-hati untuk sistem operasi dan versi perangkat lunak tertentu dan tidak memiliki fleksibilitas untuk bekerja di seluruh platform.

Rubber Ducky terbaru bertujuan untuk mengatasi keterbatasan tersebut. Ini dibuat dengan peningkatan besar ke bahasa pemrograman DuckyScript, yang digunakan untuk membuat perintah yang akan dimasukkan Rubber Ducky ke mesin target.

Sementara versi sebelumnya sebagian besar terbatas pada penulisan urutan penekanan tombol, DuckyScript 3.0 adalah bahasa yang kaya fitur, memungkinkan pengguna menulis fungsi, menyimpan variabel, dan menggunakan kontrol aliran logika.

SEBERAPA BESAR ANCAMANNYA?

Singkatnya, ini bisa menjadi masalah besar, tetapi kebutuhan akan akses perangkat fisik berarti kebanyakan orang tidak berisiko menjadi target.

Menurut Kitchen, Rubber Ducky baru adalah produk perusahaannya yang paling laris di Def Con, dan 500 atau lebih unit yang dibawa Hak5 ke konferensi terjual habis pada hari pertama.

Selengkapnya: The Verge

Penipu menggunakan taktik licik ini untuk menipu Korban agar menyerahkan detail bank dan kata sandi

by

Ada peningkatan besar dalam kejahatan siber yang menggabungkan email penipuan dan panggilan telepon untuk mengelabui korban agar mengungkapkan informasi sensitif seperti kata sandi dan detail bank.

Dikenal sebagai serangan vishing, penjahat dan penipu menelepon korban dan mencoba menggunakan rekayasa sosial untuk mengelabui mereka agar menyerahkan data pribadi.

Sekarang, dalam upaya untuk membuat serangan vishing terlihat lebih sah, penjahat siber menggunakan apa yang peneliti keamanan siber di Agari, oleh HelpSystems gambarkan sebagai serangan vishing ‘hybrid’.

Ini berbeda dengan serangan vishing biasa karena mereka menggunakan beberapa tahapan yang berbeda, pertama menghubungi korban dengan iming-iming email phishing yang berisi nomor telepon yang diminta untuk mereka hubungi. Email akan sering mengklaim keadaan mendesak untuk membuat target panik untuk memanggil nomor tersebut.

Saat korban menelepon, mereka terhubung dengan scammer yang mengklaim mencoba mengekstrak informasi sensitif dari mereka dengan alasan palsu untuk membantu korban memperbaiki masalah palsu yang telah diberitahukan kepada mereka.

Tidak seperti banyak email phishing, email tersebut tidak berisi lampiran atau tautan berbahaya, sehingga lebih mudah melewati filter spam dan perlindungan anti-virus.

Para peneliti memperingatkan bahwa vishing dan serangan phishing berbasis email lainnya akan terus menjadi masalah. Ada beberapa langkah yang dapat dilakukan oleh organisasi untuk membantu mencegah serangan seperti, kemampuan untuk secara otomatis mendeteksi dan menghapus ancaman dari semua kotak masuk karyawan yang terinfeksi sebelum pengguna dapat berinteraksi dengan mereka. Serta pelatihan keamanan yang tepat, untuk mempersiapkan pengguna agar waspada terhadap ancaman tersebut.

Selengkapnya: ZDNet

Twilio hack mengekspos nomor telepon Signal dari 1.900 pengguna

by

Nomor telepon hampir 1.900 pengguna Signal terkena pelanggaran data yang diderita perusahaan komunikasi awan Twilio pada awal bulan.

Twilio menyediakan layanan verifikasi nomor telepon untuk Signal dan minggu lalu mengungkapkan bahwa seorang penyerang meretas jaringannya pada 4 Agustus.

Perusahaan komunikasi mengkonfirmasi bahwa data milik 125 pelanggannya terungkap setelah peretas memperoleh akses ke akun karyawan Twilio dengan mengirimi mereka pesan teks dengan tautan berbahaya.

Signal hari ini menerbitkan sebuah nasihat untuk penggunanya yang memberi tahu mereka bagaimana serangan siber di Twilio berdampak pada mereka:

Tetapi untuk sekitar 1.900 pengguna Signal, nomor telepon mereka berpotensi terpapar ke penyerang Twilio, yang bisa saja mencoba mendaftarkan mereka ke perangkat lain.

Penyelidikan Signal atas insiden tersebut menyimpulkan bahwa akses peretas ke konsol dukungan pelanggan Twilio memungkinkan mereka untuk melihat bahwa nomor telepon ditautkan ke akun Signal atau mengungkapkan kode verifikasi SMS untuk mendaftar ke layanan tersebut.

Layanan pesan instan terenkripsi mengatakan bahwa dari 1.900 nomor telepon, penyerang “mencari secara eksplisit” untuk tiga di antaranya. Salah satu pengguna ini melaporkan bahwa akun mereka telah didaftarkan ulang.

Signal meyakinkan pengguna bahwa riwayat pesan tetap aman setiap saat karena hanya tersedia di perangkat tanpa salinan di server layanan.

Daftar kontak dan informasi profil dilindungi oleh PIN Sinyal, yang tidak dapat diakses selama pelanggaran data Twilio.

Perusahaan memperingatkan bahwa jika penyerang mendaftarkan ulang akun ke salah satu perangkat mereka, mereka akan dapat mengirim dan menerima pesan Signal dari nomor telepon itu.

Semua 1.900 pengguna Signal yang terpengaruh akan dibatalkan pendaftarannya di semua perangkat dan mereka harus melalui proses pendaftaran di perangkat mereka.

Signal sekarang dalam proses mengirim pesan SMS ke pengguna yang terkena dampak untuk memberi tahu mereka tentang risikonya dan berharap untuk menyelesaikan prosesnya besok.

Pengguna yang terkena dampak akan menerima pesan yang berbunyi: “Ini dari Signal Messenger. Kami menghubungi Anda agar Anda dapat melindungi akun Signal Anda. Buka Signal dan daftar lagi. Info lebih lanjut: https://support.signal.org/hc/en-us/articles/4850133017242

Saat membuka aplikasi Signal, mereka juga akan melihat spanduk yang memberi tahu mereka bahwa perangkat mereka tidak lagi terdaftar, jika mereka menggunakan layanan baru-baru ini.

Signal mendorong pengguna untuk mengaktifkan opsi kunci pendaftaran, yang memungkinkan pemulihan profil, pengaturan, kontak, dan pengguna yang diblokir. Fitur ini dapat diaktifkan atau dinonaktifkan hanya dari perangkat dan memerlukan PIN Sinyal sebagai lapisan verifikasi tambahan.

Sumber: Bleeping Computer

Google Didenda $40 juta+ Karena Menyesatkan Pengaturan Pelacakan Lokasi di Android

by

Google telah dikenai sanksi A $ 60 juta (sekitar $ 40 juta +) di Australia atas pengaturan Android yang telah diterapkannya, sejak sekitar lima tahun, yang ditemukan – dalam putusan pengadilan 2021 – telah menyesatkan konsumen tentang pengumpulan data lokasinya.

Komisi Persaingan & Konsumen Australia (ACCC) memulai proses hukum terhadap Google dan anak perusahaannya di Australia pada Oktober 2019, membawa raksasa teknologi itu ke pengadilan karena membuat pernyataan menyesatkan kepada konsumen tentang pengumpulan dan penggunaan data lokasi pribadi mereka di ponsel Android, antara Januari 2017 dan Desember 2018.

Pada April 2021, pengadilan menemukan Google telah melanggar Undang-Undang Konsumen Australia ketika menyatakan kepada beberapa pengguna Android bahwa pengaturan “Riwayat Lokasi” adalah satu-satunya pengaturan akun Google yang memengaruhi apakah itu mengumpulkan, menyimpan, dan menggunakan data pengenal pribadi tentang lokasi mereka.

Sebenarnya, pengaturan lain — yang disebut ‘Aktivitas Web & Aplikasi’ — juga memungkinkan Google untuk mengambil data lokasi pengguna Android dan ini diaktifkan secara default, seperti yang dicatat oleh ACCC dalam siaran pers hari ini. Alias, pola gelap klasik.

Regulator memperkirakan bahwa pengguna sekitar 1,3 juta akun Google di Australia mungkin telah melihat layar yang ditemukan oleh Pengadilan telah melanggar Undang-Undang Konsumen.

“Hukuman signifikan yang dijatuhkan oleh Pengadilan hari ini mengirimkan pesan yang kuat ke platform digital dan bisnis lain, besar dan kecil, bahwa mereka tidak boleh menyesatkan konsumen tentang bagaimana data mereka dikumpulkan dan digunakan,” kata ketua ACCC, Gina Cass-Gottlieb, dalam sebuah pernyataan.

“Google, salah satu perusahaan terbesar di dunia, dapat menyimpan data lokasi yang dikumpulkan melalui pengaturan ‘Aktivitas Web & Aplikasi’ dan data yang disimpan tersebut dapat digunakan oleh Google untuk menargetkan iklan ke beberapa konsumen, bahkan jika konsumen tersebut memiliki ‘ Setelan Riwayat Lokasi dimatikan.”

“Data lokasi pribadi sensitif dan penting bagi beberapa konsumen, dan beberapa pengguna yang melihat representasi mungkin telah membuat pilihan berbeda tentang pengumpulan, penyimpanan, dan penggunaan data lokasi mereka jika representasi yang menyesatkan tidak dibuat oleh Google,” dia ditambahkan.

Menurut ACCC, Google mengambil langkah-langkah untuk memperbaiki perilaku yang melanggar pada 20 Desember 2018, yang berarti konsumen di negara tersebut tidak lagi diperlihatkan layar yang menyesatkan.

Pada saat putusan pengadilan tahun lalu, Google mengatakan tidak setuju dengan temuan tersebut dan sedang mempertimbangkan banding. Tapi, dalam acara tersebut, ia memutuskan untuk mengambil benjolan.

(Ini tidak seberat jika pelanggaran terjadi baru-baru ini: ACCC mencatat bahwa sebagian besar tindakan yang dikenai sanksi terjadi sebelum September 2018 sebelum hukuman maksimum untuk pelanggaran Undang-Undang Konsumen ditingkatkan secara substansial — dari $1,1 juta per pelanggaran hingga — sejak saat itu — lebih tinggi dari $10 juta, 3x nilai manfaat yang diperoleh atau, jika nilainya tidak dapat ditentukan, 10% dari omset.)

Pengadilan juga telah memerintahkan Google untuk memastikan kebijakannya mencakup komitmen terhadap kepatuhan, dan persyaratan bahwa Google melatih staf tertentu tentang Hukum Konsumen negara tersebut, serta membayar kontribusi untuk biaya ACCC.

Google dihubungi untuk mengomentari sanksi tersebut. Seorang juru bicara perusahaan mengirimi kami pernyataan ini:

Kami dapat mengonfirmasi bahwa kami telah setuju untuk menyelesaikan masalah tentang perilaku historis dari 2017-2018. Kami telah banyak berinvestasi dalam membuat informasi lokasi mudah dikelola dan mudah dipahami dengan alat pertama di industri seperti kontrol hapus otomatis, sekaligus meminimalkan jumlah data yang disimpan secara signifikan. Seperti yang telah kami tunjukkan, kami berkomitmen untuk membuat pembaruan berkelanjutan yang memberikan kontrol dan transparansi kepada pengguna, sekaligus menyediakan produk yang paling bermanfaat.

Selengkapnya: TechCrunch