Amazon

Grup Ransomware Mengklaim Peretasan Cincin Amazon

March 15, 2023 by Coffee Bean

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice

LinkedIn tetap menjadi brand yang paling banyak ditiru dalam serangan phishing

July 21, 2022 by Eevee

LinkedIn masih memegang posisi teratas sebagai Brand yang paling banyak ditiru dalam kampanye phishing yang diamati selama kuartal kedua tahun 2022.

Data statistik dari perusahaan keamanan siber, Check Point, menunjukkan bahwa platform sosial untuk para profesional tersebut berada di urutan teratas daftar untuk kuartal kedua berturut-turut.

Brand yang paling banyak ditiru oleh pelaku phishing di Q2 2022 (Check Point)

Dibandingkan dengan kuartal pertama tahun ini, peniruan identitas LinkedIn turun dari 52% menjadi 45%. Namun, ia mempertahankan jarak yang cukup jauh dari merek kedua yang paling banyak ditiru oleh penipu, yaitu Microsoft yang saat ini sebesar 13%.

Tema sentral dalam email Microsoft palsu adalah permintaan untuk memverifikasi akun Outlook untuk mencuri nama pengguna dan kata sandi.

DHL saat ini memegang posisi ketiga dalam daftar dengan 12%, turun dari 14%.

Sedangkan Amazon naik ke posisi keempat, melompat dari 2% pada Q1 2022 menjadi 9% pada kuartal ini, sementara Apple mengikuti di tempat kelima dengan 3%; juga meningkat signifikan dibandingkan dengan 0,8% kuartal lalu.

Dalam kasus Amazon, email phishing berusaha mencuri informasi penagihan target, termasuk data kartu kredit lengkap, kata para peneliti.

Seperti yang dijelaskan oleh Check Point dalam laporannya, kampanye phishing menggunakan email LinkedIn palsu mencoba untuk meniru pesan umum dari platform kepada penggunanya, seperti “Anda muncul di 8 pencari minggu ini”, atau “Anda memiliki satu pesan baru.”

Alamat pengirim dipalsukan agar muncul seolah-olah pesan itu otomatis atau berasal dari dukungan atau bahkan departemen keamanan.

Beberapa umpan yang digunakan dalam kampanye ini termasuk promosi palsu untuk layanan LinkedIn Pro, pembaruan kebijakan palsu, atau bahkan ancaman penghentian akun untuk “pelanggan yang belum diverifikasi.”

Mereka semua mengarah ke halaman web phishing di mana para korban diminta untuk memasukkan kredensial LinkedIn mereka, memungkinkan pelaku ancaman untuk mengambil alih akun.

Halaman web login palsu LinkedIn (Check Point)

Dengan akses ke akun LinkedIn, pelaku ancaman dapat menyebarkan kampanye phishing yang ditargetkan untuk menjangkau rekan kerja korban atau individu berharga di jaringan koneksi mereka.

Alasan lain untuk menargetkan akun LinkedIn adalah bahwa mereka dapat digunakan untuk menyiapkan kampanye tawaran pekerjaan palsu. Dalam contoh baru-baru ini, peretas Korea Utara dapat mengelabui seorang karyawan video game online berbasis token agar mengunduh PDF berbahaya yang memungkinkan aktor ancaman mencuri cryptocurrency senilai $620 juta.

Sumber: Bleeping Computer

Amazon memperbaiki kerentanan tingkat tinggi di aplikasi Foto Android

June 30, 2022 by Eevee

Amazon telah mengkonfirmasi dan memperbaiki kerentanan di aplikasi Foto untuk Android, yang telah diunduh lebih dari 50 juta kali di Google Play Store.

Amazon Photos adalah aplikasi penyimpanan gambar dan video yang memungkinkan pengguna berbagi foto mereka dengan lancar hingga lima anggota keluarga, menawarkan fitur manajemen dan organisasi yang kuat.

Cacatnya, ditemukan oleh para peneliti di Checkmarx, terletak pada kesalahan konfigurasi komponen aplikasi, yang mengakibatkan file manifesnya dapat diakses secara eksternal tanpa autentikasi.

Mengeksploitasi bug ini dapat mengaktifkan aplikasi berbahaya yang diinstal pada perangkat yang sama untuk mengambil token akses Amazon yang digunakan untuk otentikasi API Amazon.

API ini mungkin berisi informasi pribadi yang sensitif seperti nama lengkap, email, dan alamat fisik, sementara yang lain seperti Amazon Drive API menyimpan file pengguna.

Komponen yang rentan adalah “com.amazon.gallery.thor.app.activity.ThorViewActivity”, yang, saat diluncurkan, memicu permintaan HTTP yang berisi header dengan token pengguna.

Peneliti Checkmarx menemukan bahwa aplikasi eksternal dapat dengan mudah meluncurkan aktivitas yang rentan dan memicu permintaan sesuka hati, mengirimkan token ke server yang dikendalikan aktor.

Permintaan yang berisi token Amazon yang diterima di titik akhir berbahaya (Checkmarx)

Analis mengeksplorasi berbagai skenario eksploitasi dengan token yang diperoleh, seperti melakukan tindakan file pada penyimpanan cloud Amazon Drive korban, menghapus riwayat sehingga data yang dihapus tidak dapat dipulihkan, dan banyak lagi.

Token yang sama mungkin digunakan oleh API Amazon lainnya, seperti Prime Video, Alexa, Kindle, dll., sehingga potensi eksploitasi bisa meluas.

Checkmarx melaporkan masalah tersebut ke Amazon pada 7 November 2021, dan raksasa internet itu mengkonfirmasi penerimaan pada hari berikutnya, mengklasifikasikannya sebagai kerentanan tingkat tinggi.

Pada 18 Desember 2021, Amazon memberi tahu Checkmarx bahwa mereka telah menyelesaikan masalah melalui pembaruan keamanan yang diterapkan ke produksi. Namun, pengguna aplikasi tidak pernah diberitahu tentang potensi paparan.

Kami telah menghubungi Amazon untuk menanyakan apakah mereka melihat tanda-tanda eksploitasi kerentanan dan apakah ada laporan akses API Amazon yang tidak sah selama periode itu, dan juru bicara telah memberi kami komentar berikut:

Kami merilis perbaikan untuk masalah ini segera setelah mendapat perhatian kami. Kami tidak memiliki bukti bahwa informasi sensitif pelanggan terungkap sebagai akibat dari masalah ini.

Sumber: Bleeping Computer

DHL Melengserkan Microsoft Sebagai Merek yang Paling Ditiru dalam Serangan Phishing

January 18, 2022 by Eevee

DHL adalah merek yang paling ditiru dalam kampanye phishing sepanjang Q4 2021, mendorong Microsoft ke tempat kedua, dan Google ke posisi keempat.

Ini tidak mengherankan mengingat bahwa kuartal terakhir setiap tahun termasuk Black Friday, Cyber Monday, dan musim belanja Natal, sehingga umpan phishing berdasarkan pengiriman paket secara alami meningkat.

DHL adalah layanan pengiriman paket dan surat ekspres internasional, mengirimkan lebih dari 1,6 miliar paket per tahun.

Dengan demikian, kampanye phishing yang meniru merek memiliki peluang bagus untuk menjangkau orang-orang yang menunggu paket DHL tiba selama musim liburan.

Umpan spesifik berkisar dari paket yang terjebak di bea cukai dan memerlukan tindakan untuk izin ke nomor pelacakan yang seharusnya bersembunyi di dalam lampiran dokumen atau tautan tertanam.

Menurut sebuah laporan oleh perusahaan intelijen ancaman Check Point, sepuluh merek teratas yang ditiru oleh aktor phishing pada Q4 2021 adalah sebagai berikut:

Dalam contoh yang disajikan pada laporan Check Point, kampanye phishing menggunakan alamat email dukungan pelanggan DHL palsu untuk mengirim pesan “pemberitahuan pengiriman”, seperti yang ditunjukkan di bawah ini.

Dalam hal ini, email meminta pengguna untuk memverifikasi identitas mereka, yang terjadi pada halaman phishing yang dibuat agar terlihat persis seperti situs DHL yang sebenarnya.

Dalam umpan FedEx yang diambil sampelnya oleh CheckPoint, para aktor mengklaim tidak dapat mengirimkan paket ke penerima, meminta korban untuk memasukkan rincian mereka di situs phishing.

Akhirnya, ada spesimen phishing PayPal yang tidak menyenangkan yang meminta target untuk “mengkonfirmasi informasi akun mereka” untuk mencabut status penangguhan sementara.

Tetap tenang dan tetap waspada

Cara terbaik untuk menangani email masuk yang membuat klaim berani dan meminta tindakan-segera adalah berhati-hati.

Sebagai gantinya, Anda harus membuka tab browser baru, mengunjungi situs web resmi pengirim yang diduga, mengkonfirmasi validitas URL tempat Anda berada, dan baru kemudian masuk ke akun Anda. Jika ada tindakan yang diperlukan dari Anda, Anda akan melihat peringatan yang relevan di sana.

Jangan pernah mengklik tombol tertanam pada email dan hindari mengunduh dan membuka dokumen yang tiba melalui komunikasi yang tidak diminta.

Phishing bergantung pada menciptakan rasa urgensi, jadi setiap kali Anda berurusan dengan email yang menyebabkan Anda tertekan, pertimbangkan kemungkinan itu sebagai upaya untuk menipu Anda agar memberikan informasi sensitif.

Sumber: Bleepingcomputer

Alat Keamanan Kubernetes Sumber Terbuka Teratas tahun 2021

August 20, 2021 by Winnie the Pooh

Menurut survei kami baru-baru ini terhadap para pembuat keputusan TI, keamanan adalah area perhatian terbesar yang berkaitan dengan adopsi container, dengan masalah keamanan yang menyebabkan penundaan penerapan aplikasi di antara 54% responden.

Kubernetes, pertama dan terutama, adalah alat untuk pengembangan dan tim DevOps untuk mempercepat dan menskalakan pengembangan, penerapan, dan pengelolaan aplikasi dalam container. Penyedia seperti Red Hat, Amazon, Microsoft, dan Google telah menambahkan fitur keamanan untuk meningkatkan kemampuan dasar di Kubernetes. Pada saat yang sama, vendor keamanan komersial telah melangkah untuk menawarkan solusi keamanan yang siap untuk perusahaan untuk kasus penggunaan yang lebih maju.

Secara paralel, komunitas Kubernetes sangat aktif merilis alat keamanan open source untuk mengisi celah keamanan yang ada di Kubernetes. Pelanggan memiliki banyak pilihan alat keamanan sumber terbuka untuk dipilih, dan hasil survei Red Hat menunjukkan bahwa tidak ada alat keamanan sumber terbuka tunggal yang mendominasi pasar keamanan Kubernetes.

Di bawah ini, Anda akan menemukan sembilan alat keamanan Kubernetes open source terpopuler yang diidentifikasi oleh responden survei kami.

Selengkapnya: Red Hat

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

November 19, 2020 by Winnie the Pooh

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Amazon Telah Mengatasi Serangan DDoS Terbesar Yang Pernah Tercatat Sebelumnya

June 19, 2020 by Winnie the Pooh

Amazon Web Services baru-baru ini harus bertahan melawan serangan DDoS dengan puncak volume lalu lintas 2,3 Tbps, rekor terbesar yang pernah ada, ZDNet melaporkan. Merinci serangan dalam laporan ancaman Q1 2020, Amazon mengatakan bahwa serangan itu terjadi pada bulan Februari, dan telah berhasil dimitigasi oleh AWS Shield, layanan yang dirancang untuk melindungi pelanggan platform on-demand cloud computing Amazon dari serangan DDoS, serta dari bot jahat dan kerentanan aplikasi. Perusahaan tidak mengungkapkan target atau asal serangan.

Untuk memasukkan angka itu ke dalam perspektif, sebelum Februari tahun ini, ZDNet mencatat bahwa serangan DDoS terbesar yang tercatat adalah pada Maret 2018, ketika NetScout Arbor mengatasi serangan DDoS 1,7 Tbps. Bulan sebelumnya, GitHub mengungkapkan bahwa mereka telah dihantam oleh serangan dengan puncak lalu lintas 1,35 Tbps.

Serangan Februari adalah apa yang disebut dengan “serangan refleksi.” Seperti yang dijelaskan Cloudflare, upaya di sini adalah menggunakan server pihak ketiga yang rentan untuk memperbesar jumlah data yang dikirim ke alamat IP korban. Serangan itu mengandalkan eksploitasi server CLDAP untuk memperkuat lalu lintasnya. Serangan menggunakan protokol ini, yang biasanya digunakan untuk mengakses dan mengedit direktori yang dibagikan melalui internet, telah terjadi sejak 2016, lapor ZDNet.

Amazon mengatakan bahwa antara Q2 2018 dan Q4 2019, serangan terbesar yang dilihatnya lebih kecil dari 1 Tbps, dan pada kuartal pertama tahun ini 99% serangan hanya sampai 43 Gbps atau lebih kecil. ZDNet mencatat bahwa serangan 2018 mengandalkan eksploitasi vektor serangan Memcached baru, tetapi mereka juga mengatakan bahwa pada sejak itu, penyedia layanan internet dan jaringan pengiriman konten telah bekerja untuk mengamankan server Memcached yang rentan untuk dieksploitasi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Amazon

Tetap tenang dan tetap waspada

Cookies Settings