Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for API

API

Masalah 212: Kendali jarak jauh kendaraan, Peretasan API untuk Tim QA, Panduan API Top 10

by

Kerentanan API kritis memungkinkan peneliti menunjukkan bukti serangan konsep yang memungkinkan pengambilalihan kendaraan jarak jauh.

Kerentanan: Kerentanan API Kritis Memungkinkan Kendali Jarak Jauh Kendaraan Hyundai dan Genesis
Penelitian Sam Curry tentang kerentanan API yang memengaruhi jajaran kendaraan Hyundai dan Genesis adalah membuat bukti konsep yang merinci eksploit dan menjelaskan langkah-langkahnya secara mendetail di utas Twitter.

Poin utamanya adalah jangan pernah mempercayai input pengguna, tetap gunakan ekspresi reguler yang terpercaya, dan segmentasikan kontrol akses pengguna.

Artikel: Tiga alasan tim QA harus mempelajari peretasan API
Kontributor reguler buletin Dana Epp (@DanaEpp), membagikan pemikirannya tentang nilai tim jaminan kualitas (QA) yang mempelajari dasar-dasar peretasan API dan menggunakan pola pikir ofensif.

Tiga alasan utama tim QA harus mengembangkan keterampilan tersebut, yaitu pengguna akan memberikan nilai lebih, menjadi penjahat mengubah pengguna menjadi pahlawan, dan keamanan adalah tanggung jawab semua orang.

Artikel: GitHub Mengungkapkan Versi API Generasi Berikutnya
Pembuatan versi API penting bagi keamanan API, karena memiliki sistem versi API formal berarti ada sedikit kemungkinan API bayangan atau zombie karena ada proses formal seputar tata kelola API. Namun, sistem versi yang lebih lancar seperti yang diadopsi oleh GitHub berarti kemungkinan akan ada lebih banyak versi API dalam produksi yang semuanya perlu dilacak dan dipantau untuk masalah keamanan.

Panduan: Panduan OWASP API Security Top 10
Langkah-langkah dari OWASP API Security Top 10 dari Grant Ongers (@rewtd) aplikasi API rentan vAPI, menggunakan vAPI yang berjalan di Docker dan mendemonstrasikan masing-masing dari 10 Teratas menggunakan Postman dan ZAP sebagai alat dasarnya.

Selengkapnya: APIsecurity.io

200 Juta Alamat Email Pengguna Twitter Diduga Bocor Secara Online

by

Kebocoran data yang digambarkan berisi alamat email untuk lebih dari 200 juta pengguna Twitter telah dipublikasikan di forum peretas populer seharga sekitar $2. BleepingComputer telah mengonfirmasi validitas banyak alamat email yang tercantum dalam kebocoran tersebut.

Sejak 22 Juli 2022, pelaku ancaman dan pengumpul pelanggaran data telah menjual dan mengedarkan set data besar dari profil pengguna Twitter tergores yang berisi data pribadi (nomor telepon dan alamat email) dan publik di berbagai forum peretas online dan pasar kejahatan dunia maya.

200 juta baris profil Twitter dirilis secara gratis
Hari ini, seorang aktor ancaman merilis kumpulan data yang terdiri dari 200 juta profil Twitter di forum peretasan yang Dilanggar untuk delapan kredit mata uang forum, bernilai sekitar $2.

Kumpulan data ini diduga sama dengan kumpulan 400 juta yang beredar pada bulan November tetapi dibersihkan agar tidak mengandung duplikat, mengurangi total menjadi sekitar 221.608.279 baris.

Penjualan perdana data Facebook pada Juni 2020

Data dirilis sebagai arsip RAR yang terdiri dari enam file teks untuk ukuran gabungan data sebesar 59 GB.

RAR arsip mengansung leaked data twitter

Setiap baris dalam file mewakili pengguna Twitter dan datanya, yang mencakup alamat email, nama, nama layar, jumlah pengikut, dan tanggal pembuatan akun, seperti yang ditunjukkan di bawah ini.

contoh data leaked twitter

Kumpulan datanya jauh dari lengkap, karena ada banyak pengguna yang tidak ditemukan dalam kebocoran tersebut.

Ada atau tidaknya informasi Anda dalam kumpulan data ini sangat bergantung pada apakah alamat email Anda terungkap dalam pelanggaran data sebelumnya.

Pencakar kemudian memasukkan daftar ini ke dalam bug API untuk melihat apakah nomor atau alamat email Anda dikaitkan dengan ID Twitter yang sesuai dengan email atau nomor telepon tersebut.

Jika alamat email Anda hanya digunakan di Twitter atau tidak dalam banyak pelanggaran data, itu tidak akan dimasukkan ke dalam bug API dan ditambahkan ke kumpulan data ini.

sumber : bleepingcomputer

Hacker Akan Menjual Data 400 Juta Pengguna Twitter

by

Pelaku ancaman mengklaim menjual data publik dan pribadi dari 400 juta pengguna Twitter yang diambil pada tahun 2021 menggunakan kerentanan API yang sekarang telah diperbaiki. Mereka meminta $200.000 untuk penjualan eksklusif.

Aktor ancaman, Ryushi, diduga menjual dump data di forum peretasan terlarang, situs untuk menjual data pengguna yang dicuri dalam pelanggaran data.

Pelaku ancaman memperingatkan Elon Musk dan Twitter bahwa mereka harus membeli data tersebut sebelum dikenakan denda besar berdasarkan undang-undang privasi GDPR Eropa.

Postingan forum yang menjual data untuk dugaan 400 juta pengguna Twitter (BleepingComputer)

Pelaku ancaman juga menjelaskan bagaimana data tersebut dapat disalahgunakan untuk serangan phishing, penipuan crypto, dan serangan BEC.

Profil pengguna berisi data Twitter publik dan pribadi, alamat email, username, nama pengguna, jumlah pengikut, tanggal pembuatan, dan nomor telepon. Hampir semua data ini dapat diakses publik oleh semua pengguna Twitter.

Ryushi mencoba menjual data Twitter secara eksklusif kepada satu orang/Twitter seharga $200.000 dan kemudian akan menghapus data tersebut. Jika pembelian eksklusif tidak dilakukan, mereka akan menjual salinannya ke banyak orang seharga $60.000 per penjualan.

Data Dikumpulkan Menggunakan Kerentanan API Yang Sekarang Sudah Diperbaiki
Pelaku ancaman mengumpulkan data menggunakan kerentanan API yang diperbaiki Twitter pada Januari 2022 dan sebelumnya dikaitkan dengan pelanggaran data 5,4 juta pengguna.

Kerentanan ini memungkinkan seseorang memasukkan nomor telepon dan alamat email ke API Twitter dan menerima ID pengguna Twitter terkait. Pelaku ancaman kemudian menggunakan ID ini dengan IP lain untuk mengambil data profil publik pengguna, membangun profil pengguna Twitter yang terdiri dari data publik dan pribadi.

Pengawas privasi UE, Komisi Perlindungan Data Irlandia (DPC), telah memulai penyelidikan terhadap penerbitan baru-baru ini dari 5,4 juta catatan korban pada tahun 2021 menggunakan kerentanan ini.

Pelaku ancaman lain juga mengklaim menggunakan kerentanan ini untuk mengorek data dari dugaan 17 juta pengguna. Bocoran ini masih dirahasiakan dan tidak diperjualbelikan.

Hingga saat ini belum ada tanggapan lebih lanjut dari Twitter mengenai penjualan data ini.

Selengkapnya: BLEEPINGCOMPUTER

Bug LEGO BrickLink memungkinkan peretas membajak akun, merusak server

by

Analis keamanan telah menemukan dua kerentanan keamanan API di BrickLink.com, pasar barang bekas dan vintage resmi LEGO Group untuk batu bata LEGO.

BrickLink adalah komunitas online penggemar LEGO terbesar di dunia, dengan lebih dari satu juta anggota terdaftar.

Dua masalah keamanan API yang ditemukan oleh Salt Security dapat memungkinkan penyerang mengambil alih akun anggota, mengakses dan mencuri informasi identitas pribadi (PII) yang disimpan di platform, atau bahkan mendapatkan akses ke data produksi internal dan membahayakan server internal.

Analis Salt Security menemukan kerentanan saat bereksperimen dengan bidang masukan pengguna di situs web BrickLink.

Yang pertama adalah cacat cross-site scripting (XSS) di kotak dialog “Temukan Nama Pengguna” di bagian pencarian kupon, yang memungkinkan penyerang menyuntikkan dan mengeksekusi kode pada mesin target menggunakan tautan yang dibuat khusus.

Menggunakan ID Sesi target yang diekspos di halaman berbeda, penyerang dapat memanfaatkan kelemahan XSS untuk membajak sesi dan mengambil alih akun target.

Mengakses akun berarti membuka semua data yang disimpan di platform, termasuk detail pribadi, alamat email, alamat pengiriman, riwayat pesanan, kupon, umpan balik yang diterima, item yang diinginkan, dan riwayat pesan.

Cacat kedua terletak pada halaman “Unggah ke Daftar Dicari”, di mana pengguna dapat mengunggah daftar XML yang berisi bagian LEGO yang ingin mereka temukan dan beli.

Dengan mengeksploitasi kelemahan dalam mekanisme penguraian titik akhir, analis Salt Security meluncurkan serangan injeksi Entitas Eksternal XML (XXE) yang berhasil, menambahkan referensi ke entitas eksternal pada file mereka.

Serangan XXE memungkinkan mereka untuk membaca file di server web dan mengeksekusi serangan pemalsuan permintaan sisi server (SSRF), yang dapat menyebabkan pengusiran token AWS EC2 untuk server.

Selengkapnya: Bleeping Computer

Aplikasi dengan lebih dari 3 juta pemasangan membocorkan kunci API pencarian ‘Admin’

by

Para peneliti menemukan 1.550 aplikasi seluler membocorkan kunci API Algolia. Dari aplikasi tersebut, 32 diantaranya mengungkapkan rahasia admin, termasuk 57 kunci admin, memberi penyerang cara untuk mengakses informasi pengguna yang sensitif atau mengubah catatan dan pengaturan indeks aplikasi.

Penemuan eksposur ini berasal dari perusahaan keamanan siber yang berbasis di Singapura, CloudSEK.

Algolia API (Application Program Interface) adalah platform berpemilik untuk mengintegrasikan mesin telusur dengan fitur penemuan dan rekomendasi di situs web dan aplikasi yang digunakan oleh lebih dari 11.000 perusahaan.

Sistem menggunakan lima kunci API untuk Admin, Penelusuran, Pemantauan, Penggunaan, dan Analitik. Dari kunci tersebut, hanya Penelusuran yang dimaksudkan untuk publik dan tersedia di kode front-end, membantu pengguna melakukan kueri penelusuran di aplikasi.

Kunci Pemantauan memberi admin gambaran sekilas tentang status kluster mereka, Penggunaan dan Analitik memberikan statistik penggunaan, sedangkan kunci Admin menawarkan akses ke empat layanan kunci API lainnya, serta yang berikut ini:

  • Telusuri/Hapus indeks
  • Tambah/Hapus catatan
  • Daftar indeks
  • Atur pengaturan indeks
  • Log akses
  • Atribut yang tidak dapat diperbaiki

Menyalahgunakan layanan di atas dapat mengekspos data yang berisi perangkat pengguna dan detail akses jaringan, statistik penggunaan, log pencarian, dan manipulasi informasi terkait.

Pemindai otomatis CloudSEK menemukan bahwa 1.550 aplikasi membocorkan kunci Algolia API dan ID aplikasi, mempertaruhkan akses tidak sah ke informasi internal.

32 aplikasi yang membocorkan kunci Admin API lebih kritis, karena mereka mengekspos penggunanya ke risiko kebocoran data dan database ke modifikasi berbahaya yang dapat menimbulkan kerugian bisnis.

Aplikasi yang memperlihatkan kunci Algolia Admin API memiliki sekitar 3.250.000, dengan beberapa aplikasi masing-masing memiliki lebih dari satu juta unduhan.

Kategori yang paling rentan terkena kunci adalah aplikasi belanja, yang diunduh secara kolektif sebanyak 2,3 juta kali. Sedangkan kategori lain termasuk aplikasi berita, makanan dan minuman, pendidikan, kebugaran, fotografi, gaya hidup, produktivitas, medis, dan aplikasi bisnis, diunduh secara kolektif lebih dari 950.000 kali.

Sumber: Bleeping Computer

Lebih dari 3.200 aplikasi membocorkan kunci API Twitter, beberapa memungkinkan pembajakan akun

by

Peneliti keamanan siber telah menemukan 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke publik, yang berpotensi memungkinkan aktor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.

Penemuan itu milik perusahaan keamanan siber CloudSEK, yang meneliti kumpulan aplikasi besar untuk kemungkinan kebocoran data dan menemukan 3.207 aplikasi membocorkan Kunci Konsumen dan Rahasia Konsumen yang valid untuk API Twitter.

Saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.

Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler tempat pelaku ancaman dapat menemukannya.

Salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware , penipuan cryptocurrency, dll.

Perincian aplikasi yang rentan (CloudSEK)

CloudSEK menjelaskan bahwa kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis.

Dalam kasus ini, kredensial disimpan dalam aplikasi seluler di lokasi berikut:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

CloudSEK merekomendasikan pengembang menggunakan rotasi kunci API untuk melindungi kunci autentikasi, yang akan membatalkan kunci yang terbuka setelah beberapa bulan.

CloudSEK membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.

Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.

Satu pengecualian penting adalah Ford Motors, yang merespons dan menerapkan perbaikan pada aplikasi ‘Ford Events’ yang juga membocorkan kunci API Twitter.

Sumber: Bleeping Computer

GitHub: Bagaimana token OAuth yang dicuri membantu menembus lusinan organisasi

by

GitHub telah membagikan garis waktu pelanggaran keamanan bulan ini ketika seorang aktor ancaman memperoleh akses ke dan mencuri repositori pribadi milik lusinan organisasi.

Penyerang menggunakan token aplikasi OAuth curian yang dikeluarkan untuk Heroku dan Travis-CI untuk melanggar akun pelanggan GitHub.com dengan integrasi aplikasi OAuth Heroku atau Travis CI resmi.

Chief Security Officer GitHub Mike Hanley mengatakan perusahaan belum menemukan bukti bahwa sistemnya telah dibobol sejak insiden itu pertama kali ditemukan pada 12 April 2022.

GitHub masih bekerja untuk memperingatkan semua pengguna dan organisasi yang terkena dampak, dengan perusahaan sedang dalam proses mengirimkan pemberitahuan terakhir kepada pengguna GitHub.com yang terpengaruh mulai hari ini.

Analisis perilaku penyerang, sementara ia memiliki akses ke akun Github yang disusupi, menunjukkan bahwa aktivitas berikut dilakukan di GitHub.com menggunakan token aplikasi OAuth yang dicuri:

  • Penyerang mengautentikasi ke GitHub API menggunakan token OAuth curian yang dikeluarkan untuk Heroku dan Travis CI.
  • Bagi kebanyakan orang yang memiliki aplikasi Heroku atau Travis CI OAuth yang terpengaruh yang diotorisasi di akun GitHub mereka, penyerang mencantumkan semua organisasi pengguna.
  • Penyerang kemudian secara selektif memilih target berdasarkan organisasi yang terdaftar.
  • Penyerang mendaftarkan repositori pribadi untuk akun pengguna yang diminati.
  • Penyerang kemudian melanjutkan untuk mengkloning beberapa repositori pribadi tersebut.

GitHub mengungkapkan pelanggaran pada malam tanggal 15 April, tiga hari setelah menemukan serangan itu, ketika aktor jahat mengakses infrastruktur produksi npm GitHub.

Pada tahap awal serangan, pelaku ancaman menggunakan kunci API AWS yang dikompromikan yang diperoleh setelah mengunduh beberapa repositori npm pribadi menggunakan token pengguna OAuth yang dicuri.

Sementara GitHub, Travis CI, dan Heroku telah mencabut semua token OAuth untuk memblokir akses lebih lanjut setelah menemukan serangan tersebut, organisasi yang terpengaruh disarankan untuk terus memantau log audit dan log keamanan akun pengguna mereka untuk aktivitas yang berpotensi berbahaya yang terkait dengan insiden ini.

GitHub membagikan panduan berikut kepada pelanggan yang berpotensi terkena dampak untuk membantu mereka menyelidiki log untuk bukti eksfiltrasi data atau aktivitas berbahaya:

  • Tinjau semua repositori pribadi Anda untuk mengetahui rahasia atau kredensial yang tersimpan di dalamnya. Ada beberapa alat yang dapat membantu tugas ini, seperti pemindaian rahasia GitHub dan trufflehog.
  • Tinjau aplikasi OAuth yang telah Anda otorisasi untuk akun pribadi Anda atau yang diotorisasi untuk mengakses organisasi Anda dan hapus apa pun yang tidak lagi diperlukan.
  • Ikuti panduan GitHub untuk memperkuat postur keamanan organisasi GitHub Anda.
  • Tinjau aktivitas akun Anda, token akses pribadi, aplikasi OAuth, dan kunci SSH untuk aktivitas atau perubahan apa pun yang mungkin berasal dari penyerang.

    • Sumber: Bleeping Computer

Payment API Mengekspos Jutaan Data Pembayaran Pengguna

by

Pengembang aplikasi sekali lagi dituduh memiliki butterfingers dalam hal kunci API, membuat jutaan pengguna aplikasi seluler berisiko mengekspos data pribadi dan pembayaran mereka.

CloudSEK, pembuat kecerdasan buatan yang mengaktifkan perlindungan ancaman digital, melaporkan minggu lalu bahwa bahwa berbagai perusahaan yang melayani jutaan pengguna memiliki aplikasi seluler dengan kunci API yang di-hardcode dalam paket aplikasi: Kunci yang tidak boleh diekspos di aplikasi endpoint.

“Meskipun paparan kunci API yang merajalela berbahaya untuk aplikasi apa pun, ini sangat penting ketika menyangkut aplikasi yang menangani informasi pembayaran seperti detail bank, informasi kartu kredit, dan transaksi UPI, selain pengguna [personally identifiable information, atau PII]. ],” menurut laporan CloudSEK.

API – antarmuka pemrograman aplikasi – adalah urat nadi dan arteri ekosistem seluler, memungkinkan aplikasi berkomunikasi dengan berbagai sumber dan memindahkan data masuk dan keluar dari aplikasi tersebut. Ini adalah bagian “integral” dari cara kerja aplikasi, kata CloudSEK, yang berarti bahwa pengembang aplikasi harus menanganinya dengan sangat hati-hati untuk menghindari kebocoran data pelanggan: “Setiap kesalahan penanganan kunci API yang sistematis di antara pengembang aplikasi dapat menyebabkan ancaman bagi bisnis aplikasi,” para peneliti menyampaikan.

Para peneliti fokus pada 13.000 aplikasi yang saat ini diunggah ke mesin pencari keamanan aplikasi seluler CloudSEK, BeVigil, sekitar 250 di antaranya – sekitar 5 persen – menggunakan Razorpay API untuk menggerakkan transaksi keuangan.

CloudSEK menegaskan, eksposur kunci API menjadi “bukti bagaimana kunci API salah ditangani oleh pengembang aplikasi.”

Selengkapnya: The Threat Post