Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Breach

Breach

Pelanggaran data nama pengguna dan kata sandi meningkat 450 persen

by

Sebuah laporan baru dari spesialis identitas ForgeRock mengungkapkan lonjakan besar 450 persen dalam pelanggaran yang berisi nama pengguna dan kata sandi secara global.

Laporan tersebut juga menemukan bahwa akses tidak sah adalah penyebab utama pelanggaran selama tiga tahun berturut-turut, meningkat dari tahun ke tahun selama dua tahun terakhir, dan menyumbang 43 persen dari semua pelanggaran pada tahun 2020.

Sementara jumlah 100 juta plus rekor ‘mega-pelanggaran’ turun, penjahat dunia maya memperluas permukaan serangan mereka untuk memasukkan organisasi dari semua ukuran dan lintas industri dalam upaya untuk merebut aset berharga, sehingga jumlah total pelanggaran meningkat. Pelanggaran yang mempengaruhi perusahaan kecil — dengan banyak yang masih melibatkan puluhan juta catatan — telah mengalami peningkatan 50 persen.

Di antara temuan lainnya, phishing (25 persen) dan ransomware (17 persen) adalah penyebab pelanggaran paling sering kedua dan ketiga. Biaya rata-rata pelanggaran di AS meningkat menjadi $8,64 juta — tertinggi di dunia.

Penyerang juga tertarik untuk membidik sektor tertentu. Perawatan kesehatan adalah industri yang paling ditargetkan untuk tahun kedua dengan jumlah pelanggaran tertinggi, sementara sektor teknologi membayar biaya pemulihan agregat tertinggi dari pelanggaran sebesar $ 288 miliar.

Selengkapnya: Beta News

Kode Sumber Rapid7 Bocor dalam Serangan Rantai Pasokan Codecov

by

Perusahaan cybersecurity Rapid7 pada hari Kamis mengungkapkan bahwa aktor tak dikenal secara tidak benar berhasil mendapatkan sebagian kecil dari repositori kode sumbernya setelah kompromi rantai pasokan perangkat lunak yang menargetkan Codecov awal tahun ini.

“Sebagian kecil dari repositori kode sumber kami untuk perkakas internal untuk layanan [Deteksi dan Respons yang Dikelola] kami diakses oleh pihak yang tidak berwenang di luar Rapid7,” kata perusahaan yang berbasis di Boston dalam sebuah pengungkapan. “Repositori ini berisi beberapa kredensial internal, yang semuanya telah dirotasi, dan data terkait peringatan untuk sebagian pelanggan MDR kami.”

Pada 15 April, startup audit perangkat lunak Codecov memberi tahu pelanggan bahwa utilitas Bash Uploader-nya telah terinfeksi dengan pintu belakang pada 31 Januari oleh pihak yang tidak dikenal untuk mendapatkan akses ke token otentikasi untuk berbagai akun perangkat lunak internal yang digunakan oleh pengembang. Insiden itu tidak terungkap sampai 1 April.

Rapid7 menegaskan bahwa tidak ada bukti bahwa sistem perusahaan atau lingkungan produksi lain diakses, atau bahwa ada perubahan berbahaya yang dilakukan pada repositori tersebut.

Perusahaan juga menambahkan penggunaan skrip Pengunggah terbatas pada satu server CI yang digunakan untuk menguji dan membangun beberapa alat internal untuk layanan MDR-nya.

Sebagai bagian dari penyelidikan tanggapan insidennya, perusahaan keamanan mengatakan telah memberi tahu sejumlah pelanggan tertentu yang mungkin terkena dampak pelanggaran tersebut.

Selengkapnya: The Hacker News

Petinggi Apple membahas pengungkapan 128 juta peretasan iPhone, lalu memutuskan untuk tidak melakukannya

by

Pada September 2015, manajer Apple menghadapi dilema: haruskah, atau tidak, memberi tahu 128 juta pengguna iPhone tentang apa yang masih menjadi kompromi massal terburuk yang pernah tercatat? Pada akhirnya, semua bukti menunjukkan, mereka memilih diam.

Peretasan massal pertama kali terungkap ketika para peneliti menemukan 40 aplikasi App Store yang berbahaya, jumlah yang menjamur menjadi 4.000 karena lebih banyak peneliti yang mencari-cari. Aplikasi berisi kode yang menjadikan iPhone dan iPad sebagai bagian dari botnet yang mencuri informasi pengguna yang berpotensi sensitif.

Sebuah email yang masuk ke pengadilan minggu ini dalam gugatan Epic Games terhadap Apple menunjukkan bahwa, pada sore hari tanggal 21 September 2015, manajer Apple telah menemukan 2.500 aplikasi berbahaya yang telah diunduh sebanyak 203 juta kali oleh 128 juta pengguna, 18 juta di antaranya berada di AS.

“Joz, Tom, dan Christine — karena banyaknya pelanggan yang berpotensi terpengaruh, apakah kita ingin mengirim email ke mereka semua?” VP App Store Matthew Fischer menulis, merujuk pada Wakil Presiden Senior Pemasaran Dunia Apple Greg Joswiak dan orang-orang Humas Apple Tom Neumayr dan Christine Monaghan.

Sekitar 10 jam kemudian, Bagwell membahas logistik untuk memberi tahu semua 128 juta pengguna yang terpengaruh, melokalkan pemberitahuan ke setiap bahasa pengguna, dan “secara akurat memasukkan nama aplikasi untuk setiap pelanggan”.

Sayangnya, Apple tidak pernah menindaklanjuti rencananya. Perwakilan Apple tidak dapat menunjukkan bukti bahwa email semacam itu pernah dikirim. Pernyataan yang dikirim perwakilan tersebut mencatat bahwa Apple hanya menerbitkan postingan yang sekarang sudah dihapus ini.

Infeksi ini disebabkan oleh pengembang sah yang menulis aplikasi menggunakan salinan Xcode palsu, alat pengembangan aplikasi iOS dan OS X Apple. Alat yang dikemas ulang yang dijuluki XcodeGhost secara diam-diam memasukkan kode berbahaya di samping fungsi aplikasi normal.

Dari sana, aplikasi menyebabkan iPhone melaporkan ke server perintah dan kontrol dan memberikan berbagai informasi perangkat, termasuk nama aplikasi yang terinfeksi, pengenal app-bundle, informasi jaringan, detail “identifierForVendor” perangkat, dan nama, jenis, dan pengenal unik perangkat.

Selengkapnya: Ars Technica

Kode sumber sensitif terungkap dalam kebocoran akun Microsoft Azure Blob

by

Baru-baru ini tim peneliti vpnMentor yang dipimpin oleh Noam Rotem menemukan pelanggaran data yang mungkin dimiliki oleh salah satu perusahaan terbesar di dunia; Microsoft.

Pelanggaran mengungkap data internal sensitif yang disimpan di akun penyimpanan cloud Microsoft Azure yang salah dikonfigurasi. Data tersebut termasuk file yang tampaknya berasal dari serangkaian penawaran yang dibuat untuk Microsoft Dynamics dari berbagai perusahaan yang bersaing untuk suatu proyek atau kemitraan dengan perusahaan.

Banyak penawaran yang menyertakan kode sumber untuk produk perangkat lunak – beberapa di antaranya akhirnya dirilis ke pasar. Hal ini menyebabkan data internal yang sangat sensitif dari beberapa perusahaan terkenal terungkap dan informasi tentang operasi dan lini produk mereka dapat diakses publik.

Ukuran total pelanggaran data adalah 63GB dengan jumlah file yang diduga lebih dari 3.800. Tanggal pelanggaran yang ditemukan adalah 7 Januari 2021 dan diamankan pada 23 Februari 2021.

Platform tempat file ini disimpan, Azure Blob Storage, adalah bentuk penyimpanan cloud yang populer yang dikembangkan oleh raksasa teknologi untuk kostum perusahaan besar, seperti perusahaan multinasional.

Isi blob semuanya tampak seperti pitch deck dan kode sumber. Antara 10-15 produk memiliki kode sumber yang terbuka, termasuk kata sandi untuk database langsung yang telah di-hardcode ke dalam kode sumber.

Selengkapnya: Hackread

MangaDex mengungkapkan pelanggaran data setelah database curian dibagikan secara online

by

Situs pemindaian manga MangaDex mengungkapkan pelanggaran data minggu lalu setelah mengetahui bahwa basis data pengguna situs itu beredar secara pribadi di antara para pelaku ancaman.

MangaDex adalah salah satu situs pemindaian manga (terjemahan yang dipindai) terbesar di mana pengunjung dapat membaca komik manga online secara gratis.

Pada bulan Maret, MangaDex diretas, dan seorang pelaku ancaman mengklaim telah mencuri kode sumber situs dan basis datanya, yang menurut mereka belum dipublikasikan di mana pun.

Setelah MangaDex membuat situs tersebut offline sebagai tanggapan atas serangan tersebut, pelaku ancaman, yang dikenal sebagai ‘holo-gfx’, terus mengejek pemiliknya dengan mengklaim telah melakukan peretasan situs dengan kerentanan lebih lanjut dan web shell.

Minggu lalu, MangaDex memperbarui situs web mereka untuk menyatakan bahwa basis data pengguna mereka telah beredar secara pribadi di antara pelaku ancaman dan bahwa informasi anggota telah terungkap.

Data yang terungkap termasuk nama pengguna anggota, alamat email, alamat IP terakhir yang diketahui, dan kata sandi berciri bcrypt.

Setelah Bleeping Computer menganalisis database yang dibagikan secara publik ini, data tersebut tampaknya berasal dari pelanggaran data perangkat lunak streaming langsung Xsplit pada tahun 2013 dan bukan dari database MangaDex.

Selengkapnya: Bleeping Computer

Ratusan jaringan dilaporkan diretas dalam serangan rantai pasokan Codecov

by

Rincian lebih lanjut telah muncul tentang pelanggaran sistem Codecov baru-baru ini yang sekarang disamakan dengan peretasan SolarWinds.

Dalam laporan baru oleh Reuters, penyelidik telah menyatakan bahwa ratusan jaringan pelanggan telah dibobol dalam insiden tersebut, memperluas cakupan pelanggaran sistem ini di luar sistem Codecov saja.

Seperti dilansir BleepingComputer minggu lalu, Codecov mengalami serangan rantai pasokan yang tidak terdeteksi selama lebih dari 2 bulan.

Dalam serangan ini, pelaku ancaman telah mendapatkan kredensial Codecov dari image Docker mereka yang cacat yang kemudian digunakan oleh pelaku untuk mengubah skrip Bash Uploader Codecov, yang digunakan oleh klien perusahaan.

Penyelidikan awal Codecov mengungkapkan bahwa mulai 31 Januari 2021, terjadi perubahan berkala yang tidak sah dari skrip Bash Uploader yang memungkinkan pelaku ancaman untuk secara potensial mengekstrak informasi pengguna Codecov yang disimpan di lingkungan CI mereka.

Namun, baru pada tanggal 1 April perusahaan menyadari aktivitas berbahaya ini ketika pelanggan melihat perbedaan antara hash (shashum) skrip Bash Uploader yang dihosting di domain Codecov dan hash (benar) yang terdaftar di GitHub perusahaan.

Tak lama kemudian, insiden itu mendapat perhatian penyelidik federal AS karena pelanggaran tersebut dibandingkan dengan serangan SolarWinds baru-baru ini yang oleh pemerintah AS dikaitkan dengan Badan Intelijen Luar Negeri Rusia (SVR).

Codecov memiliki lebih dari 29.000 pelanggan, termasuk nama-nama terkemuka seperti GoDaddy, Atlassian, The Washington Post, Procter & Gamble (P & G), menjadikannya sebagai insiden rantai pasokan yang patut diperhatikan.

Selengkapnya: Bleeping Computer

Facebook mengaitkan 533 juta kebocoran data pengguna dengan “scraping” bukan peretasan

by

Facebook akhirnya telah menjelaskan kebocoran data baru-baru ini yang terdiri dari 533 juta profil pengguna Facebook yang kemudian datanya diposting di forum peretas minggu lalu.

Dalam pernyataan publik yang dirilis kemarin, perusahaan tersebut menyatakan bahwa kebocoran tersebut diakibatkan oleh scraping (pengumpulan) massal profil menggunakan sejumlah besar nomor telepon yang ditautkan ke profil ini, bukan dari peretasan platform:

“Ini adalah contoh lain dari hubungan permusuhan perusahaan teknologi yang sedang berlangsung dengan penipu yang dengan sengaja melanggar kebijakan platform untuk ‘scraping’ layanan internet.”

“Sebagai hasil dari tindakan yang kami ambil, kami yakin bahwa masalah khusus yang memungkinkan mereka mengumpulkan data ini pada tahun 2019 sudah tidak ada lagi,” kata Mike Clark, Direktur Manajemen Produk di Facebook dalam sebuah pernyataan.

Facebook percaya bahwa aktor jahat telah mengorek data bocor yang dipertanyakan dari profil Facebook orang-orang dengan menyalahgunakan fitur “pengimpor kontak” pada September 2019.

“Fitur ini dirancang untuk membantu orang dengan mudah menemukan teman-teman mereka untuk terhubung di layanan kami menggunakan daftar kontak mereka.”

“Saat kami mengetahui bagaimana aktor jahat menggunakan fitur ini pada tahun 2019, kami melakukan perubahan pada pengimpor kontak … untuk mencegah aktor jahat menggunakan perangkat lunak untuk meniru aplikasi kami dan mengunggah sejumlah besar nomor telepon untuk melihat mana yang cocok dengan Pengguna Facebook,” kata perusahaan itu.

Selengkapnya: Bleeping Computer

Have I Been Pwned menambahkan pencarian untuk nomor telepon Facebook yang bocor

by

Pengguna Facebook sekarang dapat menggunakan situs pemberitahuan pelanggaran data Have I Been Pwned untuk memeriksa apakah nomor telepon mereka terungkap dalam kebocoran data terbaru situs sosial tersebut.

Akhir pekan lalu, seorang pelaku ancaman merilis bocoran data berisi informasi bagi 533 juta pengguna Facebook. Informasi ini termasuk nomor telepon dan ID Facebook untuk hampir semua akun yang terbuka dan informasi opsional lainnya seperti nama, jenis kelamin, status hubungan, lokasi, pekerjaan, tanggal lahir, dan alamat email.

Data ini awalnya dikumpulkan pada 2019 dan dijual secara pribadi pada saat itu. Seiring waktu, data diperdagangkan dan dijual antara pelaku ancaman yang berbeda dengan harga yang lebih rendah dan lebih rendah sampai akhirnya dirilis secara gratis di forum peretas akhir pekan ini.

Ketika dirilis, data telah ditambahkan ke layanan pemberitahuan pelanggaran data Have I Been Pwned sehingga pengguna dapat mencari tahu apakah email mereka ada di kebocoran data Facebook.

Namun, komponen utama kebocoran ini adalah nomor telepon pengguna Facebook, bukan alamat email, dan oleh karena itu Have I Been Pwned tidak dapat secara akurat memberi tahu pengguna jika mereka terungkap dalam pelanggaran.

Untuk lebih akurat mengingatkan pengguna, Hunt telah memperbarui Have I Been Pwned sehingga pengguna sekarang dapat mencari nomor telepon mereka di situs tersebut untuk menentukan apakah kebocoran tersebut mengungkap info Facebook mereka.

Saat mencari nomor telepon, pengguna harus memasukkan kode negara mereka karena kebocoran data menyimpan nomor tersebut.

Sumber: BleepingComputer

Sumber: Bleeping Computer