Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

T-Mobile mengatakan peretas mencuri catatan dokumen milik 48,6 juta orang

by

T-Mobile telah mengkonfirmasi bahwa penyerang yang baru-baru ini mengakses servernya mencuri file yang berisi informasi pribadi dari puluhan juta individu.

Pelanggaran besar-besaran berdampak pada sekitar 7,8 juta pelanggan pascabayar T-Mobile, 850.000 pengguna prabayar T-Mobile, dan sekitar 40 juta mantan atau calon pelanggan.

Jika dijumlah, penyerang mencuri catatan milik 48,6 juta orang, termasuk pelanggan T-Mobile saat ini, mantan, atau calon pelanggan.

Untungnya, menurut operator seluler AS tersebut, file yang dicuri selama insiden itu tidak berisi nomor telepon, nomor rekening, PIN, kata sandi, atau informasi keuangan milik pelanggan T-Mobile saat ini atau calon pelanggan.

T-Mobile telah mengatur ulang semua PIN untuk akun ini untuk melindungi mereka dari upaya pengambilalihan dan sedang dalam proses memberi tahu semua pengguna yang terkena dampak.

Perusahaan sekarang mengambil langkah-langkah untuk melindungi pelanggan yang berpotensi berisiko karena pelanggaran besar-besaran ini dengan:

  • Segera menawarkan layanan perlindungan identitas gratis selama 2 tahun dengan Layanan ID Theft Protection dari McAfee.
  • Merekomendasikan semua pelanggan pascabayar T-Mobile secara proaktif mengubah PIN mereka dengan online ke akun T-Mobile mereka atau menghubungi tim Layanan Pelanggan mereka dengan menghubungi 611 di ponsel pengguna. Tindakan pencegahan ini terlepas dari kenyataan bahwa mereka tidak mengetahui bahwa PIN akun pascabayar telah disusupi.
  • Menawarkan langkah ekstra untuk melindungi akun seluler pelanggan dengan kemampuan Perlindungan Pengambilalihan Akun kami untuk pelanggan pascabayar, yang mempersulit akun pelanggan untuk dipindahkan dan dicuri secara curang.
  • Menerbitkan halaman web unik pada hari Rabu untuk informasi dan solusi satu atap guna membantu pelanggan mengambil langkah untuk lebih melindungi diri mereka sendiri.

Selengkapnya: Bleeping Computer

Raksasa pendidikan Pearson didenda $1 juta karena meremehkan pelanggaran data

by

The US Securities and Exchange Commission (SEC) hari ini mengumumkan bahwa Pearson, perusahaan penerbitan dan layanan pendidikan multinasional Inggris, telah menyelesaikan tuduhan kesalahan penanganan proses pengungkapan untuk pelanggaran data 2018 yang ditemukan pada Maret 2019.

Pearson setuju untuk membayar denda uang perdata $ 1 juta untuk menyelesaikan tuduhan “tanpa mengakui atau menyangkal temuan” bahwa ia mencoba untuk menyembunyikan dan mengecilkan pelanggaran data 2018 yang menyebabkan pencurian “data siswa dan kredensial login administrator dari 13.000 sekolah, akun pelanggan distrik dan universitas” di Amerika Serikat.

Selain mengekstrak data termasuk nama siswa, tanggal lahir, dan alamat email setelah mengeksploitasi kelemahan kritis yang mempengaruhi perangkat lunak berbasis web AIMSweb1.0 yang digunakan oleh Pearson untuk melacak kinerja akademik siswa, peretas China juga mencuri jutaan baris data siswa dan kredensial yang mudah dipecahkan yang “diacak” menggunakan algoritme yang sudah ketinggalan zaman.

Perusahaan berbagi dengan SEC pada Juli 2019 bahwa mereka dapat menghadapi risiko insiden privasi data. Namun, perusahaan tidak mengungkapkan bahwa mereka mengalami pelanggaran data satu tahun sebelumnya meskipun pengungkapan faktor risiko yang dikirim ke SEC diajukan setelah memberi tahu pelanggan yang terkena dampak insiden tersebut.

Beberapa hari kemudian, Pearson juga mengeluarkan pernyataan media yang disiapkan sebelumnya hanya setelah outlet media meminta perincian, yang mencoba mengecilkan tingkat pelanggaran data yang sebenarnya.

Selengkapnya: Bleeping Computer

Bug XSS di Plugin WordPress SEOPress Memungkinkan Pengambilalihan Situs

by

Kerentanan cross-site scripting (XSS) yang tersimpan di plugin SEOPress WordPress dapat memungkinkan penyerang untuk menyuntikkan skrip ke situs web, kata para peneliti.

SEOPress adalah alat pengoptimalan mesin pencari (SEO) yang memungkinkan pemilik situs mengelola metadata SEO, kartu media sosial, pengaturan Iklan Google, dan banyak lagi. Ini diinstal di lebih dari 100.000 situs.

Bug ini (CVE-2021-34641) memungkinkan setiap pengguna yang diautentikasi, seperti pelanggan, untuk memanggil rute REST dengan nonce yang valid, dan untuk memperbarui judul dan deskripsi SEO untuk setiap posting.

“Permissions_callback untuk titik akhir hanya diverifikasi jika pengguna tidak memiliki REST-API yang valid dalam permintaan,” menurut postingan tersebut. “Nonce REST-API yang valid dapat dibuat oleh setiap pengguna yang diautentikasi menggunakan rest-nonce WordPress core AJAX action.”

Bergantung pada apa yang judul dan deskripsi yang diperbarui oleh penyerang, itu akan memungkinkan sejumlah tindakan jahat, hingga dan termasuk pengambilalihan situs secara penuh, kata para peneliti.

Untuk melindungi situs web mereka, pengguna harus meningkatkan ke versi 5.0.4 dari SEOPress.

Kerentanan dalam plugin WordPress tetap cukup umum. Misalnya, pada bulan Juli enam kelemahan kritis diungkapkan yang memengaruhi plugin WordPress Front File Manager versi 17.1 dan 18.2, aktif di lebih dari 2.000 situs web.

Pada bulan Februari, bug keamanan XSS yang belum ditambal dan disimpan ditemukan berpotensi mempengaruhi 50.000 pengguna plugin Contact Form 7 Style.

Selengkapnya: The Threat Post

Daftar pantauan teroris rahasia dengan 2 juta catatan terungkap secara online

by

Daftar pantauan teroris rahasia dengan 1,9 juta catatan, termasuk catatan rahasia “larang terbang” terungkap di internet.

Daftar dibiarkan dapat diakses di cluster Elasticsearch yang tidak memiliki kata sandi di dalamnya.

Pada bulan Juli tahun ini, peneliti Security Discovery Bob Diachenko menemukan sejumlah besar catatan JSON di klaster Elasticsearch terbuka yang menarik minatnya.

Kumpulan catatan 1,9 juta berisi informasi sensitif tentang orang-orang, termasuk nama mereka, kewarganegaraan negara, jenis kelamin, tanggal lahir, detail paspor, dan status larangan terbang.

Server yang terpapar diindeks oleh mesin pencari Censys dan ZoomEye, menunjukkan Diachenko mungkin bukan satu-satunya orang yang menemukan daftar tersebut.

Peneliti mengatakan kepada BleepingComputer bahwa mengingat sifat bidang yang terbuka (misalnya detail paspor dan “no_fly_indicator”), tampaknya itu adalah daftar larangan terbang atau serupa dengan daftar pengawasan teroris.

Basis data semacam itu dianggap sangat sensitif, mengingat peran penting yang dimainkannya dalam membantu tugas-tugas keamanan nasional dan penegakan hukum.

Daftar ini direferensikan oleh maskapai penerbangan dan beberapa lembaga seperti Departemen Luar Negeri, Departemen Pertahanan, Otoritas Keamanan Transportasi (TSA), dan Perlindungan Bea Cukai dan Perbatasan (CBP) untuk memeriksa apakah seorang penumpang diizinkan terbang, tidak dapat diterima ke AS atau menilai risiko mereka untuk berbagai kegiatan lainnya.

Selengkapnya: Bleeping Computer

Pengembang malware menginfeksi PC sendiri dan data berakhir di platform intel

by

Seorang pengembang malware melepaskan kreasi mereka di sistem mereka untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan dunia maya, memperlihatkan sekilas upaya kejahatan dunia maya.

Pelaku ancaman adalah pengembang Raccoon, pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan semakin populer selama dua tahun terakhir.

Saat menguji varian stealer, pengembang Raccoon menginfeksi sistem mereka sendiri, sebuah langkah yang segera memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.

Sistem pengujian yang terinfeksi oleh pengembang Raccoon ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan dunia maya yang memantau mesin yang disusupi.

Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi yang dilacak melalui Cavalier.

Peneliti mengatakan kepada BleepingComputer bahwa pengembang infostealer Raccoon menginfeksi mesin mereka pada bulan Februari tetapi tidak diketahui karena tidak menarik karena itu bukan mesin milik klien perusahaan.

Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.

Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan malware.

Sayangnya, detailnya tidak cukup untuk menentukan identitas pengembang Raccoon. Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka sebelum meluncurkan malware.

Selengkapnya: Bleeping Computer

Begini cara peretas menembus keamanan otentikasi dua faktor

by

Sekarang kita tahu bahwa nama pengguna dan kata sandi tidak cukup untuk mengakses layanan online dengan aman. Sebuah studi baru-baru ini menyoroti lebih dari 80% dari semua pelanggaran terkait peretasan terjadi karena kredensial yang dikompromikan dan lemah, dengan tiga miliar kombinasi nama pengguna/kata sandi dicuri pada tahun 2016 saja.

Dengan demikian, penerapan otentikasi dua faktor (2FA) telah menjadi suatu keharusan. Secara umum, 2FA bertujuan untuk memberikan lapisan keamanan tambahan ke sistem nama pengguna/kata sandi yang relatif rentan.

Tetapi seperti halnya solusi keamanan siber yang baik, penyerang dapat dengan cepat menemukan cara untuk menghindarinya. Mereka dapat melewati 2FA melalui one time code (kode satu kali) yang dikirim melalui SMS ke ponsel cerdas pengguna.

Vendor besar seperti Microsoft telah mendesak pengguna untuk meninggalkan solusi 2FA yang memanfaatkan SMS dan panggilan suara. Ini karena SMS terkenal memiliki keamanan yang sangat buruk, membiarkannya terbuka untuk sejumlah serangan yang berbeda.

Kode satu kali berbasis SMS juga terbukti dikompromikan melalui alat yang tersedia seperti Modlishka dengan memanfaatkan teknik yang disebut reverse proxy. Ini memfasilitasi komunikasi antara korban dan layanan yang dipalsukan.

Selain kerentanan yang ada ini, tim The Next Web telah menemukan kerentanan tambahan di 2FA berbasis SMS. Satu serangan tertentu mengeksploitasi fitur yang disediakan di Google Play Store untuk menginstal aplikasi secara otomatis dari web ke perangkat android Anda.

Eksperimen The Next Web mengungkapkan aktor jahat dapat mengakses 2FA berbasis SMS pengguna dari jarak jauh dengan sedikit usaha, melalui penggunaan aplikasi populer (nama dan jenis dirahasiakan karena alasan keamanan) yang dirancang untuk menyinkronkan notifikasi pengguna di berbagai perangkat.

Secara khusus, penyerang dapat memanfaatkan kombinasi email/kata sandi yang disusupi yang terhubung ke akun Google untuk secara jahat memasang aplikasi message mirroring yang tersedia di smartphone korban melalui Google Play.

Setelah aplikasi diinstal, penyerang dapat menerapkan teknik rekayasa sosial sederhana untuk meyakinkan pengguna agar mengaktifkan izin yang diperlukan agar aplikasi berfungsi dengan baik.

Meskipun beberapa kondisi harus dipenuhi agar serangan yang disebutkan di atas berfungsi, itu masih menunjukkan sifat rapuh dari metode 2FA berbasis SMS.

Selengkapnya: The Next Web

Apa Itu OWASP? Ikhtisar + OWASP 10 Teratas

by

Apa Itu OWASP?

OWASP adalah singkatan dari Open Web Application Security Project. Ini adalah lembaga nirlaba yang tujuan utamanya adalah untuk meningkatkan keamanan perangkat lunak dengan menyediakan alat dan pengetahuan kepada komunitas.

Mengapa OWASP Penting?

OWASP memberikan pengetahuan tentang taktik yang digunakan peretas dan cara melawannya. Selama bertahun-tahun, proyek ini telah membantu masyarakat untuk:

  • Melindungi kode mereka dari kerentanan keamanan siber.
  • Memperkuat enkripsi perangkat lunak.
  • Mengurangi jumlah kesalahan keamanan, bug, dan cacat dalam kode mereka.

Apa Itu Top 10 OWASP?

OWASP Top 10 adalah salah satu sumber paling populer dan dihargai yang dirilis oleh OWASP Foundation. Makalah ini memberikan informasi tentang 10 risiko keamanan paling kritis untuk aplikasi pada saat penelitian. Risiko-risiko ini adalah eksploitasi yang paling sering digunakan oleh peretas dan menyebabkan kerusakan paling besar.

1. Injection

Injeksi terjadi ketika penyerang mencemari kueri yang dikirim ke aplikasi back-end dengan kode valid yang dieksekusi oleh target akhir. Penyerang menggunakan ini untuk mengelabui sistem agar menjalankan perintah yang tidak disengaja yang telah mereka berikan melalui API.

Dengan jenis serangan ini, peretas dapat memperoleh akses ke data yang dilindungi atau bahkan menjalankan perintah OS. Yang terakhir membuat jenis serangan ini jauh lebih berbahaya.

2. Broken Authentication

Broken Authentication adalah ketika otentikasi telah diterapkan secara tidak benar, memungkinkan penyerang untuk mendapatkan akses dan mengambil identitas pengguna lain. Mencegah pengguna menggunakan kata sandi yang lemah dan membatasi upaya login yang gagal secara efektif mengamankan sebagian besar akun pengguna dari kerentanan ini. Anda juga perlu menyetel batas waktu sesi dan menerapkan sistem pemulihan kredensial untuk membantu pengguna melindungi akun mereka dari kesalahan yang tidak disengaja dan memulihkannya tanpa kesulitan.

3. Sensitive Data Exposure

Alih-alih menyerang sistem secara langsung, peretas sering kali mencoba mencuri data saat sedang transit dari browser pengguna. Untuk mencegah serangan seperti itu, Anda perlu membuat saluran komunikasi yang aman. Untuk aplikasi web, solusi cepat untuk mengatasi masalah ini adalah dengan menerapkan TLS di semua halaman.

4. XML External Entities (XXE)

Aplikasi mungkin rentan terhadap XML External Entities (XXE) jika mendukung unggahan XML atau XML langsung, terutama dari sumber yang tidak dapat diandalkan, karena prosesor XML kemudian dapat menguraikannya. Peretas dapat menggunakan entitas eksternal ini untuk mendapatkan akses ke informasi sensitif atau membuat serangan penolakan layanan (DOS) dengan memasukkan file yang berpotensi tidak ada habisnya.

5. Broken Access Control

Setiap bagian informasi harus tersedia hanya untuk sekelompok pengguna tertentu berdasarkan akses yang telah diberikan kepada mereka. Kontrol akses yang rusak dapat menyebabkan skenario di mana pengguna dapat mengakses informasi yang mereka tidak memiliki wewenang untuk mengaksesnya. Risiko keamanan ini dapat dimitigasi dengan menerapkan model kontrol akses berdasarkan kepemilikan record.

6. Security Misconfiguration

Peretas sangat menyadari sebagian besar masalah keamanan dan bagaimana mereka dapat dieksploitasi menggunakan alat yang berbeda. Ini bisa dalam bentuk port terbuka yang tidak perlu, akun dan kata sandi default, kesalahan penanganan yang mengungkapkan terlalu banyak informasi tentang aplikasi, file sampel dan aplikasi yang datang secara default dan dihapus dari server produksi, dan sebagainya. Pemindai otomatis dapat digunakan untuk memastikan konfigurasi keamanan yang tepat.

7. Cross-Site Scripting (XSS)

Cross-site scripting (XSS) terjadi ketika penyerang berhasil memperkenalkan kode HTML atau JavaScript yang valid di dalam status aplikasi web yang ada. Hal ini biasanya dimungkinkan karena kurangnya validasi data input yang tepat. Sebagian besar framework saat ini memiliki sistem bawaan yang secara otomatis keluar dari XSS berdasarkan desain.

8. Insecure Deserialization

Aplikasi apa pun yang tidak melakukan deserialize objek eksternal atau temper sangat rentan. Itu karena peretas kemudian memiliki kekuatan untuk memanipulasi data yang diterima oleh kode back-end.

Cara tercepat dan mungkin teraman untuk melindungi diri Anda dari deserialisasi yang tidak aman adalah dengan tidak menerima objek berseri dari sumber yang tidak tepercaya dan membatasi penggunaan objek bersambung dalam aplikasi Anda.

9. Using Components with Known Vulnerabilities

Kode eksternal: library, modul, komponen, dan sebagainya akan berjalan dengan hak istimewa yang sama dengan aplikasi Anda. Oleh karena itu, Anda harus memastikan bahwa setiap kode eksternal yang Anda sertakan dalam aplikasi Anda diperbarui dan aman.

10. Insufficient Logging and Monitoring

Anda tidak dapat memperbaiki apa yang Anda sendiri tidak tahu bagian mana yang telah dieksploitasi. Jika Anda tidak cukup memantau aplikasi Anda, penyerang dapat mengakses sistem Anda atau meretas data sensitif tanpa Anda sadari.

Selengkapnya: Perforce

Peretas Terlihat Menggunakan Kode Morse dalam Serangan Phishing untuk Menghindari Deteksi

by

Microsoft telah mengungkapkan rincian kampanye rekayasa sosial selama setahun di mana operator terus mengubah mekanisme penyamaran dan enkripsi mereka rata-rata setiap 37 hari, termasuk mengandalkan kode Morse, dalam upaya untuk menutupi jejak mereka dan secara diam-diam mengumpulkan kredensial pengguna.

Serangan phishing berbentuk umpan bertema faktur yang meniru transaksi bisnis terkait keuangan, dengan email yang berisi file HTML (“XLS.HTML”). Tujuan utamanya adalah untuk mengumpulkan nama pengguna dan kata sandi, yang kemudian digunakan sebagai titik masuk awal untuk upaya penyusupan selanjutnya.

Microsoft menyamakan lampiran dengan “teka-teki jigsaw”, mencatat bahwa setiap bagian dari file HTML dirancang untuk tampak tidak berbahaya dan lolos dari perangkat lunak keamanan endpoint, hanya untuk mengungkapkan niat sebenarnya ketika segmen ini didekodekan dan dirakit bersama. Perusahaan tidak mengidentifikasi peretas di balik operasi tersebut.

“Kampanye phishing ini menunjukkan ancaman email modern: canggih, mengelak, dan terus berkembang,” kata Tim Microsoft 365 Defender Threat Intelligence dalam sebuah analisis.

Kampanye ini dikatakan telah mengalami 10 iterasi sejak ditemukan pada Juli 2020, dengan musuh secara berkala mengganti metode pengkodeannya untuk menutupi sifat jahat dari lampiran HTML dan segmen serangan berbeda yang terkandung dalam file.

Microsoft mengatakan telah mendeteksi penggunaan kode Morse dalam serangan gelombang Februari dan Mei 2021, sementara varian kit phishing kemudian ditemukan untuk mengarahkan korban ke halaman Office 365 yang sah alih-alih menampilkan pesan kesalahan palsu setelah kata sandi dimasukkan.

Selengkapnya: The Hacker News