Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data Breach

Data Breach

Peretas memposting 1,9 juta catatan pengguna Pixlr secara gratis di forum

by

Seorang peretas telah membocorkan 1,9 juta catatan pengguna Pixlr yang berisi informasi yang dapat digunakan untuk melakukan serangan phishing dan credential stuffing yang ditargetkan.

Pixlr adalah aplikasi pengeditan foto online yang sangat populer dan gratis dengan banyak fitur yang sama yang ditemukan di editor foto desktop profesional seperti Photoshop.

Selama akhir pekan, aktor ancaman yang dikenal sebagai ShinyHunters membagikan database secara gratis di forum peretas yang dia klaim telah dicuri dari Pixlr saat dia membobol situs stock foto 123rf. Pixlr dan 123rf dimiliki oleh perusahaan yang sama, Inmagine.

Database Pixlr yang diduga diposting oleh ShinyHunters berisi 1.921.141 catatan pengguna yang terdiri dari alamat email, nama login, sandi dengan hash SHA-512, negara pengguna, apakah mereka mendaftar untuk buletin, dan informasi internal lainnya.

Sumber: BleepingComputer

ShinyHunters menyatakan dia mengunduh database dari AWS bucket perusahaan pada akhir tahun 2020.

Setelah berbagi database, banyak pelaku ancaman lain yang sering mengunjungi forum peretas berbagi apresiasi mereka karena penyerang dapat menggunakan data tersebut untuk aktivitas jahat mereka.

Karena beberapa data yang terpapar dipastikan akurat, tampaknya itu adalah benar sebuah pelanggaran.

Sangat disarankan agar semua pengguna Pixlr segera mengubah kata sandi mereka di situs. Pengguna harus menggunakan kata sandi yang unik dan kuat yang tidak digunakan di situs lain.

Sumber: Bleeping Computer

Grup peretas Cina mencuri detail penumpang maskapai penerbangan

by

Sebuah kelompok peretas Cina yang dicurigai telah menyerang industri penerbangan selama beberapa tahun terakhir dengan tujuan mendapatkan data penumpang untuk melacak pergerakan orang-orang yang mereka targetkan.

Gangguan ini telah dikaitkan dengan aktor ancaman yang telah dilacak oleh keamanan siber dengan nama Chimera.

Dalam laporan baru yang diterbitkan minggu lalu oleh NCC Group dan anak perusahaannya Fox-IT, kedua perusahaan tersebut mengatakan gangguan grup lebih luas dari yang diperkirakan, karena juga menargetkan industri penerbangan.

Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai wilayah geografis, dan bukan hanya Asia, kata NCC dan Fox-IT.

“Tujuannya adalah untuk menargetkan beberapa korban tampaknya untuk mendapatkan Passenger Name Records (PNR),” kata kedua perusahaan itu.

Laporan gabungan NCC dan Fox-IT juga menjelaskan modus operandi khas grup Chimera, yang biasanya dimulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik setelah pelanggaran data di perusahaan lain.

Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, kerangka kerja penetration-testing, yang mereka gunakan untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari IP dan detail penumpang.

Begitu mereka menemukan dan mengumpulkan data yang mereka kejar; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive, mengetahui bahwa lalu lintas ke layanan ini tidak akan diperiksa atau diblokir di dalam jaringan yang dibobol.

Sumber: ZDNet

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

by

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet

Peretas ‘memanipulasi’ data vaksin COVID-19 curian sebelum membocorkannya secara online

by

Peretas yang mencuri informasi tentang vaksin COVID-19 dalam serangan siber terhadap badan medis Uni Eropa dan kemudian mempublikasikannya secara online juga memanipulasi apa yang mereka temukan untuk menyebarkan disinformasi yang dirancang untuk merusak kepercayaan pada vaksin.

Dalam pembaruan terbaru tentang serangan siber yang pertama kali diungkapkan bulan lalu, European Medicines Agency (EMA) telah mengungkapkan bagaimana peretas mengakses email internal rahasia tentang proses evaluasi untuk vaksin COVID-19 mulai bulan November.

Investigasi yang sedang berlangsung menemukan bahwa beberapa isi email tersebut telah dimanipulasi oleh mereka yang berada di balik serangan tersebut dalam upaya untuk menciptakan ketidakpercayaan dengan menyebarkan disinformasi tentang vaksin.

Tidak pasti siapa pelaku serangan siber EMA atau mengapa tepatnya mereka memanipulasi dokumen untuk menyebarkan disinformasi dalam upaya merusak kepercayaan pada vaksin. Teori konspirasi anti-vax tentang virus corona telah menjadi masalah bagi media sosial dan dunia luas sejak dimulainya pandemi.

Sumber: ZDNet

OpenWRT melaporkan pelanggaran data setelah peretas memperoleh akses ke akun admin forum

by

Pengelola OpenWRT, proyek sumber terbuka yang menyediakan firmware gratis dan dapat disesuaikan untuk router rumah, telah mengungkapkan pelanggaran keamanan yang terjadi selama akhir pekan.

Menurut pesan yang diposting di forum proyek dan didistribusikan melalui beberapa milis bertema Linux dan FOSS, pelanggaran keamanan terjadi pada hari Sabtu, 16 Januari, sekitar pukul 16:00 GMT, setelah seorang peretas mengakses akun administrator forum.

Tim OpenWRT mengatakan bahwa meskipun penyerang tidak dapat mengunduh salinan lengkap database nya, serangan tersebut mengunduh daftar pengguna forum, yang menyertakan detail pribadi seperti nama pengguna forum dan alamat email.

Tidak ada sandi yang disertakan dalam data yang diunduh, tetapi untuk berjaga-jaga, administrator OpenWRT telah menyetel ulang semua sandi pengguna forum dan kunci API.

Proyek ini sekarang memberi tahu pengguna bahwa saat mereka masuk ke akun mereka lagi, mereka harus melalui prosedur pemulihan kata sandi. Proses ini juga wajib bagi mereka yang menggunakan token OAuth, yang perlu menyinkronkan ulang akun mereka.

Admin OpenWRT mengatakan bahwa hanya data pengguna forum yang tampaknya telah disusupi untuk saat ini. Wiki OpenWRT, yang menyediakan tautan unduhan resmi dan informasi tentang bagaimana pengguna dapat menginstal firmware pada berbagai model router yang berhak paten, tidak dilanggar, berdasarkan bukti saat ini.

Sumber: ZDNet

Bank sentral Selandia Baru mengatakan sistem datanya dilanggar

by

Reserve Bank of New Zealand mengatakan pada hari Minggu bahwa pihaknya menanggapi suatu pelanggaran pada salah satu sistem datanya.

Layanan berbagi file pihak ketiga yang digunakan oleh bank sentral untuk berbagi dan menyimpan beberapa informasi sensitif diakses secara ilegal, kata bank tersebut dalam sebuah pernyataan.

Gubernur RBNZ Adrian Orr mengatakan pelanggaran tersebut telah diatasi tetapi menambahkan akan membutuhkan waktu untuk memahami implikasi penuh dari pelanggaran ini.

“Sifat dan tingkat informasi yang berpotensi diakses masih ditentukan, tetapi mungkin termasuk beberapa informasi yang sensitif secara komersial dan pribadi,” kata Orr dalam sebuah pernyataan.

Pada bulan Agustus, operator bursa saham Selandia Baru dilanda serangan siber. InPhySec, sebuah firma keamanan siber independen yang ditugaskan untuk meninjau serangan siber, mengatakan bahwa volume, kecanggihan, dan persistensi serangan itu belum pernah terjadi sebelumnya di Selandia Baru.

Sumber: Reuters

Hacker memposting data 10.000 akun American Express secara gratis

by

Seorang pelaku ancaman telah memposting data 10.000 pemegang kartu kredit American Express di forum peretas secara gratis.

Dalam posting forum yang sama, aktor tersebut mengklaim menjual lebih banyak data pelanggan perbankan Meksiko dari American Express, Santander, dan Banamex.

Minggu ini aktor ancaman membocorkan data 10.000 pemegang kartu kredit American Express yang berbasis di Meksiko di sebuah forum.

Temuan ini terungkap oleh analis intelijen ancaman, Bank Security.

Kumpulan data sampel yang bocor dari 10.000 data memperlihatkan nomor lengkap akun American Express (kartu kredit) dan informasi identitas pribadi (PII) pelanggan termasuk nama, alamat lengkap, nomor telepon, tanggal lahir, jenis kelamin, dll.

Namun, pengamatan dari BleepingComputer tidak melihat tanggal kedaluwarsa kartu kredit, kata sandi, atau data keuangan yang terlalu sensitif dalam spreadsheet yang diposting yang dapat memungkinkan penyalahgunaan kartu kredit dalam transaksi penipuan.

American Express tidak membantah atau mengakui bahwa mereka telah mengalami pelanggaran data, tetapi mengatakan bahwa semua pemegang kartu Amex tidak bertanggung jawab atas tuduhan penipuan.

“Kami mengetahui laporan tersebut dan memantau situasi dengan cermat. Kami tidak memiliki informasi lebih lanjut untuk dibagikan saat ini.”

Sumber: Bleeping Computer

Operator seluler Italia menawarkan untuk mengganti kartu SIM setelah pelanggaran data besar-besaran

by

Ho Mobile, operator seluler Italia, yang dimiliki oleh Vodafone, telah mengkonfirmasi pelanggaran data besar-besaran pada hari Senin dan sekarang mengambil langkah langka untuk menawarkan penggantian kartu SIM dari semua pelanggan yang terpengaruh.

Pelanggaran tersebut diyakini telah berdampak pada sekitar 2,5 juta pelanggan.

Pertama kali terungkap bulan lalu pada 28 Desember ketika seorang analis keamanan melihat database telco ditawarkan untuk dijual di forum dark web.

Sumber: Bank Security

Pernyataan dari Ho mengkonfirmasi penilaian peneliti keamanan bahwa peretas membobol server Ho dan mencuri rincian pelanggan Ho, termasuk nama lengkap, nomor telepon, nomor jaminan sosial, alamat email, tanggal dan tempat lahir, kebangsaan, dan alamat rumah.

Sementara perusahaan telekomunikasi tersebut mengatakan tidak ada data keuangan atau detail panggilan yang dicuri dalam gangguan tersebut, Ho mengakui bahwa peretas mendapatkan detail terkait dengan kartu SIM pelanggan.

Untuk menghindari ancaman penipuan telepon atau serangan SIM swapping sekecil apa pun, perusahaan telekomunikasi Italia sekarang menawarkan untuk mengganti kartu SIM untuk semua pelanggan yang terkena dampak, jika mereka mau, dan bebas biaya.

Sumber: ZDNet