Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data Breach

Data Breach

Robinhood mengungkapkan pelanggaran data yang berdampak pada 7 juta pelanggan

by

Platform perdagangan saham Robinhood telah mengungkapkan pelanggaran data setelah sistem mereka diretas dan aktor ancaman memperoleh akses ke informasi pribadi sekitar 7 juta pelanggan.

Serangan itu terjadi pada 3 November setelah seorang pelaku ancaman menelepon seorang karyawan dukungan pelanggan dan menggunakan rekayasa sosial untuk mendapatkan akses ke sistem dukungan pelanggan.

Setelah mengakses sistem pendukung, pelaku ancaman dapat mengakses informasi pelanggan, termasuk nama lengkap, alamat email, dan untuk sejumlah orang, data kelahiran, dan kode pos.

Singkatnya, pelanggaran data mengungkapkan:

  • Alamat email untuk 5 juta pelanggan.
  • Nama lengkap untuk 2 juta.
  • Nama, tanggal lahir, dan kode pos untuk 300 orang.
  • Informasi akun yang lebih detail untuk 10 orang.

Perusahaan menyatakan bahwa mereka tidak percaya ada nomor Jaminan Sosial, nomor rekening bank, atau nomor kartu debit yang terpapar dalam serangan itu.

Setelah mengetahui serangan itu dan mengamankan sistem mereka, RobinHood juga menerima permintaan pemerasan. Sementara Robinhood belum memberikan perincian apa pun mengenai permintaan pemerasan, kemungkinan ada ancaman bahwa data yang dicuri akan bocor jika tebusan Bitcoin tidak dibayarkan.

RobinHood mengatakan mereka terus menyelidiki insiden tersebut dengan bantuan Mandiant, sebuah perusahaan keamanan siber terkenal yang biasa digunakan untuk melakukan respons insiden setelah serangan.

Selengkapnya: Bleeping Computer

Peretas BlackShadow melanggar perusahaan hosting Israel dan memeras pelanggan

by

Kelompok peretas BlackShadow menyerang penyedia hosting Israel Cyberserve untuk mencuri basis data klien dan mengganggu layanan perusahaan.

Cyberserve adalah perusahaan pengembangan web dan perusahaan hosting Israel yang digunakan oleh berbagai organisasi, termasuk stasiun radio lokal, museum, dan lembaga pendidikan.

Mulai Jumat, ketika mencoba mengakses situs web yang dihosting di Cyberserve, pengunjung menemui kesalahan situs web atau pesan bahwa situs tersebut tidak dapat diakses karena insiden keamanan siber.

Sebuah kelompok peretasan yang dikenal sebagai BlackShadow mengaku bertanggung jawab atas serangan terhadap Cyberserve dan memeras perusahaan hosting dan pelanggannya dengan menuntut $ 1 juta dalam cryptocurrency untuk tidak membocorkan data yang dicuri.

Batas waktu permintaan pemerasan ini ditetapkan selama 48 jam, dimulai pada hari Sabtu, tetapi para aktor segera membocorkan sampel 1.000 catatan untuk membuktikan bahwa meraka benar-benar memiliki data perusahaan.

Termasuk dalam pencurian data adalah database yang berisi informasi pribadi dari situs LGBT besar bernama ‘Atraf,’ yang membuat insiden keamanan cukup mengerikan.

Mengekspos orang-orang LGBT yang hidup dalam masyarakat konservatif menempatkan mereka pada risiko yang signifikan, baik secara fisik maupun psikologis.

Pada saat penulisan, banyak situs web yang dihosting di CyberServe tidak dapat diakses, termasuk Atraf, yang menunjukkan bahwa perusahaan masih menanggapi serangan tersebut.

Direktorat Cyber Nasional setempat mengatakan kepada The Times of Israel bahwa mereka telah memperingatkan CyberServe tentang serangan cyber yang akan segera terjadi beberapa kali di hari-hari sebelumnya.

Tidak jelas apakah Cyberserve mengabaikan peringatan ini atau tidak dapat menemukan kerentanan keamanan yang digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Twitter menangguhkan peretas yang diduga mencuri data 45 juta warga Argentina

by

Twitter telah menangguhkan seorang peretas yang diduga mencuri semua data dari database Argentina yang menyimpan ID dan informasi semua 45 juta warga negara itu.

Seorang aktor ancaman yang menggunakan username @aniballleaks mengatakan bahwa mereka berhasil meretas Daftar Orang Nasional Argentina — juga dikenal sebagai RENAPER atau Registro Nacional de las Personas — dan menawarkan untuk menjual data tersebut di forum kejahatan dunia maya.

Data yang bocor termasuk nama, alamat rumah, ulang tahun, nomor Tramite, nomor warga negara, ID foto pemerintah, kode identifikasi tenaga kerja, penerbitan kartu ID dan tanggal kedaluwarsa.

Awalnya, peretas mulai membocorkan informasi terkenal Argentina seperti Lionel Messi dan Sergio Aguero. Namun dalam percakapan dengan The Record, peretas mengatakan bahwa mereka berencana untuk mempublikasikan informasi “1 juta atau 2 juta orang” sambil mencari pembeli yang tertarik dengan data tersebut.

Peretas juga secara diam-diam mengkonfirmasi bagaimana mereka berhasil masuk ke National Registry of Persons, mencatat bahwa “karyawan ceroboh” yang memungkinkan mereka masuk ke sistem.

Pemerintah Argentina merilis pernyataan pada 13 Oktober yang menyangkal bahwa National Registry of Persons telah diretas.

Tetapi pernyataan itu juga mengatakan bahwa VPN dari seseorang di dalam Kementerian Kesehatan telah digunakan untuk mengakses Sistem Identitas Digital tepat sebelum akun Twitter membocorkan data awal pada profil tinggi Argentina itu.

Selengkapnya: ZDNet

Microsoft: Peretas Iran Menargetkan Perusahaan Teknologi Pertahanan AS

by Leave a Comment

Pelaku yang berhubungan dengan Iran menargetkan penyewa Office 365 dari perusahaan teknologi pertahanan AS dan Israel dalam serangan extensive password spraying attacks.

Dalam extensive password spraying attacks, pelaku ancaman mencoba untuk memaksa akun dengan menggunakan kata sandi yang sama di beberapa akun secara bersamaan, yang memungkinkan mereka menyembunyikan upaya yang gagal menggunakan alamat IP yang berbeda.

Hal ini memungkinkan mereka untuk mengalahkan pertahanan otomatis seperti penguncian kata sandi dan pemblokiran IP berbahaya yang dirancang untuk memblokir beberapa upaya login yang gagal.

Cluster aktivitas itu untuk sementara dijuluki DEV-0343 oleh para peneliti di Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Digital Security Unit (DSU), yang telah melacaknya sejak akhir Juli.

Menurut Microsoft, aktivitas jahat yang sedang berlangsung ini sejalan dengan kepentingan nasional Iran berdasarkan teknik dan target yang selaras dengan aktor ancaman terkait Iran lainnya.

DEV-0343 juga dikaitkan dengan Iran berdasarkan analisis pola kehidupan dan persilangan ekstensif dalam penargetan sektoral dan geografis dengan kelompok peretas Iran lainnya.

“Penargetan dalam aktivitas DEV-0343 ini telah diamati di seluruh perusahaan pertahanan yang mendukung Amerika Serikat, Uni Eropa, dan mitra pemerintah Israel yang memproduksi radar tingkat militer, teknologi drone, sistem satelit, dan sistem komunikasi tanggap darurat,” kata Microsoft.

“Aktivitas lebih lanjut telah menargetkan pelanggan dalam sistem informasi geografis (GIS), analitik spasial, pelabuhan masuk regional di Teluk Persia, dan beberapa perusahaan transportasi laut dan kargo dengan fokus bisnis di Timur Tengah.”

Tujuan akhir operator DEV-0343 kemungkinan adalah untuk mendapatkan akses ke citra satelit komersial dan rencana pengiriman dan log kepemilikan, yang akan digunakan untuk menambah program satelit dalam pengembangan Iran.

Microsoft telah langsung memberi tahu pelanggan yang telah ditargetkan atau disusupi, memberi mereka informasi yang mereka butuhkan untuk mengamankan akun mereka.

Kurang dari 20 target dilanggar
Sejak serangan dimulai, kurang dari 20 target telah dikompromikan, dengan Microsoft mencatat bahwa akun Office 365 dengan otentikasi multifaktor (MFA) yang diaktifkan tahan terhadap serangan semprotan kata sandi DEV-0343.

DEV-0343 menargetkan titik akhir Autodiscover dan ActiveSync Exchange dengan alat penyemprot enumerasi/sandi untuk memvalidasi akun aktif dan memperbaiki serangan mereka.

“Mereka biasanya menargetkan lusinan hingga ratusan akun dalam suatu organisasi, tergantung pada ukurannya, dan menghitung setiap akun dari lusinan hingga ribuan kali,” kata Microsoft.

“Rata-rata, antara 150 dan 1.000+ alamat IP proxy Tor unik digunakan dalam serangan terhadap setiap organisasi.”

Cara bertahan dari serangan
Perusahaan yang terpapar aktivitas ini didorong untuk mencari perilaku dan taktik DEV-0343 dalam log dan aktivitas jaringan, termasuk:

Lalu lintas masuk yang luas dari alamat IP Tor untuk kampanye extensive password spraying attacks
-Emulasi browser FireFox (paling umum) atau Chrome dalam kampanye penyemprotan kata sandi
-Pencacahan Exchange ActiveSync (paling umum) atau titik akhir Autodiscover
-Penggunaan alat enumerasi/penyemprotan kata sandi yang mirip dengan alat ‘o365spray’
-Penggunaan Autodiscover untuk memvalidasi akun dan kata sandi
-Aktivitas penyemprotan kata sandi yang diamati biasanya memuncak antara 04:00:00 dan 11:00:00 UTC
Microsoft merekomendasikan untuk mengambil langkah-langkah berikut sebagai pertahanan terhadap serangan DEV-0343:

Aktifkan autentikasi multifaktor untuk mengurangi kredensial yang disusupi.
-Untuk pengguna Office 365, lihat dukungan autentikasi multifaktor.
-Untuk akun email Konsumen dan Pribadi, lihat cara menggunakan verifikasi dua langkah.
-Microsoft sangat menganjurkan semua pelanggan untuk mengunduh dan menggunakan solusi tanpa kata sandi.
-Tinjau dan terapkan kebijakan akses Exchange Online yang direkomendasikan:
-Blokir klien ActiveSync agar tidak melewati kebijakan Akses Bersyarat.
-Blokir semua lalu lintas masuk dari layanan anonim jika memungkinkan.
-Peneliti MSTIC dan DSU juga membagikan kueri perburuan lanjutan Microsoft 365 Defender dan Azure Sentinel di akhir entri blog untuk membantu tim SecOps mendeteksi aktivitas terkait DEV-0343.

sumber: bleepingcomputer

Setelah Dipecat Pegawai TI Balas Dendam Menghapus Seluruh Data dan Mengubah Pasword

by Leave a Comment

Seorang pria 29 tahun menghapus data pada sistem sekolah menengah di Inggris dan mengubah kata sandi di sebuah perusahaan IT, dalam serangan cyber pembalasan karena dipecat.

Akibat tindakannya itu, sistem sekolah tidak bisa lagi diakses dan pembelajaran jarak jauh terdampak saat siswa berada di rumah akibat pandemi Covid-19.

Pelanggar berulang
Pada awal tahun pada 16 Januari, Adam Georgeson mengunduh dan menghapus data dari komputer milik Welland Park Academy di Market Harborough, Leicestershire, dan mengubah kata sandi anggota staf.

Georgeson telah bekerja sebagai teknisi IT di sekolah tersebut tetapi telah dipecat pada saat serangan itu terjadi.

Pada 21 Januari, saat bekerja di sebuah perusahaan IT di Rutland, Georgeson ditangkap karena tindakannya di jaringan sekolah.

Namun, pekerjaan barunya tidak berlangsung lama karena dia dipecat pada bulan Februari dan dia sekali lagi melanggar norma digital dari mantan atasannya.

Pada 9 Maret, perusahaan melaporkan aktivitas tidak sah di jaringannya. Selain mengubah kata sandi yang mengunci pengguna, Georgeson juga memodifikasi sistem telepon yang digunakan untuk menghubungi pelanggan.

Georgeson menyerahkan diri di Leicester Crown Court pada hari Senin dan mengaku bersalah atas dua pelanggaran peretasan dunia maya, yang membawa hukuman hingga 10 tahun penjara.

Menurut petugas investigasi Detektif Constable Anthony Jones, Georgeson mengatakan bahwa dia mengakses sistem sekolah karena dia bosan dan kemudian mulai menghapus data.

Ketika dia menyadari bahwa tindakannya dapat dilacak dan berisiko tertangkap, Georgeson beralih ke tindakan yang lebih jahat.

“Ada banyak kebencian terhadap kedua mantan atasannya- tetapi itu bukan alasan untuk tindakannya yang menyebabkan masalah signifikan bagi keduanya dan bisa memiliki konsekuensi yang lebih parah” – Detektif Polisi Anthony Jones

Georgeson dijadwalkan menerima hukumannya tahun depan, pada 27 Januari.

sumber: bleepingcomputer

TSA Rilis Peraturan Keamanan Siber Baru untuk Kereta dan Pesawat

by Leave a Comment


Menteri Keamanan Dalam Negeri Alejandro Mayorkas mengumumkan peraturan keamanan siber baru untuk operator kereta api dan bandara AS pada hari Rabu.

Pertama kali dilaporkan oleh Reuters, aturan tersebut mengamanatkan bahwa operator wajib mengungkapkan peretasan apa pun, pembuatan program pemulihan serangan siber, dan menunjuk kepala pejabat siber.

Aturan tersebut akan mulai berlaku akhir tahun ini.

“Baik melalui udara, darat, atau laut, sistem transportasi kami sangat strategis dan penting bagi keamanan nasional dan ekonomi kami,” kata Mayorkas, menurut Reuters.

Pada bulan April, Otoritas Transportasi Metropolitan Kota New York — salah satu sistem transportasi terbesar di dunia — diretas oleh sebuah kelompok yang berbasis di China. Meskipun serangan itu tidak menyebabkan kerusakan apa pun dan tidak ada pengendara yang terdampak, pejabat kota memperingatkan dalam sebuah laporan karena penyerang dapat mencapai sistem kritis dan mungkin meninggalkan backdoor pada sistem.

Pada tahun 2020, Otoritas Transportasi Pennsylvania Tenggara terkena ransomware, dan awal tahun ini, layanan feri ke Cape Cod juga terganggu oleh serangan ransomware.

Aturan baru berlaku untuk operator kereta api, perusahaan transit kereta api, operator bandara AS, operator pesawat penumpang dan operator pesawat kargo. Beberapa organisasi transportasi tingkat bawah juga dianjurkan untuk mengikuti aturan.

Aturan tersebut mendapat tanggapan beragam dari para ahli yang mempertanyakan apakah ada organisasi yang dapat memenuhi peraturan baru yang ketat.

“Persyaratan keamanan yang ditetapkan dalam Arahan Keamanan TSA publik yang baru jelas ambisius. Sebagian besar organisasi yang bekerja sama dengan kami saat ini tidak dapat memenuhi persyaratan ini, begitu pula sebagian besar lembaga pemerintah federal,” kata Jake Williams, CTO dari BreachQuest.

“Persyaratan pemantauan DNS saja jauh melampaui kemampuan kebanyakan organisasi saat ini. Meskipun efektif dalam mendeteksi intrusi, upaya yang diterapkan untuk menerapkan persyaratan semacam ini hampir pasti akan mengalihkan perhatian dari tujuan yang lebih penting dan dapat dicapai seperti segmentasi dan pemantauan jaringan TI/OT dasar. .”

Chris Grove, Product Evangelist di Nozomi Networks dan pakar keamanan dunia maya industri, mengatakan direktorat tersebut mengikuti banyak upaya lain untuk mengamankan teknologi operasional dengan “menyediakan perpaduan pencegahan, deteksi, dan ketahanan.”

Namun dia mencatat bahwa ketika rekomendasi tumpang tindih dengan teknologi operasional, mereka tidak benar-benar berlaku.

O’Reilly mencatat bahwa kemungkinan akan ada lebih banyak perselisihan industri mengenai persyaratan tertentu tetapi diasah pada bagian berjudul, “Security Directive (SD) Pipeline-2021-02” — yang berfokus pada elemen kunci pengerasan pipa OT dan TI terhadap banyak eksploitasi saat ini. Bagian ini juga secara efektif mengumumkan berakhirnya beberapa pedoman sukarela untuk industri.

“Kemungkinan akan ada penolakan industri karena periode komentarnya singkat, dan ada beberapa pertimbangan unik sehubungan dengan patching dan praktik lain yang terkait dengan Teknologi Operasional. Tetapi bahkan di sana, TSA telah berhati-hati untuk memungkinkan pendekatan berbasis risiko untuk menambal OT, yang cukup masuk akal,” tambah O’Reilly.

“Aspek terpenting dari arahan tersebut adalah bahwa ketahanan siber tidak lagi bersifat sukarela. Bisa dibilang membiarkan standar pipeline menjadi sukarela adalah suatu kesalahan. Tidak dapat disangkal bahwa sektor infrastruktur kritis (seperti keuangan dan listrik) yang diatur umumnya memiliki banyak praktik keamanan yang lebih baik di tempat. Jika menyangkut kepentingan publik, ada kebutuhan yang jelas untuk pengawasan, dan hanya Pemerintah Federal yang dapat melakukan ini secara efektif. Kita tidak dapat menanggung serangan lain seperti yang menimpa Kolonial.”

sumber: ZDNET

Peretasan Twitch Besar-besaran: Kode sumber dan laporan pembayaran bocor

by

Kode sumber Twitch dan informasi sensitif streamer dan pengguna diduga dibocorkan secara online oleh pengguna anonim di 4chan imageboard.

Orang yang membocorkan membagikan tautan torrent yang mengarah ke arsip 125GB yang berisi data yang diduga dicuri dari sekitar 6.000 repositori internal Twitch Git.

Menurut pengguna anonim 4chan, data Twitch yang bocor berisi:

  • Keseluruhan twitch.tv, dengan sejarah komit kembali ke awal
  • Klien Twitch konsol seluler, desktop, dan video game
  • Berbagai SDK eksklusif dan layanan AWS internal yang digunakan oleh Twitch
  • Setiap properti lain yang dimiliki Twitch, termasuk IGDB dan CurseForge
  • Pesaing Steam yang belum dirilis dari Amazon Game Studios
  • Twitch SOC internal red teaming tools (lol)
  • Laporan pembayaran kreator dari tahun 2019 hingga sekarang.

Poster anonim itu menamai utasnya “twitch leaks part one,” yang mengisyaratkan data Twitch yang dicuri lebih lanjut kemungkinan akan bocor di masa depan.

Kebocoran itu kemungkinan merupakan balasan langsung terhadap kurangnya respons Twitch dan alat yang efektif untuk menangkis serangan kebencian yang menargetkan streamer pada bulan Agustus, mengingat anonim yang membocorkan juga menggunakan tagar #DoBetterTwitch.

Selengkapnya: Bleeping Computer

Kabar baik! Google Membuat Fitur Auto-Reset untuk Meningkatkan Privasi Pengguna

by

Pembaharuan Google terbaru memberikan jawaban bagi masalah privasi miliaran perangkat Andoid. Maslaah privasi ada dari banyaknya aplikasi yang terlupakan atau tidak lagi digunakan namun sudah terlanjur diberikan akses ke data sensitif Anda.

Aplikasi Android yang sudah lama tidak digunakan akan segera mulai kehilangan izinnya secara otomatis untuk mengakses fitur yang sensitif, seperti sensor, pesan SMS, dan daftar kontak.

Pada bulan Desember, Google berencana untuk mengedakan fitur “riset izin otomatis”. Fitur ini secara otomatis menghentikan izin yang sebelumnya diberikan aplikasi untuk mengakses lokasi perangkat, kamera, mikrofon, dan sebagainya.

Tahun lalu Google merilis fitur ini untuk Android 11, pada bulan Desember akan diperluas ke “miliar perangkat lagi” melalui layanan Google Play pada perangkat yang menjalankan Android 6.0 (API level 23) dari 2015 dan yang lebih baru.

“Fitur ini akan diaktifkan secara default untuk aplikasi yang menargetkan Android 11 (API level 30) atau lebih tinggi. Namun, pengguna dapat mengaktifkan izin reset otomatis secara manual untuk aplikasi yang menargetkan API level 23 hingga 29,” jelas Google dalam posting blog pengembang Android.

Tujuan dari hal ini adalah untuk melindungi pengguna karena banyaknya aplikasi yang jarang atau tidak terpakai lagi namun masih dapat mengakses lokasi, informasi kontak, pesan, dan data pengguna pribadi lainnya.

“Tindakan ini memiliki efek yang sama seperti jika pengguna melihat izin di pengaturan aplikasi dan mengubah akses ke “Deny”,” Google menjelaskan dalam catatan pengembang.

Perubahan ini akan memengaruhi semua aplikasi Android di perangkat konsumen. Namun, Google telah membuat pengecualian untuk aplikasi yang dikelola perusahaan dan aplikasi dengan izin yang telah diperbaiki oleh kebijakan perusahaan.

Google juga memiliki cara bagi pengembang untuk meminta pengguna menonaktifkan pengaturan otomatis untuk aplikasi mereka. Jika tidak memerlukan fitur ini, jangan khawatir karena developer google tidak lupa untuk memberikan pilihan untuk mematikan fitur ini. Hal ini mungkin cocok untuk pengguna aplikasi yang diharapkan bekerja di latar belakang, seperti aplikasi yang memberikan keamanan keluarga, aplikasi untuk menyinkronkan data, aplikasi untuk mengontrol perangkat pintar, atau memasangkan dengan perangkat lain.

Peluncuran fitur auto-reset telah dilakukan secara bertahap dari Desember dan baru akan sampai pada pengguna Android 6 dan 10 pada awal tahun 2022.

Pengguna dengan Android 6 hingga 10 dapat membuka halaman pengaturan reset otomatis dan mengaktifkan atau menonaktifkan reset otomatis untuk aplikasi tertentu.

“Sistem akan mulai mengatur ulang izin aplikasi yang tidak digunakan secara otomatis beberapa minggu setelah fitur diluncurkan di perangkat,” catat Google.

sumber: ZDNet