Data Breach

Setelah Dipecat Pegawai TI Balas Dendam Menghapus Seluruh Data dan Mengubah Pasword

October 15, 2021 by Eevee Leave a Comment

Seorang pria 29 tahun menghapus data pada sistem sekolah menengah di Inggris dan mengubah kata sandi di sebuah perusahaan IT, dalam serangan cyber pembalasan karena dipecat.

Akibat tindakannya itu, sistem sekolah tidak bisa lagi diakses dan pembelajaran jarak jauh terdampak saat siswa berada di rumah akibat pandemi Covid-19.

Pelanggar berulang
Pada awal tahun pada 16 Januari, Adam Georgeson mengunduh dan menghapus data dari komputer milik Welland Park Academy di Market Harborough, Leicestershire, dan mengubah kata sandi anggota staf.

Georgeson telah bekerja sebagai teknisi IT di sekolah tersebut tetapi telah dipecat pada saat serangan itu terjadi.

Pada 21 Januari, saat bekerja di sebuah perusahaan IT di Rutland, Georgeson ditangkap karena tindakannya di jaringan sekolah.

Namun, pekerjaan barunya tidak berlangsung lama karena dia dipecat pada bulan Februari dan dia sekali lagi melanggar norma digital dari mantan atasannya.

Pada 9 Maret, perusahaan melaporkan aktivitas tidak sah di jaringannya. Selain mengubah kata sandi yang mengunci pengguna, Georgeson juga memodifikasi sistem telepon yang digunakan untuk menghubungi pelanggan.

Georgeson menyerahkan diri di Leicester Crown Court pada hari Senin dan mengaku bersalah atas dua pelanggaran peretasan dunia maya, yang membawa hukuman hingga 10 tahun penjara.

Menurut petugas investigasi Detektif Constable Anthony Jones, Georgeson mengatakan bahwa dia mengakses sistem sekolah karena dia bosan dan kemudian mulai menghapus data.

Ketika dia menyadari bahwa tindakannya dapat dilacak dan berisiko tertangkap, Georgeson beralih ke tindakan yang lebih jahat.

“Ada banyak kebencian terhadap kedua mantan atasannya- tetapi itu bukan alasan untuk tindakannya yang menyebabkan masalah signifikan bagi keduanya dan bisa memiliki konsekuensi yang lebih parah” – Detektif Polisi Anthony Jones

Georgeson dijadwalkan menerima hukumannya tahun depan, pada 27 Januari.

sumber: bleepingcomputer

TSA Rilis Peraturan Keamanan Siber Baru untuk Kereta dan Pesawat

October 15, 2021 by Eevee Leave a Comment

Menteri Keamanan Dalam Negeri Alejandro Mayorkas mengumumkan peraturan keamanan siber baru untuk operator kereta api dan bandara AS pada hari Rabu.

Pertama kali dilaporkan oleh Reuters, aturan tersebut mengamanatkan bahwa operator wajib mengungkapkan peretasan apa pun, pembuatan program pemulihan serangan siber, dan menunjuk kepala pejabat siber.

Aturan tersebut akan mulai berlaku akhir tahun ini.

“Baik melalui udara, darat, atau laut, sistem transportasi kami sangat strategis dan penting bagi keamanan nasional dan ekonomi kami,” kata Mayorkas, menurut Reuters.

Pada bulan April, Otoritas Transportasi Metropolitan Kota New York — salah satu sistem transportasi terbesar di dunia — diretas oleh sebuah kelompok yang berbasis di China. Meskipun serangan itu tidak menyebabkan kerusakan apa pun dan tidak ada pengendara yang terdampak, pejabat kota memperingatkan dalam sebuah laporan karena penyerang dapat mencapai sistem kritis dan mungkin meninggalkan backdoor pada sistem.

Pada tahun 2020, Otoritas Transportasi Pennsylvania Tenggara terkena ransomware, dan awal tahun ini, layanan feri ke Cape Cod juga terganggu oleh serangan ransomware.

Aturan baru berlaku untuk operator kereta api, perusahaan transit kereta api, operator bandara AS, operator pesawat penumpang dan operator pesawat kargo. Beberapa organisasi transportasi tingkat bawah juga dianjurkan untuk mengikuti aturan.

Aturan tersebut mendapat tanggapan beragam dari para ahli yang mempertanyakan apakah ada organisasi yang dapat memenuhi peraturan baru yang ketat.

“Persyaratan keamanan yang ditetapkan dalam Arahan Keamanan TSA publik yang baru jelas ambisius. Sebagian besar organisasi yang bekerja sama dengan kami saat ini tidak dapat memenuhi persyaratan ini, begitu pula sebagian besar lembaga pemerintah federal,” kata Jake Williams, CTO dari BreachQuest.

“Persyaratan pemantauan DNS saja jauh melampaui kemampuan kebanyakan organisasi saat ini. Meskipun efektif dalam mendeteksi intrusi, upaya yang diterapkan untuk menerapkan persyaratan semacam ini hampir pasti akan mengalihkan perhatian dari tujuan yang lebih penting dan dapat dicapai seperti segmentasi dan pemantauan jaringan TI/OT dasar. .”

Chris Grove, Product Evangelist di Nozomi Networks dan pakar keamanan dunia maya industri, mengatakan direktorat tersebut mengikuti banyak upaya lain untuk mengamankan teknologi operasional dengan “menyediakan perpaduan pencegahan, deteksi, dan ketahanan.”

Namun dia mencatat bahwa ketika rekomendasi tumpang tindih dengan teknologi operasional, mereka tidak benar-benar berlaku.

O’Reilly mencatat bahwa kemungkinan akan ada lebih banyak perselisihan industri mengenai persyaratan tertentu tetapi diasah pada bagian berjudul, “Security Directive (SD) Pipeline-2021-02” — yang berfokus pada elemen kunci pengerasan pipa OT dan TI terhadap banyak eksploitasi saat ini. Bagian ini juga secara efektif mengumumkan berakhirnya beberapa pedoman sukarela untuk industri.

“Kemungkinan akan ada penolakan industri karena periode komentarnya singkat, dan ada beberapa pertimbangan unik sehubungan dengan patching dan praktik lain yang terkait dengan Teknologi Operasional. Tetapi bahkan di sana, TSA telah berhati-hati untuk memungkinkan pendekatan berbasis risiko untuk menambal OT, yang cukup masuk akal,” tambah O’Reilly.

“Aspek terpenting dari arahan tersebut adalah bahwa ketahanan siber tidak lagi bersifat sukarela. Bisa dibilang membiarkan standar pipeline menjadi sukarela adalah suatu kesalahan. Tidak dapat disangkal bahwa sektor infrastruktur kritis (seperti keuangan dan listrik) yang diatur umumnya memiliki banyak praktik keamanan yang lebih baik di tempat. Jika menyangkut kepentingan publik, ada kebutuhan yang jelas untuk pengawasan, dan hanya Pemerintah Federal yang dapat melakukan ini secara efektif. Kita tidak dapat menanggung serangan lain seperti yang menimpa Kolonial.”

sumber: ZDNET

Peretasan Twitch Besar-besaran: Kode sumber dan laporan pembayaran bocor

October 7, 2021 by Winnie the Pooh

Kode sumber Twitch dan informasi sensitif streamer dan pengguna diduga dibocorkan secara online oleh pengguna anonim di 4chan imageboard.

Orang yang membocorkan membagikan tautan torrent yang mengarah ke arsip 125GB yang berisi data yang diduga dicuri dari sekitar 6.000 repositori internal Twitch Git.

Menurut pengguna anonim 4chan, data Twitch yang bocor berisi:

Keseluruhan twitch.tv, dengan sejarah komit kembali ke awal
Klien Twitch konsol seluler, desktop, dan video game
Berbagai SDK eksklusif dan layanan AWS internal yang digunakan oleh Twitch
Setiap properti lain yang dimiliki Twitch, termasuk IGDB dan CurseForge
Pesaing Steam yang belum dirilis dari Amazon Game Studios
Twitch SOC internal red teaming tools (lol)
Laporan pembayaran kreator dari tahun 2019 hingga sekarang.

Poster anonim itu menamai utasnya “twitch leaks part one,” yang mengisyaratkan data Twitch yang dicuri lebih lanjut kemungkinan akan bocor di masa depan.

Kebocoran itu kemungkinan merupakan balasan langsung terhadap kurangnya respons Twitch dan alat yang efektif untuk menangkis serangan kebencian yang menargetkan streamer pada bulan Agustus, mengingat anonim yang membocorkan juga menggunakan tagar #DoBetterTwitch.

Selengkapnya: Bleeping Computer

Kabar baik! Google Membuat Fitur Auto-Reset untuk Meningkatkan Privasi Pengguna

September 22, 2021 by Eevee

Pembaharuan Google terbaru memberikan jawaban bagi masalah privasi miliaran perangkat Andoid. Maslaah privasi ada dari banyaknya aplikasi yang terlupakan atau tidak lagi digunakan namun sudah terlanjur diberikan akses ke data sensitif Anda.

Aplikasi Android yang sudah lama tidak digunakan akan segera mulai kehilangan izinnya secara otomatis untuk mengakses fitur yang sensitif, seperti sensor, pesan SMS, dan daftar kontak.

Pada bulan Desember, Google berencana untuk mengedakan fitur “riset izin otomatis”. Fitur ini secara otomatis menghentikan izin yang sebelumnya diberikan aplikasi untuk mengakses lokasi perangkat, kamera, mikrofon, dan sebagainya.

Tahun lalu Google merilis fitur ini untuk Android 11, pada bulan Desember akan diperluas ke “miliar perangkat lagi” melalui layanan Google Play pada perangkat yang menjalankan Android 6.0 (API level 23) dari 2015 dan yang lebih baru.

“Fitur ini akan diaktifkan secara default untuk aplikasi yang menargetkan Android 11 (API level 30) atau lebih tinggi. Namun, pengguna dapat mengaktifkan izin reset otomatis secara manual untuk aplikasi yang menargetkan API level 23 hingga 29,” jelas Google dalam posting blog pengembang Android.

Tujuan dari hal ini adalah untuk melindungi pengguna karena banyaknya aplikasi yang jarang atau tidak terpakai lagi namun masih dapat mengakses lokasi, informasi kontak, pesan, dan data pengguna pribadi lainnya.

“Tindakan ini memiliki efek yang sama seperti jika pengguna melihat izin di pengaturan aplikasi dan mengubah akses ke “Deny”,” Google menjelaskan dalam catatan pengembang.

Perubahan ini akan memengaruhi semua aplikasi Android di perangkat konsumen. Namun, Google telah membuat pengecualian untuk aplikasi yang dikelola perusahaan dan aplikasi dengan izin yang telah diperbaiki oleh kebijakan perusahaan.

Google juga memiliki cara bagi pengembang untuk meminta pengguna menonaktifkan pengaturan otomatis untuk aplikasi mereka. Jika tidak memerlukan fitur ini, jangan khawatir karena developer google tidak lupa untuk memberikan pilihan untuk mematikan fitur ini. Hal ini mungkin cocok untuk pengguna aplikasi yang diharapkan bekerja di latar belakang, seperti aplikasi yang memberikan keamanan keluarga, aplikasi untuk menyinkronkan data, aplikasi untuk mengontrol perangkat pintar, atau memasangkan dengan perangkat lain.

Peluncuran fitur auto-reset telah dilakukan secara bertahap dari Desember dan baru akan sampai pada pengguna Android 6 dan 10 pada awal tahun 2022.

Pengguna dengan Android 6 hingga 10 dapat membuka halaman pengaturan reset otomatis dan mengaktifkan atau menonaktifkan reset otomatis untuk aplikasi tertentu.

“Sistem akan mulai mengatur ulang izin aplikasi yang tidak digunakan secara otomatis beberapa minggu setelah fitur diluncurkan di perangkat,” catat Google.

sumber: ZDNet

Numando: Trojan Perbankan yang Dapat Mengatur Secara Jarak Jauh

September 20, 2021 by Eevee

Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.

Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.

Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .

Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.

Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.

File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.

Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.

Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.

Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.

“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”

Google sudah diberitahu dan video yang terdeteksi telah dihapus.

Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.

“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”

sumber: ZDNET

T-Mobile mengatakan peretas mencuri catatan dokumen milik 48,6 juta orang

August 19, 2021 by Winnie the Pooh

T-Mobile telah mengkonfirmasi bahwa penyerang yang baru-baru ini mengakses servernya mencuri file yang berisi informasi pribadi dari puluhan juta individu.

Pelanggaran besar-besaran berdampak pada sekitar 7,8 juta pelanggan pascabayar T-Mobile, 850.000 pengguna prabayar T-Mobile, dan sekitar 40 juta mantan atau calon pelanggan.

Jika dijumlah, penyerang mencuri catatan milik 48,6 juta orang, termasuk pelanggan T-Mobile saat ini, mantan, atau calon pelanggan.

Untungnya, menurut operator seluler AS tersebut, file yang dicuri selama insiden itu tidak berisi nomor telepon, nomor rekening, PIN, kata sandi, atau informasi keuangan milik pelanggan T-Mobile saat ini atau calon pelanggan.

T-Mobile telah mengatur ulang semua PIN untuk akun ini untuk melindungi mereka dari upaya pengambilalihan dan sedang dalam proses memberi tahu semua pengguna yang terkena dampak.

Perusahaan sekarang mengambil langkah-langkah untuk melindungi pelanggan yang berpotensi berisiko karena pelanggaran besar-besaran ini dengan:

Segera menawarkan layanan perlindungan identitas gratis selama 2 tahun dengan Layanan ID Theft Protection dari McAfee.
Merekomendasikan semua pelanggan pascabayar T-Mobile secara proaktif mengubah PIN mereka dengan online ke akun T-Mobile mereka atau menghubungi tim Layanan Pelanggan mereka dengan menghubungi 611 di ponsel pengguna. Tindakan pencegahan ini terlepas dari kenyataan bahwa mereka tidak mengetahui bahwa PIN akun pascabayar telah disusupi.
Menawarkan langkah ekstra untuk melindungi akun seluler pelanggan dengan kemampuan Perlindungan Pengambilalihan Akun kami untuk pelanggan pascabayar, yang mempersulit akun pelanggan untuk dipindahkan dan dicuri secara curang.
Menerbitkan halaman web unik pada hari Rabu untuk informasi dan solusi satu atap guna membantu pelanggan mengambil langkah untuk lebih melindungi diri mereka sendiri.

Selengkapnya: Bleeping Computer

Raksasa pendidikan Pearson didenda $1 juta karena meremehkan pelanggaran data

August 18, 2021 by Winnie the Pooh

The US Securities and Exchange Commission (SEC) hari ini mengumumkan bahwa Pearson, perusahaan penerbitan dan layanan pendidikan multinasional Inggris, telah menyelesaikan tuduhan kesalahan penanganan proses pengungkapan untuk pelanggaran data 2018 yang ditemukan pada Maret 2019.

Pearson setuju untuk membayar denda uang perdata $ 1 juta untuk menyelesaikan tuduhan “tanpa mengakui atau menyangkal temuan” bahwa ia mencoba untuk menyembunyikan dan mengecilkan pelanggaran data 2018 yang menyebabkan pencurian “data siswa dan kredensial login administrator dari 13.000 sekolah, akun pelanggan distrik dan universitas” di Amerika Serikat.

Selain mengekstrak data termasuk nama siswa, tanggal lahir, dan alamat email setelah mengeksploitasi kelemahan kritis yang mempengaruhi perangkat lunak berbasis web AIMSweb1.0 yang digunakan oleh Pearson untuk melacak kinerja akademik siswa, peretas China juga mencuri jutaan baris data siswa dan kredensial yang mudah dipecahkan yang “diacak” menggunakan algoritme yang sudah ketinggalan zaman.

Perusahaan berbagi dengan SEC pada Juli 2019 bahwa mereka dapat menghadapi risiko insiden privasi data. Namun, perusahaan tidak mengungkapkan bahwa mereka mengalami pelanggaran data satu tahun sebelumnya meskipun pengungkapan faktor risiko yang dikirim ke SEC diajukan setelah memberi tahu pelanggan yang terkena dampak insiden tersebut.

Beberapa hari kemudian, Pearson juga mengeluarkan pernyataan media yang disiapkan sebelumnya hanya setelah outlet media meminta perincian, yang mencoba mengecilkan tingkat pelanggaran data yang sebenarnya.

Selengkapnya: Bleeping Computer

Pelanggaran Data LinkedIn dilaporkan mengekspos data 92% pengguna, termasuk gaji yang diperkirakan [U]

June 30, 2021 by Winnie the Pooh

Pelanggaran besar kedua LinkedIn dilaporkan mengekspos data 700 juta pengguna, yang merupakan lebih dari 92% dari total 756 juta pengguna. Basis data untuk dijual di web gelap, dengan data termasuk nomor telepon, alamat fisik, data geolokasi, dan gaji yang diperkirakan.

Peretas yang memperoleh data telah memposting sampel 1 juta catatan, dan pemeriksaan mengonfirmasi bahwa data tersebut asli dan terbaru.

RestorePrivacy melaporkan bahwa peretas tampaknya telah menyalahgunakan LinkedIn API resmi untuk mengunduh data, metode yang sama yang digunakan dalam pelanggaran serupa pada bulan April.

Pada tanggal 22 Juni, seorang pengguna situs peretasan populer mengiklankan data dari 700 Juta pengguna LinkedIn untuk dijual. Pengguna forum memposting sampel data yang mencakup 1 juta pengguna LinkedIn. Kami memeriksa sampel dan menemukannya mengandung informasi berikut:

Alamat email

Nama lengkap

Nomor telepon

Alamat fisik

Catatan geolokasi

Nama pengguna dan URL profil LinkedIn

Pengalaman/latar belakang pribadi dan profesional

jenis kelamin

Akun media sosial dan nama pengguna lainnya

PrivacyShark

Tidak ada kata sandi yang ikut bocor, tetapi ini masih merupakan data berharga yang dapat digunakan untuk pencurian identitas dan upaya phishing yang tampak meyakinkan yang dapat digunakan sendiri untuk mendapatkan kredensial masuk untuk LinkedIn dan situs lainnya.

Saat dimintai keterangan, pihak LinkedIn membantah dengan mengatakan bahwa itu bukanlah pelanggaran data.

Sementara kami masih menyelidiki masalah ini, analisis awal kami menunjukkan bahwa kumpulan data tersebut mencakup informasi yang diambil dari LinkedIn serta informasi yang diperoleh dari sumber lain. Ini bukan pelanggaran data LinkedIn dan penyelidikan kami telah menetapkan bahwa tidak ada data pribadi anggota LinkedIn yang terpapar. Memotong data dari LinkedIn merupakan pelanggaran terhadap Ketentuan Layanan kami dan kami terus berupaya untuk memastikan privasi anggota kami terlindungi.

LinkedIn

Selengkapnya: 9to5mac

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Data Breach

Cookies Settings