Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Fitur Heatmap Strava Disalahgunakan Untuk Mencari Alamat Rumah

by

Para peneliti di North Carolina State University Raleigh telah menemukan risiko privasi dalam fitur peta panas aplikasi Strava yang dapat mengarah pada identifikasi alamat rumah pengguna.

Strava adalah aplikasi pendamping lari dan pelacakan kebugaran yang populer dengan lebih dari 100 juta pengguna di seluruh dunia, membantu orang melacak detak jantung, detail aktivitas, lokasi GPS, dan banyak lagi.

Pada tahun 2018, Strava menerapkan fitur yang disebut “peta panas” yang secara anonim mengumpulkan aktivitas pengguna (pelari, pesepeda, pejalan kaki) untuk membantu pengguna menemukan jalur atau tempat berolahraga, bertemu individu yang berpikiran sama, dan melakukan sesi mereka di lokasi yang lebih ramai dan lebih aman.

Namun, seperti yang ditemukan para peneliti, fitur ini membuka kemungkinan untuk melacak dan menghapus anonimisasi pengguna menggunakan data peta panas yang tersedia untuk umum dikombinasikan dengan metadata pengguna tertentu.

BAGAIMANA CARANYA?
Langkah pertama yang diambil oleh para peneliti adalah mengumpulkan data yang tersedia untuk umum melalui peta panas Strava selama sebulan untuk negara bagian Arkansas, Ohio, dan Carolina Utara.

Selanjutnya, mereka menggunakan analisis gambar untuk mendeteksi area mulai/berhenti di samping jalan, yang menunjukkan bahwa rumah tertentu terkait dengan sumber aktivitas yang dilacak.

Activity heat nearby a house (anupamdas.org)

Setelah memilih tangkapan layar peta panas yang sesuai dengan kriteria, tim melapisi gambar OpenStreetMaps pada tingkat zoom yang membantu mengidentifikasi alamat tempat tinggal individu.

Overlaying home locations (anupamdas.org)

Langkah selanjutnya adalah melakukan perayapan pengguna dengan memanfaatkan fitur pencarian yang tidak terdokumentasi dengan baik di Strava untuk menemukan pengguna yang telah mendaftarkan kota tertentu sebagai lokasi mereka.

Dengan membandingkan titik akhir dari peta panas dan data pribadi pengguna dari fungsi pencarian, peneliti dapat mengkorelasikan titik aktivitas tinggi pada peta panas dan alamat rumah pengguna.

Profil Strava publik berisi data aktivitas dengan stempel waktu dan jarak, membuatnya lebih mudah untuk mengidentifikasi rute potensial yang cocok dengan pola dalam data peta panas, mempersempit orang dan kecocokan area.

Logika serangan dan ikhtisar data (anupamdas.org)

Karena banyak pengguna Strava mendaftar dengan nama asli mereka dan bahkan mengunggah foto profil diri mereka sendiri, menghubungkan identitas dengan lokasi rumah menjadi mungkin.

Untuk penelitian mereka, para ilmuwan mengkorelasikan temuan mereka dengan data pendaftaran pemilih dan menemukan prediksi mereka sekitar 37,5% akurat.

“Pengguna yang lebih aktif menghasilkan lebih banyak panas pada peta panas Strava dan karenanya lebih mudah diidentifikasi. Gambar 7 menunjukkan kemungkinan kecocokan berdasarkan jumlah aktivitas yang diposting,” jelas para peneliti.

“Untuk sisa analisis, kami akan mengasumsikan target serangan memposting aktivitas rata-rata, yang untuk kumpulan data kami adalah 308 aktivitas.”

“Dengan ambang batas 100 meter, dan korban memposting 308 aktivitas, kemungkinan untuk ditemukan adalah 37,5%.”

Semakin banyak aktivitas yang didaftarkan pengguna, semakin besar peluang serangan (anupamdas.org)

sumber : bleepingcomputer.com

Spyware Ditemukan dalam Aplikasi Google Play dengan Lebih dari 420 Juta Unduhan

by

Perusahaan antivirus Doctor Web telah mengidentifikasi adanya spyware dalam lebih dari 100 aplikasi Android yang telah diunduh lebih dari 421 juta kali di Google Play.

Modul berbahaya ini, yang diberi nama ‘SpinOk’ oleh Doctor Web, didistribusikan sebagai SDK pemasaran. Pada perangkat korban, spyware ini dapat mengumpulkan informasi tentang file, mengirim file ke para penyerang, dan mencuri konten clipboard.

Modul SpinOk menawarkan mini game, tugas, dan hadiah yang diduga untuk menjaga minat pengguna terhadap aplikasi tersebut.

Setelah dieksekusi, SDK ini terhubung ke server komando dan kontrol (C&C) dan mengirimkan sejumlah besar informasi perangkat, termasuk data dari sensor yang memungkinkannya mendeteksi lingkungan emulator. Respons dari server berisi banyak URL yang digunakan untuk menampilkan spanduk iklan melalui WebView.

Selain itu, modul ini dapat mengumpulkan daftar file dalam direktori yang ditentukan, memeriksa keberadaan file dan direktori tertentu, mengunggah file dari perangkat, serta menyalin atau mengganti konten clipboard.

“Ini memungkinkan operator modul trojan untuk memperoleh informasi dan file rahasia dari perangkat pengguna—misalnya, file yang dapat diakses oleh aplikasi yang memiliki Android.Spy.SpinOk di dalamnya. Untuk itu, para penyerang perlu menambahkan kode yang sesuai ke dalam halaman HTML spanduk iklan,” jelas Doctor Web.

Modul berbahaya dan modifikasinya telah diidentifikasi dalam total 101 aplikasi di Google Play. Google telah diberi tahu dan telah menghapus beberapa aplikasi tersebut. Dalam beberapa kasus, hanya versi tertentu yang mengandung SDK berbahaya tersebut.

Beberapa aplikasi paling populer yang mengandung modul berbahaya ini termasuk Noizz (lebih dari 100 juta instalasi), Zapya (lebih dari 100 juta instalasi—kode tersebut ada dalam versi 6.3.3 hingga 6.4), VFly (lebih dari 50 juta unduhan), MVBit (lebih dari 50 juta instalasi), dan Biugo (lebih dari 50 juta unduhan). Doctor Web telah mempublikasikan daftar lengkap aplikasi yang terinfeksi.

Selengkapnya: Security Week

Meta memperbaiki bug Facebook yang mengirim permintaan pertemanan otomatis ke pengguna

by

Meta telah menambal bug Facebook yang melihat jejaring sosial mengirim permintaan pertemanan otomatis ketika pengguna mengunjungi profil apa pun. Dalam pernyataan yang dibagikan perusahaan dengan The Daily Beast pada hari Jumat, Meta meminta maaf atas kesalahan tersebut.

“Kami memperbaiki bug yang terkait dengan pembaruan aplikasi terbaru yang menyebabkan beberapa permintaan pertemanan Facebook dikirim secara keliru,” kata juru bicara Meta kepada outlet tersebut. “Kami telah menghentikan hal ini terjadi dan kami mohon maaf atas ketidaknyamanan yang mungkin ditimbulkan.”

Bisa ditebak, kesalahan tersebut menghasilkan jumlah hiburan dan kebingungan yang sama. Banyak yang dengan cepat menunjukkan bahwa pengawasan teknis untuk sementara membuat tidak mungkin untuk “menguntit Facebook” pengguna lain.

Yang lebih mengkhawatirkan, beberapa menemukan bahwa Facebook mengirim permintaan pertemanan kepada orang yang mereka coba blokir. Khususnya, berita tentang bug tersebut muncul setelah Meta mengatakan akan memberhentikan 10.000 karyawan. “Tahun Efisiensi” Mark Zuckerberg akan membuat perusahaan mengurangi tenaga kerjanya setidaknya 21.000 pada akhir tahun 2023.

Selengkapnya: engadget

Twitter : ‘Insiden Keamanan’ mengungkap Tweet Circle Pribadi

by

Twitter mengungkapkan bahwa ‘insiden keamanan’ menyebabkan tweet pribadi dikirim ke ‘Twitter Circle’ untuk ditampilkan secara publik kepada pengguna di luar Lingkaran.

Dirilis pada Agustus 2022, ‘Twitter Circle’ adalah fitur yang memungkinkan pengguna mengirim tweet ke sekelompok kecil orang, berjanji untuk merahasiakan tweet tersebut dari publik.

Pengguna dapat memilih siapa yang termasuk dalam ‘Twitter Circle’nya dan hanya orang yang ditambahkan yang dapat membalas dan berinteraksi dengan Tweet yang pengguna bagikan di lingkaran tersebut.

Namun, sekitar tanggal 7 April, pengguna Twitter mulai memperingatkan bahwa tweet ke ‘Twitter Circle’ tidak lagi bersifat pribadi dan ditampilkan secara publik kepada orang-orang di luar ‘Twitter-Circle’ mereka.

Tweet seorang pengguna yang mengungkapkan 'Insiden Keamanan' Twitter Circle
Tweet seorang pengguna yang mengungkapkan ‘Insiden Keamanan’ Twitter Circle

Dalam pemberitahuan yang dikirim ke pengguna yang terkena dampak kemarin, Twitter mengatakan ‘insiden keamanan’ ada di balik tampilan publik dari tweet pribadi Twitter Circle.

Twitter mengungkapkan telah melakukan penyelidikan menyeluruh untuk memahami bagaimana hal itu terjadi dan telah mengatasi masalah tersebut. Mereka berkomitmen untuk melindungi privasi orang yang menggunakan layanannya, dan mereka memahami risiko yang dapat ditimbulkan oleh insiden tersebut.

Sementara Twitter tidak membagikan apa yang menyebabkan insiden keamanan ini.

Selengkapnya: BleepingComputer

TikTok dilaporkan memantau pengguna yang menonton konten gay

by

TikTok dilaporkan menyusun daftar pengguna yang dipantau setelah mereka menonton konten gay di aplikasi tersebut, menurut mantan karyawan yang memprotes kebijakan tersebut.

Layanan berbagi video yang populer mengawasi pengguna yang sering mengunjungi klip yang diberi tag di bawah judul termasuk LGBT (lesbian, gay, biseksual, transgender), menurut The Wall Street Journal.

Mantan karyawan TikTok memberi tahu The Journal bahwa informasi tentang kebiasaan menonton pengguna dikumpulkan dan disimpan di dasbor.

Mantan karyawan yang berbasis di kantor perusahaan di AS, Inggris, dan Australia mengatakan bahwa mereka melaporkan masalah tersebut ke eksekutif puncak pada tahun 2020 dan 2021, menurut The Journal.

Mantan karyawan tersebut mengungkapkan kekhawatiran mereka bahwa informasi tersebut akan dibagikan kepada pihak luar atau dapat digunakan untuk memeras pengguna TikTok, The Journal melaporkan.

Perusahaan media sosial termasuk Facebook, Instagram, Twitter, YouTube, dan lainnya telah dikritik dalam beberapa tahun terakhir karena mengumpulkan data pengguna tentang kebiasaan online mereka untuk tujuan menyesuaikan iklan yang ditargetkan.

The Post telah meminta komentar dari TikTok dan perusahaan induknya, ByteDance multinasional yang berbasis di China.

“Menjaga privasi dan keamanan orang yang menggunakan TikTok adalah salah satu prioritas utama kami,” kata TikTok dalam pernyataan yang diberikan kepada The Journal.

Selengkapnya: New York Post

Biro Perlindungan Keuangan Konsumen mengatakan mantan karyawan mengirim info rahasia tentang 256.000 orang ke email pribadi

by

Biro Perlindungan Keuangan Konsumen (CFPB) mengonfirmasi pelanggaran data pada hari Kamis yang melibatkan informasi pribadi “sekitar 256.000 akun konsumen di satu institusi”.

Seorang pejabat di CFPB memberi tahu Recorded Future News bahwa mereka menemukan bahwa seorang mantan karyawan mengirimkan catatan rahasia ke akun email pribadi mereka dalam 14 email berbeda.

Karyawan tersebut diberi wewenang untuk mengakses file tetapi dua spreadsheet yang dikirim ke alamat email pribadi mereka memiliki nama dan nomor rekening yang terkait dengan rekening di lembaga keuangan. Nomor tersebut digunakan secara internal oleh institusi, dan CFPB mengatakan nomor tersebut tidak dapat digunakan untuk mengakses akun pelanggan.

Mantan karyawan tersebut telah diperintahkan untuk menghapus email dan memberikan bukti bahwa email tersebut telah dihapus – tetapi pejabat menegaskan bahwa karyawan tersebut belum memenuhinya. CFPB mengatakan sekarang bekerja sama dengan Kantor Inspektur Jenderal dalam masalah ini.

The Wall Street Journal melaporkan bahwa agensi tersebut mengetahui tentang insiden tersebut pada 21 Februari dan mulai memberi tahu Kongres pada 21 Maret.

Sebagian besar informasi disimpan dalam dua spreadsheet, tetapi dokumen lain yang dikirim memiliki informasi pribadi dari pelanggan di tujuh lembaga keuangan yang berbeda.

“CFPB menangani privasi data dengan sangat serius, dan transfer data pribadi dan rahasia yang tidak sah ini sama sekali tidak dapat diterima,” kata seorang juru bicara kepada Recorded Future News.

“Semua karyawan CFPB dilatih dalam kewajiban mereka berdasarkan peraturan Biro dan hukum Federal untuk menjaga informasi rahasia atau pribadi. Kami telah merujuk masalah ini ke Kantor Inspektur Jenderal, dan kami mengambil tindakan yang tepat untuk mengatasi insiden ini.”

Selengkapnya: The Record

Kerentanan Kritis dalam Produk Hikvision

by

Kerentanan tersebut dilacak sebagai CVE-2023-28808, telah dijelaskan oleh vendor sebagai masalah kontrol akses yang dapat dimanfaatkan untuk mendapatkan izin administrator dengan mengirimkan pesan yang dibuat khusus ke perangkat target.

Produk yang terpengaruh digunakan oleh organisasi untuk menyimpan data keamanan video, dan penyerang yang mengeksploitasi kerentanan dapat memperoleh akses ke data tersebut.

Dalam pemberitahuan yang dikirim oleh Hikvision kepada mitra – salinannya juga dibagikan dengan SecurityWeek – perusahaan mengatakan tidak mengetahui eksploitasi di alam liar.

“Meskipun Hikvision tidak mengetahui kerentanan ini dieksploitasi di lapangan, kami menyadari bahwa beberapa mitra kami mungkin telah memasang peralatan Hikvision yang terpengaruh oleh kerentanan ini dan kami sangat menganjurkan mereka untuk bekerja sama dengan pelanggan mereka untuk memasang tambalan dan memastikan perbaikan yang tepat. kebersihan dunia maya, ”perusahaan itu memberi tahu para mitra.

Hikvision mencatat dalam penasehatnya bahwa penyerang perlu memiliki akses jaringan ke perangkat yang ditargetkan untuk mengeksploitasi CVE-2023-28808.

Namun, Arko Dhar, CTO Redinent, perusahaan keamanan siber CCTV dan IoT yang berbasis di India yang dikreditkan untuk menemukan kerentanan tersebut, mengatakan kepada SecurityWeek bahwa banyak sistem yang terkena dampak terpapar ke internet dan eksploitasi jarak jauh dimungkinkan.

“Penyimpanan Hybrid SAN terutama dimaksudkan untuk menyimpan rekaman video CCTV. Tetapi juga dapat dikonfigurasi untuk menyimpan data bisnis. Dampaknya sangat luas – penyerang dapat menghapus rekaman video dan data bisnis pada saat yang sama, menghapus cadangan, dan menyebabkan dampak yang signifikan bagi bisnis,” Dhar memperingatkan.

Peneliti Redinent menemukan kerentanan tersebut pada akhir Desember 2022 dan cacat tersebut dilaporkan ke vendor melalui CERT India pada bulan Januari.

Hikvision mengumumkan pada 10 April bahwa patch disertakan dalam versi 2.3.8-8 untuk Hybrid SAN dan versi 1.1.4 untuk perangkat penyimpanan klaster. Vendor telah memberikan instruksi terperinci untuk menginstal pembaruan.

Selengkapnya: Security Week

AS menuduh Shein, Mengumpulkan risiko data dalam tindakan terbaru yang menargetkan aplikasi yang didukung China

by

Platform digital yang didukung China Shein dan Temu telah menjadi target terbaru pemerintah AS, setelah sebuah laporan resmi menimbulkan kekhawatiran atas risiko data dan praktik bisnis lainnya.

Komisi Peninjauan Ekonomi dan Keamanan AS-Tiongkok (USCC), yang dibuat oleh Kongres pada tahun 2000, menerbitkan laporan pada hari Jumat yang menuduh dua aplikasi populer dan platform Tiongkok serupa lainnya atas kemungkinan risiko data, pelanggaran sumber, dan pelanggaran kekayaan intelektual.

Ini mewakili reaksi politik terbaru terhadap bisnis China setelah aplikasi video pendek TikTok, yang dimiliki oleh ByteDance yang berbasis di Beijing, dilarang di perangkat federal AS karena masalah data. Pada hari Jumat, Montana menjadi negara bagian AS pertama yang meloloskan undang-undang yang melarang pengunduhan aplikasi di negara bagian tersebut.

Laporan USCC terutama berfokus pada Shein, platform mode cepat populer yang didirikan di China dan sekarang berkantor pusat di Singapura. Aplikasi Shein “meminta pengguna membagikan data dan aktivitas mereka dari aplikasi lain, termasuk media sosial, dengan imbalan diskon dan penawaran khusus untuk produk Shein”, kata laporan itu.

Selengkapnya: SCMP