Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Facebook Bertahun-tahun Memperbaiki Cacat yang Membocorkan Data 500 Juta Pengguna

by

Pembuat perangkat lunak tidak dapat menangkap setiap bug setiap saat, tetapi Facebook memiliki banyak peringatan tentang masalah privasi dengan fitur “impor kontak” -nya.

NAMA PROFIL, alamat email, dan nomor telepon lebih dari 500 juta pengguna Facebook telah beredar secara online selama hampir seminggu. Butuh waktu berhari-hari bagi Facebook untuk akhirnya mengetahui akar masalahnya, sebuah masalah yang menurut perusahaan telah diperbaiki pada tahun 2019. Tetapi sekarang para peneliti mengatakan Facebook tahu tentang kerentanan serupa selama bertahun-tahun sebelumnya, dan itu bisa membuat upaya yang jauh lebih besar untuk mencegah massa. mengikis di tempat pertama.

Masalahnya adalah “pengimpor konten” Facebook, sebuah fitur yang menyisir buku alamat pengguna untuk menemukan orang yang mereka kenal yang juga menggunakan Facebook. Banyak jejaring sosial dan aplikasi komunikasi menawarkan beberapa versi ini sebagai semacam pelumas sosial. Tetapi alat impor kontak Facebook khususnya telah memiliki sejumlah masalah yang diketahui, dan seharusnya diperbaiki, selama bertahun-tahun.

“Saya yakin perusahaan lain juga sedang berkeringat sekarang. Bukan hanya Facebook, “kata Inti De Ceukelaire, seorang peneliti keamanan Belgia yang melaporkan kerentanan dalam fitur impor kontak Facebook ke perusahaan pada tahun 2017.” Tapi ini adalah tema berulang untuk Facebook bahwa setiap kali pertumbuhan dipertaruhkan, mereka akan berpikir dua kali tentang memperbaiki sesuatu untuk menguntungkan privasi pengguna. ”

selengkapnya : www.wired.com

Bagaimana Facebook Menguntit Anda Bahkan Anda Sedang Offline – Dan Cara Membatasinya

by

Satu hal yang mencuri fokus saya dari “Kebocoran Facebook” ini adalah tidak ada yang menghubungi Anda tentang peretasan atau memberi tahu Anda apa yang harus dilakukan, tidak seperti perusahaan lain. Oleh karena itu, daripada meminta maaf karena gagal menjaga keamanan data kami, direktur manajemen produk Facebook Mike Clark memulai entri blognya dengan:
“Penting untuk dipahami bahwa aktor jahat memperoleh data ini bukan melalui peretasan sistem kami, tetapi dengan mengekstraknya dari platform kami sebelum September 2019,”

Beberapa hari kemudian, setelah saya membagikan wawasan saya tentang betapa bodohnya perlindungan data pengguna Facebook, mereka awalnya menolak laporan Business Insider sebagai tidak relevan, menekankan bahwa data tersebut bocor bertahun-tahun yang lalu dan fakta bahwa database ini berisi 1/15 orang di planet, dan bahkan lebih buruk sekarang diterbitkan secara gratis – Facebook tidak terlalu penting.

Belum ada pernyataan resmi dari Facebook tentang bocoran ini. Menurut Dave Walker, seorang peneliti, nomor ponsel CEO Facebook Mark Zuckerberg termasuk di antara data privasi yang bocor di forum peretasan tingkat rendah. Di samping nomor teleponnya, informasi bocor Zuckerberg termasuk namanya, lokasi, detail pernikahan, tanggal lahir, dan ID Facebook.

Melihat dia menderita karena kesalahannya sendiri akan sedikit lebih tidak membingungkan. Namun, ada juga kasus yang tidak menguntungkan dan membingungkan seperti di bawah ini yang menunjukkan bahwa Facebook tidak menghapus akun yang ditutup di Facebook.

Facebook juga menjangkau di luar Facebook itu sendiri. Ini memiliki kemitraan dengan firma pemasaran dan jaringan iklan sehingga aktivitas di situs lain, termasuk tetapi tidak terbatas pada:

  • Masuk ke layanan pihak ketiga dengan akun Facebook Anda
  • Masuk ke Wifi Umum yang memerlukan Facebook Check-in;
  • Menjelajahi situs web yang berisi “Facebook Pixel”;

dapat digabungkan dengan profil Facebook Anda.
Pelacak baru bukanlah hal baru untuk Facebook tetapi baru bagi kami. Setidaknya itu memberi kita cara untuk melihat sekilas seberapa banyak yang diketahui tentang kita. Ini menunjukkan Facebook dan aplikasi saudara Instagram dan WhatsApp tidak perlu mikrofon terbuka untuk memberi Anda iklan dan kiriman tertentu.

selengkapnya : medium.com

Inggris dapat memaksa layanan Facebook mengizinkan akses pintu belakang untuk polisi

by

Para menteri sedang mempertimbangkan untuk memaksa Facebook menerapkan pintu belakang untuk memungkinkan badan keamanan dan polisi membaca konten pesan yang dikirim melalui layanan obrolan Messenger, WhatsApp, dan Instagram.

Sumber industri mengatakan mereka memahami bahwa Kantor Pusat mengancam untuk menggunakan kekuatan hukum khusus yang disebut pemberitahuan kemampuan teknis untuk memaksa Facebook mengembangkan sistem yang memungkinkan penyadapan pesan.

Open Rights Group, sebuah pengawas privasi, mengatakan mereka khawatir bahwa menuntut akses pintu belakang akan berarti “menyerahkan semua pesan pribadi kita ke pemantauan dan pengawasan dengan asumsi bahwa kita semua adalah penjahat”.

Kantor Pusat berpendapat bahwa produk Facebook dapat dieksploitasi oleh para pedofil, dan menggunakan kekhawatiran tentang keselamatan anak untuk menambah tekanan pada perusahaan AS saat mencoba meningkatkan keamanan semua layanannya – khususnya dengan memperluas enkripsi ujung-ke-ujung ke aplikasi Messenger-nya.

Meskipun Departemen Dalam Negeri mengatakan tidak akan berkomentar apakah akan masuk ke Facebook dengan pemberitahuan kemampuan teknis, dengan alasan alasan keamanan nasional, seorang juru bicara menegaskan kembali kekhawatiran pemerintah.

“Enkripsi ujung-ke-ujung menimbulkan risiko yang tidak dapat diterima bagi keselamatan pengguna dan masyarakat. Ini akan mencegah akses apa pun ke konten perpesanan dan sangat mengikis kemampuan perusahaan teknologi untuk menangani konten ilegal paling serius di platform mereka sendiri, termasuk pelecehan anak dan terorisme, ”kata mereka.

selengkapnya : www.theguardian.com

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

by

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer

Penelitian menunjukkan Google mengumpulkan 20x lebih banyak data dari Android daripada yang dikumpulkan Apple dari iOS

by

Perusahaan teknologi telah berbicara lebih banyak tentang privasi dalam beberapa tahun terakhir, dan Apple dengan bangga mengatakan bahwa mereka melindungi data pengguna lebih dari siapa pun.

Minggu ini, penelitian baru oleh Douglas Leith dari Trinity College menunjukkan bahwa Google mengumpulkan hingga 20 kali lebih banyak data dari pengguna Android dibandingkan dengan data yang dikumpulkan Apple dari pengguna iOS.

Seperti dilansir Ars Technica, penelitian tersebut menganalisis jumlah data telemetri yang dikirimkan langsung ke perusahaan yang bertanggung jawab atas sistem operasi iOS dan Android. Itu tidak hanya memeriksa data yang dikirim ke Apple atau Google melalui aplikasi yang sudah diinstal sebelumnya, tetapi juga selama periode idle.

Hal menarik lainnya dari penelitian ini adalah bahwa iOS dan Android juga mempertimbangkan data yang dikirim dari pengguna yang memilih untuk tidak membagikan informasi apa pun dengan perusahaan dalam pengaturan untuk setiap sistem operasi.

Sementara iOS secara otomatis mengumpulkan data dari Siri, Safari, dan iCloud untuk dikirim ke Apple, Android mendapatkan data dari Chrome, YouTube, Google Docs, Safetyhub, Google Messenger, Jam, dan pencarian, bahkan ketika pengguna tidak masuk ke akun Google. Yang cukup menarik, iOS mengirimkan sekitar 42KB data ke Apple tepat setelah perangkat dinyalakan. Android, di sisi lain, mengirimkan 1MB data ke Google.

Pihak Google menghubungi 9to5Mac dengan pernyataan tentang studi tersebut, yang dapat Anda baca di bawah.

Kami mengidentifikasi kelemahan dalam metodologi peneliti untuk mengukur volume data dan tidak setuju dengan klaim makalah bahwa perangkat Android berbagi data 20 kali lebih banyak daripada iPhone. Menurut penelitian kami, temuan ini tidak sesuai urutan besarnya, dan kami membagikan masalah metodologi kami dengan peneliti sebelum dipublikasikan.

Penelitian ini sebagian besar menguraikan cara kerja smartphone. Mobil modern secara teratur mengirimkan data dasar tentang komponen kendaraan, status keselamatan dan jadwal servisnya ke produsen mobil, dan telepon seluler berfungsi dengan cara yang sangat mirip. Laporan ini merinci komunikasi tersebut, yang membantu memastikan bahwa perangkat lunak iOS atau Android adalah yang terbaru, layanan berfungsi sebagaimana mestinya, dan bahwa telepon aman dan berjalan secara efisien.

Selengkapnya: 9to5mac

Google menghapus ekstensi Chrome ClearURL yang berfokus pada privasi

by

Google secara misterius telah menghapus ClearURL, ekstensi browser populer, dari Toko Web Chrome.

ClearURLs adalah add-on browser yang menjaga privasi yang secara otomatis menghapus elemen pelacakan dari URL. Ini, menurut pengembangnya, dapat membantu melindungi privasi Anda saat menjelajah Internet.

ClearURLs adalah add-on browser web yang tersedia untuk Google Chrome dan Mozilla Firefox yang bertugas menghapus bit pelacakan dari URL.

Banyak situs web memiliki URL yang sangat panjang dengan parameter tambahan yang tidak memiliki nilai fungsional tetapi hanya digunakan untuk tujuan pelacakan.

Menariknya, URL hasil pencarian Google juga menggunakannya.

Saat mengklik hasil pencarian gambar, misalnya, Google tidak langsung mengirim Anda ke URL asli halaman webnya, melainkan URL perantara yang mengarahkan Anda.

Bleeping Computer memberi contoh:
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bleepingcomputer.com%2F&psig=AXXXXXYAWa
&ust=1616XXXXXXX&source=images&cd=vfe&ved=0CXXXXe-p3XXX

Parameter tambahan pada URL di atas (ved, cd, dll.) Hanya melacak bit dan perujuk yang digunakan untuk analitik.

ClearURLs dirancang untuk menyaring parameter pelacakan tersebut dari URL dan meningkatkan privasi online pengguna.

Namun, pengguna melihat ClearURL menghilang dari Toko Web Chrome dengan lamannya menampilkan pesan kesalahan 404 (tidak ditemukan).

Pengembang mengajukan banding ke Google agar tidak memblokir ekstensi dan mendapat respon dari Google.

Dalam salinan email yang dibagikan oleh pengembang, Google mengklaim bahwa deskripsi ekstensi “terlalu mendetail” dan melanggar aturan Toko Web Chrome.

Selengkapnya: Bleeping Computer

Broker perdagangan online FBS mengekspos 20TB data dengan 16 miliar catatan

by

Tim peneliti keamanan di WizCase yang dipimpin oleh Ata Hakcil menemukan banyak sekali data milik FBS, broker perdagangan online terkemuka yang berkantor di Belize dan Siprus.

FBS adalah rumah bagi 16 juta pedagang dan 400.000 mitra dari lebih 190 negara.

Menurut para peneliti, FBS mengekspos hampir 20 terabyte data yang terdiri lebih dari 16 miliar catatan. Hasilnya, jutaan pelanggan FBS dapat mengakses informasi pribadi dan sensitif mereka secara online.

Perlu dicatat bahwa data dibiarkan terbuka untuk akses publik di server Elasticsearch tanpa otentikasi keamanan. Ini berarti bahwa siapa pun yang memiliki pengetahuan tentang basis data yang tidak aman dapat mengunduh data tanpa memerlukan kata sandi.

Data yang bocor, yang dianalisis secara menyeluruh oleh tim WizCase meliputi:

  • Negara
  • Alamat
  • Nama lengkap
  • Alamat IP
  • Alamat email
  • Nomor telepon
  • Nomor paspor
  • Sistem operasi
  • Model perangkat seluler
  • Email dikirim ke pengguna FBS
  • ID media sosial termasuk Facebook dan Google

Yang lebih buruk adalah perusahaan juga mengungkap file yang dikirim oleh pengguna untuk verifikasi akun atau konfirmasi identitas. Ini termasuk:

  • Foto pribadi
  • Surat Izin Mengemudi
  • Akta kelahiran
  • Laporan bank
  • Kartu ID Nasional
  • Kartu kredit yang belum disetujui

Selengkapnya: Hackread

Firefox 87 dikemas dengan penjelajahan pribadi ‘SmartBlock’

by

Mozilla telah meluncurkan Firefox 87, dengan versi terbaru dari browser yang memiliki fitur “SmartBlock”, sebuah fitur privasi baru yang disebut-sebut dengan cerdas memperbaiki halaman web yang rusak dengan melacak perlindungan, tanpa mengorbankan privasi pengguna.

SmartBlock bertujuan untuk mendukung fitur pemblokiran konten bawaan Firefox – tersedia di mode penjelajahan pribadi dan perlindungan pelacakan ketat selama enam tahun terakhir – yang memblokir skrip pihak ketiga, gambar, dan konten lainnya agar tidak dimuat dari pelacakan lintas situs perusahaan yang dilaporkan oleh Disconnect.

Dijelaskan dalam blog mereka, dengan memblokir komponen pelacakan ini, jendela penjelajahan pribadi Firefox mencegah perusahaan ini mengawasi pengguna saat mereka menjelajah internet.

“Hal ini dapat mengakibatkan gambar tidak muncul, fitur tidak berfungsi, performa buruk, atau bahkan seluruh halaman tidak dapat dimuat sama sekali,” jelas Mozilla. “Untuk mengurangi kerusakan ini, Firefox 87 sekarang memperkenalkan fitur privasi baru yang kami sebut SmartBlock”.

SmartBlock melakukan ini dengan menyediakan stand-in lokal untuk skrip pelacakan pihak ketiga yang diblokir.

Sumber: ZDNet