Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Perusahaan dapat melacak pergerakan ponsel Anda untuk menargetkan iklan

by

Google dan Apple telah mengambil langkah-langkah tahun ini yang mereka katakan akan membantu pengguna melindungi diri dari ratusan perusahaan yang menyusun profil berdasarkan perilaku online. Sementara itu, perusahaan lain sedang mencari cara baru untuk menyelidiki lebih dalam aspek lain dari kehidupan kita.

Pada bulan Januari, Google mengatakan akan menghapus cookie pihak ketiga di browser Chrome-nya, mempersulit pengiklan untuk melacak kebiasaan penjelajahan kami. Apple, sementara itu, mengatakan akan membutuhkan aplikasi dalam versi iOS yang akan datang untuk meminta izin pengguna sebelum melacaknya di seluruh layanan.

Bersama-sama, langkah tersebut kemungkinan akan menekan industri perantara yang mengumpulkan profil pengguna dari trek digital kita. Namun “perusahaan besar dengan data repositori besar pihak pertama tentang konsumen mereka mungkin tidak akan terkena dampak negatif yang terlalu parah,” kata Charles Manning, CEO platform analitik Kochava.

Perusahaan yang mencari cara baru untuk mengkategorikan pengguna dan menyesuaikan konten beralih ke alat baru: sinyal fisik dari telepon itu sendiri.

“Kami melihat pengumuman Apple, konsumen semakin sadar akan privasi, dan berakhirnya cookie,” kata Abhishek Sen, salah satu pendiri NumberEight, sebuah startup “kecerdasan kontekstual” di Inggris yang menyimpulkan perilaku pengguna dari sensor di ponsel cerdas mereka.

Sen menggambarkan produk utama NumberEight sebagai “perangkat lunak prediksi konteks”. Alat tersebut membantu aplikasi menyimpulkan aktivitas pengguna berdasarkan data dari sensor ponsel cerdas: apakah mereka sedang berlari atau duduk, di dekat taman atau museum, mengemudi atau naik kereta.

Perusahaan seperti NumberEight, atau pesaing Sentiance dan Neura, menggunakan data sensor untuk mengkategorikan pengguna. Alih-alih membuat profil untuk ditargetkan, sebuah layanan dapat menargetkan iklan ke “orang yang bangun pagi” (seperti yang ditunjukkan oleh sensor yang mencatat saat ponsel diangkat setelah jam istirahat). Masukan dari sensor memberikan “konteks” pada perilaku fisik pengguna.

Dalam iklim regulasi yang semakin meningkat dan pengawasan publik, Sen berpendapat konteks perilaku akan menjadi lebih penting karena pemasar tidak lagi dapat menyusun profil yang dibuat berdasarkan aktivitas online pengguna.

Berita selengkapnya dapat dibaca disini.

Indihome Curi Riwayat Browser Penggunanya

by

Co-founder Ethical Hacker Indonesia, Teguh Aprianto, menuliskan secara detail di blog nya bagaimana ia menemukan bukti bahwa Indihome mengambil riwayat browser penggunanya.

Teguh menjelaskan bahwa selama ini Indihome diam-diam menanamkan sebuah script untuk mengambil data riwayat browser pengguna. Ia mengatakan script ini hanya muncul ketika seseorang mengunjungi sebuah website yang belum menggunakan SSL (http).

Pada script tersebut, Teguh menjelaskan beberapa parameternya berguna untuk mengambil browsing history dan juga resolusi layar perangkat yang digunakan.

Dengan bermodalkan Google, Teguh akhirnya mendapatkan 2 tautan terkait dengan website tracker milik Indihome ini. Tautan 1 nampaknya adalah tempat untuk login internal yang mungkin digunakan content management. Lalu tautan yang lainnya berisi statistik dan juga struktur kode yang digunakan untuk website tracker tersebut.

“Salah satu website tracker milik Indihome saat ini berhasil mendapatkan 29,9 miliar hits. Dalam 1 hari website tersebut mendapatkan setidaknya 1 miliar hits,” kata Teguh.

Dilansir dari CNN Indonesia, Indihome menjelaskan Telkom tidak pernah menjual atau menyerahkan data pelanggan kepada pihak ketiga.

Pada akhir blog nya, Teguh membagikan cara pencegahan yang dapat dilakukan oleh pelanggan Indihome. Blog Teguh dapat diakses disini.

Kebocoran data Razer mengungkap informasi pribadi para gamer

by

Produsen perangkat keras game Razer mengalami kebocoran data setelah database yang tidak aman untuk toko online mereka terekspos secara online.

Razer adalah produsen perangkat keras game Singapura-Amerika yang terkenal dengan mouse, keyboard, dan perangkat game kelas atas lainnya.

Sekitar 19 Agustus, peneliti keamanan Bob Diachenko menemukan database tidak aman yang mengungkap informasi sekitar 100.000 orang yang membeli barang dari toko online Razer. Informasi yang terungkap ini termasuk nama pelanggan, alamat email, nomor telepon, nomor pesanan, detail pesanan, dan alamat penagihan dan pengiriman, seperti yang ditunjukkan di bawah ini.

Razer data exposed by unsecured database

Selama beberapa minggu, Diachenko mencoba menghubungi seseorang di Razer yang dapat mengamankan database yang terbuka.

Dalam sebuah pernyataan ke artikel LinkedIn Diachenko, Razer menyatakan bahwa mereka akhirnya mengamankan server database pada 9 September, dan berterima kasih kepada peneliti atas bantuannya.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: Bleeping Computer

SDK China Berbahaya di 1.200 Aplikasi iOS yang Menyebabkan ‘Masalah Privasi Utama Bagi Ratusan Jutaan Konsumen’

by

Jaringan iklan China bernama Mintegral dituduh memata-matai aktivitas pengguna dan melakukan penipuan iklan di lebih dari 1.200 aplikasi dengan 300 juta penginstalan per bulan sejak Juli 2019. Mintegral berkantor pusat di Beijing, Cina, dan dimiliki oleh jaringan iklan Cina lainnya, Mobvista, yang memiliki kantor pusat di Guangzhou, Cina.

Salah satu aplikasinya, Helix Jump, memiliki lebih dari 500 juta total pemasangan. Aplikasi populer lainnya yang terkena dampak termasuk Talking Tom, PicsArt, Subway Surfers dan Gardenscapes.

Secara keseluruhan, ini kemungkinan berdampak pada miliaran dari total pemasangan aplikasi di iPhone dan iPad.

Tidak ada angka pasti tentang berapa banyak perangkat atau pengguna iPhone yang terpengaruh, tetapi Snyk, perusahaan keamanan yang menemukan masalah tersebut, mengatakan ini adalah “masalah privasi utama bagi ratusan juta konsumen”.

Snyk memberi tahu Apple tentang SDK berbahaya (komponen perangkat lunak yang digunakan pengembang untuk menambahkan fungsionalitas ke aplikasi mereka tanpa harus menulis kode sendiri) seminggu yang lalu.

Tampaknya tujuan utama SDK adalah menghasilkan uang. Untuk melakukannya, ia memata-matai apa yang dilakukan pengguna, termasuk saat mereka mengeklik iklan untuk memasang aplikasi lain.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Hacker Dapat Menyamar Seperti Siapapun Dengan Bug Gmail Ini

by

Google telah memperbaiki kelemahan keamanan utama dalam aplikasi G-Suite, yang mencakup Gmail, Google Meet dan Google Docs.

Bug tersebut awalnya ditemukan oleh Allison Husain, dengan kombinasi eksploitasi G-Suite back-end yang memungkinkan peretas memanipulasi data perutean email untuk menyamar sebagai pengguna Gmail mana pun, Husain berspekulasi bahwa hal itu akan diadopsi secara luas oleh penipu menggunakan phishing.

Husain mempublikasikan temuannya secara publik ke blognya bersama dengan bukti kode eksploitasi. 7 jam kemudian Google merilis patch dan mengklaim akan merilis tambalan yang lebih kuat mendekati garis waktu aslinya.

Jadi bagaimana cara mengamankan akun gmail anda ?

1. Gunakan fitur 2FA pada akun Google Anda
2. Pasang akun recovery jika terjadi masalah pada akun utama anda
3. berhati hati terhadap serangan Phising

Source : Komando

NSA Merekomendasikan Pembatasan Pemaparan Data Lokasi Pada Ponsel

by

Data lokasi dapat menjadi salah satu informasi yang paling berharga bagi penyerang, dan juga bisa dibilang salah satu yang paling sulit untuk dilindungi.

Mengingat hal itu, Badan Keamanan Nasional (NSA) Amerika pada hari Selasa menerbitkan pedomannya sendiri untuk membatasi pemaparan data lokasi. Pedoman lebih diarahkan untuk pejabat pemerintahan, tetapi saran itu sendiri dapat bermanfaat bagi mereka yang berharap untuk berhenti mengirim begitu banyak data lokasi ke perusahaan teknologi, perusahaan iklan, atau aplikasi yang kemudian dapat mengungkapkannya nanti.

Beberapa mitigasi yang diberikan oleh NSA termasuk memberikan izin aplikasi sesedikit mungkin, seperti memastikan aplikasi tidak menggunakan atau berbagi data lokasi. Tetapi NSA juga mengatakan bahwa, mematikan layanan lokasi tidak sama dengan mematikan GPS secara umum.

“Menonaktifkan layanan lokasi hanya membatasi akses ke GPS dan data lokasi oleh aplikasi. Ini tidak mencegah sistem operasi dari menggunakan data lokasi atau mengkomunikasikan data itu ke jaringan.”

Untuk mencegah invasi privasi jenis ini, NSA merekomendasikan beberapa langkah yang dapat diambil disini.

Advisory hari Selasa kemarin juga merekomendasikan untuk membatasi berbagi informasi lokasi di media sosial dan metadata jarak jauh yang menunjukkan lokasi sensitif sebelum memposting gambar. NSA juga memperingatkan tentang data lokasi yang dibocorkan oleh sistem navigasi mobil, perangkat yang dapat dipakai seperti perangkat kebugaran, dan perangkat Internet-of-things.

Berita selengkapnya dapat dibaca pada tautan dibawah ini;
Source: Ars Technica

Data Bocor, Denny Siregar Meminta Pertanggung Jawaban Telkomsel

by

Seorang penggiat media sosial, Denny Siregar, dikabarkan meminta pertanggung jawaban kepada pihak Telkomsel setelah dugaan adanya pelanggaran data yang menimpa dirinya.

Denny mengaku data pribadinya telah dibeberkan oleh akun Twitter dengan username @Opposite6891.

“Teman2, dari kasus ini, ternyata kita baru tahu kalau data diri kita sangat rentan disadap. Contoh dr @opposite6891 ini, bgt mudah dia dpt data ttg saya. Sy menuntut jawaban dr @Telkomsel & @kemkominfo. Ini mengerikan. Bisa saja terjadi pd anda dan keluarga anda.,” kata Denny pada akun Twitter nya.

Akun @Opposite6891 dikabarkan telah menyebarkan data pribadi yang diduga milik Denny Siregar. Dalam unggahannya di Twitter, ia menampilkan data pribadi yang termasuk nama, alamat, NIK, KK, IMEI, OS, dan jenis perangkat.

Menindaklanjuti hal ini, Kementerian Komunikasi dan Informatika (Kemenkominfo) mengatakan telah meminta pihak Telkomsel untuk menulusuri lebih lanjut mengenai hal ini.

“Kementerian Kominfo telah meminta kepada penyelenggara jaringan bergerak seluler terkait, khusunya PT Telkomsel, untuk melakukan investigasi internal dan menelusuri apakah telah terjadi pencurian atau kebocoran data pelanggan telekomunikasi seluler. Diharapkan hasil investigasi ini dapat segera disampaikan,” kata Menkominfo Johnny G. Plate kepada CNNIndonesia.com.

Johnny juga mengatakan bahwa seluruh penyelenggara jaringan bergerak seluler telah memiliki sertifikasi ISO 27001, berdasarkan Permenkominfo Nomor 12 Tahun 2016 tentang Registrasi Pelanggan Jasa Telekomunikasi.

ISO 27001 adalah suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ini akan membantu organisasi atau perusahaan dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi. (source: isoindonesiacenter.com)

Selain itu, Johnny juga menghimbau kepada semua orang untuk menyimpan dengan baik data pribadi mereka seperti Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga (KK), dan data pribadi lainnya agar meminimalisir adanya penyalahgunaan data.

Selengkapnya dapat dibaca pada link di bawah ini;
Source: CNN Indonesia

Peringatan — Apple Tiba-tiba Menangkap Bahas TikTok Sedang Memata-matai Jutaan Pengguna iPhone

by

Sebuah aplikasi, TikTok, tertangkap sedang mengintip pengguna iPhone, kata seorang peneliti keamanan Talal Haj Bakry dan Tommy Mysk. Mengingat kekhawatiran keamanan lain yang diangkat tentang aplikasi tersebut, serta kekhawatiran yang lebih luas mengingat asal-usul China-nya, ini menjadi masalah utama semua orang. Sebelumnya, pemilik TikTok Bytedance mengatakan kepada Forbes masalah ini terkait dengan adanya penggunaan SDK iklan Google yang sudah usang yang sedang diganti.

Dilansir dari Forbes, dengan dirilisnya peringatan clipboard baru dalam versi beta dari iOS 14, TikTok tampaknya telah tertangkap basah menyalahgunakan clipboard dengan cara yang sangat luar biasa. Jadi sepertinya TikTok tidak menghentikan praktik invasif ini pada bulan April seperti yang dijanjikan.

Menurut Telegraph, TikTok sekarang mengatakan masalah ini disebabkan oleh “fitur yang dirancang untuk mengidentifikasi perilaku spam yang berulang-ulang,” dan telah meyakinkan bahwa mereka telah “mengirimkan versi pembaruan aplikasi ke App Store dan menghapus fitur anti-spam untuk menghilangkan potensi kebingungan.”

TikTok juga mengatakan bahwa platform “berkomitmen untuk melindungi privasi pengguna dan transparan tentang cara kerja aplikasi kami.”

Sekarang ketika adanya perubahan keamanan dan privasi pada Apple iOS 14 telah menangkap mereka masih melakukan sesuatu yang seharusnya tidak mereka lakukan. Sesuatu yang mereka katakan sudah diperbaiki.

Masalah paling kritis dengan kerentanan ini adalah fungsionalitas clipboard universal Apple, yang berarti bahwa apa pun yang disalin di Mac atau iPad dapat dibaca oleh iPhone pengguna juga, dan sebaliknya. Jadi, jika TikTok aktif di ponsel Anda saat Anda bekerja, aplikasi ini pada dasarnya dapat membaca apa saja dan semua yang Anda salin di perangkat lain: Kata sandi, dokumen kerja, email sensitif, informasi keuangan. Apa pun.

Semua pengguna iPhone harus memperbarui ke versi terbaru TikTok segera setelah dirilis — dan mengingat itu secara aktif membaca clipboard Anda, Anda mungkin ingin mempertimbangkan menggunakan aplikasi itu sebelum adanya pembaruan.

 

Berita selengkapnya:
Source: Forbes