Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Apple mengonfirmasi akan mulai memindai Foto iCloud untuk gambar pelecehan anak

by

Akhir tahun ini, Apple akan meluncurkan teknologi yang memungkinkan perusahaan untuk mendeteksi dan melaporkan materi pelecehan seksual anak yang diketahui ke penegak hukum dengan cara yang dikatakan akan menjaga privasi pengguna.

Apple mengatakan kepada TechCrunch bahwa deteksi materi pelecehan seksual anak (CSAM) adalah salah satu dari beberapa fitur baru yang bertujuan untuk lebih melindungi anak-anak yang menggunakan layanannya dari bahaya online, termasuk filter untuk memblokir foto yang berpotensi eksplisit secara seksual yang dikirim dan diterima melalui akun iMessage anak. Fitur lain akan campur tangan ketika pengguna mencoba mencari istilah terkait CSAM melalui Siri dan Pencarian.

Sebagian besar layanan cloud — Dropbox, Google, dan Microsoft untuk beberapa nama — sudah memindai file pengguna untuk konten yang mungkin melanggar persyaratan layanan mereka atau berpotensi ilegal, seperti CSAM. Tetapi Apple telah lama menolak memindai file pengguna di cloud dengan memberi pengguna opsi untuk mengenkripsi data mereka sebelum mencapai server iCloud Apple.

Apple mengatakan teknologi deteksi CSAM baru — NeuralHash — berfungsi pada perangkat pengguna, dan dapat mengidentifikasi apakah pengguna mengunggah gambar pelecehan anak yang diketahui ke iCloud tanpa mendekripsi gambar hingga ambang batas terpenuhi dan serangkaian pemeriksaan untuk memverifikasi konten dihapus.

Selengkapnya: Tech Crunch

Facebook dilaporkan mencoba menganalisis data terenkripsi tanpa menguraikannya

by

Facebook dilaporkan sedang menganalisis konten data terenkripsi tanpa harus mendekripsinya. Perusahaan merekrut peneliti kecerdasan buatan untuk mempelajari masalah ini, menurut The Information. Penelitian mereka dapat membuka jalan bagi Facebook untuk menargetkan iklan berdasarkan pesan WhatsApp terenkripsi. Facebook juga dapat menggunakan temuan tersebut untuk mengenkripsi data pengguna tanpa memengaruhi pendekatan penargetan iklannya.

Bidang penelitian ini disebut “enkripsi homomorfik”, yang sangat bergantung pada matematika. Microsoft, Amazon dan Google juga sedang mengerjakan pendekatan tersebut.

Tujuan enkripsi homomorfik adalah untuk memungkinkan perusahaan membaca dan menganalisis data sambil menjaganya tetap terenkripsi untuk melindungi informasi dari bahaya keamanan siber dan untuk menjaga privasi.

Facebook mengatakan kepada The Information bahwa “terlalu dini bagi kami untuk mempertimbangkan enkripsi homomorfik untuk WhatsApp saat ini.”

Facebook bisa mendapatkan keuntungan dari teknologi dalam beberapa cara. Melindungi data tanpa memengaruhi efektivitas penargetan iklan dapat memungkinkan Facebook memenuhi tujuan bisnisnya dan memuaskan regulator yang telah menyatakan keprihatinannya tentang cara perusahaan menangani informasi pengguna.

Selengkapnya: Endgadget

Amazon Mendapat Rekor Denda Uni Eropa $888 Juta Karena Pelanggaran Data

by

Amazon.com Inc. menghadapi denda privasi Uni Eropa terbesar yang pernah ada setelah pengawas privasi utamanya menjatuhkan hukuman 746 juta euro ($ 888 juta) karena melanggar aturan perlindungan data yang ketat di blok tersebut.

CNPD, otoritas perlindungan data Luksemburg menampar Amazon dengan rekor denda dalam keputusan 16 Juli yang menuduh pengecer online memproses data pribadi yang melanggar Peraturan Perlindungan Data Umum UE, atau GDPR. Amazon mengungkapkan temuan itu dalam pengajuan peraturan pada hari Jumat, mengatakan keputusan itu “tidak berdasar.”

Keputusan itu mengakhiri penyelidikan yang dimulai oleh keluhan 2018 dari kelompok hak privasi Prancis La Quadrature du Net. Ia dengan hati-hati menyambut keputusan itu.

Amazon telah menarik perhatian dalam beberapa tahun terakhir untuk kumpulan besar data yang telah dikumpulkannya pada berbagai pelanggan dan mitra, termasuk pedagang independen yang menjual di pasar ritelnya, pengguna asisten digital Alexa, dan pembeli yang riwayat penelusuran dan pembeliannya menginformasikan apa Amazon menunjukkannya ke situs webnya.

Perusahaan mengatakan mengumpulkan data untuk meningkatkan pengalaman pelanggan, dan menetapkan pedoman yang mengatur apa yang dapat dilakukan karyawan dengannya. Beberapa anggota parlemen dan regulator telah menyuarakan keprihatinan bahwa perusahaan telah menggunakan apa yang diketahuinya untuk memberikan keuntungan yang tidak adil bagi dirinya sendiri di pasar.

Selengkapnya: Bloomberg

Laporan Metodologi Forensik: Cara menangkap Pegasus NSO Group

by

NSO Group mengklaim bahwa spyware Pegasus-nya hanya digunakan untuk “menyelidiki terorisme dan kejahatan” dan “tidak meninggalkan jejak apa pun”. Laporan Metodologi Forensik ini menunjukkan bahwa tidak satu pun dari pernyataan ini benar. Laporan ini menyertai peluncuran Proyek Pegasus, sebuah investigasi kolaboratif yang melibatkan lebih dari 80 jurnalis dari 17 organisasi media di 10 negara yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Lab Keamanan Amnesty International.

Lab Keamanan Amnesty International telah melakukan analisis forensik mendalam terhadap berbagai perangkat seluler dari pembela hak asasi manusia (HRD) dan jurnalis di seluruh dunia. Penelitian ini telah mengungkap pengawasan yang melanggar hukum, terus-menerus dan berkelanjutan serta pelanggaran hak asasi manusia yang dilakukan dengan menggunakan spyware Pegasus NSO Group.

Bagian 1 hingga 8 dari laporan ini menguraikan jejak forensik yang tertinggal di perangkat seluler setelah infeksi Pegasus. Bukti ini telah dikumpulkan dari telepon pembela HAM dan jurnalis di berbagai negara. Terakhir, di bagian 9 laporan tersebut mendokumentasikan evolusi infrastruktur jaringan Pegasus sejak 2016.

1. Menemukan serangan injeksi jaringan Pegasus

Investigasi teknis Amnesty International terhadap Pegasus NSO Group diintensifkan setelah mereka menemukan penargetan staf Amnesty International dan aktivis Saudi, Yahya Assiri, pada tahun 2018. Lab Keamanan Amnesty International mulai menyempurnakan metodologi forensiknya melalui penemuan serangan terhadap pembela HAM di Maroko pada tahun 2019, yang selanjutnya dikuatkan oleh serangan yang mereka temukan terhadap seorang jurnalis Maroko pada tahun 2020. Di bagian pertama ini mereka merinci proses yang mengarah pada penemuan kompromi ini.

Banyak laporan publik telah mengidentifikasi pelanggan NSO Group yang menggunakan pesan SMS dengan domain eksploitasi Pegasus selama bertahun-tahun. Akibatnya, pesan serupa muncul dari analisis kami terhadap telepon aktivis Maroko Maati Monjib, yang merupakan salah satu aktivis yang menjadi sasaran sebagaimana didokumentasikan dalam laporan Amnesty International tahun 2019.

Namun, pada analisis lebih lanjut, Amnesty juga melihat pengalihan mencurigakan yang tercatat dalam riwayat penelusuran Safari. Misalnya, dalam satu kasus Amnesty melihat pengalihan ke URL yang tampak aneh setelah Maati Monjib mencoba mengunjungi Yahoo:

Sumber: Amnesty International

Seperti yang dijelaskan dalam Lampiran Teknis dari laporan 2020 Amnesty tentang serangan Pegasus di Maroko, pengalihan ini tidak hanya terjadi ketika target menavigasi Internet dengan aplikasi browser, tetapi juga saat menggunakan aplikasi lain.

Selengkapnya: Amnesty International

DuckDuckGo menangani privasi email dengan layanan tracker-stripping baru

by

DuckDuckGo, yang terkenal dengan mesin pencari yang berfokus pada privasi, telah mengumumkan layanan baru yang bertujuan untuk menggagalkan pelacak email. Perlindungan Email sekarang tersedia dalam versi beta. Ini adalah layanan penerusan gratis yang menghapus piksel pelacakan dari email Anda dengan tujuan melindungi data pribadi Anda.

Sekitar 70 persen email berisi pelacak, catat DuckDuckGo. Ini dapat digunakan untuk memberi tahu pengirim saat Anda membuka email, perangkat yang Anda gunakan untuk mengaksesnya, dan bahkan di mana Anda berada saat membacanya. Perusahaan mencatat bahwa pelacak juga dapat digunakan untuk penargetan iklan.

Untuk menggunakan layanan Perlindungan Email, Anda harus mendaftar untuk mendapatkan alamat email @duck.com yang bagus dan gratis. DuckDuckGo akan mengekstrak pelacak apa pun dari email yang dikirim ke alamat itu dan meneruskan pesan ke kotak masuk biasa Anda.

Perusahaan mengatakan sistemnya tidak akan pernah menyimpan email – bahkan alamat email pengirim atau penerima. Saat Anda menerima email, Anda akan dapat melihat pelacak mana, jika ada, yang ditarik DuckDuckGo.

Anda juga dapat membuat alamat acak untuk menghentikan perusahaan melacak Anda melalui email. Pendekatan DuckDuckGo bekerja di seluruh platform melalui aplikasi dan ekstensi browsernya.

Selengkapnya: Endgadget

Pegasus: Amnesty Merilis Alat Baru Untuk Memeriksa Apakah Spyware Invasif Dipasang Secara Rahasia di Ponsel

by

Amnesty International telah merilis toolkit untuk membantu orang mengetahui apakah ponsel mereka diam-diam dipantau oleh Pegasus, spyware kelas militer yang menargetkan aktivis hak asasi manusia, jurnalis, dan pengacara di seluruh dunia.

Perangkat lunak tersebut memindai perangkat untuk petunjuk kecil yang tertinggal jika telepon terinfeksi oleh spyware Pegasus.

Daftar 50.000 nomor telepon yang bocor diperoleh oleh jurnalisme non-profit Forbidden Stories dan Amnesty sebelum dibagikan ke media.

Spyware, yang dibangun oleh perusahaan Israel NSO Group, dapat digunakan untuk merekam panggilan, menyalin dan mengirim pesan atau bahkan merekam orang melalui kamera ponsel. Spyware ini dapat dan telah digunakan untuk menargetkan perangkat Apple iOS dan Android.

Versi awal perangkat lunak membutuhkan target untuk mengklik tautan berbahaya, memberikan akses kepada orang yang tidak berwenang ke data pribadi korban, termasuk kata sandi, panggilan, teks, dan email, tetapi para ahli percaya bahwa perangkat lunak telah lebih maju sehingga target tidak perlu mengklik tautan apa pun agar spyware terinstal.

Toolkit peneliti Amnesty, Mobile Verification Toolkit (MVT), berfungsi pada perangkat iOS dan Android untuk membantu pengguna mengetahui apakah mereka telah ditargetkan.

Ini menggunakan cadangan perangkat dan mencarinya untuk setiap indikator kompromi yang akan digunakan untuk mengirimkan Pegasus, seperti nama domain yang digunakan dalam infrastruktur NSO Group.

Ketika dijalankan, toolkit memindai cadangan telepon untuk mencari bukti bahwa ponsel telah diretas. Dibutuhkan satu atau dua menit untuk melakukannya, dan membuat sejumlah file yang menunjukkan hasil pemindaian – jika ponsel berpotensi disusupi, file tersebut akan mengatakan demikian.

Selengkapnya: Independent.co.uk

Investigasi menemukan spyware yang dirancang Israel digunakan untuk meretas jurnalis dan aktivis di seluruh dunia

by

Tiga puluh tujuh smartphone milik jurnalis, aktivis hak asasi manusia, eksekutif bisnis, dan dua wanita yang terkait dengan jurnalis Saudi yang terbunuh Jamal Khashoggi menjadi sasaran “spyware kelas militer” yang dilisensikan oleh perusahaan Israel kepada pemerintah, menurut penyelidikan oleh konsorsium organisasi media, termasuk The Washington Post, diterbitkan hari Minggu.

The Post melaporkan hari Minggu bahwa ponsel itu “ada dalam daftar lebih dari 50.000 nomor yang terkonsentrasi di negara-negara yang diketahui terlibat dalam pengawasan warganya” dan diketahui sebagai klien perusahaan, NSO Group, yang spyware Pegasusnya seolah-olah dilisensikan untuk melacak teroris dan penjahat besar.

Surat kabar itu melaporkan bahwa melalui penyelidikan, yang juga dilakukan dengan bantuan Amnesty International dan Forbidden Stories, sebuah organisasi nirlaba jurnalisme yang berbasis di Paris, outlet tersebut “mampu mengidentifikasi lebih dari 1.000 orang yang tersebar di lebih dari 50 negara melalui penelitian dan wawancara di empat benua: beberapa anggota keluarga kerajaan Arab, setidaknya 65 eksekutif bisnis, 85 aktivis hak asasi manusia, 189 jurnalis, dan lebih dari 600 politisi dan pejabat pemerintah — termasuk menteri kabinet, diplomat, dan perwira militer dan keamanan. Nomor beberapa kepala negara dan perdana menteri juga muncul dalam daftar.”

Nomor telepon wartawan yang bekerja di luar negeri untuk CNN, The Associated Press, Voice of America, The New York Times, The Wall Street Journal, Bloomberg News, Le Monde Prancis, Financial Times Inggris dan Al Jazeera Qatar adalah beberapa nomor yang muncul di daftar, yang berasal dari 2016, menurut Post. Surat kabar itu tidak menyebutkan nama wartawan dalam ceritanya.

Spyware, yang dikembangkan satu dekade lalu dengan bantuan mantan mata-mata Israel, dirancang untuk dengan mudah menghindari tindakan privasi ponsel cerdas, “seperti kata sandi dan enkripsi yang kuat,” menurut Post, yang mengatakan dapat “menyerang ponsel tanpa peringatan kepada pengguna” dan “membaca apa pun di perangkat yang dapat dilakukan pengguna, sementara juga mencuri foto, rekaman, catatan lokasi, komunikasi, kata sandi, log panggilan, dan pos media sosial.”

Selengkapnya: CNN

Raksasa teknologi memperingatkan pemutusan layanan di Hong Kong karena undang-undang perlindungan data

by

Raksasa teknologi termasuk Facebook, Google dan Twitter dilaporkan telah mengeluarkan peringatan kepada pemerintah Hong Kong bahwa layanan mereka dapat terputus di kota jika pihak berwenang melanjutkan dengan undang-undang perlindungan data yang akan membuat perusahaan bertanggung jawab jika informasi pengenal pribadi individu dirilis tanpa persetujuan mereka, The Wall Street Journal melaporkan.

Peringatan itu dibuat dalam surat yang sebelumnya tidak dilaporkan yang dikirim pada 25 Juni dari Asia Internet Coalition (AIC) yang berbasis di Singapura, lapor Journal. Anggota koalisi lainnya termasuk Apple, Amazon, Yahoo dan LinkedIn.

Amandemen yang diusulkan untuk undang-undang perlindungan data Hong Kong menuntut denda hingga 1 juta dolar Hong Kong, sekitar $ 128.800, dan penjara selama lima tahun untuk memerangi “doxxing”, di mana data pribadi seseorang dibagikan secara online. The Journal mencatat bahwa praktik ini menjadi lazim ketika protes pro-demokrasi pecah di kota itu pada tahun 2019.

Presiden AIC Jeff Paine merinci bahwa anggota organisasinya menentang rilis data pengguna yang tidak sah, tetapi mengatakan mereka khawatir bahwa kata-kata yang tidak jelas dari amandemen yang diusulkan akan membuat anggota staf berbasis lokal mereka rentan terhadap penuntutan dan penyelidikan, Journal laporan.

Selengkapnya: The Hill