Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Twitter

Twitter

Pelanggaran Twitter Mengekspos Akun Anonim ke Peretas Negara Bangsa

by

Twitter mengkonfirmasi pada hari Jumat bahwa aktor jahat menggunakan kerentanan untuk mencocokkan informasi pribadi dengan akun Twitter yang berpotensi anonim, menimbulkan risiko bagi privasi pengguna.

Kerentanan memungkinkan seseorang untuk mencocokkan email atau nomor telepon ke akun Twitter mana pun yang terkait dengan informasi itu dan nama akun, tulis Twitter dalam blog pers.

“Kami dapat mengonfirmasi bahwa dampaknya bersifat global,” kata juru bicara Twitter dalam email. “Kami tidak dapat menentukan dengan tepat berapa banyak akun yang terpengaruh atau lokasi pemegang akun.”

Tidak ada kata sandi yang dikompromikan dalam pelanggaran.

Twitter mengatakan akan langsung memberi tahu pemilik akun yang dikonfirmasi terpengaruh. Perusahaan tidak memberikan sejumlah akun yang dikonfirmasi sebagai terpengaruh oleh pelanggaran keamanan. Namun, outlet berita Bleeping Computer melaporkan pada bulan Juli bahwa pelaku ancaman diduga menjual data dari 5,4 juta pengguna setelah mengeksploitasi pelanggaran tersebut. Twitter mencatat bahwa mereka mengetahui penyalahgunaan data melalui laporan pers tetapi tidak mengutip sumber atau detail tambahan apa pun.

“Jika Anda mengoperasikan akun Twitter dengan nama samaran, kami memahami risiko yang dapat ditimbulkan oleh insiden seperti ini dan sangat menyesalkan hal ini terjadi,” tulis Twitter dalam blognya, Jumat. “Untuk menjaga identitas Anda setertutup mungkin, kami sarankan untuk tidak menambahkan nomor telepon atau alamat email yang diketahui publik ke akun Twitter Anda.”

Sumber: CyberScoop

Lebih dari 3.200 aplikasi membocorkan kunci API Twitter, beberapa memungkinkan pembajakan akun

by

Peneliti keamanan siber telah menemukan 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke publik, yang berpotensi memungkinkan aktor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.

Penemuan itu milik perusahaan keamanan siber CloudSEK, yang meneliti kumpulan aplikasi besar untuk kemungkinan kebocoran data dan menemukan 3.207 aplikasi membocorkan Kunci Konsumen dan Rahasia Konsumen yang valid untuk API Twitter.

Saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.

Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler tempat pelaku ancaman dapat menemukannya.

Salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware , penipuan cryptocurrency, dll.

Perincian aplikasi yang rentan (CloudSEK)

CloudSEK menjelaskan bahwa kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis.

Dalam kasus ini, kredensial disimpan dalam aplikasi seluler di lokasi berikut:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

CloudSEK merekomendasikan pengembang menggunakan rotasi kunci API untuk melindungi kunci autentikasi, yang akan membatalkan kunci yang terbuka setelah beberapa bulan.

CloudSEK membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.

Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.

Satu pengecualian penting adalah Ford Motors, yang merespons dan menerapkan perbaikan pada aplikasi ‘Ford Events’ yang juga membocorkan kunci API Twitter.

Sumber: Bleeping Computer

Pelanggaran Data Twitter Mengekspos Detail Kontak untuk 5,4 Juta Akun; Dijual Seharga $30k

by

Pelanggaran data Twitter telah memungkinkan penyerang mendapatkan akses ke detail kontak dari 5,4 juta akun. Twitter telah mengkonfirmasi kerentanan keamanan yang memungkinkan data diekstraksi.

Data – yang menghubungkan pegangan Twitter dengan nomor telepon dan alamat email – telah ditawarkan untuk dijual di forum peretasan, seharga $30.000.

Restore Privacy melaporkan bahwa pelanggaran itu dimungkinkan oleh kerentanan yang ditemukan kembali pada bulan Januari.

Kemungkinan penyerang memperoleh database nomor telepon dan alamat email yang ada yang diperoleh dari pelanggaran layanan lain, dan kemudian menggunakan detail ini untuk mencari ID Twitter yang sesuai.

Belum ada cara untuk memeriksa apakah akun Anda termasuk dalam pelanggaran data Twitter. Seperti biasa, perlu waspada terhadap serangan phishing – email yang mengaku berasal dari Apple, bank Anda, PayPal, penyedia email, dan sebagainya, dan yang meminta Anda untuk masuk ke akun Anda.

Taktik phishing yang umum adalah pesan yang memberi tahu Anda bahwa akun Anda berisiko dihapus, atau mengirim tanda terima palsu untuk pembelian bernilai tinggi, bersama dengan tautan untuk menyengketakan tagihan.

Perlindungan utama di sini adalah jangan pernah mengklik tautan yang dikirim melalui email. Selalu gunakan bookmark Anda sendiri, atau ketik URL yang dikenal.

Sumber: 9to5Mac

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Akun Twitter dan YouTube Angkatan Darat Inggris diretas untuk mendorong penipuan crypto

by

Akun Twitter dan YouTube Angkatan Darat Inggris diretas dan diubah untuk mempromosikan penipuan kripto online kemarin.

Khususnya, akun Twitter terverifikasi tentara mulai menampilkan NFT palsu dan skema pemberian kripto palsu.

Akun YouTube terlihat menayangkan streaming langsung “Ark Invest” yang menampilkan klip Elon Musk yang lebih lama untuk menyesatkan pengguna agar mengunjungi situs penipuan cryptocurrency.

Dalam sebuah pernyataan yang dirilis tadi malam, Kementerian Pertahanan Inggris mengkonfirmasi telah mendapatkan kembali kendali atas akun Twitter dan YouTube-nya yang telah diretas untuk mempromosikan penipuan cryptocurrency.

Pelaku ancaman telah membajak akun media sosial Angkatan Darat untuk mendorong Non-Fungible Token (NFT) palsu dan skema pemberian crypto palsu.

Akun Twitter terverifikasi Angkatan Darat Inggris diretas dan diganti namanya menjadi ‘pssssd’ (Wayback Machine)

Peretas semakin menargetkan akun Twitter terverifikasi untuk melakukan berbagai aktivitas jahat—mulai dari menipu korban demi uang hingga mengirimkan pemberitahuan “penangguhan” akun palsu, seperti yang dilaporkan oleh BleepingComputer minggu ini.

Twitter biasanya memverifikasi akun hanya jika akun tersebut mewakili selebritas, politisi, jurnalis, aktivis, pemberi pengaruh terkemuka, serta organisasi pemerintah dan swasta.

Untuk menerima ‘lencana biru’ terverifikasi, pengguna Twitter harus mengajukan permohonan verifikasi dan mengirimkan dokumentasi pendukung untuk menunjukkan mengapa akun mereka ‘terkenal.’

Mendapatkan lencana biru tidak mudah dan memilikinya dapat membuat akun terlihat lebih “asli”, yang membuatnya memberi insentif bagi pelaku ancaman untuk meretas akun terverifikasi yang ada dan merusaknya untuk tujuan mereka.

Dengan cara yang sama, saluran YouTube Angkatan Darat Inggris memulai “streaming langsung” video lama Elon Musk untuk memikat pengguna agar mengunjungi situs penipuan crypto “Ark Invest” palsu.

Saluran YouTube Angkatan Darat Inggris mempromosikan skema crypto Elon Musk palsu​​​​

Perhatikan, streaming langsung “Ark Invest” yang digunakan dalam serangan ini juga bukan hal baru.

Pada bulan Mei tahun ini, peneliti keamanan McAfee dan BleepingComputer telah melaporkan melihat banyak streaming langsung YouTube “Ark Invest” Elon Musk. Pada bulan Mei, Penipu di balik serangan semacam itu telah mencuri lebih dari $1,3 juta setelah streaming ulang versi yang diedit dari diskusi panel langsung lama tentang cryptocurrency yang menampilkan Elon Musk, Jack Dorsey, dan Cathie Wood di konferensi “The Word” Ark Invest.

Masih belum diketahui bagaimana tepatnya dua akun media sosial Angkatan Darat Inggris dibajak hampir bersamaan, dan apakah ada yang menjadi korban penipuan ini.

Sumber: Bleeping Computer

Facebook, Twitter hapus akun disinformasi yang menargetkan warga Ukraina

by

Facebook dan Twitter menghapus dua “operasi pengaruh rahasia” anti-Ukraina selama akhir pekan, satu terkait dengan Rusia dan lainnya dengan koneksi ke Belarus, kata perusahaan tersebut.

Salah satu operasi, kampanye propaganda yang menampilkan situs web yang mendorong poin pembicaraan anti-Ukraina, adalah cabang dari operasi disinformasi Rusia yang terkenal. Seorang juru bicara Facebook mengatakan mereka menggunakan wajah yang dihasilkan komputer untuk meningkatkan kredibilitas kolumnis palsu di beberapa platform, termasuk Instagram.

Kampanye lainnya menggunakan akun yang diretas untuk mendorong propaganda anti-Ukraina serupa dan dikaitkan dengan kelompok peretas Belarusia yang terkenal.

Pakar disinformasi memperingatkan bahwa Rusia diperkirakan akan terus mencoba memanipulasi narasi tentang Ukraina – terutama seputar klaim yang dibuat oleh Presiden Rusia Vladimir Putin.

Jaringan yang dihapus oleh Facebook dan Twitter mendorong narasi yang disebutkan sendiri oleh Putin dalam pidatonya yang mengumumkan operasi militer, yang sejak itu berubah menjadi invasi skala besar.

Pengumuman tersebut juga menunjukkan bahwa Rusia terus menggunakan strategi disinformasi yang pertama kali diidentifikasi beberapa tahun lalu sekitar pemilu 2016, meskipun dengan beberapa kemajuan — terutama penggunaan perangkat lunak yang dapat membuat wajah manusia yang realistis dan orisinal.

Facebook menghapus profil yang terkait dengan News Front dan South Front pada tahun 2020, dan perusahaan tersebut mengkonfirmasi kepada NBC News bahwa grup baru tersebut berbagi koneksi ke akun yang sebelumnya dilarang. Kedua situs web tersebut telah mendorong artikel yang menyesatkan, mempertanyakan hasil pemilihan presiden 2020 dan kemanjuran vaksin Covid-19. Departemen Luar Negeri mengidentifikasi situs web tersebut sebagai outlet disinformasi Rusia dalam laporan tahun 2020.

Situs web tersebut menampilkan artikel yang mendorong poin pembicaraan Rusia seperti “Zelensky sedang membangun kediktatoran neo-Nazi di Ukraina” dan “Mengapa Ukraina hanya akan menjadi lebih buruk.” Hingga Minggu malam, situs-situs tersebut masih menampilkan biografi dan wajah para kolumnis yang dihasilkan komputer dan ditautkan ke akun mereka di VKontakte, pesaing Facebook Rusia.

Facebook mengatakan telah menghapus 40 profil yang terkait dengan operasi disinformasi, dengan mengatakan bahwa profil tersebut adalah bagian kecil dari operasi pembangunan kepribadian yang lebih besar yang tersebar di Twitter, Instagram, Telegram, dan jejaring sosial Rusia.

Twitter mengatakan telah melarang lebih dari selusin akun yang terkait dengan operasi Front Berita dan Front Selatan Rusia, yang mendorong tautan ke situs propaganda baru bernama Ukraine Today.

Kemudian pada hari Senin, Ivy Choi, juru bicara YouTube, mengatakan perusahaan telah menghapus serangkaian saluran yang terkait dengan operasi pengaruh Rusia, meskipun saluran tersebut memiliki jumlah pelanggan yang sangat rendah.

Facebook mengatakan telah menghentikan operasi disinformasi multi-cabang terpisah oleh kelompok peretas terkenal yang berbasis di Belarusia yang menargetkan Ukraina. Perusahaan itu mengatakan telah meretas akun media sosial untuk digunakan menyebarkan propaganda pro-Rusia.

Peretas menargetkan jurnalis, personel militer, dan pejabat publik lokal di Ukraina, menggunakan akun email dan kata sandi yang disusupi untuk masuk ke profil Facebook mereka. Akun yang diretas kemudian akan memposting video yang mereka sebut sebagai seorang Ukraina yang mengibarkan bendera putih tanda menyerah.

Facebook mengaitkan upaya tersebut dengan kelompok peretasan Ghostwriter, yang sebelumnya menggunakan akun yang diretas untuk mendorong disinformasi yang menguntungkan pemerintah Belarus. Kelompok peretas Ghostwriter bekerja untuk pemerintah Belarusia, menurut perusahaan keamanan siber Mandiant.

Sumber : NBC NEWS

Aplikasi Tanya Jawab Populer, Curious Cat kehilangan domain, memposting tweet aneh

by

Aplikasi jejaring sosial populer, Curious Cat telah kehilangan kendali atas domainnya. Setelah platform mengumumkan kehilangan kendali atas domain mereka, serangkaian peristiwa aneh dan tanggapan dukungan telah membingungkan pengguna aplikasi yang sekarang tidak dapat mempercayai Curious Cat.

Kecurigaan awal layanan Curious Cat telah ditutup muncul sekitar 19 Desember, ketika pengunjung Curiouscat.qa disambut dengan halaman parkir yang bertentangan dengan layanan jejaring sosial.

Curiouscat.qa menampilkan pesan “Duduklah. Kami sedang menjalani pemeliharaan,” dengan logo kucing yang sama sekali berbeda dari logo resmi platform sosial.

Logo resmi Curious Cat (kiri) dan halaman web Curiouscat.qa terlihat hari ini (kanan)

Catatan WHOIS mengkonfirmasi bahwa sekitar tanggal 18 Desember domain tersebut telah memasuki status ‘pendingDelete’. Sebuah domain memasuki status ‘pendingDelete’ segera setelah masa tenggang setelah pemilik domain gagal memperbarui domain.

Empat hari yang lalu, akun Twitter Curious Cat memposting peringatan bahwa mereka telah kehilangan domain Curiouscat.qa mereka karena “kesalahan” dan bahwa layanan telah pindah ke domain Curiouscat.me dan Curiouscat.live.

Pada tahun 2020, Google kehilangan kepemilikan domain blogspot.in setelah gagal memperbaruinya tepat waktu. Setelah domain diambil alih oleh pihak ketiga, lebih dari 4,4 juta URL blogspot.in tidak lagi dapat diakses.

Namun, dalam kasus Curious Cat, seolah-olah hilangnya domain secara tiba-tiba itu sendiri tidak berubah, rangkaian kicauan platform mengikis kepercayaan pengguna lebih jauh.

Pada tanggal 27 Desember, permohonan dari akun media sosial Curious Cat untuk mengunduh “aplikasi iOS yang dipulihkan” membuat banyak orang bingung, dengan beberapa menahan diri dari pembaruan.

Sumber kebingungan lainnya adalah staf Spanyol Curious Cat yang tampaknya “meninggalkan [sic] untuk saat ini.”

Tim pendukung Curious Cat tampaknya “sekarang” dikelola oleh staf Korea, dilaporkan di balik tweet, meskipun asal perusahaan adalah Spanyol.

Curious Cat mengatakan mereka sekarang dikelola oleh tim Korea sekarang

Namun, itu belum berakhir. Di Google Play, pengguna aplikasi Android melaporkan masalah setelah aplikasi Curious Cat tidak dapat berkomunikasi dengan API Twitter, kemungkinan karena integrasi yang rusak.

Sangat mungkin, tweet Curious Cat yang mengacu pada aplikasi “pulih” yang diperbarui menunjukkan platform yang memulihkan integrasi API Twitter setelah nama domainnya diubah.

Namun, setelah serangkaian peristiwa aneh ini, banyak pelanggan Curious Cat [1, 2, 3, 4] telah memutuskan untuk menjaga jarak dari layanan tersebut, dengan beberapa memutuskan Curious Cat dari Twitter mereka hingga situasi menjadi lebih jelas.

Selengkapnya : Bleeping Computer

Akun Twitter resmi Perdana Menteri India Narendra Modi Diretas

by

Akun Twitter resmi Perdana Menteri India Narendra Modi (@narendramodi) sempat diretas oleh peretas yang belum teridentifikasi. Peretasan terjadi Minggu dini hari.

Hampir menggelikan bahwa peretasan Twitter Inc. lainnya — kali ini di akun Perdana Menteri Narendra Modi — sekali lagi menjadi kendaraan untuk mengumpulkan Bitcoin.

“India telah secara resmi mengadopsi bitcoin sebagai alat pembayaran yang sah,” tweet yang dikirim oleh peretas dari akunnya berbunyi. “Pemerintah telah secara resmi membeli 500 BTC dan mendistribusikannya ke semua penduduk negara itu.”

Meskipun pesan itu terdengar tidak masuk akal, seluruh insiden — dari eksploitasi hingga hasil — memberi tahu kita banyak tentang budaya peretasan dan berbagai aktor di luar sana yang mencoba membobol sistem komputer.

Ini bukan pertama kalinya.

Pada Juli 2020, lebih dari 100 akun terkenal diretas termasuk milik Barack Obama, Joe Biden, Bill Gates, Elon Musk, Kanye West, dan Apple Inc. Setelah mereka mendapatkan akses, para penyerang melanjutkan untuk mempromosikan penipuan Bitcoin kepada jutaan korban ini. ‘ pengikut.

Detail dari insiden itu meneteskan ironi yang lezat. Pertama, penggunaan Bitcoin oleh peretas sebenarnya adalah kehancuran mereka — petugas penegak hukum AS melacak akun cryptocurrency dan menemukan bahwa mereka telah menggunakan SIM mereka untuk otentikasi.

Dan, pelanggaran dilakukan melalui rekayasa sosial kuno — menipu staf Twitter untuk memberikan kredensial login, yang memungkinkan akses ke akun target.

Jadi meskipun ini adalah lelucon, ada sisi seriusnya. Harus menjadi perhatian serius bahwa salah satu outlet paling kuat di dunia sekali lagi diretas, memungkinkan akses tidak sah ke media yang setara dengan kode nuklir.

Selengkapnya: Economic Times