Facebook dan Cambridge Analytica, kepanikan Spectre dan Meltdown, berita palsu hanyalah puncak dari insiden gunung es 2018. Tahun lalu panas bagi para profesional keamanan informasi dan bagi banyak pengguna yang harus buru-buru memasukkan kata sandi. Kami di Distrik Biner menyusun 12 pilihan pengungkapan peretasan, retasan, dan kebocoran data yang terjadi pada tahun 2018.
Dalam daftar ada cerita tentang kerentanan yang membawa Google+, Alexa yang terlalu banyak bicara, headphone berbahaya, admin Brasil yang ceroboh, sinergi bug di Facebook dan DDoS yang belum pernah terjadi sebelumnya.
Empat serangan hacker
Hanya ruang, atau cara kehilangan 13 juta dolar
Apa yang terjadi Pada bulan Agustus 2018, peretas
melakukan lebih dari 15.000 transaksi ilegal dengan rekening Indian Cosmos Bank melalui ATM dalam tujuh jam, dan hari berikutnya beberapa transfer besar melalui sistem SWIFT.
Apa alasannya Pada fase pertama operasi, banyak kartu bank kloning digunakan, dibuat karena kerentanan yang tidak diketahui dalam sistem salah satu emiten. Dengan bantuan mereka, antek-antek hacker menarik uang tunai dari ATM. Pada fase kedua, mungkin, versi baru malware DYEPACK digunakan, yang memungkinkan Anda untuk melewati otorisasi transfer di jaringan perbankan dan menyembunyikan laporan tentang implementasinya.
Rincian tidak diungkapkan untuk keperluan penyelidikan, tetapi serangan itu terkait dengan kelompok hacker Korea Utara APT38, yang berspesialisasi dalam peretasan SWIFT.
Apa konsekuensinya. Kerugian Cosmos Bank berjumlah sekitar 13 juta dolar, dua di antaranya ada di rekening di salah satu bank Hong Kong, sisanya - dalam bentuk tunai di tangan "keledai uang". Perlombaan senjata antara SWIFT dan peretas berlanjut, dan pada tahun 2019 kita cenderung menerima pesan baru tentang serangan terhadap bank.
Nasib buruk Facebook
Apa yang terjadi Skandal seputar pemilihan A.S. belum mereda, karena pada September 2018 diketahui bahwa peretas berhasil mendapatkan akses ke data jutaan pengguna Facebook.
Apa alasannya Peretasan tidak akan mungkin terjadi jika
bukan karena kombinasi bug dalam pengunduh video, yang menggunakan teknologi Single Sign-On dan fitur "Lihat Bagaimana". Dengan bantuan mereka, peretas mengumpulkan secara besar-besaran token yang dihasilkan oleh aplikasi seluler, sehingga ketika memuat halaman web dengan modul jaringan sosial, tidak perlu masuk lagi.
Apa konsekuensinya. Peretas telah menerima informasi sekitar 30 juta akun. Nomor telepon dan alamat email bocor, data yang ditentukan dalam profil, data pada jenis perangkat dari mana pengguna memasuki jaringan sosial, 10 tempat yang ditandai terakhir dan 15 permintaan pencarian.
Token dapat digunakan untuk mengakses sumber daya jaringan apa pun di mana otorisasi melalui Facebook diterapkan. FBI tidak mengungkapkan rincian penyelidikan, tetapi menilai dari informasi yang tersedia, para peretas tidak berhasil mewujudkan rencana mereka. Setelah gangguan ditemukan, kerentanan ditutup, dan tim Facebook menjatuhkan token otorisasi untuk pengguna yang terkena dampak (dan 60 juta lainnya sebagai tindakan pencegahan).
Penipuan besar
Apa yang terjadi Salah satu skema penipuan terbesar dan paling kompleks dengan iklan online ditemukan, termasuk jaringan 10.000 domain palsu dan botnet yang mengendalikan lebih dari satu juta alamat IP. Pada puncaknya, bot menghasilkan lebih dari 3 miliar tayangan iklan setiap hari.
Apa alasannya Untuk membuat botnet, peretas menggunakan trojan Miuref dan Boaxxe, serangan yang ditujukan pada BGP - protokol gateway batas, serta aplikasi seluler dengan bookmark yang disematkan. Mereka mengembangkan
beberapa vektor serangan pada jaringan iklan dan mengubahnya ketika ditemukan oleh para ahli Google. Selain itu, bot berhasil meniru perilaku manusia, mensimulasikan gerakan mouse dan klik acak.
Apa konsekuensinya. Peretas telah ditemukan, mereka secara
resmi dikenai biaya , tetapi kerugian finansial dari industri periklanan belum dinilai.
Google mendorong perhatian pada kerentanan potensial jaringan iklan untuk penyalahgunaan dan untuk meningkatkan pembuatan dan adopsi standar industri seperti ads.txt. Perusahaan dihapus dari aplikasi Google Play yang berpartisipasi dalam skema ini yang menggunakan injeksi klik dan / atau mekanisme banjir klik, termasuk salah satu keyboard pihak ketiga yang paling populer - Kika Keyboard dengan 200.000 instalasi.
Reddit diretas
Apa yang terjadi Pada Juni 2018, peretas membahayakan akun karyawan situs dan mendapatkan akses ke beberapa sistem tanpa nama, kode sumber Reddit, dokumentasi, bagian dari alamat email pengguna dan cadangan lama.
Apa alasannya Administrator menggunakan sistem otentikasi dua faktor melalui SMS untuk mengotorisasi. Serangan itu dilakukan dengan mencegat kode konfirmasi. Peretas dapat menduplikasi SIM, menipu karyawan operator telekomunikasi dan menerbitkan kembali kartu atau menyerang protokol SS7 yang sudah ketinggalan zaman.
Apa konsekuensinya. Akses ke kode sumber situs mungkin memerlukan serangan baru.
Reddit mengumumkan revisi aturan keamanan informasi internal dan transisi ke token 2FA, yang secara teratur menghasilkan kode konfirmasi baru. Pengguna yang terpengaruh menerima pemberitahuan, tetapi kami kembali menjadi yakin akan
ketidaksempurnaan otentikasi SMS .
Tiga fakapa yang menjengkelkan
Apache Brasil
Apa yang terjadi Nomor identifikasi (analog TIN) dari 120 juta pembayar pajak Brasil - sekitar 57% dari populasi negara - serta informasi pribadi: alamat, nomor telepon, data pinjaman, dll tersedia secara bebas.
Apa alasannya Apache HTTP Server tidak terkonfigurasi dengan benar, yang administratornya mengganti nama index.html standar menjadi index.html_bkp. Penyebab insiden itu masih belum diketahui. Dia mungkin tidak menyadari bahwa dia mengaktifkan daftar direktori untuk semua file dalam direktori.
Apa konsekuensinya. Nomor identifikasi pajak Brasil diperlukan untuk membuka rekening bank, mendapatkan pinjaman, dan mendaftarkan badan hukum. Sedikit rekayasa sosial - dan data seperti itu berubah menjadi uang mudah. Pangkalan tersebut kemungkinan akan segera tersedia di darknet.
Sertifikasi Sennheiser
Apa yang terjadi Pengembang Sennheiser HeadSetup dan HeadSetup Pro, perangkat lunak untuk melakukan panggilan melalui jaringan, menginjak rake yang sama seperti Dell dan Lenovo beberapa tahun lalu. Mereka menggunakan sertifikat root yang tidak aman.
Apa alasannya Bersama HeadSetup, beberapa sertifikat root diinstal di komputer. Kunci pribadi disimpan dalam file SennComCCKey.pem, dari mana mereka
mudah diekstraksi . Dengan demikian, penyerang dapat menggunakannya untuk sertifikat palsu, situs yang sah, dan sebagainya.
Apa konsekuensinya. Sennheiser
telah merilis pembaruan untuk program-programnya , tetapi semua sistem di mana HeadSetup versi 7.3, 7.4 dan 8.0 diinstal di masa lalu tetap rentan terhadap serangan seperti man-in-the-middle. Program dapat diperbarui atau dihapus, tetapi menyingkirkan sertifikat itu sendiri, berlaku hingga 2027 dan 2037, tidak sesederhana itu. Mereka tetap di sistem operasi Trust Store dan membutuhkan penghapusan manual.
Alexa akan menceritakan segalanya tentang dirimu
Apa yang terjadi Amazon, sebagai tanggapan atas permintaan di bawah GDPR, mengirim 1.700 rekaman pintar kepada orang yang salah. Setelah mendengarkan mereka, adalah mungkin untuk mengidentifikasi pemilik dan rumahnya, untuk mengetahui alamat dan banyak detail, seperti preferensi musik.
Apa alasannya Perwakilan perusahaan
dalam percakapan dengan wartawan Business Insider menggambarkan ini sebagai kasus yang terisolasi dan merujuk pada faktor manusia.
Tetapi situasi serupa tidak jarang terjadi. Jadi, dalam kerangka โUndang-Undang tentang Penyebaran Informasiโ yang berlaku di AS, yang dirancang untuk meningkatkan transparansi kerja para pejabat, setiap orang dapat meminta data tertentu dari lembaga pemerintah. Menanggapi permintaan tersebut, Balai Kota Seattle, bersama dengan metadata 32 juta surat,
mengirim 256 karakter pertama dari setiap pesan ke aktivis Internet Matt Chapman. Diantaranya adalah nama dan kata sandi pengguna, nomor kartu kredit, kartu jaminan sosial dan SIM, laporan polisi, data investigasi FBI dan informasi rahasia lainnya. Dan pemerintah Swedia
secara tidak sengaja mengungkapkan data pribadi para peserta dalam program perlindungan saksi dan sejumlah petugas penegak hukum.
Apa konsekuensinya. Dibandingkan dengan kasus-kasus yang dijelaskan di atas, insiden Amazon relatif tidak berbahaya. Namun, itu membuat Anda berpikir apakah layak untuk membiarkan perangkat pintar masuk, terutama yang dapat mendengarkan, dan seberapa bermanfaat GDPR bagi peretas yang telah mendapatkan akses ke akun Anda.
Beberapa kerentanan yang (hampir) membunuh layanan
Microsoft Achilles Heel
Apa yang terjadi Seorang karyawan SafetyDetective
menemukan rantai kerentanan kritis dalam layanan web Microsoft yang memungkinkan akses ke success.office.com dalam tujuh langkah dan mengirim email phishing atas nama perusahaan.
Apa alasannya Jalur akses adalah aplikasi web Azure yang rusak. Setelah mengendalikan domain success.office.com dengan bantuannya, peneliti menggunakan kesalahan dalam verifikasi OAuth untuk mem-bypass mekanisme otorisasi dan mendapatkan token orang lain menggunakan phishing. Korban dari peretasan seperti itu hampir tidak bisa menebak triknya, karena tautan berbahaya akan memiliki URL resmi seperti: login.live.com.
Apa konsekuensinya. Setelah menemukan kerentanannya, SafetyDetective menghubungi Microsoft pada Juni 2018. Perusahaan merespons dan memperbaiki situasi pada November 2018. Pakar keamanan percaya bahwa kerentanan memengaruhi sekitar 400 juta pengguna dan memungkinkan akses ke semua akun akun Microsoft, dari Microsoft Outlook hingga Microsoft Store.
Penderitaan Google+
Apa yang terjadi Selama tahun ini, para ahli Google menemukan beberapa kerentanan dalam jejaring sosial yang sekarat.
Salah satunya , yang memungkinkan untuk mengetahui usia login, jenis kelamin, alamat email dan tempat kerja pengguna, ada sejak 2015 dan memengaruhi sekitar 500 ribu akun, yang
kedua muncul dalam kode yang relatif baru , pada November 2018, tetapi mengungkapkan data yang jauh lebih rahasia: diserang ada 52,5 juta akun.
Apa alasannya Audit keamanan menunjukkan bahwa kedua kerentanan disebabkan oleh kesalahan di Google+ API yang membuka akses tidak sah ke data pengguna untuk aplikasi yang terhubung.
Apa konsekuensinya. Google tidak dapat dengan yakin menjawab pertanyaan apakah kerentanan pertama telah dieksploitasi, karena log API disimpan tidak lebih dari dua minggu. Kerentanan kedua diperhatikan dan diperbaiki 6 hari setelah penampilan, namun, perusahaan masih memutuskan untuk mempercepat penutupan Google+. API akan dinonaktifkan 7 Maret 2019. Jejaring sosial akan sepenuhnya berhenti bekerja pada bulan April tahun ini.
Satu catatan DDoS
Apa yang terjadi Pada 28 Februari 2018, peretas
meluncurkan serangan catatan 1,35 Tb / s
pada server GitHub , tetapi pada 5 Maret 2018,
analis melaporkan bahwa catatan itu rusak. Selama serangan baru, jaringan salah satu penyedia Amerika mengalami beban, pada puncaknya mencapai 1,7 Tb / s.
Apa alasannya Salahnya adalah kerentanan dalam kode Memcached yang dikenal sejak 2014 - perangkat lunak untuk caching data dalam RAM server. Pada musim gugur 2017, ditemukan cara untuk menggunakan kerentanan untuk mengimplementasikan serangan DRDoS dengan multiplikasi lalu lintas melalui server reflektor yang rentan.
Apa konsekuensinya. Catatan ini kemungkinan akan rusak, karena masih ada cukup banyak sumber daya di jaringan yang menggunakan pengaturan Memcached rentan yang salah. Untuk melindungi dari serangan semacam itu,
Cloudflare merekomendasikan untuk membatasi atau memblokir UDP sama sekali untuk port 11211.
Jumlah insiden di bidang keamanan informasi hanya bertambah. Dalam tur singkat ini, kami hanya mengumpulkan sebagian dari spektrum ancaman yang mungkin, banyak di antaranya belum terdeteksi. Jika Anda ingin melindungi layanan Anda atau menjadi Sherlock Holmes dengan topi putih, bersama-sama dengan para ahli Distrik Biner dari BI.ZONE Academy of Cybersecurity akan melakukan bagi Anda
keamanan aplikasi web intensif dan
penyelidikan serangan cyber untuk bisnis . Kursus akan diadakan 16-17 Februari di tempat Digital Oktober.