Waspada Kebocoran Data, Begini Langkah-langkah Mengamankan Akun Tokopedia

Tokopedia sedang diterpa isu tak sedap, 15 juta akun penggunanya disebut-sebut bocor dan diperjual-belikan di dark web. Bahkan tak lama kemudian angka yang jauh lebih besar mengemuka, menempatkan konsumen dalam resiko keamanan yang serius.

Continue reading Waspada Kebocoran Data, Begini Langkah-langkah Mengamankan Akun Tokopedia

Data 29 Juta Akun Facebook Dipastikan Bocor!

Apabila Anda termasuk yang rajin berinteraksi via Facebook, sepertinya sekarang adalah waktu yang tepat untuk memeriksanya keamanan akun Anda. Pasalnya, media sosial nomor satu di dunia, Facebook baru saja mengumumkan bahwa sekitar 30 juta akun Facebook telah diretas, mencakup data nama pengguna, nomor telepon, email dan informasi pribadi lainnya.

Dalam laporan terdahulu dikatakan bahwa peretas memanfaatkan celah di dalam fitur “View As” dengan cara mencuri akses token yang memungkinkan pengguna untuk tetap masuk tanpa harus login setiap kali membuka Facebook. Dalam laporan awal itu, Facebook memperhitungkan ada 50 juta akun terdampak.

Setelah melakukan penyelidikan mendalam, Facebook menemukan angka yang lebih rendah, hanya 30 juta akun namun dengan kerusakan yang cukup menakutkan. Ada sekitar 15 juta pengguna Facebook yang mengalami kebocaran nama pengguna dan informasi kontak termasuk nomor telepon, alamat email, dan informasi kontak lainnya tergantung informasi yang tercantum di profilnya.

Kemudian ada sekitar 14 juta pengguna yang selain dua set informasi yang disebutkan di atas, juga mendapatkan serangan pada informasi jenis kelamin, bahasa, status hubungan, agama, kota asal, kota saat ini, tanggal lahir, jenis perangkat yang digunakan untuk mengakses Facebook, pendidikan, pekerjaan, 10 tempat terakhir yang mereka periksa atau ditandai di web, orang atau halaman yang mereka ikuti, dan 15 pencarian terbaru.

Sisanya, sekitar 1 juta pengguna Facebook diserang tetapi peretas tidak memiliki data pribadi pengguna.

Kabar baiknya, peretas tidak dapat mengakses konten pesan pribadi apa pun, seperti informasi di Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, pembayaran, aplikasi pihak ketiga, akun pengembang dan iklan.

Untuk memeriksa apakah Anda terkena dampak dari kejadian ini, silahkan ke laman bantuan yang sudah disediakan oleh Facebook. Tapi pihak Facebook berjanji akan mengirimkan pesan khusus ke 30 akun terdampak untuk menjelaskan apa yang terjadi dan apa langkah yang harus diambil selanjutnya.

Sumber berita Newsroom.

Dibobol Peretas, 50 Juta Akun Facebook Terkena Dampak

Baru saja skandal Cambridge Analytica mereda, Facebook kembali jadi sorotan menyusul pengakuan baru mereka bahwa pihaknya telah menjadi target serangan siber yang berdampak pada sedikitnya 50 juta akun Facebook.

Dalam sebuah pernyataan, wakil presiden manajemen produk di Facebook, Guy Rosen mengatakan bahwa peretas mengeksploitasi kerentanan dalam fitur ‘view as’, fitur yang memungkinkan pengguna melihat bagaimana profil mereka dilihat oleh orang lain.

Menurut Rosen, serangan peretas itu ditemukan pada hari Selasa setelah peretas mengeksploitasi kerentanan untuk mencuri token akses dari akun yang ditargetkan, yang memungkinkan para peretas untuk mengambil alih akses ke akun-akun tersebut. Token akses adalah kunci digital yang memungkinkan pengguna untuk tetap masuk tanpa harus memasukkan kata sandi setiap kali mengakses kembali akun mereka.

Meski berjanji menjadikan insiden ini sebagai prioritas, Facebook tak menampik belum mengetahui seberapa besar kerusakan yang telah ditimbulkan akibat ulah para peretas. Mereka beralasan saat ini masih melakukan penyelidikan. Facebook pun mengakui belum mengetahui siapa dalang di belakang serangan ini.

Sebagai respon terkini, Facebook mengatakan telah memperbaiki kerentanan dan untuk sementara mematikan fitur “View As” untuk melakukan peninjauan kembali.

Facebook juga mengonfirmasi bahwa akses token ke 50 juta akun terdampak telah disetel ulang, bersama dengan 40 juga akun lain yang khusus menyasar penggunaan fitur View As sebagai langkah pencegahan. Sehingga total akan ada 90 juta pengguna Facebook yang akan dikeluarkan secara otomatis dan diminta untuk login ulang demi alasan keamanan. Agar tak menimbulkan keresahan akibat dari perilaku baru ini, Facebook juga telah menampilkan pemberitahuan di atas News Feed yang menjelaskan apa yang sebenarnya terjadi.

Sumber berita NewsrooomFB.

Cara Mencegah Serangan Ransomware WannaCry di Komputer Windows 7

Dunia tengah digemparkan dengan insiden serangan ransomware bernama WannaCry yang diberitakan telah menelan sejumlah korban instansi penting di sejumlah negara termasuk dua buah rumah sakit di Indonesia. Jika ditotal, firma keamanan Avast mencatat telah terjadi 75.000 kasus infeksi ransomware WannaCry di 99 negara di seluruh dunia.

Pemerintah Indonesia sendiri melalui Kementerian Komunikasi dan Informatikan telah melakukan langkah antisipasi dengan merilis berita pers berupa himbauan tindakan pencegahan yang juga menjadi rujukan kami dalam membuat panduan ini.

Berikut adalah tutorial yang lebih detail, bagaimana cara mencegah serangan ransomware WannaCry di komputer Windows 7. Cara yang sama juga bisa diterapkan di versi Windows lainnya, kendati dengan perbedaan urutan atau label.

Update Keamanan Windows

Himbauan untuk memutus jaringan internet memang merupakan urutan pertama, tetapi menurut saya akan lebih baik jika lebih dahulu melakukan update keamanan yang sudah disediakan oleh Microsoft. Update keamanan untuk OS Anda dapat ditemukan di halaman ini. Atau melakukan update dari tool Windows Update yang sudah kami bahas di tutorial ini.

Matikan WiFi atau Cabut Kabel LAN

Setelah tambalan baru terpasang, Anda relatif aman tapi belum 100% terbebas dari infeksi. Untuk langkah pencegahan, ada baikya sekarang Anda mencopot kabel LAN atau mematikan koneksi WiFi untuk sementara waktu.

Menon-aktifkan SMB V1

Lanjutkan ke langkah berikutnya, yaitu mematikan SMB V1 yang secara default dalam kondisi aktif di beberapa versi Windows. Tetapi saya menemukan bahwa tidak semua versi Windows mempunyai fitur SMB V1, atau dugaan terbaik digantikan dengan nama lain.

Pun demikian, langkah ini hendaknya menjadi pertimbangan untuk dikerjakan.

Pertama, klik tombol Start kemudian ketikkan “windows feature” di form pencarian Start Menu. Komputer kemudian akan menampilkan beberapa hasil pencarian terkait, klik Turn Windows features on or off.

Di sebuah jendela baru akan muncul sederet fitur bawaan Windows, temukan dan hilangkan tanda centang di opsi SMB 1.0/CIFS File Sharing Support.

Menonaktifkan Fungsi Macro di Program Office

Selanjutnya, Kominfo juga menyarankan untuk mematikan fungsi macro di program-program office mulai dari Excel, Word dan PowerPoint. Saya berikan contoh di Microsoft Word. Klik menu File – Options.
Kemudian klik Trust Center – Trust Center Settings.

Kemudian pilih opsi Disable all macros without notifications.

Memblokir Port 139, 445, 3389

Langkah terakhir ini cukup rumit dan panjang, jadi sebaiknya ikuti langkah dalam gambar ini dengan seksama.

Buka Control Panel – System and Security.

Klik Windows Firewall.

Di menu sebelah kiri, klik Advanced Settings.

Sebuah jendela baru akan muncul di layar komputer. Klik Inbound Rules kemudian di kolom paling kanan klik New Rule.

Klik opsi Port dan klik Next.

Pilih opsi TCP, kemudian di specific local ports isi dengan 139, 445, 3389. Lalu klik Next.

Pilih opsi Block the connection.

Centang semua pilihan (domain, private, public) dan klik Next.

Terakhir, beri nama (boleh apa saja) dan klik Finish.

Selesai, sekarang Anda sudah menyelesaikan tindakan penting untuk mencegah infeksi ransomware WannaCry, semoga tutorial ini bermanfaat dan memudahkan Anda.

Sumber gambar header Pixabay.

Nintendo Siap Berikan $ 20.000 Bagi Siapa Saja yang Berhasil Menemukan Kelemahan di Switch

Lewat Switch, Nintendo mempunyai komitmen buat lebih menyeriusi layanan online, kini membawa mereka berkompetisi langsung dengan platform online console Microsoft dan Sony. Servis berbayar tersebut memungkinkan pemain mengakses lobby dan mode multiplayer online, menggunakan fungsi chat dan voice, serta menikmati fitur Virtual Console di waktu dekat.

Tentu aja dengan berkecimpung di ranah online, ancaman keamanan juga semakin tinggi. PlayStation Network dan Xbox Live beberapa kali menjadi bulan-bulanan para peretas, data pribadi user tak jarang jadi korbannya. Mau tak mau, Nintendo harus bersiap menghadapi kemungkinan terburuk. Sebagai langkah awal, di bulan Desember kemarin sang perusahaan hiburan Jepang itu mengundang komunitas hacking buat mencari kelemahan Nintendo 3DS.

Dan di minggu ini, program yang dilangsungkan di situs third-party HackerOne itu Nintendo perluas ke console hybrid anyar mereka. Seperti upaya buat memperkuat keamanan 3DS sebelumnya, Nintendo menawarkan uang hingga US$ 20 ribu bagi siapa saja yang berhasil mendeteksi celah keamanan di console Switch. Jumlah uangnya tergantung dari besar atau kecilnya tingkat kelemahan.

Dua aspek yang jadi perhatian utama Nintendo ialah kelemahan pada sistem console serta aplikasi. Selain itu, sang produsen juga berusaha untuk menghentikan aktivitas pembajakan dan kecurangan (lewat modifikasi data save ataupun modifikasi aplikasi permainan), upaya memasukkan konten yang tidak pantas buat anak-anak, serta percobaan akses data tanpa izin.

“Nintendo akan membayar uang bagi orang pertama yang melaporkan informasi kelemahan [di console] senilai US$ 100 sampai US$ 20 ribu. Hanya ada satu hadiah bagi satu laporan,” tulis Nintendo di HackerOne. “Pihak Nintendo akan mempertimbangkan secara independen apakah informasi tersebut memenuhi syarat serta berapa jumlahnya. Nintendo juga tidak akan mengungkap metode perhitungan hadiah.”

Nintendo meneruskan penjelasan mereka: “Komisi tidak diberikan jika kelemahan sudah diketahui Nintendo atau publik, serta pada individu yang masuk dalam daftar sanksi.”

Sang produsen menyarankan Anda untuk turut menyediakan proof of concept ataupun exploit code. Namun jika belum tersedia, Nintendo tetap mengimbau Anda buat mengadukan secepatnya agar Anda tetap berkesempatan memperoleh hadiah. Data-datanya bisa dikirim menyusul dalam waktu tiga minggu. Langkah-langkah pengaduan serta persyaratan dapat Anda simak lengkap di situs HackerOne.

Kurang familier dengan HackerOne? Ia adalah platform bug bounty yang didirikan oleh nama-nama terkenal di industri teknologi dan internet – yaitu Facebook, Microsoft serta Google.

Belajar Dari Kasus Pencurian Email dan Password Go-Pay

Pagi itu (19/07) saya dikagetkan dengan informasi melalui Short Message Service (SMS) dan email dari Go-Jek yang meminta saya, sebagai pengguna Go-Jek, untuk segera me-reset password. Dalam email tersebut juga disebutkan beberapa tips penting agar pengguna tidak menggunakan password yang sama di lebih dari satu situs atau aplikasi.

Saya pun langsung bertanya-tanya, hal apa yang menyebabkan pihak Go-Jek untuk meminta mengganti password saya segera. Ternyata hal ini berkaitan dengan informasi yang dibagikan pengguna Go-Jek lainnya di forum Kaskus yang menyangka akun Go-Jeknya telah di-hack dan kreditnya di Go-Pay telah habis terpakai.

Apa sebenarnya penyebab dari kebobolan ini? pihak Go-Jek sendiri melalui akun Twitter resminya langsung membalas pemilik akun Twitter yang melaporkan kejadian tersebut bahwa tidak benar adanya password Go-jek di-hack oleh pihak yang tidak bertanggung jawab.

Dikabarkan kebobolan tersebut terjadi berdasarkan peluang yang dimanfaatkan oleh pihak yang tidak bertanggung jawab karena kebanyakan akun dan password yang digunakan oleh seseorang, misalnya Google, Facebook, bahkan Go-Jek menggunakan informasi yang sama.

Berdasarkan informasi yang mereka dapatkan dari pihak luar (bukan dari sistem Go-Jek), email dan password tersebut digunakan untuk masuk ke akun pribadi beberapa pengguna Go-Jek. Disebutkan pula pihak tersebut juga menjual email dan password yang dicuri secara online.

Startup perlu proaktif mengecek keamanan akun yang dikelolanya

Kemungkinan besar saya dikirimi email tentang penggantian password karena informasi saya bisa jadi leak di luaran, meskipun saya yang tidak merasa mengalami kebobolan kredit Go-Pay seperti yang dialami sejumlah orang.

Menurut saya, tindakan pertama yang dilakukan Go-Jek, dengan langsung mengirimkan email dan SMS kepada pengguna agar segera me-reset password yang sebelumnya digunakan dengan password baru, adalah langkah yang paling tepat untuk meminimalisir terjadinya pencurian dan pembobolan akun yang lebih banyak lagi.

Startup harus belajar dari pengalaman sejumlah layanan online ketika LinkedIn mengalami pembobolan 117 juta email dan password penggunanya pada tahun 2012 silam dan di bulan Mei 2016 email dan password yang dicuri tersebut dijual secara online.

Untuk mengantisipasi hal-hal yang tidak diinginkan, Amazon berinisiatif mengirimkan email otomatis kepada pengguna agar segera mengganti password di akun pribadi milik penggunanya yang memiliki email dan, kemungkinan besar, password yang sama dengan data Linkedin yang dibobol. Hal tersebut dilakukan sebagai antisipasi jika ada pengguna Amazon yang menggunakan email dan password yang sama untuk login di LinkedIn.

Hal yang sama juga dilakukan sejumlah layanan lain, termasuk Instagram yang memberikan informasi serupa di dalam aplikasinya.

Idealnya kita tidak menggunakan email dan password yang sama di semua akun aplikasi yang ada, tapi hal itu tentu saja tidak mungkin. Setidaknya kita harus menggunakan password yang berbeda dengan database layanan yang terbukti sudah dibobol supaya bisa mengurangi risiko terjadinya pembobolan.

Sejauh ini saya belum banyak menemukan layanan lokal yang proaktif mencari data-data pelanggannya di basisdata layanan sudah leak di internet padahal bisa jadi data tersebut adalah data yang sama yang digunakan konsumen layanannya untuk masuk ke email, layanan media sosial, dan bahkan akun perbankannya.

Keamanan data harus menjadi prioritas startup lokal untuk menghindari kejadian pencurian data, seperti yang dialami sejumlah pengguna Go-Jek tersebut.

Cujo Lindungi Seluruh Perangkat di Rumah Anda dari Serangan Hacker

Internet dan hacker adalah dua hal yang tidak mungkin bisa terpisahkan, paling tidak dalam waktu dekat – atau mungkin malah selamanya. Gampangnya, setiap kali Anda terhubung ke internet, maka Anda beresiko di-hack. Yang menjadi masalah, sekarang kita sudah masuk era Internet of Things (IoT), dimana hampir semua perangkat yang ada di rumah bisa saling terhubung via internet. Continue reading Cujo Lindungi Seluruh Perangkat di Rumah Anda dari Serangan Hacker

Usung Konsep Sayembara, Platform BugBounty Fasilitasi Peretas Sistem

Kehadiran platform pencarian bug pertama di Indonesia, BugBounty, sejatinya dapat menjadi angin segar bagi para peretas yang ingin menyalurkan kemampuannya tanpa harus berurusan dengan hukum. BugBounty hadir di tengah-tengah masyarakat dengan mengusung konsep layaknya sayembara dan akan memberikan imbalan bagi peretas yang berhasil menemukan bug dalam sistem. Platform BugBounty sendiri sebenarnya sudah resmi diperkenalkan ke publik pada 1 April 2015 lalu dalam fase beta.

Continue reading Usung Konsep Sayembara, Platform BugBounty Fasilitasi Peretas Sistem

Microsoft Ajak Kita Berburu Bug di Project Spartan, Janjikan Hadiah Hingga $ 15.000

Satu masalah pada Internet Explorer adalah cara penanganan bug. Microsoft memang memiliki jadwal perbaikan, tapi periode penantian itulah yang membuat pengguna rentan terhadap eksploitasi dan serangan. Buat sistem operasi anyar mereka, para ahli di kampus Redmond berencana untuk mengganti IE sebagai browser default dengan app ber-codename Spartan. Continue reading Microsoft Ajak Kita Berburu Bug di Project Spartan, Janjikan Hadiah Hingga $ 15.000