Minggu ini dimulai dengan heboh dan terus berlanjut. Pada larut malam Sabtu, TikTok memotong akses pengguna di Amerika Serikat menjelang batas waktu Minggu yang memaksa Apple dan Google untuk menghapus aplikasi berbagi video tersebut dari toko aplikasi mereka. Saat TikTok mati, pengguna AS berlomba-lomba untuk menghindari larangan TikTok sementara beberapa aplikasi lain yang tidak terduga juga kehilangan akses mereka ke orang Amerika. Namun, pada tengah hari Minggu, akses TikTok sudah mulai kembali di AS. Pada Senin malam, presiden AS yang baru dilantik, Donald Trump, telah menandatangani perintah eksekutif yang menunda larangan TikTok selama 75 hari.
Pada Selasa, Trump memenuhi janjinya untuk membebaskan Ross Ulbricht, pencipta penjara pasar Silk Road dark-web, di mana pengguna menjual narkoba, senjata, dan lainnya. Ulbricht telah menghabiskan lebih dari 11 tahun di balik jeruji setelah ditangkap oleh FBI pada tahun 2013 dan kemudian dijatuhi hukuman penjara seumur hidup. Keputusan Trump untuk memberi pengampunan kepada Ulbricht sebagian besar dianggap terkait dengan dukungan yang diterimanya dari komunitas kriptokurensi libertarian, yang telah lama menganggap pencipta Silk Road sebagai martir.
Saat dunia memasuki era Trump kedua, WIRED duduk bersama Jen Easterly, yang baru saja meninggalkan posisinya sebagai direktur Cybersecurity and Infrastructure Security Agency untuk mendiskusikan ancaman cyber yang dihadapi AS dan masa depan CISA yang tidak pasti sebagai penjaga terdepan melawan peretas negara dan ancaman keamanan digital lainnya yang dihadapi AS.
Terakhir, kami merinci penelitian baru yang mengungkapkan bagaimana bug trivial telah mengekspos sistem Subaru untuk melacak lokasi kendaraan pelanggannya. Para peneliti menemukan bahwa mereka dapat mengakses portal web untuk karyawan Subaru yang memungkinkan mereka untuk menentukan lokasi mobil hingga satu tahun—hingga tempat parkir yang mereka gunakan. Kerentanan tersebut sekarang sudah diperbaiki, tetapi karyawan Subaru masih memiliki akses ke data lokasi pengemudi yang sensitif.
Itu belum semuanya. Setiap minggu, kami merangkum berita keamanan dan privasi yang tidak kami liput secara mendalam. Klik judul untuk membaca cerita lengkapnya. Dan tetap aman di luar sana.
Seorang hakim AS di New York minggu ini menemukan bahwa praktik FBI untuk mencari data tentang warga AS di bawah Bagian 702 dari Undang-Undang Surveillance Intelijen Asing tanpa mendapatkan surat perintah adalah tidak konstitusional. FISA memberikan pemerintah AS wewenang untuk mengumpulkan komunikasi entitas asing melalui penyedia internet dan perusahaan seperti Apple dan Google. Setelah data ini dikumpulkan, FBI dapat melakukan “pencarian pintu belakang” untuk informasi tentang warga negara atau penduduk AS yang berkomunikasi dengan orang asing, dan melakukannya tanpa terlebih dahulu mendapatkan surat perintah. Hakim DeArcy Hall menemukan bahwa pencarian-pencarian ini memerlukan surat perintah. “Menyatakan yang sebaliknya efektif akan memungkinkan penegakan hukum untuk mengumpulkan repositori komunikasi di bawah Bagian 702—termasuk komunikasi dari warga AS—yang kemudian dapat dicari sesuai permintaan tanpa batasan,” tulis hakim.
“Masalah” dengan fungsionalitas dasar jaringan pengiriman konten Cloudflare, atau CDN, dapat mengungkapkan lokasi kasar orang yang menggunakan aplikasi, termasuk yang dimaksudkan untuk melindungi privasi, menurut temuan dari seorang peneliti keamanan independen. Cloudflare memiliki server di ratusan kota dan lebih dari 100 negara di seluruh dunia. CDN-nya bekerja dengan menyimpan data lalu lintas internet orang di server-servernya lalu mengirimkan data tersebut dari server terdekat dengan lokasi seseorang. Peneliti keamanan, yang menggunakan nama Daniel, menemukan cara untuk mengirimkan gambar ke target, mengumpulkan URL, lalu menggunakan alat yang dibuat khusus untuk mencari tahu di mana pusat data Cloudflare mengirimkan gambar—dan dengan demikian negara bagian atau mungkin kota di mana target tersebut berada. Untungnya, Cloudflare mengatakan kepada 404 Media bahwa mereka telah memperbaiki masalah tersebut setelah Daniel melaporkannya.
Dalam salah satu langkah pertamanya setelah Trump dilantik pada hari Senin, Departemen Keamanan Dalam Negeri memecat semua orang di komite penasihat agensi tersebut. Ini termasuk Dewan Tinjauan Keamanan Siber, yang sedang menyelidiki serangan luas terhadap sistem telekomunikasi AS oleh kelompok peretas yang didukung oleh China, Salt Typhoon. Otoritas AS mengungkapkan pertengahan November bahwa Salt Typhoon telah menyusup ke setidaknya sembilan operator telekomunikasi AS untuk tujuan spionase, yang berpotensi mengexpos siapa pun yang menggunakan panggilan dan pesan teks tanpa terenkripsi kepada surveilans oleh Beijing. Sementara masa depan CSRB masih tidak pasti, sumber mengatakan kepada reporter Eric Geller bahwa penyelidikan mereka terhadap serangan Salt Typhoon secara efektif “mati”.