Temuan baru pekan ini mengungkapkan bahwa platform Departemen Keamanan Dalam Negeri yang salah konfigurasi telah membocorkan informasi sensitif keamanan nasional—termasuk data terkait pengawasan warga Amerika—sehingga dapat diakses oleh ribuan pengguna yang tidak berwenang. Sementara itu, 15 pejabat New York ditangkap oleh Imigrasi dan Penegakan Bea Cukai serta Departemen Kepolisian New York di sekitar 26 Federal Plaza—lokasi di mana ICE menahan individu dalam kondisi yang telah dinyatakan tidak layak oleh pengadilan.
Rusia melakukan latihan militer mencolok dengan menguji misil hipersonik di dekat perbatasan NATO, memicu ketegangan di kawasan tersebut setelah sebelumnya Kremlin menerbangkan drone ke wilayah udara Polandia dan Rumania. Para penipu kini memiliki alat baru untuk mengirim teks spam, yang disebut “SMS blaster,” mampu mengirim hingga 100.000 pesan per jam sekaligus menghindari tindakan pencegahan spam dari perusahaan telekomunikasi. Mereka menggunakan menara sel palsu yang memperdaya ponsel untuk terhubung ke perangkat jahat, sehingga dapat mengirim pesan langsung dan melewati filter. Dua kerentanan dalam sistem manajemen identitas dan akses Microsoft Entra ID, yang telah ditambal, berpotensi dieksploitasi untuk mengakses hampir semua akun pelanggan Azure—sebuah bencana yang potensial sangat katastrofik.
WIRED menerbitkan panduan mendalam pekan ini tentang cara memperoleh dan menggunakan ponsel sekali pakai, serta alternatif yang lebih privat daripada ponsel biasa namun tidak serumit ponsel sekali pakai sejati. Kami juga memperbarui panduan untuk VPN terbaik.
Tunggu, masih ada lagi! Setiap pekan, kami merangkum berita keamanan dan privasi yang tidak kami bahas secara mendalam. Klik judulnya untuk membaca cerita lengkapnya. Dan tetaplah aman di luar sana.
Dunia keamanan siber telah menyaksikan, dengan rasa prihatin yang semakin dalam, banyaknya serangan rantai pasok perangkat lunak, di mana peretas menyembunyikan kode mereka dalam perangkat lunak sah yang kemudian disebarkan secara diam-diam ke setiap sistem yang menggunakan kode tersebut di seluruh dunia. Dalam tahun-tahun terkini, peretas bahkan mencoba menghubungkan satu serangan rantai pasok perangkat lunak ke serangan lainnya, mencari target pengembang perangkat lunak kedua di antara korban untuk membahayakan perangkat lunak lain dan meluncurkan gelombang infeksi baru. Pekan ini, taktik tersebut berevolusi menjadi hal yang baru dan mencemaskan: sebuah cacing rantai pasok yang dapat mereplikasi diri sepenuhnya.
Malware tersebut, yang dijuluki Shai-Hulud mengikuti nama Fremen untuk Cacing Pasir raksasa dalam novel fiksi ilmiah Dune (dan juga nama halaman Github tempat malware itu mempublikasikan kredensial curian korbannya), telah membahayakan ratusan paket perangkat lunak sumber terbuka di repositori kode Node Package Manager (NPM), yang digunakan oleh pengembang Javascript. Cacing Shai-Hulud dirancang untuk menginfeksi sistem yang menggunakan salah satu paket perangkat lunak tersebut, lalu mencari lebih banyak kredensial NPM pada sistem itu untuk merusak paket perangkat lunak lain dan melanjutkan penyebarannya.
Menurut satu hitungan, cacing itu telah menyebar ke lebih dari 180 paket perangkat lunak, termasuk 25 yang digunakan oleh firma keamanan siber CrowdStrike, meskipun CrowdStrike telah berhasil menghapusnya dari repositori NPM. Hitungan lain dari firma keamanan siber ReversingLays menyebut angka yang jauh lebih tinggi, yaitu lebih dari 700 paket kode yang terdampak. Hal ini menjadikan Shai-Hulud salah satu serangan rantai pasok terbesar dalam sejarah, meskipun niat di balik pencurian kredensial massal ini masih belum jelas.
Para advokat privasi Barat telah lama menunjuk sistem pengawasan China sebagai potensi distopia yang menunggu negara-negara seperti Amerika Serikat jika koleksi data oleh industri teknologi dan pemerintah dibiarkan tak terkendali. Namun, investigasi Associated Press yang luas menyoroti bagaimana sistem pengawasan China dilaporkan sebagian besar dibangun dengan teknologi AS. Para reporter AP menemukan bukti bahwa jejaring pengawasan China—dari sistem kepolisian “Perisai Emas” yang digunakan pejabat Beijing untuk menyensor internet dan menindak terduga teroris, hingga alat yang digunakan untuk menargetkan, melacak, dan seringkali menahan etnis Uighur di wilayah Xinjiang—tampaknya dibangun dengan bantuan perusahaan-perusahaan Amerika, termasuk IBM, Dell, Cisco, Intel, Nvidia, Oracle, Microsoft, Thermo Fisher, Motorola, Amazon Web Services, Western Digital, dan HP. Dalam banyak kasus, AP menemukan materi pemasaran dalam bahasa China di mana perusahaan-perusahaan Barat secara khusus menawarkan aplikasi dan alat pengawasan kepada kepolisian dan dinas intelijen domestik China.
Scattered Spider, geng penjahat dunia maya yang langka dan berbasis terutama di negara-negara Barat, telah meneror internet selama bertahun-tahun, menyasar target dari MGM Resorts dan Caesar’s Palace hingga rantai supermarket Marks & Spencer di Inggris. Kini dua orang yang diduga anggota grup terkenal itu telah ditangkap di Inggris: Thalha Jubair (19) dan Owen Flowers (18), keduanya didakwa membobol sistem transit Transport for London—dilaporkan menyebabkan kerugian lebih dari $50 juta—di antara banyak target lainnya. Jubair sendiri dituduh melakukan intrusi terhadap 47 organisasi. Penangkapan ini hanyalah yang terbaru dalam rentetan operasi yang menargetkan Scattered Spider, yang tetap melanjutkan serangan mereka hampir tanpa henti. Noah Urban, yang telah dihukum karena aktivitas terkait Scattered Spider, berbicara dari penjara kepada Bloomberg Businessweek untuk profil panjang tentang karier kriminal sibernya. Urban, 21 tahun, telah dihukum penjara selama satu dekade.