Setelah berbulan-bulan penundaan, Dewan Perwakilan Rakyat AS memberikan suara pada Jumat untuk memperpanjang program penyadapan tanpa surat perintah yang kontroversial selama dua tahun. Dikenal sebagai Bagian 702, program ini memberikan wewenang kepada pemerintah AS untuk mengumpulkan komunikasi warga asing di luar negeri. Namun, pengumpulan ini juga mencakup sejumlah besar komunikasi dari warga AS, yang disimpan selama bertahun-tahun dan kemudian dapat diakses tanpa surat perintah oleh FBI, yang telah menyalahgunakan program ini. Amandemen yang akan meminta penyidik untuk mendapatkan surat perintah tersebut gagal disetujui.
Sebuah kelompok anggota parlemen AS pada hari Minggu mengungkapkan proposal yang mereka harapkan akan menjadi undang-undang privasi nasional pertama negara ini. Undang-undang Hak Privasi Amerika akan membatasi data yang dapat dikumpulkan oleh perusahaan dan memberikan warga AS kontrol lebih besar atas informasi pribadi yang dikumpulkan tentang mereka. Namun, penetapan undang-undang semacam itu masih jauh: Kongres telah mencoba untuk meloloskan undang-undang privasi nasional selama bertahun-tahun dan hingga saat ini belum berhasil melakukannya.
Tanpa adanya undang-undang privasi AS, Anda perlu mengambil langkah-langkah sendiri. DuckDuckGo, perusahaan yang fokus pada privasi dan terkenal dengan mesin pencariannya, kini menawarkan produk baru bernama Privacy Pro yang mencakup VPN, alat untuk menghapus data Anda dari situs web pencarian orang, dan layanan untuk memulihkan identitas Anda jika Anda menjadi korban pencurian identitas. Ada juga langkah-langkah yang dapat Anda ambil untuk mengambil kembali sebagian dari data yang digunakan untuk melatih sistem AI generatif. Tidak semua sistem di luar sana menawarkan opsi untuk keluar dari pengumpulan data, tetapi kami memiliki daftar sistem yang melakukannya dan bagaimana cara menjaga data Anda agar tidak masuk ke dalam model AI.
Pengumpulan data bukan satu-satunya risiko yang terkait dengan kemajuan AI. Panggilan penipuan yang dihasilkan oleh AI menjadi lebih canggih, dengan suara yang disalin terdengar seperti aslinya. Namun, ada langkah-langkah yang dapat Anda ambil untuk melindungi diri dari penipuan yang menggunakan AI untuk terdengar seperti orang yang dicintai.
Malam mencekam untuk Change Healthcare tampaknya semakin buruk. Perusahaan awalnya menjadi target oleh kelompok peretas ransomware yang dikenal sebagai AlphV pada bulan Februari. Tetapi setelah para peretas menerima pembayaran sebesar $22 juta awal bulan lalu, tampaknya terjadi perpecahan antara AlphV dan peretas afiliasi, yang mengatakan bahwa AlphV mengambil uang dan kabur tanpa membayar kelompok lain yang membantu mereka melancarkan serangan. Sekarang, kelompok ransomware lainnya, RansomHub, mengklaim memiliki terabyte data Change Healthcare dan mencoba memeras perusahaan. Gangguan layanan yang disebabkan oleh serangan ransomware telah memengaruhi penyedia layanan kesehatan dan pasien mereka di seluruh AS.
Itu belum semuanya. Setiap minggu, kami mengumpulkan berita privasi dan keamanan yang tidak kami liput secara mendalam. Klik judul untuk membaca cerita lengkap, dan tetap aman di luar sana.
Layanan video streaming Roku memperingatkan pelanggan pada hari Jumat bahwa 576.000 akun telah diretas, sebuah pelanggaran yang ditemukan dalam penyelidikan intrusi skala kecil yang diatasi pada bulan Maret. Roku mengatakan bahwa daripada benar-benar menembus jaringan Roku sendiri melalui kerentanannya, para peretas telah melakukan serangan “credential-stuffing” di mana mereka mencoba kata sandi pengguna yang bocor di tempat lain, sehingga berhasil masuk ke akun di mana pengguna telah menggunakan kembali kata sandi tersebut. Perusahaan mencatat bahwa dalam kurang dari 400 kasus, para peretas benar-benar memanfaatkan akses mereka untuk melakukan pembelian dengan akun yang diretas. Namun, perusahaan tetap mengatur ulang kata sandi pengguna dan menerapkan otentikasi dua faktor pada semua akun pengguna.
Apple mengirimkan pemberitahuan melalui email kepada pengguna di 92 negara di seluruh dunia minggu ini, memperingatkan mereka bahwa mereka telah menjadi target oleh “spyware mercenary” yang canggih dan bahwa perangkat mereka mungkin telah dikompromi. Pemberitahuan tersebut menekankan bahwa perusahaan memiliki “keyakinan tinggi” dalam peringatan ini dan mendorong korban potensial hacking untuk mengambilnya dengan serius. Dalam pembaruan halaman status, perusahaan menyarankan bahwa siapa pun yang menerima peringatan ini menghubungi Layanan Bantuan Keamanan Digital dari yayasan Access Now dan mengaktifkan Mode Penguncian untuk perlindungan di masa depan. Apple tidak memberikan informasi publik tentang siapa korban peretasan, di mana mereka berada, atau siapa peretas di balik serangan tersebut, meskipun dalam pos blognya, perusahaan membandingkan malware tersebut dengan spyware canggih Pegasus yang dijual oleh perusahaan peretasan Israel NSO Group. Perusahaan menulis dalam pos dukungan publiknya bahwa sejak tahun 2021, mereka telah memberi peringatan kepada pengguna di total 150 negara tentang serangan serupa.
April terus menjadi bulan paling kejam bagi Microsoft—atau mungkin bagi pelanggan Microsoft. Setelah laporan Cybersecurity Review Board mengenai serangan sebelumnya terhadap Microsoft oleh peretas negara Tiongkok, Badan Keamanan Siber dan Infrastruktur (CISA) menerbitkan laporan minggu ini yang memperingatkan badan federal bahwa komunikasi mereka dengan Microsoft mungkin telah dikompromi oleh kelompok yang dikenal sebagai APT29, Midnight Blizzard, atau Cozy Bear, yang diyakini bekerja atas nama Badan Intelijen Asing Rusia SVR. “Kompromi sukses Midnight Blizzard terhadap akun email korporat Microsoft dan pengambilan korespondensi antara badan dan Microsoft merupakan risiko yang serius dan tidak dapat diterima bagi badan,” kata CISA dalam direktif darurat. Bahkan pada bulan Maret, Microsoft mengatakan bahwa mereka masih berupaya mengusir para peretas dari jaringan mereka.
Saat para peretas ransomware mencari cara baru untuk memaksa korban mereka untuk memenuhi tuntutan pemerasan mereka, satu kelompok mencoba pendekatan baru dengan menelepon meja depan perusahaan yang mereka bidik untuk mengancam secara verbal stafnya. Berkat seorang manajer SDM bernama Beth, taktik itu akhirnya terdengar seolah-olah seperti cuplikan dari episode The Office.
TechCrunch menggambarkan rekaman percakapan tersebut, yang diunggah oleh kelompok ransomware yang menyebut diri mereka Dragonforce ke situs web gelap mereka dalam upaya yang salah untuk memberi tekanan kepada perusahaan korban agar membayar. (TechCrunch tidak mengidentifikasi korban.) Panggilan dimulai seperti upaya membosankan untuk menemukan orang yang tepat setelah menelepon nomor telepon publik perusahaan, saat peretas menunggu berbicara dengan seseorang di “manajemen.”
Akhirnya, Beth mengangkat telepon dan percakapan yang agak lucu terjadi saat dia meminta peretas untuk menjelaskan situasinya. Ketika dia mengancam akan membuat data perusahaan yang dicuri tersedia untuk “aktivitas penipuan dan terorisme oleh penjahat,” Beth menjawab dengan “Oh, oke,” dengan nada yang sama sekali tidak terkesan. Dia kemudian bertanya apakah data akan diposting ke “Dragonforce.com.” Pada satu titik lain, dia mencatat kepada peretas yang semakin frustrasi bahwa merekam panggilan mereka ilegal di Ohio, dan dia menjawab, “Bu, saya adalah peretas. Saya tidak peduli tentang hukum.” Terakhir, Beth menolak untuk bernegosiasi dengan peretas dengan “Nah, semoga sukses,” yang dijawab peretas dengan “Terima kasih, hati-hati.”