Apa itu HTTPoxy? Bug HTTP Proxy Berbahaya di PHP!

HTTPoxy adalah sekumpulan vulnerabilities yang menyerang script CGI atau CGI-like (serupa CGI) yang berjalan dengan bantuan PHP, Go, Python dan bahasa pemrograman lainnya.

Penyebabnya bisa dibilang terlalu konyol, dimana header HTTP Proxy di CGI ditaruh pada variable environment HTTP_PROXY, yang kebetulan dibanyak bahasa pemrograman juga ditulis dalam variable yang sama: HTTP_PROXY. Sehingga secara teknis, menjadi vulnerabilitas yang mudah dieksploitasi secara remote.

Continue reading Apa itu HTTPoxy? Bug HTTP Proxy Berbahaya di PHP!

Kisah Hacking Bukalapak & Tokopedia Bermodal ‘Upload Gambar’

Kisah hacking yang dilakukan oleh om Herdian Nugraha dari IPB ini cukup menarik di ikuti. Menarik karena apa yang dilakukan oleh Bukalapak dan Tokopedia yang tanggap dan sigap menangani laporan yang diterima.

Singkat cerita, Bukalapak dan Tokopedia berhasil dihack oleh om Herdian. Teknik yang digunakan adalah dengan mengeksploitasi Continue reading Kisah Hacking Bukalapak & Tokopedia Bermodal ‘Upload Gambar’

Awas! Pengguna Gojek (+Kartu Kredit) Akun Kamu di Hack

Silakan ganti password Gojek, termasuk pula password email yang kamu daftarkan ke Gojek jika password emailmu sama dengan password Gojek. Menurut sebuah thread di Kaskus, sekitar 100 ribu username dan password Gojek telah dihack oleh para Carder Indonesia.

Itu artinya,ada sekitar 100 ribu data user, password, email, telepon dan kartu kredit yang saat ini tersebar akibat aksi hacking ke Gojek.

Beberapa screenshot dari thread ydm: Continue reading Awas! Pengguna Gojek (+Kartu Kredit) Akun Kamu di Hack

Lagi, Bank di Ukraina Kena Hack 10 Juta Dolar

Satu lagi kasus hacking dengan mengeksploitasi kode SWIFT bank. Kini menimpa kembali salah satu bank di Ukraina yang terpaksa harus merugi 10 Juta Dolar karena dibobol hacker. Metode mengeksploitasi SWIFT sudah sukses meraup puluhan juta dolar dari salah satu bank di Bangladesh.

Laporan tentang aksi pembobolan bank ini dilaporkan oleh Information Systems Audit and Control Association (ISACA). Metode penyerangan yang digunakan mirip dengan aksi para pembobol Bank Bangladesh yang mencuri 81 Juta Dolar.

Continue reading Lagi, Bank di Ukraina Kena Hack 10 Juta Dolar

Akun Twitter Mantan CEO Twitter di Hack!

Aksi hacking yang dilakukan oleh Grup OurMine yang berhasil meng-hack akun Twitter dan Pinterest CEO Facebook, Mark Zuckerberg, kini OurMine kembali berhasil membobol akun mantan CEO Twitter, Dick Costolo. Ya, Dick Costolo!

OurMine, grup hacker asal Arab Saudi berhasil membobol akun Dick Costolo pada hari Minggu dan membuat 3 tweet pada timeline Dick Costolo. Continue reading Akun Twitter Mantan CEO Twitter di Hack!

Beware! TrueCaller App bug, Hacker Can Get your Personal Information

Some researchers have discovered a remotely exploitable vulnerability in Called ID app named “Truecaller” that could expose personal details of Millions of its users.

Truecaller is a popular app that claims to “search and identify any phone number,” as well as helps users block incoming calls or SMSes from phone numbers categorized as spammers and telemarketers.
The service has mobile apps for across mobile OS likeAndroid, iOS, Windows, Symbian devices and BlackBerry phones.

The vulnerability itself is discovered by Cheetah Mobile Security Research Lab. Its affects Truecaller Android version. Its has been downloaded more than 100 Million times. So, technically over 100 million users is in risk right now. Continue reading Beware! TrueCaller App bug, Hacker Can Get your Personal Information

Wajib Update bagi Pengguna CMS Magento, Bug XSS Berbahaya!

Saatnya kamu mengupdate CMS Magento yang kamu pakai sekarang! Wajib, menurut saya.

magento-security-patch

Magento baru saja merilis versi terbaru yang mengatasi masalah serangan XSS (Cross-site scripting) yang berimbas pada semua versi Community sebelum versi 1.9.2.2 atau versi Enterprise sebelum 1.14.2.2.

Pada dasarnya, serangan XSS yang menyerang bug di Magento ini dapat:

  • mengambil alih kendali admin di toko online berbasis magento anda,
  • menaikkan level user,
  • mencuri data-data pembeli,
  • mencuri informasi kartu kredit yang tersimpan

Maka dari itu segera update Magento kamu sekarang, karena Magento sudah menghadirkan rilis terbaru yang menanggulangi masalah tersebut.

Lebih Detail

Pada dasarnya serangan XSS tergolong serangan yang sangat mudah dilakukan bagi para hacker tidak bertanggungjawab. Di Magento misalnya, anda tinggal memasukkan beberapa baris code Javascript tertentu pada alamat email saat proses registrasi user baru di Magento.

Magento kemudian akan menjalankan dan mengeksekusi proses registrasi user baru dengan alamat email pendaftaran yang berisi Javascript itu dengan sebagai administrator sistem sehingga memungkinkan Javascript yang ditanam itu mencuri data-data.

Seperti dikutip dari firma keamanan komputer, Sucuri, letak bug ini tersembunyi dalam di core library Magento.

The buggy snippet is located inside Magento core libraries, more specifically within the administrator’s backend. Unless you are behind a WAF or you have a very heavily modified administration panel, you are at risk.”


“As this is a Stored XSS vulnerability, this issue could be used by attackers to take over your site, create new administrator accounts, steal client information, anything a legitimate administrator account is allowed to do.”

Bagian yang bermasalah antara lain pada baris code berikut:

Courtesy: Sucuri

Dengan kondisi validasi script seperti diatas, secara teoritis kita bisa memasukkan alamat email ><script>alert(1);</script>”@yahoo.com dan mendapatkan tampilan alert khas Javascript.

Jadi, kalau code diatas dikembangkan dengan sejumlah script XSS diluar sana yang sudah populer, pasti sangat berbahaya!

Download Patch

Untuk mendownload patch khusus dari bug tersebut diatas, silakan download dari sini: https://magento.com/security/patches/supee-7405

 

15 GB Data of Patreon (crowdfunding website) is Hacked

A massive 15GB data dump of Patreon user data is now open for the Internet to see. This event, experienced a catastrophic data breach leading to the theft and leak of user data online.

Patreon CEO and co-founder Jack Conte said a Patreon database containing user information had been compromised, leading to unauthorized access to data including registered names, email addresses, posts, and some shipping addresses in addition to a number of billing addresses stored prior to 2014. Continue reading 15 GB Data of Patreon (crowdfunding website) is Hacked

AdBlock for Chrome Is Sold to Undisclosed Buyer

AdBlock for Chrome, the legendary Chrome extensions to blocking any annoying (and also non-annoying) ads on your browser is now being sold to undisclosed buyer. AdBlock for Chrome will join the “Acceptable Ads” Program with AdBlock Plus.

AdBlock Sold Out Continue reading AdBlock for Chrome Is Sold to Undisclosed Buyer

Beware, Simple Exploit on Apple GateKeeper is Found

No system is invulnerable! including Apple Mac Computers, a new Exploit discovered by security researchers proves it indeed quite false.

Accordign to Patrick Wardle, director of research at security firm Synack, a simple and silly way to completely bypass one of the core security features in Mac OS X is found by their researcher. A bug is found on Apple GateKeeper.

Courtesy: Daniel Jude (danieljude.wordpress.com)

Continue reading Beware, Simple Exploit on Apple GateKeeper is Found

Lagi-lagi Akibat Kecanduan Internet, Seorang Wanita Melahirkan di Warnet!

Karena saking kecanduannya bermain game online dan surfing Internet, seorang wanita asal China dikabarkan melahirkan anaknya di Warnet yang sedang dipakainya. Dan, tidak itu saja, setelah putrinya lahir, dia pun masih meneruskan aktivitas candunya itu.

Sebuah warnet di kawasan Shandong, provinsi Jangxi, China menjadi saksi bisu dari peristiwa diatas. Seisi warnet mendadak menjadi heboh. Para pelanggan dan pegawai di Warnet itu segera menghampiri area toilet dimana sang Ibu itu melakukan proses persalinannya dengan tidak wajar. Continue reading Lagi-lagi Akibat Kecanduan Internet, Seorang Wanita Melahirkan di Warnet!

Apple & Google Sepakat Protes Terkait Kebijakan Enkripsi Smartphone Mereka

Dikabarkan oleh sejumlah situs tekno bahwa Google dan Apple baru saja bersepakat melakukan protes tertulis kepada pemerintah Amerika Serikat terkait kebijakan enkripsi yang diterapkan pada smartphone yang diproduksi mereka.

Hal ini adalah sebagai bagian dari reaksi dari beberapa aksi para legislator di Kongres dan Parlemen Amerika Serikat yang mencoba kembali membuat undang-undang yang memberikan kewenangan pada pihak berwenang untuk membuka smartphone yang sudah terenkripsi. Continue reading Apple & Google Sepakat Protes Terkait Kebijakan Enkripsi Smartphone Mereka

Inilah Hacker Yang Katanya Bisa Belokin Pesawat, Chris Roberts

Seperti layaknya di film-film action bertema komputer, seorang pakar sekuriti tiba-tiba mengaku mampu membelokkan pesawat yang ditumpanginya lewat kabel ethernet yang dapat dinikmati penumpang pesawat.

Sontak saja, Chris Roberts, pakar sekuriti yang digambarkan dalam kisah ini langsung dipanggil dan dimintai keterangan oleh biro investigas federal Amerika FBI. Konon, semua gadget yang sedang dibawanya juga disita untuk dijadikan barang bukti. Continue reading Inilah Hacker Yang Katanya Bisa Belokin Pesawat, Chris Roberts

Awas, Beredar Versi Palsu dari Putty SSH Client, Bisa Curi Password

Versi palsu dari PuTTY SSH Client sedang marak beredar akhir-akhir ini. Itulah setidaknya laporan dari Symantec yang baru saja dirilis pekan ini. PuTTY palsu ini berfungsi normal namun mencatat user dan password yang dituliskan.

Versi palsu dari PuTTY ini di-compile pada akhir tahun 2013 dan disebar di beberapa link unofficial. Secara sistematis, sang hacker membenamkan algoritma untuk terkoneksi dengan servernya, mengenkripsi user-password server yang diketik kemudian baru membawa penggunanya ke server tujuan mereka. Continue reading Awas, Beredar Versi Palsu dari Putty SSH Client, Bisa Curi Password

Pemerintah Korea Danai Aplikasi Monitoring Smartphone Pelajar

Aplikasi Smart Sheriff memungkinkan orangtua di Korea Selatan memonitor anak-anaknya selama menggunakansmartphone.

Pada awalnya, pembuatan aplikasi Smart Sheriff didanai oleh pemerintah Korea Selatan untuk memblokir akses pornografi dan konten kekerasan di internet. Namun kenyataannya berkembang melampaui rencana awalnya. Continue reading Pemerintah Korea Danai Aplikasi Monitoring Smartphone Pelajar

Hati-hati, WhatsApp Video Calling Bisa Jadi Sindikat Penipu

Saat ini WhatsApp sedang menjadi sasaran penjahat sebagai tool untuk melakukan kejahatan. Scamming dengan WhatsApp ini menggunakan cara yang tergolong unik, yaitu menyimpan sejumlah nomor hp yang telah di call dengan WhatsApp Call. Continue reading Hati-hati, WhatsApp Video Calling Bisa Jadi Sindikat Penipu