Peretas Menyusup ke Beberapa Sistem Data Penegakan Hukum AS

Peretas Menyusup ke Beberapa Sistem Information Penegakan Hukum AS

Sebuah laptop duduk di tengah meja sementara dua tangan mengetik.

Foto: Dmytro Tyshchenko (Shutterstock)

Rupanya, yang diperlukan untuk mengakses 16 database inner yang digunakan oleh agen federal hanyalah nama pengguna dan kata sandi.

Blogger keamanan web Brian Krebs dilaporkan Kamis bahwa peretas telah mengakses lebih dari selusin portal lembaga penegak hukum AS di bawah Departemen Kehakiman, termasuk yang digunakan oleh Badan Penegakan Narkoba dan FBI. Krebs diberi tahu bahwa peretas dilaporkan dapat menyusup ke jaringan melalui sistem DEA yang berisi informasi dan analitik yang berguna untuk penyelidikan yang sedang berlangsung.

Peretas tampaknya memperoleh akses ke database pada 8 Mei melalui portal Sistem EPIC DEA, yang berbeda dari portal esp.usdoj.gov yang memerlukan otentikasi pemerintah yang jauh lebih ketat. Krebs menulis bahwa sistem EPIC tampaknya hanya membutuhkan nama pengguna dan kata sandi tanpa meminta totentikasi dua langkahn.

Tipster berbagi dengan Krebs beberapa tangkapan layar catatan kepemilikan untuk hal-hal seperti senjata, kendaraan, dan drone. Information itu bisa sangat berguna untuk kelompok kriminal nasional atau internasional, menurut peneliti ilmu komputer UC Berkeley Nicholas Weaver, yang mengatakan kepada Krebs, “Saya tidak berpikir ini [people] menyadari apa yang mereka dapatkan, berapa banyak uang yang akan dibayar kartel untuk akses ke ini.”

Agensi tidak menanggapi permintaan Gizmodo untuk komentar lebih lanjut. DEA mengatakan kepada Krebs bahwa mereka sedang menyelidiki peretasan yang dilaporkan, dengan mengatakan bahwa agensi tersebut “menganggap serius keamanan siber dan informasi dari penyusupan.”

The data was leaked to Krebs through a suspected administrator of Doxbin, which serves as a hub for people posting private information online. Doxbin has major connections to the LAPSUS$ teenage hacking group that are responsible for breaches of some of the world’s perusahaan teknologi terbesar. Bahkan setelah konon pemimpin kelompok itu ditangkap awal tahun ini, peretas masih terlihat mencuri knowledge pengguna dan perusahaan.

Peretas LAPSUS$ sebelumnya telah mengunggah knowledge curian mereka ke obrolan Telegram semi-aman, tetapi hingga tengah hari Kamis kelompok itu tampaknya tidak memposting knowledge apa pun yang terkait dengan dugaan peretasan di saluran utamanya. Peretas grup telah diketahui meniru e mail penegak hukum untuk mendapatkan knowledge pengguna dari perusahaan teknologi besar.

Krebs memperkirakan EPIC bukan satu-satunya database pemerintah yang hanya membutuhkan satu nama pengguna dan kata sandi akses, mengingat ada 3.330 hasil yang muncul di a inventaris DOJ.

Dia lebih lanjut mengkritik kelemahan nyata pemerintah dalam keamanan, mengatakan bahwa jika kelompok peretas remaja casual dapat masuk, maka kelompok yang disponsori negara juga dapat memiliki akses yang mudah.

“Sudah lama berlalu bagi pemerintah federal AS untuk melakukan tinjauan dari atas ke bawah tentang persyaratan otentikasi yang terkait dengan portal pemerintah mana pun yang memperdagangkan informasi sensitif atau istimewa,” tulis Krebs.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts