#Viral

AI Menemukan Bug Root di Linux yang Dirindukan Semua Orang selama 15 Tahun

2

Di tengah peringatan bertahun-tahun bahwa peretas Volt Typhoon yang terkenal kejam di Tiongkok mungkin melakukan pra-posisi di infrastruktur penting Amerika Serikat, permainan perang tertutup bagi perusahaan asuransi melakukan serangkaian skenario terburuk—mengungkapkan ancaman yang mengancam dan mengganggu.

Kelompok pengawasan internal ICE, Kantor Tanggung Jawab Profesional, telah dimulai menyelidiki kritik online terhadap agensi tersebutmembuka lebih dari 100 kasus yang membahas apa yang oleh pejabat ICE disebut sebagai “insiden doxing dan ancaman” terhadap karyawan agensi. Dan di Uni Eropa, perusahaan teknologi akan mampu melakukannya memindai kembali teks pribadi warga, email, dan pesan media sosial karena adanya pembaruan kewenangan dalam RUU “Kontrol Obrolan” yang bertujuan untuk membatasi materi pelecehan anak secara online. Parlemen Eropa memutuskan untuk memperpanjang undang-undang tersebut meskipun mayoritas anggota parlemen memberikan suara menentang proposal tersebut.

banner 300x600

WIRED mengungkapkan lebih banyak tentang lanskap pengawasan Madison Square Garden minggu ini dengan pengungkapan itu MSG menyimpan database yang mengkategorikan ratusan selebritipenggemar berat Knicks terkemuka, dan bahkan beberapa tamu pernikahan Taylor Swift menggunakan label yang mencantumkan “LGBTQIA”, “JANGAN HOST”, dan “risiko” rendah hingga tinggi.

Dan penelitian baru minggu ini menunjukkan bahwa ada gelombang pembajakan situs web pemerintah penipu menjanjikan konten OnlyFans yang “bocor” dihalangi oleh ribuan keluhan hak cipta dari pembuat konten dewasa, membantu menjaga keamanan orang-orang dengan menghapus tautan berbahaya.

Dan masih ada lagi. Setiap minggu, kami mengumpulkan berita keamanan dan privasi yang tidak kami liput secara mendalam. Klik berita utama untuk membaca cerita selengkapnya. Dan tetap aman di luar sana.

Nebula Security telah menerbitkan kode eksploitasi untuk GhostLock (CVE-2026-43499), sebuah bug penggunaan setelah bebas yang ada di kernel Linux selama 15 tahun dan memungkinkan pengguna yang masuk untuk melakukan root pada mesin yang belum dipatch, menurut Minggu Keamanan Dan Berita Peretas. Cacat ini dikirimkan secara default di setiap distribusi mainstream sejak 2011 dan tidak memerlukan izin khusus atau akses jaringan. Eksploitasi Nebula lolos dari kontainer dan 97 persen dapat diandalkan dalam pengujian. Ini memperoleh pembayaran $92.337 melalui program kernelCTF Google. Masalah ini telah diperbaiki pada bulan April, namun ketersediaan patch tidak merata; Ubuntu, pada awal Juli, masih mencantumkan 24.04, 22.04, dan 20.04 LTS sebagai rentan atau sedang dalam proses, jadi para pembela HAM harus mengkonfirmasi paket yang sudah diperbaiki daripada berasumsi ada yang menunggu.

Khususnya, Nebula menemukan bug tersebut pada VEGA, alat pemburu bug yang digerakkan oleh AI, bagian dari kelemahan eskalasi hak istimewa Linux yang dijalankan pada tahun 2026 yang muncul oleh alat otomatis yang menyisir kode kernel lama yang hanya sedikit orang yang telah membaca ulang selama bertahun-tahun.

Kawanan Kamera Mengirim 4 Polisi Mengejar Reporter

Menulis di Drivereporter Joel Feder menjelaskan bahwa ia dikurung oleh empat mobil polisi Plymouth, Minnesota, di tempat parkir Kohl pada akhir Juni—para petugas berteriak sambil memegang senjata—karena kamera plat nomor Flock telah menandai Range Rover seharga $155.000 yang ia uji, yang dipinjamkan dari dealer New Jersey, sebagai barang curian. Feder menulis bahwa polisi telah melacak SUV tersebut di sekitar kota selama berhari-hari… karena kesalahan ketik.

Penyebabnya berasal dari kesalahan entri data yang berjarak 2.000 mil jauhnya: plat armada Jaguar Land Rover yang bertuliskan 34 03 DTM telah dilaporkan ke polisi Los Angeles sebagai hilang, namun dimasukkan ke dalam sistem hanya sebagai “34 DTM”—menghilangkan angka tengah yang lebih kecil yang digunakan New Jersey pada pelat pabrikan. Kamera Flock membaca karakter besar, mengabaikan struktur yang tidak standar, dan mulai memperingatkan polisi jika ada mobil yang cocok. Feder melaporkan bahwa empat Land Rover lain yang menggunakan format pelat nomor yang sama sedang dilacak di sekitar Minnesota pada minggu yang sama; dia baru saja menepi pertama.

Pelat yang mengawali seluruh aktivitas polisi ini ternyata bukan hasil curian sama sekali, hanya salah taruh saat pemotretan. Ironisnya, kejadian itu terjadi hanya dua minggu setelah The Drive menerbitkan laporan viral tepat pada penjangkauan Flock semacam ini.

Kontraktor Siber ICE Dilanggar

Raksasa konsultan Accenture telah mengkonfirmasi pelanggaran keamanan setelah pelaku ancaman bernama “888” mengklaim telah mengambil 35 GB data—kode sumber, kunci RSA dan SSH, token akses Azure, dan file konfigurasi—dan menjualnya di forum kejahatan dunia maya. menurut BleepingComputer. Accenture menyebutnya sebagai “masalah yang terisolasi,” dan mengatakan bahwa pihaknya telah memulihkan sumbernya, dan melaporkan tidak ada dampak terhadap operasi tetapi pada saat itu menolak untuk mengomentari apa yang sebenarnya diambil atau bagaimana penyerang masuk. Untuk mendukung klaim tersebut, 888 memposting tangkapan layar yang menunjukkan repositori Azure DevOps yang dikloning pada host Accenture.com yang telah disunting; BleepingComputer tidak dapat memverifikasi cakupan penuh. Ini bukan tindakan pertama aktor tersebut di perusahaan tersebut—888 mencoba menjual data karyawan Accenture setelah pelanggaran pihak ketiga pada tahun 2024, dan Accenture secara terpisah terkena ransomware LockBit pada tahun 2021.

Waktu terjadinya pelanggaran ini sangat tidak tepat: cabang federal Accenture telah bertahan Kontrak Layanan Dukungan Pertahanan dan Intelijen Cyber ​​ICE—Pemantauan ancaman 24/7, deteksi intrusi, dan respons insiden di seluruh jaringan badan tersebut—sejak September 2021, perintah tugas senilai sekitar $56,5 juta yang akan berakhir pada akhir Agustus dan saat ini sedang dikompetisikan kembali.

Pentagon Ingin Melatih Pasukan Peretas Amatir—tetapi Bukan untuk Upah yang Layak

Pentagon membuka pendaftaran minggu ini untuk Cyber ​​RAP, sebuah program magang berbayar yang merekrut orang-orang yang tidak memiliki gelar atau pengalaman dunia maya—hanya memiliki bakat untuk belajar—untuk bekerja penuh waktu selama 12 bulan dan belajar untuk menjaga jaringan departemen tersebut. menurut DefenseScoop. CIO militer AS, Kirsten Davies, menyebut hal ini sebagai upaya mengabaikan “penjaga gerbang akademis” demi “kemampuan mentah, dorongan patriotik, dan kemampuan langsung.” Namun gaji yang mereka terima sangat kecil, yaitu $22.584 per tahun, dan mereka yang tersingkir akan berhutang budi kepada pemerintah atas pelatihan yang diberikan.

Itulah kesepakatan untuk membangun bakat di dalam perusahaan. Pilihan lain yang ada adalah menyewanya. Sebuah ketentuan dalam rancangan undang-undang pertahanan Komite Angkatan Bersenjata Senat tahun 2027 akan memungkinkan Menteri Pertahanan Pete Hegseth menjalankan proyek percontohan untuk menjalankan operasi dunia maya melalui “sarana yang dimiliki dan dioperasikan oleh kontraktor”—sebuah kru peretas yang disewa oleh pemerintah, Laporan Keamanan PemerintahInfo.

Kritikus melihat ada batasan yang dilanggar. Nick Leiserson, mantan pejabat siber Gedung Putih Biden, mengatakan rencana peretasan untuk disewa tersebut “berkontribusi terhadap ketidakstabilan siber global” dan mencatat bahwa AS telah memberikan sanksi kepada kontraktor Tiongkok karena melakukan hal yang sama.

Idenya memiliki silsilah yang penuh warna. Tahun lalu, perwakilan AS David Schweikert dari Arizona memperkenalkan Scam Farms Marque and Reprisal Authorization Act (Undang-Undang Otorisasi Marque dan Pembalasan Peternakan Penipuan), yang memungkinkan presiden mengeluarkan “surat marque dan pembalasan”—instrumen yang sama yang terakhir kali diserahkan AS kepada swasta pada Perang tahun 1812—yang memberi wewenang kepada operator swasta untuk menyita aset penjahat dunia maya asing, termasuk dompet kripto yang terkait dengan penipuan terhadap orang Amerika, seperti yang dilaporkan The Register. RUU tersebut diajukan ke komite dan tidak pernah mendapat suara.

Exit mobile version