Cyberthreat.id – Menggunakan layanan pihak ketiga yang menjanjikan keamanan untuk mencegah serangan siber, ternyata tak menjadi jaminan data suatu lembaga atau institusi akan aman-aman saja. Di Amerika Serikat, data milik Kantor Auditor Negara Bagian Washington (SAO) justru digondol peretas meskipun sudah menggunakan layanan Accellion yang menjanjikan pengamanan data. Walhasil, data pribadi milik 1,6 juta pencari kerja digondol peretas.

Diberitakan Bleeping Computer,  SAO mengumumkan kebocoran data itu di situs webnya pada Senin, 1 Februari 2021. Disebutkan, pelanggaran data terjadi setelah penyerang mengeksploitasi kerentanan pada layanan "tranfer file aman" milik Accellion yang dipakai kantor itu. Diperkirakan terjadi akhir Desember 2020.

Accelion merupakan penyedia layanan transfer file yang menjanjikan keamanan saat sebuah organisasi berbagi dokumen sensitif dengan pengguna di luar organisasi mereka. Layanan ini populer di kalangan bank, lembaga pemerintah, dan organisasi keuangan yang biasanya berbagi dokumen sensitif dengan pengguna eksternal.

“SAO diberi tahu bahwa orang yang tidak berwenang dapat mengeksploitasi kerentanan aplikasi dalam layanan transfer file Accellion dan mendapatkan akses ke file yang sedang ditransfer menggunakan layanan Accellion,” ungkap SAO dalam pemberitahuan yang disampaikan di situs resminya.

SAO saat ini sedang berusaha memahami kronologis insiden ini melalui investigasi yang dilakukan Accellion bersama penegak hukum. Namun, SAO belum bisa memberikan informasi lebih detail mengenai kapan terjadinya serangan dan apa yang sebenarnya terjadi. SAO juga terus menyelidiki informasi apa yang terkandung dalam file-file tersebut.

“Baru pada minggu tanggal 25 Januari 2021, Accellion mengonfirmasi kepada SAO bahwa file kami menjadi sasaran serangan ini dan memberikan informasi yang diperlukan untuk mulai mengidentifikasi file data mana yang terkena dampak dan individu yang informasi pribadinya ada di dalam file itu.”

Dari sana diketahui data itu berasal dari Departemen Keamanan Ketenagakerjaan (ESD) dan berisi informasi pribadi. Data itu antar lain berisi informasi tentang kompensansi untuk pengangguran (sejenis bansos), termasuk nama orang, nomor jaminan sosial, SIM, Nomor KTP, nomor rekening bank dan nomor perutean bank.  Selain itu, ada juga file dari beberapa pemerintah daerah Washington dan lembaga  negara bagian lainnya juga terkena dampaknya.

Layanan Accellion yang menjanjikan pengiriman data yang aman

Terkait insiden ini, Accellion mengatakan bahwa mereka menyadari adanya kerentanan zero-day yang dieksploitasi secara aktif dalam solusi FTA lama mereka pada pertengahan Desember.

Perusahaan mengatakan kini telah menambal celah keamanan itu. Namun, banyak organisasi lain mengalami kebocoran data sebelum tambalan diterapkan, termasuk Reserve Bank Selandia Baru, Komisi Investasi dan Sekuritas Australia (ASIC), dan Harvard Business School.

Harvard Business School (HBS), mengungkapkan telah diberitahu oleh Accelion tentang kerentanan dalam aplikasi vendor. HBS menerapkan patch yang disediakan oleh vendor untuk mengatasi kerentanan tersebut. Pada 29 Desember 2020, vendor memberi tahu HBS bahwa mereka telah mengidentifikasi akses tidak sah ke file HBS tertentu.

“HBS segera meluncurkan penyelidikan dan menetapkan bahwa file yang berisi informasi pribadi diunduh oleh satu atau lebih pihak ketiga yang tidak sah antara 21 Desember dan 23 Desember 2020” ungkap HBS. []

Editor: Yuswardi A. Suud