Cyberthreat.id - Seorang mantan kontraktor teknologi informasi (TI) dijatuhi hukuman dua tahun penjara setelah meretas server dan menghapus sebagian besar akun Microsoft Office (365) milik karyawan sebuah  perusahaan di Carlsbad, California.

Kontraktor itu, dikutip dari ThreatPost, bernama Deepansh Kher berusia 32 tahun. Kher dipekerjakan oleh sebuah firma konsultan TI yang tidak disebutkan namanya dari tahun 2017 hingga Mei 2018

Perusahaan firma konsultan TI itu kemudian mendapat proyek dari sebuah perusahaan yang berbasis di Carlsbad. Perusahaan kemudian mengirim Kher mengerjakan proyek itu.

Menurut Departemen Kehakiman Amerika Serikat (DoJ) pada 22 Maret, perusahaan di Carlsbad tidak puas dengan hasil kerja Kher dan memecatnya beberapa bulan kemudian, tepatnya pada 4 Mei 2018.

Sebulan setelah pemecatannya, Kher kembali ke Delhi, India. Dua bulan setelahnya Kher meretas server perusahaan di Carlsbad dan menghapus 1.200 dari 1.500 akun pengguna Microft Office 365 milik karyawan perusahaan itu.

DoJ mengatakan tindakan Kher itu merupakan serangan terencana dan jelas-jelas dimaksudkan sebagai balas dendam.

Serangan itu, kata DoJ, mempengaruhi sebagian besar karyawan hingga membuat perusahaan itu berhenti beroperasi selama dua hari. Peretasan yang dilakukan Kher membuat aktivitas karyawan tidak produktif karena hilangnya akses ke MS365 mereka.

"Akun karyawan telah dihapus. Mereka tidak dapat mengakses email, daftar kontak, kalender rapat, dokumen, direktori perusahaan, konferensi video dan audio, dan lingkungan tim virtual yang diperlukan untuk melakukan pekerjaan," menurut DoJ, dikutip dari ThreatPost, Rabu (24 Maret 2021).

Insiden itu tak hanya berdampak dari sisi internal saja. Pihak eksternal juga tidak dapat menjangkau karyawan perusahaan, dan sebaliknya.

"Tidak ada yang dapat memberi tahu pembeli ini apa yang sedang terjadi atau kapan perusahaan akan beroperasi kembali," kata DoJ.

Kher yang berada di India, kemudian ditangkap ketika dia terbang dari India ke Amerika Serikat pada 11 Januari 2021.

Selain dijatuhi hukuman dua tahun penjara, hakim pengadilan distrik AS juga mewajibkan Kher diawasi selama tiga tahun setelah keluar dari penjara nanti. Selain itu, dia juga harus membayar sebesar US$567.084 kepada perusahaan. Nilai itu setara dengan kerugian perusahaan karena ulah Kher.

Waspadai Ancaman Orang Dalam
Menurut ThreatPost, insiden Kher ini merupakan pengingat yang terang-terangan tentang dampak yang dapat ditimbulkan oleh “ancaman orang dalam” baik oleh karyawan yang tidak puas, kontraktor pihak ketiga, atau lainnya terhadap keamanan dan privasi data perusahaan.

Pada Desember lalu, seorang pria dijatuhi hukuman dua tahun penjara setelah dihukum karena merekayasa platform kolaborasi Webex Cisco dalam kasus ancaman orang dalam yang dibawa ke Pengadilan Distrik AS di California.

Adapun insiden serupa lainnya, kebocoran data 100 juta pelanggan Capital One pada 2019 yang disebabkan oleh mantan insinyur di Amazon Web Services (AWS).

Untuk memerangi risiko ancaman orang dalam, CISO dan Wakil Presiden Strategi di Digital Shadows, Rick Holland mengatakan bahwa organisasi harus membuat penilaian risiko ancaman orang dalam pada fungsi bisnis penting mereka yang dapat dimanfaatkan untuk penipuan atau kejahatan.

“Komplikasi paling penting dalam menangani ancaman orang dalam di dunia tenaga kerja jarak jauh saat ini adalah bahwa kontrol keamanan yang dirancang untuk memantau dan menangkap aktivitas mungkin tidak mampu seperti di dunia lokal tradisional,” kata Holland, []

Editor: Yuswardi A. Suud