Cyberthreat.id – Platform pasar daring terkemuka asal Jepang, Mercari, mengalami kebocoran data dampak dari serangan rantai pasokan (supply chain attack) yang menargetkan perangkat lunak Codecov yang dipakainya.

Melalui situs webnya, Mercari mengatakan telah menyelesaikan penyelidikan insiden tersebut pada 21 Mei 2021. Hasilnya ditemukan ribuan catatan pelanggannya, termasuk informasi keuangan terekspose, dikutip dari BleepingComputer, diakses Kamis (27 Mei 2021).

Catatan informasi pembayaran itu berjumlah 17.085 catatan pengguna di Jepang. Transaksi dilakukan di aplikasi Mercari antara 5 Agustus 2013 hingga 20 Januari 2014.

Selain pelanggaran data, Mercari mengakui bahwa data internal perusahaan juga terdampak atas serangan tersebut.

Perusahaan menggunakan perangkat lunak Codecov sebagai alat untuk mengukur cakupan kode pengujian, di mana kode sumber program yang telah melalui pengujian otomatis tersimpan di perangkat lunak. Kode sumber Mercari diakses oleh peretas.

---

Berita Terkait:

• Hal-hal yang Perlu Diketahui tentang Peretasan Codecov

---

Lebih lanjut, peretas juga mengakses beberapa catatan informasi antara lain:

• 217 catatan informasi terkait dukungan layanan pelanggan antara November 2015 hingga Januari 2018. Data itu antara lain nama, alamat, alamat email, nomor telepon, dan isi pertanyaan.
• 6 catatan informasi terkait acara yang diadakan pada Mei 2013. Data itu antara lain nama, usia, jenis kelamin, alamat email.
• 7.925 catatan informasi pedagang Merpay (nama pemilik bisnis perorangan)
• 7.966 catatan informasi yang terkait dengan sejumlah terbatas mitra bisnis Mercari dan Merpay:
• 2.615 catatan informasi mengenai sejumlah terbatas karyawan Mercari Group. Data ini termasuk nama, alamat email perusahaan, nomor ID karyawan, nomor telepon, tanggal lahir,dll.

Mercari diberitahu oleh Codecov bahwa kemungkinan bagian dari kode sumber mereka yang disimpan di GitHub terdampak oleh insiden. Pemberitahuan itu diberikan pada 23 April, sepekan lebih setelah Codecov mengumumkan ke publik mengenai adanya penyusupan skrip pada perangkat lunaknya, Bash Uploader.

Menyusul adanya pemberitahuan itu, Mercari meminta log mendetail dari GitHub dan menemukan pihak ketiga menggunakan kredensial yang dieksfiltrasi melalui Codecov untuk mengakses bagian dari kode sumber perusahaan tanpa otorisasi.  Ditemukan, penyerang menggunakan kredensial curian mengakses repositori pribadi Mercari antara 13 April dan 18 April.

Mercari mencegah segala upaya akses tidak sah itu, antara lain dengan mengubah kredensial dan menyelidiki semua kode sumber yang telah diakses untuk memeriksa kredensial dan informasi lainnya.

"Kami menetapkan penyelesaian masalah ini sebagai prioritas utama perusahaan, membentuk satuan tugas darurat, dan segera melaporkan kejadian tersebut kepada otoritas terkait," ujar Mercari.

Perusahaan telah melaporkan insiden itu ke Komisi Perlindungan Informasi Pribadi dan pihak-pihak yang terdampak atas adanya kebocoran data.

Mercari mengatakan akan memperkuat keamanannya dan memastikan ketelitian investigasi atas insiden tersebut. Karena ada kemungkinan perusahaan dalam maupun luar Jepang terpengaruh atas Codecov.

"Kami dengan tulus meminta maaf atas ketidaknyamanan dan kekhawatiran yang disebabkan oleh masalah ini," kata Mercari.

Korban lain

Pada Mei, platform manajemen kerja online, Monday.com dan , perusahaan keamanan siber, Rapid7 juga mengaku terdampak atas insiden Codecov ini. Repositori kode sumber mereka juga diakses oleh penyerang.

Sebelumnya, perusahaan penyedia layanan komunikasi berbasis komputasi awan, Twilio, lebih dulu mengaku terkena dampak atas peretasan Codecov.

Diberitakan April lalu, perusahaan perangkat lunak berbasis di San Fransisco, AS, HashiCorp juga mengaku terdampak atas insiden Codecov. HashiCorp mengklaim kunci pribadi yang mereka gunakan untuk menandatangani dan memverifikasi rilis perangkat lunaknya telah terungkap kepada peretas.

HashiCorp menyatakan bahwa produk Terraform mereka terdampak. Terraform adalah alat perangkat lunak infrastruktur sebagai kode sumber terbuka yang digunakan untuk membuat, mengubah dan meningkatkan infrastruktur dengan aman dan dapat diprediksi.

Codecov menemukan perangkat lunak jahat (malware) pintu belakang (backdoor) menyusup di perangkat lunak Codecov, Bash Uploader, tepatnya pada 1 April 2021.

Bash Uploader ini menyediakan kerangka kerja dan metode bahasa pemrograman atau scripting, yang kemudian digunakan untuk mengirimkan laporan pelanggannya ke Codecov.

Peretas dapat memodifikasi skrip dan memperoleh akses untuk melakukan ini karena adanya kesalahan dalam proses pembuatan Docker image Codecov—sekumpulan instruksi (read-only template) untuk membuat container agar dapat dibaca di platform Docker). Kesalahan atau kerentanan itu membuat peretas mengekstrak kredensial yang diperlukan untuk memodifikasi skrip.

Codecov memiliki sekitar 29.000 pelanggan, di antaranya IBM, GoDaddy, The Washington Post, Hewlett Packard Enterprise (HPE) dan sebagainya. Namun, Codecov masih belum mengeluarkan detail berapa banyak jumlah yang terdampak atas disusupinya Bash Uploader ini.

Perusahaan mengklaim telah mengirimi email notifikasi keamanan kepada pelanggan yang dinilainya terdampak atas insiden ini, tepatnya 15 April 2021. Biro Investigasi Federal (FBI) pun turut membantu menyelidiki insiden ini.[]

Redaktur: Andi Nugroho