Cyberthreat.id – Komisi Perdagangan Federal (FTC) Amerika Serikat  pada Selasa (4 Januari 2022) mengeluarkan peringatan terkait dengan kerentanan berjuluk “Log4Shell” yang terdapat di Log4j, perangkat lunak yang dikembangkan oleh Apache Software Foundation.

Setiap organisasi yang gagal mengamankan data pelanggan dari kerentanan itu bisa terancam denda, kata FTC.

“FTC akan menggunakan otoritas hukum penuh untuk memburu perusahaan yang gagal mengambil langkah-langkah untuk melindungi data konsumen akibat Log4j atau kerentanan serupa yang diketahui di masa depan,” tulis FTC di situswebnya yang diaskes Kamis (6 Januari).

Menurut FTC, kerentanan tersebut sedang dieksploitasi secara luas oleh sekelompok peretas yang terus bertambah. Ketika kerentanan itu ditemukan dan dieksploitasi, risiko yang bisa ditimbulkan ialah pelanggaran data pribadi, kerugian finansial, dan bahaya lain.

Oleh karenanya, FTC mendorong agar organisasi yang memakai perangkat lunak tersebut segera menambal atau memperbaikinya agar tidak dinilai melanggar hukum UU Komisi Perdagangan Federal dan UU Gramm Leach Bliley.

“Sangat penting bahwa perusahaan dan vendor yang mengandalkan Log4j untuk bertindak segera, untuk mengurangi kemungkinan kerugian bagi konsumen, dan untuk menghindari tindakan hukum FTC,” tutur FTC.

FTC kemudian mencontohkan kasus yang pernah menimpa Equifax pada 2017. Saat itu, perusahaan pelaporan kredit konsumen terkemuka di dunia itu harus membayar denda sebesar US$700 juta lantaran terdapat kelemahan pada peranti lunak Apache Struts. Kerentanan ini menyebabkan kebocoran data pribadi 147 juta konsumen.

Saat itu FTC menilai Equifax “gagal mengamankan sejumlah besar informasi pribadi yang tersimpan di jaringannya, sehingga menyebabkan pelanggaran yang mengekspose jutaan nama dan tanggal lahir, nomor Jaminan Sosial, alamat rumah, dan informasi sensitif lain yang bisa mengarah pada pencurian identitas dan penipuan,” tulis FTC pada 2019.

Menurut FTC, kerentanan Log4J adalah bagian dari serangkaian masalah struktural yang lebih luas.

“[Log4j] ini salah satu dari ribuan layanan open-source yang jarang dikenal umum, tapi sangat penting yang digunakan di berbagai perusahaan internet, yang hampir tidak terhitung jumlahnya,” kata badan pemerintah AS itu.

Menurut FTC, banyak pengembang yang memakai peranti lunak itu untuk berbagai proyek. Sayangnya, pengembang “tidak selalu memiliki sumber daya dan personel memadai untuk merespons insiden dan pemeliharaan proaktif meski proyek mereka sangat penting bagi ekonomi internet,” ujarnya.

Sebelumnya pada Selasa lalu, Microsoft mengatakan publik mungkin tidak menyadari seberapa luas masalah “Log4Shell” di lingkup organisasi mereka.

Oleh karenanya, Microsoft meminta agar siapa saja yang memakai Log4j untuk tetap menganggap bahwa dirinya masih rentan dari serangan siber, sehingga tetap terus melakukan pemindaian sistem TI-nya.

"Karena banyak perangkat lunak dan layanan yang terpengaruh,” ujar Microsoft dikutip dari ZDNet.

Cloudflare, perusahaan keamanan siber, memperingatkan bulan lalu bahwa mereka telah mendeteksi aktivitas yang terkait dengan eksploitasi kode jarak jauh sejak 1 Desember, yang berarti kerentanan itu berada di alam liar selama setidaknya sembilan hari sebelum diungkapkan kepada publik.[]