Salah satu gerai British Council yang menawarkan pembelajaran bahasa Inggris di Jakarta | British Council
Salah satu gerai British Council yang menawarkan pembelajaran bahasa Inggris di Jakarta | British Council
Cyberthreat.id - Lebih dari 144 ribu file yang dilengkapi dengan catatan siswa milik British Council ditemukan terbuka secara online.
Data-data itu disimpan di penyimpanan cloud Microsoft Azure, namun tampaknya tidak diamankan sebagaimana mestinya sehingga dapat diakses oleh pihak lain.
Ditemukan oleh perusahaan keamanan siber, data yang terbuka itu mengungkapkan nama siswa, ID, nama pengguna dan alamat email, serta informasi pribadi lainnya.
British Council mempromosikan studi budaya Inggris dan bahasa Inggris di seluruh dunia dan dikenal karena menyelenggarakan ujian bahasa standar IELTS.
Perusahaan keamanan siber Clario, bersama dengan peneliti keamanan Bob Diachenko menemukan kebocoran tersebut pada 5 Desember 2021 dan segera melaporkan temuan mereka ke British Council.
Tersebar di lebih dari 100 negara, British Council sebelumnya telah dijuluki sebagai sayap 'kekuatan lunak' dari kebijakan luar negeri Inggris. Meskipun sebagian didanai oleh Pemerintah Inggris melalui hibah, nirlaba yang dioperasikan secara independen menghasilkan sebagian besar pendapatannya dari kegiatan seperti pengajaran, ujian, kontrak yang ditenderkan, dan kemitraan.
Organisasi ini juga menyelenggarakan ujian International English Language Testing System (IELTS), tes bahasa Inggris standar yang paling diakui di seluruh dunia, selain TOEFL.
Menurut para peneliti, wadah penyimpan Blob Azure yang tidak dilindungi diindeks oleh mesin pencari publik dan berisi ribuan lembar file Excel dan XML/JSON, yang dapat dilihat oleh siapa saja.
File-file ini mengandung informasi pribadi dari ratusan ribu pelajar dan siswa kursus Bahasa Inggris British Council dari seluruh dunia.
Informasi yang terpapar meliputi:
Tidak diketahui berapa lama data ini tersedia online untuk umum, tanpa otentikasi, kata para peneliti.
Salah satu kekhawatiran utama para peneliti pada saat menemukan file itu adalah risiko dari pelaku phishing dan pencuri identitas —jika mereka mendapatkan informasi ini.
Setelah tidak mendapat tanggapan selama 48 jam dari British Council, para peneliti mencoba kembali menghubungi; kali ini melalui Twitter, di situlah komunikasi selanjutnya antara kedua pihak berlangsung.
"Pada 23 Desember 2021 (dua minggu setelah kontak awal), konfirmasi seputar keamanan repositori diumumkan," kata para peneliti.
Merespon temuan itu, British Council mengatakan,"Data yang dipermasalahkan disimpan dan diproses oleh penyedia layanan pihak ketiga. Sekitar 10.000 catatan dapat diakses dengan cara yang seharusnya tidak terjadi. Menyadari hal ini, penyedia layanan pihak ketiga kami segera mengamankan catatan dengan kontrol yang sesuai dan data yang dipermasalahkan tidak lagi dapat diakses. Kami bekerja sama dengan pemasok untuk memastikan insiden serupa tidak terjadi di masa mendatang."
"Kami telah melaporkan insiden tersebut sesuai dengan kewajiban peraturan kami dan kami tetap berhubungan dengan Kantor Komisaris Informasi jika diperlukan tindakan lebih lanjut. Privasi dan keamanan informasi pribadi adalah yang terpenting," kata juru bicara British Council seperti dilansir BleepingComputer, 1 Februari 2022.
Meskipun para peneliti menemukan lebih dari 144.000 file, menurut British Council, hanya sekitar 10.000 catatan siswa yang terdampak.
Bulan lalu, British Council diketahui telah menjadi korban dari "dua serangan ransomware yang berhasil selama lima tahun terakhir", selain enam upaya operasi ransomware yang gagal.
Akibat serangan ini, British Council dilaporkan mengalami total waktu henti selama 12 hari — lima hari pada kasus pertama, dan tujuh hari pada kasus kedua. Namun, organisasi mengatakan tidak membayar uang tebusan.
Mengingat posisi penting yang dipegang oleh British Council dalam mempromosikan budaya Inggris di luar negeri, dan perannya dalam mengelola bersama ujian IELTS, tidak sulit untuk melihat mengapa aktor ancaman akan terpikat untuk menargetkan institusi tersebut.
Clario merekomendasikan siswa dan peserta tes British Council untuk waspada terhadap email phishing mencurigakan yang mungkin mereka terima, dan disarankan segera mengubah kata sandi login mereka sebagai tindakan pencegahan ekstra.[]
Share:
