Cyberthreat.id – Ini memang terdengar ironis.

Perusahaan yang menyediakan solusi autentikasi multifaktor dan single sign-on (SSO)—pendek kata manjamen keamanan akses situsweb/aplikasi—justru, terkena serangan siber.

Okta pada Selasa kemarin mengumumkan bahwa mereka mengalami serangan siber. Pengumuman ini menyusul beredarnya tangkapan layar komunikasi internal Okta dengan geng peretas “Lapsus$” terkait uang tebusan. Percakapan itu terjadi melalui saluran Telegram dan tersebar pada Senin malam.

Yang menarik dari insiden tersebut ialah bagaimana respons dan cara Okta berbagi informasi terkait serangan siber. Mereka begitu terbuka dan detail tentang urutan kejadian.

Bahkan, ketika pengumuman awal bahwa seakan-akan sistem Okta benar-benar dilanggar, tapi di pernyataan yang terbaru pada Rabu (23 Maret), perusahaan meyakini bahwa jaringan perusahaan belum diretas.

Ini yang bisa dipelajari dan dicontoh bagi perusahaan atau instansi pemerintah di Indonesia. Untuk memahami lebih mudah tentang serangan ini, Cyberthreat.id mencoba meringkas seperti di bawah ini. Penjelasan di bawah ini sekaligus mengoreksi dan menambahkan dari artikel sebelumnya berjudul "Penyedia Autentikasi Multifaktor Okta Diretas Geng Ransomware Lapsus$".

Okta ini perusahaan apa?

Okta adalah perusahaan penyedia manajemen akses untuk sejumlah perusahaan terkemuka yang berdiri pada 2009. Memiliki 15.000 pelanggan di platformnya, di antaranya Siemens, ITV, Coinbase Global, FedEx Corp, Moody’s Corp, Hewlett Packard Enterprise, T-Mobile, dan Starling Bank.

Pasar Okta bersaing dengan teknologi yang dimiliki Microsoft, PingID, Duo, SecureAuth, dan IBM yang sama-sama menyediakan layanan autentikasi multifaktor (MFA) dan masuk tunggal (SSO) untuk membantu pelanggan mengakses aplikasi dan situsweb secara aman.

Awal bulan ini, Okta mengatakan membeli pesainganya yang lebih kecil, Autho, untuk kesepakatan semua saham senilai US$ 6,5 miliar, salah satu kesepakatan perangkat lunak terbesar sepanjang tahun ini.

Kapan serangan terjadi?

Menurut Okta, serangan terjadi antara 16-21 Januari 2022.

Bagaimana peretas bisa menyusup?

Penjelasan dari Okta, peretas mendapatkan akses ke laptop salah satu karyawan pendukung teknis untuk pelanggan. Namun, tidak dijelaskan bagaimana peretas mengeksploitasi karyawan tersebut, apakah dengan phishing atau teknik lain.

Jadi, laptop milik karyawan Okta?

Bukan. Lebih tepatnya laptop karyawan rekanan. Jadi, sebagai penyedia persewaan software (SaaS), Okta tak bisa bekerja sendirian. Demi meningkatkan dukungan ke produk dan pelanggan, mereka bermitra dengan sub-prosesor.

Sitel Group, berbasis di Miami, adalah salah satu mitranya. Melalui anak perusahaan Sykes, Sitel ditunjuk sebagai sub-prosesor Okta yang menyediakan pekerja kontrak untuk Okta di bagian Dukungan Pelanggan.

“Pada 20 Januari, tim Okta Security diberitahu bahwa ‘faktor baru’ ditambahkan ke akun Okta insinyur/teknisi dukungan pelanggan Sitel. Faktor ini maksudnya kata sandi,” kata David.

Meski upaya itu gagal, Okta akhirnya mereset akun dan memberi tahu Sitel agar menyelidikinya.

Apak dampaknya?

Okta mengklaim tidak ada bukti bahwa terjadi aktivitas berbahaya di luar insiden tersebut. Namun, kemungkinan sebagian pelanggan terkena dampak. Ini lantaran laptop yang disusupi tersebut bisa dipakai untuk mereset kata sandi pelanggan.

Di blog perusahaan, David mengatakan, dampak potensial maksimum pelanggan yang terpengaruh ialah 366 pelanggan. Jumlah ini 2,5 persen dari pelanggan yang menyewa Okta.

“Kami telah mengidentifikasi pelanggan dan sudah menghubungi langsung melalui email,” kata David yang sebelumnya bekerja di Symantec, perusahaan keamanan siber.

Dampak potensial bagi pelanggan Okta terbatas pada akses yang dimiliki oleh insinyur/teknisi pendukung yang laptopnya diretas tersebut.

“Insinyur ini tidak dapat membuat atau menghapus pengguna, atau mengunduh database pelanggan. Insinyur pendukung memang memiliki akses ke data terbatas, seperti daftar pengguna, yang terlihat di tangkapan layar [peretas],” ujar David.

Selain itu, insinyur pendukung juga dapat memfasilitasi pengaturan ulang kata sandi dan faktor otentikasi multifaktor untuk pengguna, “tetapi, tidak dapat memperoleh kata sandi tersebut,” ia menegaskan.

Bahkan, meski menguasai laptop karyawan Sitel tersebut, David mengatakan, peretas sama sekali tak bisa mengunduh basis data pelanggan atau mengakses kode sumber (source code) Okta.

Karena hal itulah, ia meyakini bahwa “layanan Okta belum dilanggar dan tidak ada tindakan perbaikan yang perlu diambil oleh pelanggan kami,” ujarnya.

Bagaimana skenario peretas menguasai saat menguasai laptop?

David menjelaskan dengan apik soal ini. Menurut dia, tangkapan layar yang dimiliki oleh peretas terkait informasi pelanggan diambl dari komputer milik insinyur dukungan Sitel.

“Peretas memperoleh akses jarak jauh menggunakan Remote Desktop Protocol,” ujarnya.

Skenario yang bisa dianalogikan ialah ada seseorang di kedai kopi telah berhasil “duduk” di mesin Anda dan menggunakan mouse dan keyboard.

“Penyerang tidak pernah mendapatkan akses ke layanan Okta melalui pengambilalihan akun, mesin yang masuk ke Okta diretas dan mereka dapat memperoleh tangkapan layar dan mengendalikan mesin melalui sesi RDP,” David menjelaskan.

Respons Okta dikritik..

Meski akhirnya Okta mempublikasikan detail insiden siber, perusahaan mendapat kritik kereas dari kalangan ahli keamanan siber. Okta dianggap terlambat memberikan pernyataan terbuka kepada publik, padahal insiden telah terjadi pada Januari.

Apalagi perusahaan telah mengetahui masalah sejak awal, tulis Reuters.

David mengatakan, perusahaan mendapatkan kabar potensi pelanggaran pada Januari dan langsung memperingatkan Sitel Group. Namun, baru 10 Maret, Sitel menerima laporan forensik tentang insiden, lalu memberikan ringkasan temuannya kepada Okta sepekan kemudian.

“Pada Januari 2022, Okta mendeteksi upaya gagal untuk meretas akun insinyur dukungan pelanggan yang bekerja untuk penyedia pihak ketiga,” kata David.

“Sebagai bagian dari prosedur reguler kami, kami memberi tahu penyedia tentang situasi tersebut, sekaligus mengakhiri sesi Okta aktif pengguna dan menangguhkan akun individu.”

Setelah tindakan tersebut, Okta berbagi informasi terkait (termasuk alamat IP yang mencurigakan) untuk melengkapi penyelidikan Sitel bersama perusahaan forensik eksternal.

Namun, David mengaku kecewa atas lama waktunya antara pemberitahuan kepada Sitel dan penerbitan laporan investigasi lengkap.

"Saya sangat kecewa…setelah kami menerima laporan ringkasan Sitel, kami seharusnya bergerak lebih cepat untuk memahami implikasinya,” ujarnya.

Lini masa deteksi serangan siber

Hal yang belum banyak dilakukan oleh perusahaan terkait insiden siber ialah menerbitkan detail serangan, khususnya di Indonesia. Setidaknya seperti ini:

• 20 Januari 2022, 23:18 - Okta Security menerima peringatan bahwa “faktor baru” (kata sandi) ditambahkan ke akun Okta karyawan Sitel dari lokasi baru. Target tidak menerima MFA untuk mencegah akses ke akun Okta.
• 20 Januari 2022, pukul 23:46 - Okta Security menyelidiki peringatan tersebut dan meningkatkannya menjadi insiden keamanan.
• 21 Januari 2022, pukul 00:18 – Service Desk Okta dilibatkan ke insiden untuk membantu memuat akun pengguna.
• 21 Januari 2022, pukul 00:28 - Service Desk Okta menghentikan sesi Okta pengguna dan menangguhkan akun sampai akar penyebab aktivitas mencurigakan dapat diidentifikasi dan diperbaiki.
• 21 Januari 2022, pukul 18:00 - Okta Security berbagi indikator peretasan dengan Sitel. Sitel memberi tahu bahwa mereka mempertahankan dukungan dari luar dari perusahaan forensik terkemuka.
• 21 Januari 2022 hingga 10 Maret 2022 - Investigasi dan analisis perusahaan forensik atas insiden tersebut dilakukan hingga 28 Februari 2022, dengan laporannya ke Sitel tertanggal 10 Maret 2022.
• 17 Maret 2022 - Okta menerima laporan ringkasan tentang insiden tersebut dari Sitel
• 22 Maret 2022, pukul 03:30 - Tangkapan layar informasi pelanggan dibagikan secara online oleh peretas LAPSUS$
• 22 Maret 2022, pukul 05:00 - Okta Security memastikan bahwa tangkapan layar terkait dengan insiden Januari di Sitel
• 22 Maret 2022, pukul 12:27 - Okta menerima laporan investigasi lengkap dari Sitel.[]