2 September 2022
JAKARTA – Peretas di balik pelanggaran data baru-baru ini mengungkapkan modus operandi dan tujuan mereka.
Pelanggaran data telah berulang kali terjadi di Indonesia selama beberapa tahun terakhir, dengan data pribadi jutaan pengguna internet dibocorkan berulang kali, baik dari lembaga pemerintah maupun perusahaan swasta.
Pelanggaran terbaru terungkap dalam forum online yang disebut dibobol.to, di mana jutaan entri data dijual atau didistribusikan secara gratis dalam waktu singkat kurang dari tiga minggu dari tanggal 15 hingga 31 Agustus.
“Keamanan siber di Indonesia sangat buruk, menurut saya dijalankan oleh anak-anak berusia 14 tahun,” kata Xerxes (nama samaran), salah satu hacker yang mengaku berasal dari Eropa.
Peretas berusia 21 tahun ini mengatakan bahwa dia melanggar keamanan platform pasar perdagangan dan bisnis-ke-bisnis (B2B) yang tidak diketahui, tempat dia mencuri hampir 500.000 data pengguna, dan lebih dari 1 juta database dan dokumen pengguna perusahaan.
Berdasarkan Threat Intelligence Index IBM 2022, ransomware menyumbang 21 persen dari total serangan pada tahun 2021 dan Interpol menempatkan Indonesia pada peringkat pertama di Asia Tenggara dengan 1,3 juta kasus ransomware, menurut ASEAN Cybertdreat Assessment pada tahun 2021.
Xerxes mengungkapkan bahwa pada bulan Desember lalu ia meretas beberapa perusahaan Indonesia (yang ia tolak untuk diungkapkan) dan secara tidak sengaja menemukan kerentanan tersebut, yang darinya ia dapat langsung mengakses Structured Query Language (SQL) dari situs web tersebut.
Peretas penyamaran lainnya yang mengaku berasal dari Amerika Serikat dan berkomunikasi dengan nama panggilan “gimmci” berkata: “Saya telah melihat banyak kerentanan di situs web Indonesia. (…) Saya tidak mengatakan itu tidak (begitu) lemah , tapi nyatanya situs pemerintah pun masih bisa diretas,” kata gimmci.
Peretas berusia 19 tahun itu tidak mengungkapkan situs web spesifik mana yang dia retas, namun gimmci mengklaim memiliki lebih dari 130.000 database Indonesia yang terdiri dari foto KTP, foto kartu keluarga, NPWP, dan masih banyak lagi, yang dia ilegal dari platform pencarian kerja. .
Meskipun tidak ada yang bisa memastikan keabsahan klaim tersebut, Pei Yuen Wong, CTO IBM Security ASEANZK (Australia, Asia Tenggara, Selandia Baru, dan Korea), mengatakan data bocor yang dijual oleh gimmci tampaknya benar.
“Peretas mampu membuat daftar contoh dan rincian kolom di database, jadi kemungkinan besar data tersebut valid,” kata Wong.
“Saya melakukan dorking dan hanya menambahkan domain Indonesia,” kata gimmci merujuk pada Google dorking, sebuah metode peretasan yang menggunakan teknik pencarian Google untuk memetakan informasi yang tidak tersedia di hasil pencarian publik.
Gimmci mengatakan kepada Post bahwa dia berhasil memecahkan keamanan platform tertentu hanya dengan mengunggah malware yang dikenal sebagai “webshell” dalam bentuk gambar untuk mendapatkan titik akses jarak jauh ke situs web sebelum melakukan dump database, dan dia mengklaim bahwa metode ini berfungsi untuk sebuah Website pemerintah Indonesia dengan sangat efektif.
Dalam hal ini, Wong menjelaskan bahwa alih-alih menggunakan browser untuk mengakses situs web, peretas biasanya menggunakan berbagai alat peretasan untuk memindai kerentanan situs web yang ditargetkan sebelum menyuntikkannya dengan webshell.
“Ketika kerentanan tersebut ditemukan, (seorang peretas) menggunakan apa yang dikenal sebagai webshell untuk mendapatkan akses pintu belakang langsung ke perangkat lunak server web seolah-olah peretas tersebut adalah administrator sistem yang sah dari situs web tersebut. Sebagai administrator sistem, peretas kemudian dapat mengunduh seluruh database data pelanggan dan mentransfer database tersebut ke komputer mereka yang terhubung ke server web,” kata Wong.
“Motivasi saya tentu saja uang. Ini bukan satu-satunya pekerjaan yang saya lakukan, tetapi saya menyukai pekerjaan ini, ini adalah hobi saya. Saya biasanya hanya menjual data dari Indonesia dan negara-negara (serupa) tier 2 dan tier 3, dan orang-orang yang membeli (data tersebut) sering menggunakannya untuk menipu orang-orang yang terlibat dalam kebocoran tersebut,” kata Xerxes.
Menguatkan apa yang dikatakan Xerxes, Wong mengatakan penjualan data kepada penjahat untuk tujuan ilegal memang terjadi, terkadang membuat perusahaan korban tidak menyadari pelanggaran tersebut.
“Beberapa peretas akan memberi tahu perusahaan korban untuk memaksa pembayaran uang tebusan, tanpanya mereka akan menjual datanya. (…) Sayangnya, ketika pelanggaran seperti ini terjadi, terutama jika dilakukan oleh peretas yang tidak bermoral, perusahaan akan berada di bawah kekuasaan para peretas, terlepas dari apakah mereka membayar atau tidak, karena beberapa peretas berusaha mencuri memaksimalkan keuntungan,” kata Wong.
Wong menjelaskan bahwa dalam habitat bawah tanah penjahat dunia maya terdapat “ekosistem pelaku kejahatan yang memainkan peran berbeda-beda,” termasuk, namun tidak terbatas pada, peretas, vendor, peneliti, dan profesional sumber daya manusia yang berperan untuk menemukan orang-orang terampil untuk bergabung dalam barisan tersebut. dari peretas.
Gimmci mengungkapkan bahwa peretasan juga merupakan pekerjaan utamanya karena pekerjaan profesionalnya adalah di sektor keamanan siber, sementara Xerxes tidak mengungkapkan profesinya.
“Saya pernah mengalami banyak pelanggaran data di masa lalu dan tiga di antaranya telah banyak dibicarakan. Aku tidak mau memberikan detail tentang (ketiganya karena) aku tidak ingin mereka mengingatku lagi. Saya biasanya menggunakan data tingkat 1 (negara-negara seperti) AS, Inggris, Jerman, dan Prancis karena uang rakyat ini sangat berharga dan saya menjual datanya,” kata Xerxes.
“Saya rasa orang-orang seperti saya mempunyai tempat penting dalam ekosistem dunia digital. Lagipula, tanpa (peretas) seperti saya, profesional keamanan siber tidak bisa menghasilkan uang, bukan? Pikirkanlah,” tambahnya.
Dugaan kebocoran data baru-baru ini dari pelanggaran.to memiliki cakupan yang luas karena berdampak pada banyak organisasi besar seperti PLN, IndiHome, Gojek, Sinarmas, setidaknya lima lembaga pemerintah, 21,700 perusahaan Indonesia dan asing yang beroperasi di Indonesia, dan, diduga, 1, 3 miliar terlibat. nomor telepon dan nomor identitas dari database Kementerian Komunikasi dan Informatika.
“Investigasi kami menunjukkan tidak ada pelanggaran data pelanggan IndiHome, dan kami sudah melaporkannya ke (Kementerian Komunikasi dan Informatika). Kami menjamin bahwa seluruh data pelanggan kami diamankan dan dilindungi melalui keamanan siber terintegrasi sesuai dengan peraturan perundang-undangan yang berlaku,” Pujo Pramono, wakil presiden komunikasi korporat Telkom Indonesia, mengatakan kepada Post pada 24 Agustus.
Meski Sinarmas dan PLN tidak memberikan tanggapan saat dimintai komentar, Telkom mengklaim data pembobolan IndiHome tidak valid karena disediakan oleh vendor pembocor. Sementara itu, Gojek menyebut tudingan kebocoran tersebut tidak benar.
“Tim keamanan informasi kami bersama petugas perlindungan data kami segera melakukan pemeriksaan keamanan mendalam setelah pertama kali ada laporan kebocoran dan tidak ditemukan bukti kebocoran. Tuduhan kebocoran data pada sistem kami sama sekali tidak berdasar,” kata Audrey Petriny, wakil kepala urusan perusahaan Gojek.
“Setiap penyedia layanan elektronik (ESP) bertanggung jawab untuk menjamin perlindungan data pribadi. Untuk itu, setiap ESP harus memiliki sistem teknologi yang tahan terhadap serangan dunia maya,” kata Menteri Komunikasi dan Informasi Johnny G. Plate kepada Post menanggapi tuduhan para peretas.
Badan Siber dan Sandi Negara (BSSN) mengklaim dalam surat resminya kepada Post bahwa pihaknya sedang membangun ekosistem keamanan siber berdasarkan tiga aspek: “manusia, proses, dan teknologi”.
Badan tersebut mengatakan akan membentuk Pusat Operasi Keamanan Nasional (NSOC) untuk “melakukan pengawasan 24 jam guna mengidentifikasi potensi ancaman, serta membentuk Tim Respons Insiden Keamanan Komputer (CSRIT) untuk merespons dan menangani setiap insiden dunia maya.” .
Seperti dilansir Post, thread forum tentang kebocoran Gojek dan PLN telah dihapus oleh pembuatnya sendiri karena alasan yang tidak diketahui. Namun, pemilik Breached.to (yang meminta untuk tidak disebutkan namanya) menjelaskan bahwa ada dua alasan utama mengapa pembuat thread akan menghapus postingan.
“Postingan (Gojek dan PLN) keduanya dihapus oleh pembuat aslinya, saya kira karena menjualnya. Saya tidak yakin apakah mereka menjualnya, tetapi mereka sendiri yang menghapus utasnya. Satu-satunya saat orang menghapus postingan adalah karena mereka tidak ingin menjualnya lagi,” jelas mereka.