Telset.id – Kelompok peretas Icarus mengklaim bertanggung jawab atas peretasan terhadap penyedia intelijen pasar, Klue, yang mengakibatkan pencurian data pelanggan korporat, termasuk sejumlah perusahaan keamanan siber ternama. Insiden ini terjadi pada 12 Juni lalu dan data yang dicuri dijadwalkan akan dipublikasikan jika perusahaan tidak membayar tebusan.
Klue, perusahaan yang berbasis di Vancouver, mengkonfirmasi pada Jumat pekan lalu bahwa peretas berhasil mencuri data dari sejumlah pelanggannya. Perusahaan yang menyediakan layanan riset pasar dengan menghubungkan data klien ke sistemnya ini belum mengungkapkan jumlah pasti pelanggan yang terdampak dari ratusan klien yang dimilikinya.
Deretan Perusahaan Keamanan Terdampak
Beberapa perusahaan besar telah mengkonfirmasi bahwa data mereka ikut dicuri dalam serangan ini. Mereka termasuk Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, dan Tanium. Peristiwa ini menambah daftar panjang peretasan massal di mana penjahat siber menargetkan perusahaan yang menyimpan kunci akses ke database cloud perusahaan lain.
Dalam setahun terakhir, peretas semakin sering menargetkan penyedia middleware serupa, termasuk Gainsight dan Salesloft, untuk mendapatkan akses ke data ratusan perusahaan sekaligus. Pola serangan ini menunjukkan bahwa peretas memanfaatkan celah keamanan pada layanan yang menjadi titik tunggal kegagalan (single point-of-failure).
Menurut Klue, peretas berhasil masuk ke sistem perusahaan menggunakan “kredensial lama yang dikompromikan” (compromised legacy credential), seperti kata sandi atau token. Kredensial tersebut terkait dengan alat integrasi yang memungkinkan pelanggan menghubungkan data cloud perusahaan mereka ke akun Klue.
Data yang dicuri sebagian besar berasal dari database Salesforce milik pelanggan. Banyak perusahaan menyimpan informasi pribadi pelanggan mereka di database Salesforce, menjadikannya target utama peretasan. Informasi yang dicuri meliputi nama, alamat email, nomor telepon, jabatan, dan beberapa informasi akun pelanggan.
Baca Juga:
Kerentanan Kredensial Lama
Belum jelas bagaimana peretas memperoleh kredensial yang dikompromikan tersebut atau mengapa Klue tidak mendeteksi pencurian lebih awal. Peretasan massal serupa yang melibatkan penyalahgunaan kredensial, seperti yang terjadi pada Snowflake dan Tanstack, sering dikaitkan dengan karyawan yang secara tidak sengaja menginstal malware pencuri kata sandi di perangkat kerja mereka.
Klue menyatakan telah memanggil tim respons insiden CrowdStrike dan memutuskan semua integrasi untuk mencegah akses lebih lanjut ke data pelanggan. Langkah ini diambil setelah peretasan terdeteksi, namun data sudah terlanjur dicuri.
CEO Klue, Jason Smith, tidak segera menanggapi permintaan komentar saat dihubungi pada Senin lalu. Ia juga tidak menjawab pertanyaan terkait apakah perusahaan telah menerima komunikasi dari peretas, termasuk permintaan tebusan.
Huntress, salah satu perusahaan keamanan yang datanya ikut dicuri, mengungkapkan dalam laporannya bahwa peretas menghubungi mereka dengan catatan tebusan menggunakan alamat email perusahaan Australia. Server perusahaan tersebut kemungkinan disalahgunakan untuk kampanye peretasan ini.
Dampak PHK Massal terhadap Keamanan?
Pada Juni tahun lalu, Klue mengumumkan akan melakukan PHK terhadap sekitar setengah dari stafnya, sekitar 100 orang, seiring dengan fokus perusahaan pada investasi AI. Belum jelas apakah pengurangan staf ini menyebabkan kelalaian dalam keamanan siber perusahaan.
Yang lebih mengkhawatirkan, Klue saat ini tidak mencantumkan seorang pun yang bertanggung jawab atas keamanan siber di halaman kepemimpinan eksekutifnya. Hal ini menimbulkan pertanyaan tentang siapa, selain Smith, yang bertanggung jawab atas keamanan siber di perusahaan tersebut.
Insiden ini menjadi pengingat akan pentingnya keamanan data di era digital, terutama bagi perusahaan yang menjadi mitra teknologi bagi banyak perusahaan lain. Peretasan terhadap penyedia layanan seperti Klue menunjukkan bahwa rantai pasokan digital sangat rentan terhadap serangan.
Perusahaan yang terdampak kini harus menghadapi konsekuensi dari kebocoran data ini. Informasi kontak bisnis yang dicuri dapat digunakan untuk serangan phishing yang lebih canggih atau penipuan lainnya. Sementara itu, peretas Icarus mengancam akan mempublikasikan data tersebut pada Senin jika tebusan tidak dibayar.
Insiden ini juga menyoroti pentingnya praktik keamanan yang ketat, termasuk penggunaan autentikasi multi-faktor dan pemantauan akses secara real-time. Perusahaan harus memastikan bahwa kredensial lama tidak lagi aktif dan bahwa alat integrasi diamankan dengan baik.
Komentar
Belum ada komentar.