Dugaan Kebocoran Data KAI, Pakar Ungkap Cara Hacker Bobol Sistem

Suara.com - Pakar keamanan siber sekaligus Chairman Communication & Information System Security Research Center (CISSReC) Pratama Persadha mengungkap soal bagaimana hacker membobol sistem PT Kereta Api Indonesia (PT KAI) yang bermuara pada dugaan kebocoran data.

Diketahui dugaan kasus kebocoran data KAI ini berdampak pada sejumlah informasi yang dicuri peretas seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi, dan berbagai data internal lainnya.

Berdasarkan investigasi CISSReC, Pratama mengungkapkan kalau peretas yang membobol PT KAI adalah geng ransomware bernama Stormous. Kelompok hacker itu sudah masuk ke sistem KAI sekitar seminggu sebelum informasi peretasan diumumkan.

Dia melanjutkan, geng ransomware Stormous ini mendapatkan akses masuk ke sistem PT KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan.

"Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT KAI dan mengunduh data yang ada di dalam dashboard tersebut," ungkap Pratama dalam siaran pers, Selasa (16/1/2024).

Selain itu, Stormus juga membagikan tangkapan layar (screenshot) sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah satu karyawan KAI yang mereka dapatkan.

"Sehingga ini mempertegas bahwa memang Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan, baik itu melalui metode phising serta social engineering, atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers," sambung dia.

Pratama menduga kalau PT KAI sudah menyadari adanya serangan siber itu dan sudah melakukan beberapa mitigasi seperti menghapus dan menonaktifkan portal VPN di situs mereka.

Disebutkan kalau itu adalah jalan masuk peretas yang kemudian mengakses sistem PT KAI serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous.

Hanya saja upaya itu dinilai sia-sia. Ia melanjutkan, geng Stormus sudah berada di sistem PT KAI hampir seminggu, bukan satu jam.

"Mereka bukan baru satu jam masuk ke dalam sistem PT KAI, namun sudah hampir satu minggu mereka berhasil masuk dan mengunduh data yang ada di dalam sistem," paparnya.

Pratama menganggap kalau mitigasi yang dilakukan PT KAI tidak efisien karena ada kemungkinan hacker sudah memasang backdoor di dalam sistem perusahaan. Hal ini yang kemudian bisa dijadikan akses untuk kembali ke dalam sistem PT KAI kapanpun para hacker mau.

"Karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka," lanjut Pratama.

Jika PT KAI tidak dapat menemukan backdoor tersebut, Pratama menyarankan kalau salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang dimiliki perusahaan.

"Menurut data yang berhasil kami gali, terdapat 82 kredensial karyawan PT KAI yang bocor serta hampir 22.5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT KAI. Data kredensial tersebut didapatkan dari sekitar 3.300 URL yang menjadi permukaan serangan external dari situs PT KAI tersebut," terang Pratama.

Diketahui geng ransomware Stormus telah membagikan contoh data yang mereka bobol dari PT KAI sebesar 2.2 GB dalam bentuk file terkompres dan diberi nama KAI.rar.

"Geng peretas Stormous memberikan tenggat waktu selama 15 hari kepada PT KAI untuk melakukan negosiasi dan membayar tebusan yang mereka minta yaitu sebesar 11,69 BTC atau hampir setara dengan Rp 7,9 miliar rupiah dan mengancam akan mempublikasikan semua data yang mereka dapatkan jika tebusan tidak dibayarkan," tutup Pratama.