Suara.com - Pakar keamanan siber dari Vaksincom, Alfons Tanujaya mengungkapkan kalau kebocoran data PT Kereta Api Indonesia (KAI) beberapa waktu lalu tidak berdampak signifikan.
Alfons mengatakan kalau kebocoran data KAI ini belum tepat apabila disebut sebagai serangan ransomware oleh hacker (peretas). Menurutnya, KAI lebih cocok disebut sebagai korban Extortionware.
"Karena ciri khas Ransomware adalah mengenkripsi data dan meminta uang tebusan untuk dekripsi data. Sedangkan aksi Extortionware adalah pemerasan dengan modus membocorkan data penting perusahaan ke publik jika tidak membayar uang tebusan," kata Alfons dalam siaran pers, dikutip Rabu (24/1/2024).
Bahkan Alfons menyebut kalau Vaksincom tidak menemukan adanya data KAI yang dienkripsi hacker. Dari sampel data yang diberikan, belum ada bukti kalau database server, khususnya data Face Recognition, berhasil diretas.
"Dari sampel data yang dibagikan oleh Stormous Ransomware sampel data yang dibagikan ukurannya 2,44 GB mengandung lebih dari 169 file terkompresi mayoritas isinya adalah makalah, manual operasional perangkat, hasil workshop, meeting update, video materi training, workshop, dan manual," beber dia.
Alfons pun menyarankan agar pihak KAI menerapkan standar pengamanan data biometrik yang baik dan benar, sesuai ISO 27001: 2022. Dengan itu para pengguna layanannya bisa terhindar dari eksploitasi kebocoran data, khususnya data biometrik yang menjadi tanggung jawab pihak KAI selaku pengelola.
"Kita lihat saja nanti tanggal 29 Januari 2024 (batas waktu yang diberikan oleh Stormous) apakah mereka berhasil mencuri data penting dari kebocoran data kali ini atau hanya berhasil membobol beberapa komputer endpoint dari beberapa karyawan KAI atau vendor yang memiliki akses VPN ke jaringan komputer KAI," pungkasnya.
Sementara itu pakar keamanan siber sekaligus Chairman Communication & Information System Security Research Center (CISSReC) Pratama Persadha mengungkap soal bagaimana hacker membobol sistem PT Kereta Api Indonesia (PT KAI) yang bermuara pada dugaan kebocoran data.
Berdasarkan investigasi CISSReC, Pratama mengungkapkan kalau peretas yang membobol PT KAI adalah geng ransomware bernama Stormous. Kelompok hacker itu sudah masuk ke sistem KAI sekitar seminggu sebelum informasi peretasan diumumkan.
Dia melanjutkan, geng ransomware Stormous ini mendapatkan akses masuk ke sistem PT KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan.
"Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT KAI dan mengunduh data yang ada di dalam dashboard tersebut," ungkap Pratama dalam siaran pers, Selasa (16/1/2024).
Selain itu, Stormus juga membagikan tangkapan layar (screenshot) sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah satu karyawan KAI yang mereka dapatkan.
"Sehingga ini mempertegas bahwa memang Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan, baik itu melalui metode phising serta social engineering, atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers," sambung dia.
Pratama menduga kalau PT KAI sudah menyadari adanya serangan siber itu dan sudah melakukan beberapa mitigasi seperti menghapus dan menonaktifkan portal VPN di situs mereka.
Disebutkan kalau itu adalah jalan masuk peretas yang kemudian mengakses sistem PT KAI serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous.
Hanya saja upaya itu dinilai sia-sia. Ia melanjutkan, geng Stormus sudah berada di sistem PT KAI hampir seminggu, bukan satu jam.
"Mereka bukan baru satu jam masuk ke dalam sistem PT KAI, namun sudah hampir satu minggu mereka berhasil masuk dan mengunduh data yang ada di dalam sistem," paparnya.
Pratama menganggap kalau mitigasi yang dilakukan PT KAI tidak efisien karena ada kemungkinan hacker sudah memasang backdoor di dalam sistem perusahaan. Hal ini yang kemudian bisa dijadikan akses untuk kembali ke dalam sistem PT KAI kapanpun para hacker mau.
"Karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka," lanjut Pratama.
Jika PT KAI tidak dapat menemukan backdoor tersebut, Pratama menyarankan kalau salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang dimiliki perusahaan.
"Menurut data yang berhasil kami gali, terdapat 82 kredensial karyawan PT KAI yang bocor serta hampir 22.5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT KAI. Data kredensial tersebut didapatkan dari sekitar 3.300 URL yang menjadi permukaan serangan external dari situs PT KAI tersebut," terang Pratama.
Diketahui geng ransomware Stormus telah membagikan contoh data yang mereka bobol dari PT KAI sebesar 2.2 GB dalam bentuk file terkompres dan diberi nama KAI.rar.
Dugaan kasus kebocoran data KAI ini berdampak pada sejumlah informasi yang dicuri peretas seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi, dan berbagai data internal lainnya.
"Geng peretas Stormous memberikan tenggat waktu selama 15 hari kepada PT KAI untuk melakukan negosiasi dan membayar tebusan yang mereka minta yaitu sebesar 11,69 BTC atau hampir setara dengan Rp 7,9 miliar rupiah dan mengancam akan mempublikasikan semua data yang mereka dapatkan jika tebusan tidak dibayarkan," tutup Pratama.
TERPOPULER
