Data Penumpang dan Karyawan PT KAI Diduga Bocor, Ahli Ungkap Modusnya
Kebocoran data pelanggan dan karyawan diduga dialami PT Kereta Api Indonesia (Persero). Pakar menduga jalur pembobolan dari akses staf.
Sebelumnya, akun X @TodayCyberNews membagiakan tangkapan layar halaman situs web yang menginformasikan KAI telah diretas pada Minggu (14/1).
"Pelanggaran Data di PT Kereta Api Indonesia (https://kai.id). Sebuah kelompok peretas mengklaim telah mengakses data sensitif, termasuk informasi karyawan, detail pelanggan, dan lainnya dari perusahaan kereta api Nasional Indonesia," tulis akun tersebut.
Lihat Juga : |
Pada laman darkweb-nya, geng ransomware Stormous membagikan sampel data yang diklaim mereka curi dari PT. KAI dengan ukuran file 2,2 GB dalam bentuk terkompresi dan diberi nama kai.rar.
Geng peretas ini memberikan tenggat waktu selama 15 hari kepada PT. KAI untuk melakukan negosiasi dan membayar tebusan yang mereka minta yaitu sebesar 11,69 BTC atau hampir setara dengan Rp7,9 miliar.
Jika tidak, mereka mengancam akan mempublikasikan semua data yang mereka dapatkan jika tebusan tidak dibayarkan.
Merespons kejadian ini, Lembaga Riset Keamanan Siber CISSReC melakukan investigasi terhadap dugaan peretasan kepada PT. KAI. Hasilnya, peretas adalah gang ransomware bernama Stormous sekitar sepekan sebelum informasi peretasan dirilis.
Lihat Juga : |
"Geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem PT. KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan," ungkap Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha dalam sebuah keterangan yang diterima CNNIndonesia.com, Selasa (16/1).
"Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT. KAI dan mengunduh data yang ada di dalam dashboard tersebut," lanjutnya.
Pratama menyebut geng ransomware itu juga membagikan tangkapan layar sebuah dashboard yang diakses menggunakan kredensial, yang merupakan pasangan username dan password, salah karyawan PT KAI.
Hal ini, kata dia, mempertegas jalur masuk Stormous melalui akses internal karyawan yang berhasil mereka dapatkan, baik melalui metode phising serta social engineering atau membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers.
Menurut penelusuran CISSReC, terdapat 82 kredensial karyawan PT. KAI yang bocor dan hampir 22,5 ribu kredensial pelanggan.
Selain itu, ada juga 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT. KAI. Data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI tersebut.
Mitigasi
Pratama menyebut PT. KAI tampaknya telah menyadari serangan dari grup ransomware tersebut, dan melakukan beberapa mitigasi seperti menghapus menonaktifkan portal VPN di situs PT. KAI serta menghapus beberapa kredensial yang berhasil dicuri peretas.
Sayangnya, menurut geng ransomware Stormous, hal tersebut sia-sia karena mereka bukan baru satu jam masuk ke dalam sistem PT. KAI, melainkan sudah hampir satu minggu berhasil masuk dan mengunduh data yang ada di dalam sistem.
"Melakukan mitigasi seperti itu bisa saja tidak efisien karena ada juga kemungkinan bahwa geng ransomware tersebut telah memasang backdoor di dalam sistem PT. KAI yang dapat mereka pergunakan untuk mengakses kembali sistem PT. KAI kapanpun mereka mau," ungkap Pratama.
"Karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka," lanjutnya.
Pratama menilai langkah yang paling aman dilakukan adalah melakukan melakukan deployment sistem di server baru dengan menggunakan backup data yang PT KAI miliki.
Sebelumnya, perusahaan juga disarankan melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor tersebut.
Kemudian, kata Pratama, edukasi terhadap karyawan terkait keamanan siber dinilai menjadi hal penting, selain sistem keamanan siber yang canggih.
KAI klaim data aman
Merespons dugaan peretasan ini, VP Public Relations KAI Joni Martinus menegaskan bahwa sampai dengan saat ini belum ada bukti ada data KAI yang bocor seperti yang dinarasikan.
"Kami akan tetap melakukan investigasi secara mendalam untuk menelusuri isu tersebut," kata Joni melalui keterangan resmi, Selasa (16/1).
Pihaknya juga mengatakan seluruh data KAI aman. Selain itu, hingga saat ini seluruh sistem operasional IT, pembelian tiket online, serta layanan Face Recognition Boarding Gate di semua stasiun masih berjalan dengan baik.
(lom/arh)