Analisis Pakar Keamanan Siber Soal Dugaan Pencurian Data di PT KAI

Pakar keamanan siber Pratama Persadha mengungkap kemungkinan aksi penyusupan yang dilakukan geng ransomware ke PT KAI.

oleh Agustinus Mario Damar diperbarui 16 Jan 2024, 18:56 WIB
Petugas tiket melayani calon penumpang kereta di Stasiun Gambir, Jakarta, Minggu (26/2/2023). PT Kereta Api Indonesia (KAI) mulai menjual tiket kereta api jarak jauh untuk keberangkatan H-10 pada periode Idul Fitri 2023. (Liputan6.com/Faizal Fanani)

Liputan6.com, Jakarta - PT KAI dilaporkan telah diduga menjadi korban kebocoran data. Aksi ini pertama kali diketahui dari cuitan akun @TodayCyberNews di X (Twitter) pada 14 Januari 2024.

Berdasarkan klaim peretas, mereka mengaku telah berhasil mencuri sejumlah data sensitif PT KAI, seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi, hingga data internal lainnya.

Usai klaim tersebut muncul, lembaga riset siber CISSReC pun melakukan investigasi. Berdasarkan investigasi yang dilakukan, peretasan pada KAI dilakukan oleh gang ransomware bernama Stormous sekitar satu minggu sebelum informasi peretasan dirilis.

Dijelaskan, geng ransomware tersebut mendapatkan akses masuk ke sistem KAI melalui VPN dengan memakai beberapa kredensial dari sejumlah karyawan.

Setelah berhasil masuk, mereka mengakses dashboard beberapa sistem KAI, serta mengunduh data dalam dashboard tersebut.

"Geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah karyawan KAI yang mereka dapatkan," tutur Chairman CISSReC Pratama Persadha dalam keterangan resmi yang diterima, Selasa (16/1/2024).

Menurut Pratama, hal itu mempertegas kalau Stormouse masuk melalui akses internal karyawan KAI yang berhasil mereka dapatkan.

Adapun kemungkinan akses itu didapatkan dengan metode phishing diserta social engineering atau membeli kredensial dari peretas lain yang memakai malware log stealers.

Dijelaskan lebih lanjut, Pratama menuturkan, KAI sendiri sepertinya sudah menyadari adanya serangan tersebut. Karenanya, perusahaan itu sudah melakukan beberapa mitigasi, seperti menghapus dan menonaktifkan portal VPN di KAI.

Tidak hanya itu, KAI juga telah menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware tersebut. Namun menurut Stormous, hal itu sia-sia karena mereka sudah masuk dalam situs tersebut selama hampir satu minggu, bukan sekadar satu jam.

Oleh sebab itu, mitigasi tersebut dianggap tidak efisien karena ada kemungkinan geng ransomware tersebut telah memasang backdoor dalam sistem KAI, sehingga mereka dapat kembali mengakses sistem tersebut.


Langkah yang Bisa Dilakukan KAI

Logo baru PT Kereta Api Indonesia (Persero) atau KAI (dok: KAI)

Pratama pun menuturkan, salah satu langkah paling aman yang bisa dilakukan adalah melakukan deployment sistem di server baru memakai backup data di KAI, dengan lebih dulu melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor.

"Menurut data yang berhasil kami gali, terdapat 82 kredensial karyawan KAI yang bocor serta hampir 22,5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan KAI. Data kredensial itu didapatkan dari sekitar 3300 URL yang menjadi permukaan serangan external dari situs KAI," tuturnya.

Pada laman webnya, geng ransomware itu juga membagikan sampel data yang mereka curi sebesar 2,2GB dalam bentuk file terkompresi, dan diberi nama kai.rar.

Geng tersebut juga memberikan tengga waktu 15 hari pada KAI untuk melakukan negosiasi dan membayar tebusan sebesar 11,69 BTC atau sekitar Rp 7,9 miliar. Apabila tidak dipenuhi, mereka mengancam akan mempublikasikan data tersebut.

Terkait hal ini, Pratama menuturkan, persoalan sistem keamanan siber tidak hanya bisa dilihat dari sisi infrastruktur atau perangkat keamanannya saja. Namun, penting untuk melihat pula aspek lain seperti pelatihan karyawan terhadap keamanan siber juga menjadi titik kritis.

Alasannya, tidak jarang serangan siber yang terjadi berawal dari diretasnya PC atau laptop karyawan, atau didapatkannya data karyawan melalui serang phishing.

Oleh sebab itu, edukasi pada karyawan menjadi hal penting, meski sebuah lembaga sudah memakai sistem paling mutakhir dan canggih.

"Beberapa hal yang perlu diajarkan kepada personel tersebut adalah bagaimana mengetahui serta mengenali sebuah postensi serangan siber yang sedang terjadi, sehingga tidak terjebak melakukan suatu aktivitas yang dapat menyebabkan komputer atau laptop mereka diambil alih kontrolnya oleh peretas," tutur Pratama.


Pentingnya Keamanan Siber

Pakar Keamanan Siber Pratama Persadha

Pratama juga menyorot soal keamanan yang dirasa hanya menjadi tambahan dari sistem yang dimiliki suatu organisai. Padahal, risiko yang dihadapinya sangat tinggi.

Untuk itu, ia menyarankan, diharuskan ada gerakan masif dan terstruktur agar keamanan siber menjadi salah satu fokus yang dimengerti serta ditetapkan oleh High Level Person atau pimpinan di organisasi.

"Harapannya, keamanan siber ini bisa dimulai dari hulu, bahkan jauh sebelum aplikasi dibuat, keamanan sudah menjadi fokus atau dengan kata lain perlu adanya kampanye tentang konsep 'Security by Design'," tuturnya.

Pratama pun berharap KAI betul-betul mempertimbangkan aspek keamanan siber dan memperkuatnya, mengingat BUMN tersebut saat ini sedang gencar mengimplementasikan sistem face recognition pada sistem ticketing mereka, termasuk keperluan boarding

Infografis 34 Juta Data Paspor Indonesia Diduga Bocor, Ulah Hacker Bjorka? (Liputan6.com/Abdillah)

Rekomendasi

POPULER

Berita Terkini Selengkapnya