Data Pelanggan Morgan Stanley Diretas, Hacker Manfaatkan Kerentanan FTA Accellion
Morgan Stanley StockPlan Connect. | Foto: aptoide.com
Cyberthreat.id – Kerentanan aplikasi FTA Accellion memakan korban lagi. Terbaru, perusahaan perbankan investasi asal Amerika Serikat, Morgan Stanley, mengutarakan bahwa informasi pribadi sejumlah pelanggannya telah diretas.
Dalam surat yang dikirimkan ke Kejaksaan Agung New Hampshire pada pekan lalu disebutkan, kantor Guidehouse memberitahu Morgan Stanley pada Mei lalu bahwa peretas telah mengeksploitasi layanan FTA Accellion miliknya untuk mengakses dokumen perusahaan perbankan itu, terutama informasi pribadi pelanggan StockPlan Connect.
Guidehouse adalah mitra Morgan Stanley yang menyediakan pemeliharaan akun untuk bisnis StockPlan Connect. Beberapa informasi yang terkandung dalam dokumen yang dicuri, termasuk nama, alamat, tanggal lahir, nomor Jaminan Sosial, dan nama perusahaan perusahaan.
“File yang dicuri dalam kondisi dienkripsi, tapi penjahat bisa memperoleh decryptor (kunci pembuka enkripsi, red) selama insiden keamanan karena adanya kerentanan pada FTA Accellion,” tulis Morgan Stanley dalam surat itu, dikutip dari Security Week, diakses Jumat (9 Juli 2021).
"Bahwa ,data apa pun di dalam file-file tersebut tidak mengandung kata sandi yang dapat digunakan untuk mengakses akun keuangan," tutur Morgan Stanley dalam surat itu.
Meski Guidehouse telah menambal kerentanan FTA Accellion yang dipakainya lima hari setelah vendor merilis pembaruan keamanan, ternyata saat itu peretas telah menyusup lebih dulu.
Vendor baru mengetahui serangan tersebut pada Maret 2021 dan memberi tahu Morgan Stanley dua bulan kemudian, “karena kesulitan dalam menentukan secara surut file mana yang disimpan dalam alat FTA Accellion ketika alat tersebut rentan.”
"Guidehouse telah memberi tahu Morgan Stanley bahwa mereka tidak menemukan bukti bahwa data Morgan Stanley telah didistribusikan di luar pelaku ancaman," kata perusahaan yang juga menjelaskan sebanyak 108 warga New Hampshire terkena dampak insiden tersebut.
Berita Terkait:
- BSSN Temukan Entitas Indonesia yang Miliki Kerentanan FTA Accellion
- Shell Energy Umumkan Turut Jadi Korban Peretasan Accelion
- Malaysia Airlines Alami Kebocoran Data Sembilan Tahun
Supply chain attack
Pada Desember 2020, peretas menyusup ke server perangkat lunak FTA Accellion yang rentan dan menanamkan malware di dalamnya. Serangan ini mirip halnya dengan serangan terhadap perangkat lunak Orion milik SolarWinds; disebut sebagai serangan rantai pasokan (supply chain attack).
File Transfer Appliance (FTA) adalah perangkat lunak untuk transfer file berukuran besar yang dikembangkan, jauh sebelum layanan Box, Dropbox, Google Drive, dan OneDrive lahir, yaitu pada awal 2000. FTA menjadi pioner perangkat lunak yang memudahkan orang berbagi file berukuran besar.
Untuk memakainya, konsumen cukup membeli lisensi FTA, lalu menginstal aplikasi di server perusahaan. Karyawan tak perlu repot-repot mengirimkan file berukuran besar yang tak bisa dilakukan via email.
Sejumlah korban
Kasus pertama peretasan FTA dilaporkan oleh bank sentral Selandia Baru (RBNZ), yang kemudian diikuti oleh Komisi Sekuritas dan Investasi Australia (ASIC), firma hukum Allens, Universitas Colorado, dan Kantor Auditor Negara Bagian Washington.
Selain itu, ada korban lain, antara lain QIMR Berghofer Medical Research Institute, Singtel, perusahaan telekomunikasi terbesar di Singapura, dan perusahaan ritel AS Kroger.
Menurut laporan GuidePoint Security, perusahaan keamanan siber asal AS, penyerang diduga menggunakan SQL injection untuk menginstal web shell dan menggunakan akses awal ini untuk mencuri file yang disimpan di perangkat FTA.
Baca:
- Saling Menyalahkan dalam Peretasan Berjamaah Lewat Aplikasi Accellion
- Singtel Singapura Turut Jadi Korban Serangan Siber Berjamaah via Aplikasi Accellion
Apa itu SQL injection?
SQL injection adalah salah satu cara membobol aplikasi dengan cara memodifikasi perintah SQL pada form input aplikasi. Serangan ini juga biasa dikenal dengan teknik eksploitasi celah keamanan pada lapisan basis data untuk mendapatkan query (permintaan) data pada sebuah aplikasi.
Cara sederhana memahami teknik SQL injection melalui form username, misalnya. Form ini harusnya diisi dengan karakter saja, tetapi form tersebut bisa diisi dengan karakter lain. Di sinilah, peretas menyisipkan karakter seperti (:;-,=’) sehingga bisa memasukkan permintaan SQL injection. Akibatnya aplikasi bisa ditembus.
SQL atau Structure Query Language adalah standar manajemen basis data dalam sebuah aplikasi. Maka dari itu, ketika peretas membobol aplikasi dengan teknik ini, mereka bisa mencuri basis data yang ada.
Sementara, web shell adalah sejenis teks perintah yang bisa digunakan untuk mengakses ke dalam sistem dengan mengeksekusi program tertentu.
Pembaruan firmware
Terkait serangan siber Desember lalu, dalam pernyataan tertulisnya tertanggal 11 Januari 2021, Accellion mengatakan, telah mengetahui kerentanan FTA pada medio Desember dan telah merespons dengan merilis pembaruan firmware FTA tiga hari setelah serangan pertama.
Pada saat itu, Accellion mengatakan sekitar 50 pelanggan FTA diduga menjadi korban.
Meski menerbitkan pembaruan, sejumlah kalangan mengkritiknya karena pembaruan diterbitkan di Malam Natal, hari di mana banyak tim TI berlibur.
Selain itu, Accellion tidak menerbitkan catatan tambalan untuk pembaruan firmware-nya, juga tidak menetapkan pengenal bug keamanan (CVE) ke daftar kerentanan yang ditambal.
Gara-gara serangan itu, sebuah firma hukum asal Seattle menjadi perusahaan pertama yang menguggat Accellion sehubungan dengan peretasan Kantor Auditor Negara Bagian Washington.
Setelah insiden itu Accellion, perusahaan layanan komputasi awan asal Amerika Serikat, akan mengakhiri resmi FTA per 30 April 2021. Setelah tanggal tersebut, lisensi FTA tidak akan diperpanjang lagi.[]
