Saling Menyalahkan dalam Peretasan Berjamaah Lewat Aplikasi Accellion

Cyberthreat.id - Peretasan penyedia perangkat lunak untuk berbagi file besar, Accellion, telah meningkatkan kekhawatiran para pakar keamanan siber tentang celah keamanan dari aplikasi pihak ketiga atau supplai-chain vulnerabilities.

Ketika kian banyak perusahaan atau institusi yang membagikan detail serangan itu, muncul persoalan baru: kronologisnya tidak cocok dengan yang dijelaskan oleh Accellion selaku pemilik aplikasi. Muncul pula dugaan Accellion tidak lagi berinvestasi untuk pembaruan keamanan aplikasi lantaran aplikasinya akan berakhir masa berlakunya pada 30 April mendatang.

Pengungkapan minggu ini bahwa para korban termasuk Jones Day — sebuah firma hukum yang menangani informasi sensitif untuk klien — menggarisbawahi bagaimana individu yang tidak berinteraksi dengan Accellion secara langsung dapat terungkap, kata para ahli keamanan. (Lihat: Hacker Klaim Telah Mencuri dan Publikasikan File Milik Firma Hukum Terkemuka Jones Day).

Kepala keamanan siber global di FTI Consulting, Anthony J Feerante kasus ini dapat berujung di pengadilan lantaran para pihak telah memulai saling tuding untuk menentukan siapa yang bertanggung jawab.

"Saling menyalahkan baru saja dimulai," kata Mr. Ferrante yang telah ditunjuk sebagai saksi ahli dalam sejumlah tuntutan hukum antar perusahaan, seperti dilansir dari The Wall Street Journal.

Accellion yang berbasis di California mengatakan dalam posting blog pada 12 Januari 2021 bahwa perusahaan mempelajari adanya kerentanan pada perangkat lunak File Transfer Appliance (FTA) miliknya pada pertengahan Desember.

“Accellion menyelesaikan kerentanan dan merilis patch (penambalan) dalam waktu 72 jam kepada kurang dari 50 pelanggan yang terpengaruh,” kata perusahaan itu.

Dalam pembaruan yang diposting 1 Februari, Accellion mengatakan telah memberi tahu "semua pelanggan FTA" tentang kerentanan pada 23 Desember.

"Insiden awal ini adalah awal dari serangan dunia maya bersama pada produk Accellion FTA yang berlanjut hingga Januari 2021," kata perusahaan itu.

Namun begitu, beberapa pelanggan yang terdampak oleh peretasan Accelion mencatat urutan kejadian yang berbeda.

Kantor Auditor Negara Bagian Washington, yang melaporkan bahwa data pribadi lebih dari 1 juta pelamar untuk tunjangan pengangguran mungkin telah diakses melalui alat FTA, mengatakan dalam rilis berita 1 Februari bahwa mereka "pertama kali mengetahui insiden itu pada 12 Januari.”

Accellion membagikan informasi "selama beberapa minggu ke depan" yang membantu kantor menyimpulkan bahwa mereka juga terkena dampaknya, kata Kathleen Cooper, juru bicara Kantor Auditor Negara Bagian Washington, dalam sebuah pernyataan. (Lihat: Ironis! Kantor Auditor Washington Alami Peretasan Justru Lewat Layanan 'Transfer Data Aman' Accellion).

Dari Selandia Baru, bank sentral negara itu melaporkan beberapa filenya dicuri dalam serangan itu. Reserve Bank of New Zealand mengatakan di situs web yang didedikasikan untuk peretasan itu, bahwa Accellion merilis tambalan perangkat lunak pada 20 Desember tetapi tidak segera memberi tahu tim keamanan untuk menginstalnya.

"Accellion gagal memberi tahu bank selama lima hari bahwa serangan terjadi terhadap pelanggannya di seluruh dunia, dan bahwa telah tersedia patch untuk mencegah pelanggaran ini," kata Gubernur bank Adrian Orr dalam pernyataan 9 Februari.

Seorang juru bicara bank menolak berkomentar lebih lanjut mengingat penyelidikan masih  berlangsung.

Perusahaan telekomunikasi Singapora Singtel melaporkan bahwa insiden itu berlangsung berminggu-minggu dan menyebabkan peretas mengambil data, termasuk informasi dari 129.000 pelanggan individu dan 23 perusahaan seperti pemasok dan klien korporat. (Lihat: Singtel Singapura Turut Jadi Korban Serangan Siber Berjamaah via Aplikasi Accellion)

Pada hari Rabu, Singtel mengatakan telah menerapkan serangkaian tambalan ke perangkat lunak Accellion pada 27 Desember. Namun pada 23 Januari, perusahaan mengatakan, "Accellion menyatakan bahwa kerentanan baru telah muncul yang membuat tambalan yang sebelumnya diterapkan pada bulan Desember menjadi tidak efektif."

Singtel mengatakan kemudian mengkonfirmasi pelanggaran data setelah upaya berikutnya untuk memperbarui perangkat lunak memicu "peringatan anomali" dalam sistemnya.

Seorang juru bicara Accellion mengatakan dalam sebuah pernyataan bahwa pihaknya bekerja dengan penyelidik luar untuk menilai peretasan dan kerentanan yang baru ditemukan. Perusahaan itu mengatakan juga membantu pelanggan mengganti perangkat lunak FTA-nya paling lambat 30 April, setelah itu lisensinya tidak akan diperpanjang, dan bermigrasi ke produk baru yang disebut Kiteworks.

Pakar dunia maya mengatakan penyedia perangkat lunak yang menunggu tenggat waktu untuk penghentian alat lama sering kali menyebut mereka mungkin tidak berinvestasi dalam pembaruan aplikasi.

Accellion mengatakan pada 1 Februari bahwa mereka telah mendorong pelanggannya selama tiga tahun terakhir untuk beralih ke Kiteworks. Alat terbarunya disebut memiliki "arsitektur keamanan mutakhir, dan proses pengembangan yang aman dan terpisah".

Singtel mengatakan di situs webnya bahwa Accellion hanya mengumumkan tanggal "akhir masa pakai" FTA pada 28 Januari.Juru bicara Accellion menolak mengomentari pelanggan tertentu dan tidak menanggapi permintaan komentar ketika mengumumkan FTA secara resmi akan berakhir masa berlakunya pada 30 April 2021 (Lihat: Aplikasi ‘File Transfer Appliance’ Milik Accellion Tutup Per 30 April 2021

“Kami akan membagikan lebih banyak informasi setelah penilaian ini selesai,” ujarnya.

Pakar keamanan mengatakan, dampak buruk itu memberikan peringatan untuk secara agresif memeriksa vendor karena penyelidik terus menyelidiki pelanggaran tahun lalu dari setidaknya sembilan agen federal dan 100 perusahaan melalui penyedia perangkat lunak yang berbasis di Texas, SolarWinds Corp.

Serangan terhadap Accellion “terasa seperti SolarWinds mini,” kata Sachin Bansal, penasihat umum untuk SecurityScorecard Inc., sebuah perusahaan keamanan dunia maya. (Baca juga: Investigasi Kasus SolarWinds Kelar, Microsoft Akui Hacker Unduh Sebagian Kode Sumber Azure)

Tim manajemen dan keamanan harus berkoordinasi kapan harus meningkatkan keamanan perangkat lunak untuk menghindari gangguan dan mengurangi risiko, kata Scott Crawford, direktur riset keamanan informasi di 451 Research, bagian dari S&P Global Market Intelligence.

"Kita sangat bergantung pada pihak ketiga sekarang sehingga jika kita tidak mulai menganggap ini serius, kita akan mendapat masalah lebih besar nanti," kata Crawford.[]