Serangan Siber Mengincar Data Klien Oracle: Investigasi Kebocoran Data Sensitif

Di tengah maraknya ancaman keamanan siber global, Oracle, perusahaan teknologi raksasa, menghadapi tantangan serius terkait dugaan kebocoran data yang memengaruhi ribuan kliennya. Seorang peretas dengan identitas daring Rose87168 mengklaim telah berhasil menembus sistem keamanan Oracle Cloud, mencuri jutaan catatan data penting, dan mengancam akan menjualnya ke pihak yang tidak bertanggung jawab.

Rincian Insiden dan Dampaknya

Menurut klaim peretas, serangan ini menargetkan server Single Sign-On (SSO) Oracle Cloud, mengakibatkan kompromi sekitar 6 juta catatan yang berdampak pada 144 ribu klien Oracle. Data yang dicuri diduga mencakup informasi sensitif seperti:

• Kredensial sign-on pengguna
• Kata sandi Lightweight Directory Access Protocol (LDAP)
• Kunci OAuth2

Peretas tersebut bahkan mengancam akan menjual data tersebut jika klien Oracle yang terkena dampak tidak membayar sejumlah tebusan. Selain itu, peretas juga meminta bantuan dari komunitas underground untuk memecahkan kata sandi yang disimpan dalam bentuk hash.

Tanggapan Oracle dan Validasi Pihak Ketiga

Setelah sampel data bocor ke publik, Oracle awalnya membantah adanya penyusupan ke layanan cloud mereka. Namun, bantahan ini justru memicu peretas untuk membocorkan lebih banyak bukti yang menunjukkan keberhasilan serangan tersebut.

Perusahaan keamanan siber terkemuka, termasuk Hudson Rock, CloudSEK, dan Trustwave SpiderLabs, melakukan investigasi independen terhadap sampel data yang bocor. Hasil investigasi mereka mengonfirmasi bahwa data tersebut asli dan berasal dari server Oracle Cloud.

CloudSEK mengidentifikasi bahwa peretas mengeksploitasi celah zero-day CVE-2021-35587 pada perangkat lunak access manager yang terhubung ke Oracle Fusion Middleware. Celah ini memungkinkan peretas untuk menyusup ke sistem Oracle Cloud.

CTO Hudson Rock, Alon Gal, mengkritik keras Oracle karena menutupi kebocoran data ini. Trustwave SpiderLabs juga menguji data sampel dan memastikan bahwa data tersebut berasal dari server Oracle Cloud.

"Dataset yang dideskripsikan peretas memperlihatkan header yang menunjukkan direktori pengguna yang sangat detail dan sensitif, kemungkinan diambil dari Identity and Access Management perusahaan ataupun direktori HR seperti Microsoft Active Directory, Oracle Identity Manager, ataupun platform sejenis," kata Trustwave dalam pernyataannya.

Informasi Tambahan yang Terungkap

Selain kredensial sign-on dan kata sandi, data yang bocor juga diduga mencakup informasi pribadi seperti:

• Nama depan dan belakang
• Nama lengkap
• Alamat email
• Jabatan
• Nomor departemen
• Nomor telepon
• Alamat rumah

Bahkan, peretas juga mengunggah rekaman rapat internal Oracle sebagai bukti tambahan.

Trustwave memperingatkan bahwa kebocoran data dalam format ini dapat menimbulkan risiko keamanan siber dan operasional yang signifikan bagi perusahaan.

Implikasi dan Langkah Selanjutnya

Insiden ini menyoroti pentingnya keamanan siber yang kuat dan respons yang transparan terhadap pelanggaran data. Klien Oracle yang terkena dampak harus segera mengambil langkah-langkah untuk melindungi data mereka, termasuk mengubah kata sandi dan memantau aktivitas yang mencurigakan.

Oracle perlu melakukan investigasi menyeluruh terhadap insiden ini dan mengambil langkah-langkah untuk mencegah serangan serupa di masa mendatang. Perusahaan juga harus lebih transparan dalam berkomunikasi dengan klien mereka tentang risiko keamanan.

Insiden ini juga menjadi pengingat bagi semua organisasi untuk memprioritaskan keamanan siber dan menerapkan langkah-langkah yang tepat untuk melindungi data sensitif mereka.