(Bloomberg) — Dalam sebuah episode yang menggarisbawahi kerentanan jaringan komputer global, peretas mendapatkan kredensial login untuk pusat data di Asia yang digunakan oleh beberapa bisnis terbesar di dunia, sumber potensial untuk mata-mata atau sabotase, menurut sebuah firma riset keamanan siber .
Paling Banyak Dibaca dari Bloomberg
Cache data yang sebelumnya tidak dilaporkan melibatkan email dan kata sandi untuk situs web dukungan pelanggan untuk dua operator pusat data terbesar di Asia: GDS Holdings Ltd. yang berbasis di Shanghai dan Pusat Data Global ST Telemedia yang berbasis di Singapura, menurut Resecurity Inc., yang menyediakan layanan keamanan siber dan menyelidiki peretas. Sekitar 2,000 pelanggan GDS dan STT GDC terkena dampaknya. Peretas telah masuk ke akun setidaknya lima dari mereka, termasuk valuta asing utama China dan platform perdagangan utang dan empat lainnya dari India, menurut Resecurity, yang mengatakan telah menyusup ke grup peretasan.
Tidak jelas apa — jika ada — yang dilakukan peretas dengan login lainnya. Informasi tersebut mencakup kredensial dalam berbagai nomor untuk beberapa perusahaan terbesar di dunia, termasuk Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., dan Walmart Inc., menurut perusahaan keamanan dan ratusan halaman dokumen yang diulas Bloomberg.
Menanggapi pertanyaan tentang temuan Resecurity, GDS mengatakan dalam sebuah pernyataan bahwa situs web dukungan pelanggan dilanggar pada tahun 2021. Tidak jelas bagaimana para peretas memperoleh data STT GDC. Perusahaan itu mengatakan tidak menemukan bukti bahwa portal layanan pelanggannya dikompromikan tahun itu. Kedua perusahaan mengatakan kredensial palsu tidak menimbulkan risiko bagi sistem atau data TI klien.
Namun, Resecurity dan eksekutif di empat perusahaan besar berbasis di AS yang terpengaruh mengatakan kredensial yang dicuri mewakili bahaya yang tidak biasa dan serius, terutama karena situs web dukungan pelanggan mengontrol siapa yang diizinkan untuk mengakses secara fisik peralatan TI yang ditempatkan di pusat data. Para eksekutif tersebut, yang mengetahui tentang insiden tersebut dari Bloomberg News dan menguatkan informasi tersebut dengan tim keamanan mereka, yang meminta untuk tidak disebutkan namanya karena mereka tidak berwenang untuk berbicara secara terbuka tentang masalah tersebut.
Daftar untuk buletin keamanan siber mingguan kami, Buletin Cyber, di sini.
Besarnya kehilangan data yang dilaporkan oleh Resecurity menyoroti meningkatnya risiko yang dihadapi perusahaan karena ketergantungan mereka pada pihak ketiga untuk menyimpan data dan peralatan TI serta membantu jaringan mereka menjangkau pasar global. Pakar keamanan mengatakan masalah ini sangat akut di China, yang mengharuskan perusahaan untuk bermitra dengan penyedia layanan data lokal.
“Ini adalah mimpi buruk yang menunggu untuk terjadi,” kata Michael Henry, mantan chief information officer untuk Digital Realty Trust Inc., salah satu operator pusat data terbesar AS, ketika diberitahu tentang insiden tersebut oleh Bloomberg. (Digital Realty Trust tidak terpengaruh oleh insiden tersebut). Skenario terburuk untuk setiap operator pusat data adalah bahwa penyerang entah bagaimana mendapatkan akses fisik ke server klien dan memasang kode berbahaya atau peralatan tambahan, kata Henry. “Jika mereka dapat mencapai itu, mereka berpotensi mengganggu komunikasi dan perdagangan dalam skala besar.”
GDS dan STT GDC mengatakan mereka tidak memiliki indikasi bahwa hal seperti itu terjadi, dan layanan inti mereka tidak terpengaruh.
Peretas memiliki akses ke kredensial login selama lebih dari setahun sebelum mempostingnya untuk dijual di web gelap bulan lalu, seharga $175,000, mengatakan mereka kewalahan dengan volumenya, menurut Resecurity dan tangkapan layar dari postingan yang ditinjau oleh Bloomberg .
"Saya menggunakan beberapa target," kata para peretas di pos tersebut. “Tetapi tidak dapat menangani karena jumlah perusahaan lebih dari 2,000.”
Alamat email dan kata sandi dapat memungkinkan peretas menyamar sebagai pengguna resmi di situs web layanan pelanggan, menurut Resecurity. Perusahaan keamanan menemukan cache data pada September 2021 dan mengatakan juga menemukan bukti bahwa peretas menggunakannya untuk mengakses akun pelanggan GDS dan STT GDC baru-baru ini pada Januari, ketika kedua operator pusat data memaksa penyetelan ulang kata sandi pelanggan, menurut Resecurity.
Bahkan tanpa kata sandi yang valid, datanya akan tetap berharga — memungkinkan peretas membuat email phishing yang ditargetkan terhadap orang-orang dengan akses tingkat tinggi ke jaringan perusahaan mereka, menurut Resecurity.
Sebagian besar perusahaan yang terkena dampak yang dihubungi Bloomberg News, termasuk Alibaba, Amazon, Huawei dan Walmart, menolak berkomentar. Apple tidak menanggapi pesan yang meminta komentar.
Dalam sebuah pernyataan, Microsoft mengatakan, "Kami secara teratur memantau ancaman yang dapat berdampak pada Microsoft dan ketika potensi ancaman teridentifikasi, kami mengambil tindakan yang tepat untuk melindungi Microsoft dan pelanggan kami." Seorang juru bicara Goldman Sachs mengatakan, "Kami memiliki kontrol tambahan untuk melindungi dari jenis pelanggaran ini dan kami puas bahwa data kami tidak berisiko."
Pembuat mobil BMW mengatakan menyadari masalah ini. Tetapi seorang juru bicara perusahaan mengatakan, "Setelah penilaian, masalah tersebut memiliki dampak yang sangat terbatas pada bisnis BMW dan tidak menyebabkan kerusakan pada pelanggan BMW dan informasi terkait produk." Juru bicara menambahkan, "BMW telah mendesak GDS untuk meningkatkan tingkat keamanan informasi."
GDS dan STT GDC adalah dua penyedia layanan “colocation” terbesar di Asia. Mereka bertindak sebagai tuan tanah, menyewakan ruang di pusat data mereka kepada klien yang memasang dan mengelola peralatan TI mereka sendiri di sana, biasanya agar lebih dekat dengan pelanggan dan operasi bisnis di Asia. GDS adalah salah satu dari tiga penyedia kolokasi teratas di China, pasar terbesar kedua untuk layanan tersebut di dunia setelah AS, menurut Synergy Research Group Inc. Singapura berada di peringkat keenam.
Perusahaan-perusahaan tersebut juga saling terkait: sebuah pengajuan perusahaan menunjukkan bahwa pada tahun 2014, Singapore Technologies Telemedia Pte, induk dari STT GDC, mengakuisisi 40% saham di GDS.
Chief Executive Officer Resecurity Gene Yoo mengatakan perusahaannya mengungkap insiden pada tahun 2021 setelah salah satu operasinya menyamar untuk menyusup ke grup peretasan di China yang telah menyerang target pemerintah di Taiwan.
Segera setelah itu, itu memberi tahu GDS dan STT GDC dan sejumlah kecil klien Resecurity yang terkena dampaknya, menurut Yoo dan dokumennya.
Resecurity memberi tahu GDS dan STT GDC lagi pada bulan Januari setelah menemukan peretas mengakses akun, dan perusahaan keamanan juga memberi tahu pihak berwenang di China dan Singapura pada waktu itu, menurut Yoo dan dokumen tersebut.
Kedua operator pusat data mengatakan bahwa mereka segera menanggapi ketika diberi tahu tentang masalah keamanan dan memulai penyelidikan internal.
Cheryl Lee, juru bicara Badan Keamanan Siber Singapura, mengatakan badan tersebut "mengetahui insiden tersebut dan membantu ST Telemedia dalam masalah ini." Tim Teknis Tanggap Darurat Jaringan Komputer Nasional/Pusat Koordinasi China, sebuah organisasi non-pemerintah yang menangani tanggap darurat dunia maya, tidak menanggapi pesan yang meminta komentar.
GDS mengakui bahwa situs web dukungan pelanggan dilanggar dan mengatakan bahwa mereka menyelidiki dan memperbaiki kerentanan di situs tersebut pada tahun 2021.
“Aplikasi yang menjadi sasaran peretas terbatas dalam ruang lingkup dan informasi untuk fungsi layanan non-kritis, seperti membuat permintaan tiket, menjadwalkan pengiriman peralatan secara fisik, dan meninjau laporan pemeliharaan,” menurut pernyataan perusahaan. “Permintaan yang dilakukan melalui aplikasi biasanya memerlukan tindak lanjut dan konfirmasi secara offline. Mengingat sifat dasar dari aplikasi tersebut, pelanggaran tersebut tidak mengakibatkan ancaman apa pun terhadap operasi TI pelanggan kami.”
STT GDC mengatakan telah membawa pakar keamanan siber eksternal ketika mengetahui tentang insiden tersebut pada tahun 2021. “Sistem TI yang dimaksud adalah alat tiket layanan pelanggan” dan “tidak memiliki koneksi ke sistem perusahaan lain atau infrastruktur data penting apa pun,” kata perusahaan itu .
Perusahaan mengatakan portal layanan pelanggannya tidak dilanggar pada tahun 2021 dan bahwa kredensial yang diperoleh Resecurity adalah “daftar kredensial pengguna sebagian dan usang untuk aplikasi tiket pelanggan kami. Data semacam itu sekarang tidak valid dan tidak menimbulkan risiko keamanan di masa mendatang.”
"Tidak ada akses tidak sah atau kehilangan data yang teramati," menurut pernyataan STT GDC.
Terlepas dari bagaimana para peretas mungkin menggunakan informasi tersebut, pakar keamanan dunia maya mengatakan pencurian tersebut menunjukkan bahwa penyerang sedang mengeksplorasi cara-cara baru untuk menyusup ke target yang sulit.
Keamanan fisik peralatan TI di pusat data pihak ketiga dan sistem untuk mengontrol akses ke sana merupakan kerentanan yang sering diabaikan oleh departemen keamanan korporat, kata Malcolm Harkins, mantan kepala keamanan dan tawaran privasi Intel Corp. peralatan "dapat memiliki konsekuensi yang menghancurkan," kata Harkins.
Peretas memperoleh alamat email dan kata sandi untuk lebih dari 3,000 orang di GDS - termasuk karyawannya sendiri dan pelanggannya - dan lebih dari 1,000 dari STT GDC, menurut dokumen yang ditinjau oleh Bloomberg News.
Peretas juga mencuri kredensial untuk jaringan GDS lebih dari 30,000 kamera pengintai, yang sebagian besar bergantung pada kata sandi sederhana seperti "admin" atau "admin12345," menurut dokumen tersebut. GDS tidak menjawab pertanyaan tentang dugaan pencurian kredensial ke jaringan kamera, atau tentang kata sandi.
Jumlah kredensial masuk untuk situs web dukungan pelanggan bervariasi untuk pelanggan yang berbeda. Misalnya, ada 201 akun di Alibaba, 99 di Amazon, 32 di Microsoft, 16 di Baidu Inc., 15 di Bank of America Corp., tujuh di Bank of China Ltd., empat di Apple dan tiga di Goldman, menurut dokumen-dokumen. Yoo Resecurity mengatakan para peretas hanya memerlukan satu alamat email dan kata sandi yang valid untuk mengakses akun perusahaan di portal layanan pelanggan.
Di antara perusahaan lain yang rincian login pekerjanya diperoleh, menurut Resecurity dan dokumennya, adalah: Bharti Airtel Ltd. di India, Bloomberg LP (pemilik Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. .di Filipina, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. di Australia, Tencent Holdings Ltd., Verizon Communications Inc. dan Wells Fargo & Co.
Dalam sebuah pernyataan, Baidu berkata, “Kami tidak percaya ada data yang disusupi. Baidu menaruh perhatian besar untuk memastikan keamanan data pelanggan kami. Kami akan terus mengawasi hal-hal seperti ini dan tetap waspada terhadap setiap ancaman yang muncul terhadap keamanan data di bagian mana pun dari operasi kami.”
Perwakilan Porsche mengatakan, "Dalam kasus khusus ini kami tidak memiliki indikasi bahwa ada risiko." Perwakilan SoftBank mengatakan anak perusahaan China berhenti menggunakan GDS tahun lalu. “Tidak ada kebocoran data informasi pelanggan dari perusahaan China lokal yang dikonfirmasi, juga tidak ada dampak apa pun pada bisnis dan layanannya,” kata perwakilan tersebut.
Seorang juru bicara Telstra mengatakan, “Kami tidak mengetahui adanya dampak terhadap bisnis setelah pelanggaran ini,” sementara perwakilan Mastercard mengatakan, “Sementara kami terus memantau situasi ini, kami tidak mengetahui adanya risiko terhadap bisnis kami atau dampak terhadap jaringan atau sistem transaksi kami.”
Perwakilan Tencent mengatakan, “Kami tidak mengetahui adanya dampak terhadap bisnis setelah pelanggaran ini. Kami mengelola server kami di dalam pusat data secara langsung, dengan operator fasilitas pusat data tidak memiliki akses ke data apa pun yang disimpan di server Tencent. Kami belum menemukan akses tidak sah ke sistem dan server TI kami setelah penyelidikan, yang tetap aman dan terjamin.”
Seorang juru bicara Wells Fargo mengatakan mereka menggunakan GDS untuk cadangan infrastruktur TI hingga Desember 2022. “GDS tidak memiliki akses ke data, sistem, atau jaringan Wells Fargo Wells Fargo,” kata perusahaan itu. Semua perusahaan lain menolak berkomentar atau tidak menanggapi.
Yoo dari Resecurity mengatakan bahwa pada bulan Januari, agen penyamaran perusahaannya menekan para peretas untuk mendemonstrasikan apakah mereka masih memiliki akses ke akun. Para peretas memberikan tangkapan layar yang menunjukkan mereka masuk ke akun untuk lima perusahaan dan menavigasi ke halaman berbeda di portal online GDS dan STT GDC, katanya. Resecurity mengizinkan Bloomberg News untuk meninjau tangkapan layar tersebut.
Di GDS, para peretas mengakses akun untuk Sistem Perdagangan Valuta Asing China, lengan bank sentral China yang memainkan peran kunci dalam perekonomian negara itu, mengoperasikan platform perdagangan valuta asing dan utang utama pemerintah, menurut tangkapan layar dan Resecurity. Organisasi tidak menanggapi pesan.
Di STT GDC, para peretas mengakses akun National Internet Exchange of India, sebuah organisasi yang menghubungkan penyedia internet di seluruh negeri, dan tiga lainnya yang berbasis di India: MyLink Services Pvt., Skymax Broadband Services Pvt., dan Logix InfoSecurity Pvt., tangkapan layar menunjukkan.
Dihubungi oleh Bloomberg, Pertukaran Internet Nasional India mengatakan tidak mengetahui insiden tersebut dan menolak berkomentar lebih lanjut. Tak satu pun dari organisasi lain di India menanggapi permintaan komentar.
Ditanya tentang klaim bahwa peretas masih mengakses akun pada bulan Januari menggunakan kredensial yang dicuri, perwakilan GDS berkata, “Baru-baru ini, kami mendeteksi beberapa serangan baru dari peretas menggunakan informasi akses akun lama. Kami telah menggunakan berbagai alat teknis untuk memblokir serangan ini. Sejauh ini, kami belum menemukan pembobolan baru yang berhasil dari peretas yang disebabkan oleh kerentanan sistem kami.”
Perwakilan GDS menambahkan, “Seperti yang kami ketahui, satu pelanggan tidak mengatur ulang salah satu kata sandi akun mereka ke aplikasi ini yang dimiliki oleh mantan karyawan mereka. Itulah alasan mengapa kami baru-baru ini memaksa reset kata sandi untuk semua pengguna. Kami percaya ini adalah peristiwa yang terisolasi. Ini bukan hasil dari peretas yang menerobos sistem keamanan kami.”
STT GDC mengatakan menerima pemberitahuan pada bulan Januari tentang ancaman lebih lanjut terhadap portal layanan pelanggan di “wilayah India dan Thailand kami.” "Investigasi kami hingga saat ini menunjukkan bahwa tidak ada kehilangan atau dampak data pada salah satu portal layanan pelanggan ini," kata perusahaan itu.
Pada akhir Januari, setelah GDS dan STT GDC mengubah kata sandi pelanggan, Resecurity melihat para peretas memposting database untuk dijual di forum web gelap, dalam bahasa Inggris dan Cina, menurut Yoo.
“DB berisi informasi pelanggan, dapat digunakan untuk phishing, akses kabinet, pemantauan pesanan dan peralatan, pesanan tangan jarak jauh,” tulis postingan tersebut. “Siapa yang dapat membantu dengan phishing yang ditargetkan?”
Paling Banyak Dibaca dari Bloomberg Businessweek
© 2023 Bloomberg LP
Sumber: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html