Senjata Makan Tuan: Bukannya Aman, VPN Malah Bikin Data KAI Dibobol?

Uzone.id –  Pembobolan data KAI menjadi ‘pembuka’ kasus kebocoran data di Indonesia tahun ini. Kurang lebih 22.500 kredensial pelanggan berhasil dicuri oleh geng ransomware ‘Stormous’.

Kebocoran data ini mengancam keamanan Face Recognition yang sudah mulai diterapkan oleh KAI pada para pelanggan. 

Dari penemuan terbaru yang dilaporkan pakar siber Vaksincom, Alfons Tanujaya, belum ada bukti kalau hacker ini mendapat data-data dari Face Recognition.

“Dari sampel data yang diberikan, belum ada bukti kalau database server khususnya data Face Recognition yang berhasil diretas,” ujarnya dalam keterangan yang diterima Uzone.id, Senin, (22/01).

Dari sampel data yang dibagikan oleh Stormous Ransomware, mayoritas dari data ini isinya adalah makalah, manual operasional perangkat, hasil workshop, meeting update, video materi training, workshop, dan manual.

Nah, bicara soal penyebabnya, ada berbagai spekulasi yang muncul terkait penyebab kebocoran data ini, ada yang bilang phishing, ada juga yang bilang kalau KAI diserang oleh ransomware.

Alfons menemukan fakta lain dari kebocoran data KAI ini, dimana kemungkinan besar peretasan ini berasal dari komputer yang terkoneksi dengan VPN.

“Dari tangkapan layar yang diberikan oleh Stormous, terlihat bahwa kemungkinan besar yang diretas adalah komputer endpoint dimana koneksi VPN yang selama ini dipercaya aman malahan menjadi senjata makan tuan,” ujar Alfons.

Peretas masuk dengan menembus pengamanan koneksi VPN lalu berhasil masuk ke dalam jaringan VPN. alih-alih menjadi aman, hacker ini justru mendapatkan akses penuh ke dalam sistem yang dilindungi VPN itu sendiri.

Biasanya, VPN atau Virtual Private Network digunakan oleh korporat untuk mengamankan koneksi antar kantor, dimana data yang dikomunikasikan antar kantor dienkripsi sedemikian rupa sehingga jika berhasil disadap tetap akan aman karena data tersebut terenkripsi.

“Tetapi ceritanya akan lain ketika koneksi VPN ini berhasil dieksploitasi atau dicuri dengan berbagai metode seperti eksploitasi celah keamanan, phishing, (apabila) korban menggunakan piranti lunak bajakan,” jelas Alfons.

Software bajakan ini ketika diinstal justru akan membuka celah keamanan dan mengundang peretas untuk masuk ke dalam sistem komputernya. 

Selain itu, jebakan lain seperti promosi film terbaru atau konten musik gratis yang berisi codec tertentu juga jadi celah peretas untuk masuk. Codec ini mengandung trojan yang kemudian secara diam-diam akan membuka celah akses pada komputer.

Menggunakan VPN tidak selalu aman, karena bisa jadi ada oknum yang berhasil masuk dan mengeksploitasi salah satu endpoint dengan cara masuk ke jaringan VPN perusahaan.

“Jadi VPN perlu dipergunakan sesuai fungsinya, dan perlu menggunakan pengamanan tambahan lainnya,” kata Alfons.

Sementara itu, VPN sendiri memiliki beberapa kelemahan yang sering tidak disadari oleh penggunanya. 

Pertama, karena pengamanannya berbasis perimeter, maka siapapun bisa melewati proses otentikasi. Hal ini memudahkan peretas untuk masuk dan mengeksploitasi jaringan serta sumber daya penting. 

“Jadi sebenarnya VPN akan berguna untuk mengakses jaringan internal antar kantor berbeda lokasi tetapi tidak memberikan pengamanan maksimal ketika digunakan untuk akses remote,” tambah Alfons.

Kedua, VPN juga tidak memberikan record audit yang lengkap. Umumnya, yang disimpan hanya IP asal dan waktu koneksi. 

“Jika terjadi peretasan dan masalah, maka akan sulit untuk mengetahui secara detail apa yang sebenarnya terjadi dan bagaimana detailnya,” jelas Alfons.

Ketiga, yang paling penting VPN tidak melindungi pengguna dari peretas. Kenyataannya, protokol VPN yang lemah dan koneksi internet yang tidak aman justru mengakibatkan kebocoran data pada banyak perusahaan besar.

Peretas justru menggunakan VPN untuk mendapatkan akses ke dalam jaringan perusahaan.

Alfons menjelaskan, “Jika bisnis kalian menggunakan banyak vendor pihak ketiga dan mereka memiliki akses penuh ke dalam jaringan kalian, maka peretas akan memiliki banyak jalan untuk masuk ke dalam jaringan.”

Kelemahan keempat, VPN dapat mempengaruhi jaringan dan performa jika digunakan dalam jangka panjang. Tentunya hal ini juga akan mempengaruhi produktivitas dan performa karyawan.

Alih-alih berfokus pada VPN, Alfons berharap kalau pihak KAI menerapkan standar pengamanan data biometrik yang baik dan benar, sesuai dengan ISO 27001:2022.

“Setidaknya sesuai ISO 27001:2022, sehingga para pengguna bisa terhindar dari eksploitasi kebocoran data khususnya data biometrik yang menjadi tanggung jawab pihak KAI sebagai pengelola data ini,” tambah Alfons.