Jakarta - PT. Kereta Api Indonesia (PT. KAI) menjadi korban kebocoran data yang terpublikasi pertama kali di tahun 2024. Menurut cuitan dari akun @TodayCyberNews di platform X (Twitter) pada tanggal 14 Januari lalu, PT. KAI menjadi korban peretas yang melakukan klaim telah berhasil mencuri beberapa data sensitif seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi dan berbagai data internal lainnya.

“Dari investigasi yang CISSReC lakukan, peretasan kepada PT. KAI dilakukan oleh gang ransomware bernama Stormous sekitar satu minggu sebelum informasi peretasan dikeluarkan oleh mereka,” kata Chairman Lembaga Riset Keamanan Siber CISSReC, Dr. Pratama Persadha, dalam keterangan tertulisnya kepada redaksi mnctrijaya.com, Rabu (17/1/2024). 

Geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem PT. KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan. Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT. KAI dan mengunduh data yang ada didalam dashboard tersebut.

Geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah karyawan KAI yang mereka dapatkan. “Ini mempertegas bahwa memang Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan baik itu melalui metode phising serta social engineering atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers,” lanjut Pratama.

PT. KAI sepertinya sudah menyadari adanya serangan tersebut dan melakukan beberapa mitigasi seperti menghapus menonaktifkan portal VPN di situs PT. KAI dimana peretas masuk dan mengakses sistem PT. KAI serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous terebut. 

“Namun menurut geng ransomware Stormous hal tersebut sia-sia karena mereka bukan baru satu jam masuk kedalam sistem PT. KAI namun sudah hampir satu minggu mereka berhasil masuk dan mengunduh data yang ada didalam system,” ujarnya.

Melakukan mitigasi seperti itu bisa saja tidak efisien karena ada juga kemungkinan bahwa geng ransomware tersebut telah memasang backdoor di dalam sistem PT. KAI yang dapat mereka pergunakan untuk mengakses kembali sistem PT. KAI kapanpun mereka mau.

“Karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka. Sehingga jika tidak dapat menemukan backdoor tersebut maka salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang PT. KAI miliki dengan sebelumnya melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor tersebut,” ulas Pratama.

Menurut data yang berhasil digali CISSReC, terdapat 82 kredensial karyawan PT. KAI yang bocor serta hampir 22.5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT. KAI. Data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI tersebut.

“Kalau kita melihat sistem keamanan siber, kita tidak bisa melihat hanya pada satu sisi infrastruktur serta perangkat keamanan siber saja, tapi juga aspek lainnya seperti pelatihan karyawan terhadap aspek keamanan siber juga menjadi titik kritis terhadap keamanan siber suatu organisasi karena tak jarang serangan siber yang terjadi berawal dari diretasnya pc/laptop karyawan atau didapatkanya data kredensial karyawan melalui serangan phising,” sambungnya.

Meskipun keamanan siber yang dimiliki oleh lembaga sudah menggunakan sistem yang paling mutakhir dan paling canggih namun edukasi terhadap karyawan serta keamanan siber dari perangkat kerja kurang, maka secara keseluruhan sistem keamanan suatu lembaga akan dianggap kurang kuat dan atau kurang mumpuni karena masih memiliki celah untuk masuknya sebuah serangan. 

Beberapa hal yang perlu diajarkan kepada personel tersebut adalah bagaimana mengetahui serta mengenali sebuah postensi serangan siber yang sedang terjadi sehingga tidak terjebak untuk melakukan suatu aktivitas yang dapat menyebabkan komputer atau laptop mereka diambilalih kontrolnya oleh peretas dan dapat dipergunakan peretas untuk masuk lebih jauh kedalam sistem dan mencuri bahkan merusak data yang ada di dalam sistem tersebut.

Tidak hanya itu, melihat trend ancaman sekarang ini juga, sangat terlihat bahwa security/keamanan hanya menjadi add on atau tambahan dari sistem yang dimiliki oleh suatu organisai, padahal resikonya yang dihadapinya sangat tinggi. Oleh karena itu harus ada gerakan masif dan terstruktur agar keamanan siber menjadi salah satu fokus yang dimengerti dan ditetapkan oleh High Level Person atau pimpinan di organisasi, sehingga harapannya keamanan siber ini bisa dimulai dari hulu, bahkan jauh sebelum aplikasi dibuat, keamanan sudah menjadi fokus atau dengan kata lain perlu adanya kampanye tentang konsep "Security By Design"

“PT. KAI harus betul betul mempertimbangkan aspek keamanan siber terutama saat ini PT. KAI sedang gencar-gencarnya mengimplementasikan sistem face recognition pada sistem ticketing mereka termasuk untuk keperluan boarding, sehingga PT. KAI harus lebih waspada serta memperkuat sistem keamanan siber yang dimilikinya,” pungkas Pratama.

Pada laman darkweb nya, geng ransomware Stormous membagikan sample data yang mereka curi dari PT. KAI sebesar 2,2 GB file dalam bentuk terkompresi dan diberi nama kai.rar. Geng peretas Stormous memberikan tenggat waktu selama 15 hari kepada PT. KAI untuk melakukan negosiasi dan membayar tebusan yang mereka minta yaitu sebesar 11,69 BTC atau hampir setara dengan 7,9 milyar rupiah dan mengancam akan mempublikasikan semua data yang mereka dapatkan jika tebusan tidak dibayarkan.

Dibantah KAI

Sementara itu PT KAI membantah isu kebocoran data penumpang dan karyawannya. VP Public Relations KAI Joni Martinus menegaskan sampai saat ini belum ada bukti kebocoran itu terjadi.

"Kami tetap melakukan investigasi secara mendalam untuk menelusuri isu tersebut," kata Joni dalam siaran persnya. "Kami juga pastikan seluruh data KAI aman dan hingga saat ini seluruh sistem operasional IT, pembelian tiket online KAI, serta layanan Face Recognition Boarding Gate di semua stasiun masih berjalan dengan baik," tegas dia.