Bagaimana pelanggaran data Optus terjadi dan bagaimana cara menghindarinya?

1. Pendahuluan#

Pada September 2022, Optus, salah satu penyedia telekomunikasi terkemuka di Australia, mengalami pelanggaran data yang mengekspos informasi pribadi hampir 10 juta pelanggan. Insiden ini menandai salah satu serangan siber terbesar dalam sejarah Australia, yang memicu kekhawatiran tinggi terkait privasi data dan praktik keamanan di negara tersebut.

Artikel ini akan fokus pada pertanyaan-pertanyaan berikut:

• Apa saja celah keamanan yang dimiliki Optus sehingga menyebabkan pelanggaran data?
• Apa saja metode pencegahan yang bisa digunakan Optus untuk menghindari pelanggaran keamanan tersebut?

2. Celah Keamanan yang menyebabkan pelanggaran data Optus#

Berikut adalah 5 celah keamanan dari pelanggaran data di Optus.

2.1 Celah Keamanan #1: API yang terbuka untuk publik#

Celah keamanan besar pertama dalam pelanggaran Optus adalah penggunaan API (Application Programming Interface) publik yang memfasilitasi akses ke data internal sensitif. API publik dirancang untuk memungkinkan sistem eksternal berinteraksi dengan layanan perusahaan, tetapi ketika API ini tidak diamankan dengan benar, mereka dapat menjadi pintu masuk bagi penyerang.

Untuk apa API publik digunakan?

API publik yang aman, seperti contohnya API Google Maps atau API Cuaca, menyediakan data terbatas dan tidak sensitif ke sistem eksternal. Mereka dirancang untuk mengisolasi data apa pun yang dibagikan dari operasi bisnis inti, menjadikannya secara inheren lebih aman.

Mengapa API publik menjadi masalah dalam kasus ini?

Tidak seperti API yang aman, API Optus mengekspos informasi sensitif pelanggan dan kekurangan pengamanan esensial. Hal ini membuatnya rentan terhadap penyerang yang dapat menemukannya melalui pemindaian internet.

Bagaimana penyerang dapat mengeksploitasi API ini?

Tanpa autentikasi atau isolasi data, penyerang dapat terhubung langsung ke API dan mengambil informasi rahasia pelanggan, melewati langkah-langkah keamanan internal.

2.2 Celah Keamanan #2: API tidak aman yang memberikan akses ke data sensitif pelanggan#

Celah keamanan besar kedua dalam pelanggaran data Optus adalah bahwa API tersebut tidak diamankan. API tersebut karenanya memberikan akses ke data pelanggan yang sangat sensitif. Meskipun masalah pertama berpusat pada API yang terbuka untuk publik, masalah kritis di sini adalah kurangnya kontrol akses yang tepat, yang memungkinkan akses tak terbatas ke informasi rahasia.

Saat pelanggan Optus mengakses akun mereka melalui aplikasi seluler atau situs web Optus, API memfasilitasi komunikasi antara sistem frontend dan backend untuk mengambil data yang diperlukan. Proses backend ini sering kali menangani informasi sensitif untuk memuat profil pelanggan.

Dalam kasus ini, API yang terekspos memberi penyerang akses langsung ke jenis data pribadi berikut, yang sangat berharga untuk pencurian identitas dan penipuan:

• Nomor SIM • Nomor telepon • Tanggal lahir • Alamat rumah

Analisis data Sistem Nama Domain (DNS) publik kemudian mengungkapkan bahwa API ini kemungkinan besar terbuka untuk publik dan dapat diakses oleh siapa saja di internet hingga tiga bulan lamanya.

2.3 Celah Keamanan #3: Penggunaan pengidentifikasi pelanggan yang berurutan#

Celah keamanan ketiga dalam pelanggaran data Optus adalah penggunaan pengidentifikasi pelanggan yang berurutan (incrementing customer identifiers). Di dunia digital, pengidentifikasi unik pelanggan—yang terdiri dari urutan acak angka dan huruf—digunakan untuk membedakan akun secara aman. Praktik terbaik keamanan siber menetapkan bahwa pengidentifikasi ini harus acak dan tidak terkait satu sama lain, untuk mencegah peretas mengidentifikasi pola.

Pengidentifikasi pelanggan Optus: Dalam kasus ini, pengidentifikasi pelanggan mengikuti pola yang dapat diprediksi, berbeda dengan penambahan 1 angka. Misalnya, jika salah satu pengidentifikasi pelanggan adalah 5332, yang berikutnya adalah 5333. Setelah peretas mendapatkan akses ke basis data, mereka dapat menulis skrip otomatis untuk mengambil setiap catatan hanya dengan menaikkan angka pengidentifikasi.

Pendekatan otomatis ini mempercepat proses pencurian data, memungkinkan penyerang mengeksfiltrasi data pelanggan sensitif dalam skala besar. Celah desain yang dapat diprediksi ini memungkinkan pelanggaran Optus terjadi lebih cepat dan memengaruhi lebih banyak pelanggan daripada yang seharusnya terjadi.

2.4 Celah Keamanan #4: Kontrol akses yang melemah karena kesalahan pengodean#

Selain kerentanan API dan ID pelanggan, ada lebih banyak masalah keamanan: Pada tahun 2018, kesalahan pengodean melemahkan kontrol akses pada domain Optus tertentu, membuatnya kurang aman. Meskipun Optus memperbaiki masalah ini di situs web utamanya pada Agustus 2021, mereka gagal menerapkan perbaikan yang sama ke situs web sekunder yang dapat diakses di internet. Domain sekunder ini tetap rentan hingga pelanggaran tersebut ditemukan pada September 2022.

Kekhilafan ini meninggalkan celah keamanan yang signifikan. Domain yang menghadap publik adalah target umum bagi penyerang, dan kerentanan apa pun yang belum ditambal meningkatkan risiko akses tidak sah. Dalam kasus ini, kesalahan pengodean memungkinkan penyerang melewati kontrol akses dan mengakses data sensitif.

Mengabaikan domain sekunder atau yang kurang terlihat dapat membiarkan kerentanan kritis terbuka, yang dapat dieksploitasi penyerang dengan mudah. Audit rutin dan pengujian menyeluruh sangat penting untuk memastikan pembaruan keamanan diterapkan di mana pun diperlukan.

2.5 Celah Keamanan #5: Domain sekunder yang rentan#

Kurangnya pengawasan yang tepat ini meluas ke domain sekunder, yang memainkan peran kunci dalam pelanggaran tersebut. Meskipun domain tersebut tidak digunakan secara aktif, domain tersebut tetap online dan tidak terlindungi untuk jangka waktu yang lama. Meskipun tidak diperlukan untuk operasi sehari-hari, domain tersebut tidak diamankan dengan kontrol akses yang tepat atau dinonaktifkan, menciptakan titik masuk yang mudah bagi penyerang untuk mengeksploitasinya.

Bahkan ketika tidak digunakan secara aktif, domain tersebut masih dapat berfungsi sebagai vektor serangan jika ada kerentanan. Untuk memitigasi risiko ini, perusahaan harus mengaudit aset digital mereka secara teratur, segera menonaktifkan domain yang tidak digunakan, atau menerapkan tingkat keamanan yang sama dengan sistem yang aktif.

3. Bagaimana cara menghindari pelanggaran data semacam itu?#

Untuk mencegah pelanggaran data yang serupa dengan peretasan Optus dan memitigasi risiko kerusakan reputasi, organisasi dapat mengadopsi berbagai strategi keamanan yang dapat Anda temukan di bawah ini:

3.1 Tindakan Pencegahan #1: Merujuk pada Proyek Keamanan API OWASP#

Proyek Keamanan API OWASP adalah sumber daya yang diperbarui secara berkala yang menyoroti risiko keamanan API yang diketahui. Sangat penting bagi tim keamanan siber untuk memantau basis data ini secara rutin guna mengidentifikasi dan mengatasi kerentanan yang dapat berdampak pada bisnis mereka. Sumber daya ini mencakup berbagai potensi risiko, misalnya:

• Otorisasi Tingkat Objek yang Rusak (Broken Object Level Authorization/BOLA): Celah dalam izin akses pengguna yang memungkinkan akses data tidak sah.

• Pengeksposan Data yang Berlebihan (Excessive Data Exposure): API mengembalikan lebih banyak informasi daripada yang diperlukan, meningkatkan risiko kebocoran data sensitif.

• Kesalahan Konfigurasi Keamanan (Security Misconfigurations): Pengaturan atau default yang tidak selaras yang mengekspos API sensitif terhadap serangan.

• Celah Injeksi (Injection Flaws): Penyerang mengeksploitasi API untuk menyuntikkan perintah atau data berbahaya.

3.2 Tindakan Pencegahan #2: Mengamankan semua API dengan Protokol Autentikasi#

Proyek Keamanan API OWASP menyoroti API tanpa autentikasi sebagai kerentanan API paling umum kedua. API ini tidak memerlukan nama pengguna, kata sandi, atau metode autentikasi apa pun untuk membuat koneksi, menjadikannya sangat rentan terhadap eksploitasi. Jenis kelemahan ini memainkan peran sentral dalam pelanggaran data Optus.

Dalam beberapa kasus, API sengaja dibiarkan tanpa autentikasi untuk menjaga kompatibilitas dengan sistem lama (legacy) atau untuk tujuan pengujian. Kemungkinan besar Optus membiarkan API-nya tanpa autentikasi karena alasan serupa. Namun, tidak peduli seberapa penting persyaratan pengujian atau sistem lama, menyebarkan API apa pun—baik internal maupun publik—tanpa autentikasi adalah risiko keamanan yang signifikan.

Cara Mencegah Eksploitasi API Tanpa Autentikasi

Untuk menjaga keamanan API Anda, setiap permintaan koneksi harus diamankan dengan Autentikasi Multi-Faktor (MFA). MFA menambahkan lapisan perlindungan ekstra dengan mewajibkan beberapa bentuk verifikasi, menjadikannya salah satu cara paling efektif dan mudah untuk memblokir akses tidak sah ke API dan akun pengguna.

Mengidentifikasi Kerentanan API Tersembunyi

Kebijakan keamanan API hanya efektif jika semua API yang memerlukan perlindungan diperhitungkan. Tetapi apa yang terjadi jika organisasi Anda secara tidak sadar terekspos oleh API publik, seperti halnya dengan Optus?

API yang tersembunyi atau terabaikan sulit dideteksi menggunakan alat pemindaian standar. Cara paling efektif untuk mengungkapnya adalah melalui pengujian penetrasi (penetration testing) untuk mengekspos kerentanan seperti:

• Mekanisme autentikasi yang lemah: Sistem menerima kata sandi teks biasa atau kredensial yang di-hash dengan buruk.

• Paparan terhadap credential stuffing atau serangan brute force: Mengeksploitasi nama pengguna dan kata sandi curian dalam skala besar.

• Manipulasi parameter API: Mengungkapkan detail autentikasi sensitif di URL atau respons.

4. Kesimpulan#

Sebagai kesimpulan, pelanggaran data Optus menggarisbawahi pentingnya penerapan tindakan keamanan siber yang kuat dan mengaudit aset digital secara teratur. Kegagalan untuk mengamankan API, menerapkan protokol autentikasi yang tepat, dan mengatasi kerentanan yang terabaikan pada domain sekunder berkontribusi signifikan terhadap insiden ini. Dengan mengadopsi praktik terbaik industri, seperti yang digariskan dalam Proyek Keamanan API OWASP, dan memprioritaskan strategi keamanan komprehensif, organisasi dapat melindungi diri dari pelanggaran serupa, melindungi data sensitif pelanggan, dan yang paling penting menjaga kepercayaan pengguna mereka.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan#

Data pribadi apa saja yang dicuri dalam pelanggaran Optus dan mengapa hal itu sangat berbahaya?#

API yang terekspos memberi penyerang akses langsung ke nomor SIM, nomor telepon, tanggal lahir, dan alamat rumah. Jenis data ini sangat berharga untuk pencurian identitas dan penipuan, sehingga pelanggaran ini sangat merugikan pelanggan yang terdampak.

Mengapa sebuah perusahaan membiarkan API tidak diautentikasi dari awal?#

API terkadang sengaja dibiarkan tidak diautentikasi untuk menjaga kompatibilitas dengan sistem lama atau untuk tujuan pengujian, yang kemungkinan besar menjadi penyebab kasus Optus. Namun, menerapkan API apa pun, baik internal maupun yang menghadap publik, tanpa autentikasi adalah risiko keamanan yang signifikan terlepas dari justifikasi operasionalnya.

Bagaimana tim keamanan dapat menemukan API yang tersembunyi atau terabaikan sebelum penyerang mengeksploitasinya?#

Alat pemindaian standar kesulitan mendeteksi API yang tersembunyi atau terabaikan. Pendekatan yang paling efektif adalah pengujian penetrasi, yang dapat mengekspos mekanisme autentikasi yang lemah, paparan terhadap serangan credential stuffing, dan detail autentikasi sensitif yang terungkap dalam URL atau respons API.

Apa itu Proyek Keamanan API OWASP dan bagaimana proyek ini membantu organisasi menghindari pelanggaran seperti Optus?#

Proyek Keamanan API OWASP adalah sumber daya yang diperbarui secara berkala yang membuat katalog risiko keamanan API yang diketahui seperti Broken Object Level Authorization, Excessive Data Exposure, Security Misconfigurations, dan Injection Flaws. Tim keamanan siber harus memantaunya secara rutin guna mengidentifikasi dan mengatasi kerentanan sebelum penyerang dapat mengeksploitasinya.