Tahun ini, 2023, adalah tahun yang sangat buruk untuk pelanggaran data, sama seperti tahun sebelumnya (dan tahun sebelumnya, dll.). Selama 12 bulan terakhir, kami telah melihat para peretas meningkatkan eksploitasi bug pada alat transfer file populer untuk menyusupi ribuan organisasi; geng ransomware mengadopsi taktik baru yang agresif yang bertujuan memeras korbannya; dan penyerang terus menargetkan organisasi yang kekurangan sumber daya, seperti rumah sakit, untuk mengambil data yang sangat sensitif, seperti informasi layanan kesehatan pasien dan rincian asuransi.
Faktanya, menurut data bulan Oktober dari Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS), terjadi pelanggaran layanan kesehatan mempengaruhi lebih dari 88 juta orang, naik 60% dibandingkan tahun lalu. Dan itu bahkan tidak memperhitungkan dua bulan terakhir tahun ini.
Kami telah mengumpulkan pelanggaran data paling dahsyat pada tahun 2023. Kami berharap kami tidak perlu memperbarui daftar ini sebelum tahun ini berakhir…
Fortra Pergi Ke Mana Saja
Hanya beberapa minggu setelah tahun 2023, peretas mengeksploitasi kerentanan zero-day yang memengaruhi perangkat lunak transfer file yang dikelola GoAnywhere milik Fortra, sehingga memungkinkan peretasan massal di lebih dari 130 perusahaan. Kerentanan ini, dilacak sebagai CVE-2023-0669dikenal sebagai zero-day karena dieksploitasi secara aktif sebelum Fortra sempat merilis patch.
Peretasan massal yang mengeksploitasi kelemahan injeksi jarak jauh yang kritis ini dengan cepat diklaim oleh geng ransomware dan pemerasan Clop yang terkenal kejam, yang mencuri data dari lebih dari 130 organisasi korban. Beberapa dari mereka yang terkena dampak termasuk NationBenefits, sebuah perusahaan teknologi berbasis di Florida yang menawarkan manfaat tambahan kepada lebih dari 20 juta anggotanya di seluruh Amerika Serikat; Brightline, penyedia pelatihan dan terapi virtual untuk anak-anak; Raksasa pembiayaan Kanada, Investissement Québec; Hitachi Energy yang berbasis di Swiss; dan Kota Toronto, adalah beberapa di antaranya.
Seperti yang diungkapkan oleh TechCrunch pada bulan Maret, dua bulan setelah berita peretasan massal pertama kali terungkap, beberapa organisasi korban baru mengetahui bahwa data telah diambil dari sistem GoAnywhere mereka setelah mereka masing-masing menerima permintaan uang tebusan. Fortra, perusahaan yang mengembangkan alat GoAnywhere, sebelumnya mengatakan kepada organisasi-organisasi ini bahwa data mereka tidak terpengaruh oleh insiden tersebut.
Surat Kerajaan
Januari adalah bulan yang sibuk untuk serangan siber, karena raksasa pos Inggris Royal Mail juga mengonfirmasi bahwa mereka telah menjadi korban serangan ransomware.
Serangan siber ini, yang pertama kali dikonfirmasi oleh Royal Mail pada tanggal 17 Januari, menyebabkan gangguan selama berbulan-bulan, menyebabkan raksasa pos Inggris tersebut tidak dapat memproses atau mengirimkan surat atau parsel apa pun ke tujuan di luar Inggris. Insiden tersebut, yang diklaim oleh geng ransomware LockBit yang terkait dengan Rusia, juga menyebabkan pencurian data sensitif, yang diposting oleh kelompok peretas tersebut ke situs kebocoran web gelapnya. Data ini mencakup informasi teknis, catatan sumber daya manusia dan disiplin staf, rincian gaji dan pembayaran lembur, dan bahkan catatan vaksinasi Covid-19 seorang anggota staf.
Skala penuh pelanggaran data masih belum diketahui.
3CX
Pembuat sistem telepon berbasis perangkat lunak 3CX digunakan oleh lebih dari 600.000 organisasi di seluruh dunia dengan lebih dari 12 juta pengguna aktif setiap hari. Namun pada bulan Maret, perusahaan tersebut disusupi oleh peretas yang ingin menargetkan pelanggan hilirnya dengan menanam malware di perangkat lunak klien 3CX saat masih dalam pengembangan. Intrusi ini dikaitkan dengan Labyrinth Chollima, subunit dari Lazarus Group yang terkenal kejam, unit peretasan pemerintah Korea Utara yang terkenal dengan peretasan diam-diam yang menargetkan pertukaran mata uang kripto.
Hingga hari ini, tidak diketahui berapa banyak pelanggan 3CX yang menjadi sasaran serangan rantai pasokan yang tidak disengaja ini. Namun, kami tahu bahwa serangan rantai pasokan lainnya menyebabkan pelanggaran tersebut. Sesuai dengan Mandiant milik Google Cloud, penyerang menyusupi 3CX melalui versi perangkat lunak keuangan X_Trader yang tercemar malware yang ditemukan di laptop karyawan 3CX.
Kapita
Pada bulan April, para peretas menyusupi raksasa outsourcing Inggris, Capita, yang pelanggannya mencakup Layanan Kesehatan Nasional dan Departemen Pekerjaan dan Pensiun Inggris. Dampak dari peretasan ini berlangsung berbulan-bulan karena semakin banyak pelanggan Capita yang mengetahui bahwa data sensitif telah dicuri, beberapa minggu setelah peretasan pertama kali dilakukan. Skema Pensiun Universitas, penyedia dana pensiun swasta terbesar di Inggris, termasuk di antara mereka yang terkena dampaknya, dan pada bulan Mei mengkonfirmasi bahwa data pribadi dari 470.000 anggota kemungkinan telah diakses.
Ini hanyalah insiden keamanan siber pertama yang menimpa Capita tahun ini. Tidak lama setelah pelanggaran data besar-besaran yang dilakukan Capita, TechCrunch mengetahui bahwa raksasa outsourcing tersebut meninggalkan ribuan file, dengan total ukuran 655 gigabyte, terekspos ke internet sejak 2016.
PINDAHKAN Transfer
Eksploitasi massal MOVEit Transfer, alat transfer file populer lainnya yang digunakan oleh perusahaan untuk berbagi file dengan aman, tetap menjadi pelanggaran terbesar dan paling merusak pada tahun 2023. Dampak dari insiden ini — yang terus berlanjut — dimulai pada bulan Mei ketika Progress Software mengungkapkannya kerentanan zero-day dengan peringkat kritis di MOVEit Transfer. Cacat ini memungkinkan geng Clop melakukan peretasan massal putaran kedua tahun ini untuk mencuri data sensitif ribuan pelanggan MOVEit Transfer.
Menurut statistik terkini, pelanggaran MOVEit Transfer sejauh ini telah memakan korban lebih dari 2.600 organisasi, dengan peretas mengakses data pribadi hampir 84 juta orang. Jumlah tersebut termasuk Departemen Transportasi Oregon (3,5 juta catatan dicuri), Departemen Kebijakan dan Pembiayaan Layanan Kesehatan Colorado (empat juta), dan perusahaan kontraktor layanan pemerintah AS, Maximus (11 juta).
Microsoft
Pada bulan September, peretas yang didukung Tiongkok memperoleh kunci penandatanganan email Microsoft yang sangat sensitif, yang memungkinkan para peretas diam-diam membobol lusinan kotak masuk email, termasuk milik beberapa lembaga pemerintah federal. Para peretas ini, yang diklaim Microsoft sebagai anggota kelompok spionase yang baru ditemukan dan dilacak Storm-0558, mengambil data email yang tidak diklasifikasikan dari akun email tersebut, menurut badan keamanan siber AS, CISA.
Dalam pemeriksaan mayat, Microsoft mengatakan bahwa mereka masih belum memiliki bukti nyata (atau ingin berbagi) bagaimana para penyerang ini awalnya menerobos masuk sehingga memungkinkan para peretas mencuri kunci kerangka untuk mengakses akun email. Raksasa teknologi tersebut sejak itu menghadapi pengawasan ketat atas penanganannya atas insiden tersebut, yang dianggap sebagai pelanggaran terbesar terhadap data pemerintah yang tidak dirahasiakan sejak kampanye spionase Rusia yang meretas SolarWinds pada tahun 2020.
CitrixBleed
Dan kemudian bulan Oktober, dan menandai gelombang peretasan massal lainnya, kali ini mengeksploitasi kerentanan kritis dalam sistem Citrix NetScaler. Peneliti keamanan mengatakan mereka mengamati penyerang mengeksploitasi kelemahan ini, yang sekarang dikenal sebagai “CitrixBleed,” untuk membobol organisasi di seluruh dunia yang mencakup ritel, layanan kesehatan, dan manufaktur.
Dampak penuh dari peretasan massal ini terus berkembang. Namun LockBit, geng ransomware yang bertanggung jawab atas serangan tersebut, mengklaim telah menyusupi perusahaan-perusahaan besar dengan mengeksploitasi kelemahan tersebut. Bug CitrixBleed memungkinkan geng yang terkait dengan Rusia untuk mengekstrak informasi sensitif, seperti cookie sesi, nama pengguna, dan kata sandi, dari sistem Citrix NetScaler yang terpengaruh, sehingga memberikan akses yang lebih dalam kepada peretas ke jaringan yang rentan. Ini termasuk korban yang diketahui seperti raksasa dirgantara Boeing; firma hukum Allen & Overy; dan Bank Industri dan Komersial Tiongkok.
23dan Aku
Pada bulan Desember, perusahaan pengujian DNA 23andMe mengonfirmasi bahwa peretas telah mencuri data leluhur dari separuh pelanggannya, sekitar 7 juta orang. Namun, pengakuan ini muncul beberapa minggu setelah pertama kali terungkap pada bulan Oktober bahwa data pengguna dan genetik telah diambil setelah seorang peretas mempublikasikan sebagian dari profil curian dan informasi DNA pengguna 23andMe di forum peretasan terkenal.
23andMe awalnya mengatakan bahwa peretas telah mengakses akun pengguna dengan menggunakan kata sandi pengguna curian yang telah dipublikasikan dari pelanggaran data lainnya, namun kemudian mengakui bahwa pelanggaran tersebut juga memengaruhi mereka yang memilih fitur DNA Relatives, yang mencocokkan pengguna dengan kerabat genetik mereka.
Setelah mengungkap keseluruhan pelanggaran data, 23andMe mengubah persyaratan layanannya untuk mempersulit korban pelanggaran untuk mengajukan tuntutan hukum terhadap perusahaan. Pengacara menggambarkan beberapa perubahan ini sebagai “sinis” dan “mementingkan diri sendiri.” Jika pelanggaran ini memberikan satu manfaat, hal itu adalah mendorong perusahaan pengujian DNA dan genetik lainnya untuk meningkatkan keamanan akun pengguna mereka sehubungan dengan pelanggaran data 23andMe.
